Prop. 2002/03:135
Behandling av personuppgifter inom socialförsäkringens administration
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 28 maj 2003
Göran Persson
Lars Engqvist
(Socialdepartementet)
Propositionens huvudsakliga innehåll
Regeringen föreslår en ny lag om behandling av personuppgifter inom socialförsäkringens administration. Den föreslagna lagen är en s.k. registerlag, som utgör ett komplement till personuppgiftslagens (1998:204) bestämmelser om skydd för den personliga integriteten vid behandling av personuppgifter. Den nya lagen ersätter socialförsäkringsregisterlagen (1997:934).
Den föreslagna lagen innehåller i huvudsak följande. Lagen skall tillämpas vid behandling av personuppgifter vid Riksförsäkringsverket, de allmänna försäkringskassorna eller Premiepensionsmyndigheten (socialförsäkringens administration). Lagen gäller dock endast om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Bestämmelserna i lagen skall i vissa fall även gälla uppgifter om avlidna personer. I lagen anges ändamål för behandling av personuppgifter. Ändamålen delas in i primära ändamål och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för tillgodoseende av de behov som finns inom socialförsäkringens administration. De sekundära ändamålen avser utlämnande av personuppgifter från myndigheter inom socialförsäkringens administration. I lagen regleras behandlingen av känsliga personuppgifter som avses i 13 § personuppgiftslagen respektive uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen. Den övergripande regleringen av de mer integritetskänsliga typerna av behandlingar utgår från begreppet socialförsäkringsdatabasen. Socialförsäkringsdatabasen avser den samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom socialförsäkringens administration. I syfte att möta de integritetsrisker som följer
med ett ökat inslag av informationsteknik inom förvaltningen föreslås även vissa regler om ökad datasäkerhet. Tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen skall endast ske genom en särskild handling. Behörighet för åtkomst till socialförsäkringsdatabasen skall alltid begränsas till den åtkomst till uppgifter som behövs för den enskildes fullgörande av sina arbetsuppgifter. Vidare regleras direktåtkomst till uppgifter i socialförsäkringsdatabasen samt utlämnande av sådana uppgifter på medium för automatiserad behandling. Känsliga personuppgifter eller sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen skall inte få användas som sökbegrepp vid sökning i socialförsäkringsdatabasen. Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp. Utan hinder av begränsningarna för sökning i den föreslagna lagen skall dock personuppgifter som rör hälsa få användas som urvalskriterium vid sammanställningar om regeringen har meddelat föreskrifter om det. Överföring av personuppgifter till tredje land som är nödvändig på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater skall få ske utan hinder av
33 § personuppgiftslagen. I fråga om automatiserad behandling av personuppgifter som omfattas av den nya lagen skall bestämmelserna om information till den registrerade i 23 och 25–27 §§personuppgiftslagen tillämpas, dock med den begränsningen att uppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende inte behöver tas med i information enligt 26 § personuppgiftslagen om den registrerade tagit del av handlingens innehåll. Av informationen skall dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär det och anger vilken handling som avses skall dock informationen, om inte annat följer av bestämmelser om sekretess, även omfatta uppgifter i en sådan handling. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig. Vid behandling av personuppgifter i strid med den nya lagen skall gälla en motsvarande skyldighet till skadestånd som enligt personuppgiftslagen gäller vid behandling av personuppgifter i strid med den lagen. Personuppgift som behandlas automatiserat skall gallras när det inte är längre är nödvändigt med hänsyn till de primära ändamålen att bevara den. Regeringen eller den myndighet regeringen bestämmer får dock föreskriva att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål. De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten åläggs att genom särskilda åtgärder kontrollera efterlevnaden av den nya lagen, enligt vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer.
Lagen föreslås träda i kraft den 1 december 2003.
1. Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till lag om behandling av personuppgifter inom socialförsäkringens administration.
2. Förslag till lag om behandling av personuppgifter inom socialförsäkringens administration
Härigenom föreskrivs följande.
Lagens tillämpningsområde m.m.
1 § Denna lag tillämpas vid behandling av personuppgifter i verksamhet som gäller socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Riksförsäkringsverket, de allmänna försäkringskassorna eller Premiepensionsmyndigheten (socialförsäkringens administration).
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Bestämmelserna i 7–15, 24–25 och 28 §§ gäller i tillämpliga delar även uppgifter om avlidna personer.
2 § Sådan behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.
3 § I fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen (2001:99) om den officiella statistiken och i författningar som ansluter till den lagen.
4 § Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamhet som avses i 1 § utgör socialförsäkringsdatabasen.
Förhållandet till personuppgiftslagen
5 §Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom socialförsäkringens administration, om inte annat följer av denna lag eller föreskrifter som meddelas med stöd av denna lag eller av personuppgiftslagen.
Personuppgiftsansvar
6 § En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Ändamål för behandling av personuppgifter
7 § De allmänna försäkringskassorna, Premiepensionsmyndigheten och
Riksförsäkringsverket får i sin verksamhet behandla personuppgifter om det är nödvändigt för att
1. återsöka vägledande avgöranden,
2. tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar som nämns i 1 § skall kunna bedömas eller fastställas,
3. informera om sådana förmåner och ersättningar som nämns i 1 §,
4. handlägga ärenden,
5. planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet, eller
6. framställa statistik avseende verksamhet enligt 4 och 5. Vid behandling för det ändamål som anges i första stycket 1 får inte uppgifter som direkt pekar ut den registrerade användas.
8 § Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas av de allmänna försäkringskassorna och Riksförsäkringsverket för tillhandahållande av information som behövs
1. som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda i den verksamhet som bedrivs av Centrala studiestödsnämnden och arbetslöshetskassorna,
2. för samordning av tjänstepensioner i den verksamhet som bedrivs av Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner, eller
3. för handläggning av ärenden hos Statens pensionsverk där regler om statens tjänstegrupplivförsäkring skall tillämpas.
De allmänna försäkringskassorna, Premiepensionsmyndigheten och Riksförsäkringsverket får även behandla personuppgifter som behandlas för ändamål som anges i 7 § för att tillhandahålla information utanför den egna myndigheten på grund av
1. sådan bestämmelse om skyldighet att lämna ut uppgifter till andra myndigheter som avses i 14 kap. 1 § andra meningen sekretesslagen (1980:100),
2. sådant medgivande att lämna ut uppgifter som följer av särskilda bestämmelser i lag eller förordning,
3. sådan skyldighet att lämna ut uppgifter som följer av gemenskapsrätten inom Europeiska unionen, eller
4. åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller i avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
9 § I fråga om behandling av personuppgifter för annat ändamål än vad som anges i 7 och 8 §§ gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Behandling av känsliga personuppgifter m.m.
10 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) (känsliga personuppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för något av de ändamål som anges i 7 § första stycket 1 eller 8 § om det är nödvändigt med hänsyn till ändamålet.
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet.
Utöver vad som följer av första stycket första meningen och andra stycket får känsliga personuppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.
11 § Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas för något av de ändamål som anges i 7 § första stycket 1 eller 8 § om det är nödvändigt med hänsyn till ändamålet.
För något av de ändamål som anges i 7 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen behandlas som enligt 14 § får behandlas i socialförsäkringsdatabasen.
Utöver vad som följer av första stycket första meningen och andra stycket får sådana uppgifter inte behandlas för de ändamål som anges i 7 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 7 § första stycket 5 och 6 får inte ske i fråga om andra sådana uppgifter om lagöverträdelser än dem som behandlas eller har behandlats för något av de ändamål som anges i 7 § första stycket 2–4.
12 § I 14 § finns särskilda bestämmelser om behandling i socialförsäkringsdatabasen av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204).
Behandling av personuppgifter i socialförsäkringsdatabasen
13 § I socialförsäkringsdatabasen får endast sådana personuppgifter behandlas som avser personer som omfattas eller har omfattats av verksamhet enligt de ändamål som anges i 7 § eller personer om vilka uppgifter på annat sätt behövs för handläggningen av ett ärende.
14 § För de ändamål som anges i 7–9 §§ får, med beaktande av de begränsningar som följer av 7 och 13 §§, i socialförsäkringsdatabasen behandlas identifierings- och adressuppgifter.
Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får utöver vad som anges i 15 § behandlas i socialförsäkringsdatabasen bara om det särskilt anges i lag eller förordning. För sådan behandling gäller de begränsningar som följer av 10 och 11 §§. Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen.
15 § Uppgifter i en handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204). Sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning.
Tilldelning av behörighet
16 § Behörighet för åtkomst till socialförsäkringsdatabasen skall inom socialförsäkringens administration tilldelas genom en särskild handling i enlighet med vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer.
Behörighet för åtkomst till socialförsäkringsdatabasen skall begränsas till vad som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter.
Direktåtkomst
17 § Direktåtkomst till socialförsäkringsdatabasen är tillåten endast i den utsträckning som anges i lag eller förordning.
18 § De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för de ändamål som anges i 7 och 8 §§. Sådan direktåtkomst skall vara förbehållen de personkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om direktåtkomst som avses i första stycket.
19 § Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får ha direktåtkomst till socialförsäkringsdatabasen för samordning av tjänstepensioner med socialförsäkringsförmåner.
Statens pensionsverk får ha direktåtkomst till socialförsäkringsdatabasen för handläggning av ärenden där regler om statens tjänstegrupplivförsäkring skall tillämpas.
Bestämmelserna i 16 § och 18 § första stycket andra meningen gäller också för pensionsverket och det gemensamma organet.
Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om vilka uppgifter direktåtkomst enligt första och andra stycket får omfatta.
20 § Centrala studiestödsnämnden och arbetslöshetskassorna får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för ändamål som anges i 8 § första stycket 1.
Regeringen meddelar föreskrifter om vilka uppgifter direktåtkomst enligt första stycket får omfatta.
Utlämnande på medium för automatiserad behandling
21 § Personuppgifter i socialförsäkringsdatabasen som får lämnas ut till den registrerade får lämnas ut till denne på medium för automatiserad behandling. Personuppgifter i socialförsäkringsdatabasen får i övrigt lämnas ut på medium för automatiserad behandling endast om det behövs för något av de ändamål som anges i 8 §.
22 § Personuppgifter i socialförsäkringsdatabasen får lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation om den registrerade uttryckligen samtyckt till utlämnandet.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får lämnas ut enligt första stycket.
23 § Personuppgifter som behövs för skadereglering får lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse om den registrerade uttryckligen samtyckt till utlämnandet.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får lämnas ut enligt första stycket.
Sökbegrepp
24 § Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid sökning i socialförsäkringsdatabasen.
Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.
Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får användas.
25 § Utan hinder av de begränsningar för sökning som anges i 24 § får personuppgifter som rör hälsa användas som urvalskriterium vid sammanställningar om regeringen har meddelat föreskrifter om det.
Överföring av personuppgifter till tredje land
26 § Överföring av personuppgifter till tredje land på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater får ske utan hinder av 33 § personuppgiftslagen (1998:204).
Information
27 § Personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i information enligt 26 § personuppgiftslagen (1998:204) om den registrerade tagit del av handlingens innehåll. Av informationen skall det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, skall dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.
Gallring
28 § Personuppgifter som behandlas automatiserat skall gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §.
Regeringen eller den myndighet regeringen bestämmer får dock meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål.
Avgifter
29 § Avgifter får tas ut för utlämnande av uppgifter och handlingar från socialförsäkringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen eller den myndighet regeringen bestämmer.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rättelse och skadestånd
30 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag.
Kontrollverksamhet
31 § De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten skall genom särskilda åtgärder kontrollera efterlevnaden av denna lag enligt vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer.
Tystnadsplikt
32 § Den som genom sin befattning med personuppgifter som inhämtats från socialförsäkringsdatabasen till det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.
Överklagande
33 § En myndighets beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
1. Denna lag träder i kraft den 1 december 2003, då socialförsäkringsregisterlagen (1997:934) upphör att gälla.
2. Bestämmelserna i denna lag skall inte tillämpas före den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling av personuppgifter som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3. Den nya lagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter det att den nya lagen har trätt i kraft. I annat fall tillämpas de äldre bestämmelserna.
3. Ärendet och dess beredning
Den 1 oktober 2001 trädde vissa ändringar av socialförsäkringsregisterlagen (1997:934) i kraft. Ändringarna utgjorde resultatet av en begränsad översyn av lagen i syfte att anpassa den till den generellt tillämpliga personuppgiftslagen. I propositionen som låg till grund för ändringarna av lagen (prop. 2000/01:69) anmärktes särskilt att de framlagda förslagen utgjorde endast en begränsad översyn i syfte att anpassa socialförsäkringsregisterlagen till personuppgiftslagen samt att regeringen hade för avsikt att under våren 2001 påbörja en översyn av registerlagstiftningen inom socialförsäkringens administration i ett vidare perspektiv.
Den i propositionen aviserade översynen har bedrivits i projektform i Socialdepartementet. Arbetet i projektet har resulterat i en departementspromemoria – En ny lag om behandling av personuppgifter inom socialförsäkringens administration (Ds 2002:60). I promemorian föreslås en ny lag om behandling av personuppgifter inom socialförsäkringens administration som avses ersätta socialförsäkringsregisterlagen.
En sammanfattning av promemorians förslag finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. I bilaga 3 finns en förteckning över remissinstanserna. Remissvaren och en remissammanställning finns tillgänglig i Socialdepartementet (dnr S2003/741/SF).
Förslagen i denna proposition bygger på en överenskommelse mellan den socialdemokratiska regeringen, vänsterpartiet och miljöpartiet.
Lagrådet
Regeringen beslutade den 16 april 2003 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5.
Regeringen har i huvudsak följt Lagrådets förslag. Lagrådets synpunkter behandlas i avsnitten 6.3, 6.5, 6.6, 6.7, 6.8, 6.9, 6.10, 6.16, 6.17 och 8. Utöver de ändringar av förslagen som redovisas där har vissa redaktionella ändringar gjorts i lagtexten.
4. Behandling av personuppgifter inom socialförsäkringens administration
4.1. Uppgifterna för socialförsäkringens administration
Riksförsäkringsverket administrerar den offentliga socialförsäkringen och anslutande bidragssystem tillsammans med de allmänna försäkringskassorna. Premiepensionsmyndigheten har till uppgift att handlägga frågor om premiepension enligt lagen (1998:674) om inkomstgrundad ålderspension och lagen (1998:710) med vissa bestämmelser om Premiepensionsmyndigheten. Tillsammans kallas myndigheterna socialförsäkringens administration.
Exempel på olika delar av den offentliga socialförsäkringen som Riksförsäkringsverket och de allmänna försäkringskassorna tillsammans administrerar är sjukförsäkringen, föräldraförsäkringen och ålderspensionen. Barnbidrag, underhållsstöd och bostadsbidrag är exempel på andra förmåner som finns inom socialförsäkringen.
4.1.1. Riksförsäkringsverket
Riksförsäkringsverket är central förvaltningsmyndighet för socialförsäkringen och anslutande bidragssystem och svarar på central nivå för bl.a. tillsyn och utvärdering av verksamheten.
Några av Riksförsäkringsverkets uppgifter som förtjänar att nämnas i detta sammanhang är
a) att verka för att socialförsäkrings- och bidragssystemen tillämpas
likformigt och rättvist,
b) att verka för att åtgärder vidtas för att förebygga och minska ohälsa
i syfte att minska de långa sjukperioderna,
c) att utöva tillsyn över de allmänna försäkringskassorna,
d) att utöva tillsyn över att Premiepensionsmyndigheten tillämpar de
bestämmelser om premiepension som inte avser kapitalförvaltning eller försäkringsteknisk verksamhet på ett likformigt och rättvist sätt i förhållande till enskilda,
e) att ansvara för ekonomistyrningen av försäkringskassorna,
f) att vara ansvarig systemägare för Riksförsäkringsverkets och för-
säkringskassornas gemensamma IT-system,
g) att ha ett övergripande ansvar för att allmänheten får en tillfreds-
ställande information om socialförsäkringen, i de delar den ligger inom myndighetens verksamhetsområde, och anslutande bidragssystem samt om planerade förändringar inomområdet,
h) att ha huvudansvaret för att samordna informationen till allmän-
heten om premiepensionen och den övriga ålderspensionen enligt lagen (1998:674) om inkomstgrundad ålderspension,
i) att stödja forskning inom socialförsäkringsområdet,
j) att ha en stödjande och rådgivande funktion för den interna revisio-
nen vid de allmänna försäkringskassorna och därvid samråda med Riksrevisionsverket i frågor av större vikt,
k) att ansvara för officiell statistik enligt förordningen (2001:100) om
den officiella statistiken,
l) att följa utvecklingen inom socialförsäkringen och anslutande bi-
dragssystem samt utvärdera effekterna av dessa för individ och samhälle,
m) att ta fram och vidareutveckla prognosmodeller och svara för pro-
gnoser för och analyser av utgifterna för de socialförsäkrings- och bidragssystem som administreras av Riksförsäkringsverket och de allmänna försäkringskassorna,
n) att biträda Regeringskansliet inom sitt verksamhetsområde,
o) att delta i internationellt samarbete inom sitt verksamhetsområde,
p) att verka för att dess verksamhet i alla delar tar hänsyn till effek-
terna för både kvinnor och män,
q) att ha ett samlat ansvar, sektorsansvar, för handikappfrågor med an-
knytning till sitt verksamhetsområde och inom ramen för detta ansvar vara samlande, stödjande och pådrivande i förhållande till övriga berörda parter,
r) att samverka med Arbetsmarknadsstyrelsen, Arbetsmiljöverket och
Socialstyrelsen i syfte att uppnå en effektivare användning av tillgängliga resurser inom rehabiliteringsområdet. Inom sitt verksamhetsområde företräder Riksförsäkringsverket staten vid domstol.
Riksförsäkringsverket svarar för administrationen av socialförsäkringens omfattande datasystem. Verkets IT-avdelning heter RFV Data och ligger i Sundsvall.
4.1.2. De allmänna försäkringskassorna
Det finns en allmän försäkringskassa i varje län, sammanlagt 21 stycken. Försäkringskassorna handlägger enskilda ärenden om socialförsäkring på regional och lokal nivå.
De allmänna försäkringskassornas verksamhet regleras i lagen (1962:381) om allmän försäkring. Verksamheten finansieras helt med statliga medel. Styrelsen och direktören för en försäkringskassa utses av regeringen.
Försäkringskassorna anses utgöra från staten fristående offentligrättsliga organ som vid myndighetsutövning kan betraktas som förvaltningsmyndigheter. Handläggning och beslut om förmåner hos försäkringskassan m.m. är att betrakta som myndighetsutövning. Såväl förvaltningslagen som sekretesslagen är tillämpliga för de allmänna försäkringskassornas ärendehandläggning.
Den allmänna försäkringskassan skall enligt lagen om allmän försäkring
a) utreda och besluta i ärenden som enligt lagen om allmän försäkring
eller annan författning skall skötas av försäkringskassan,
b) svara för att socialförsäkrings- och bidragssystemen tillämpas lik-
formigt och rättvist,
c) vidta åtgärder för att förebygga och minska ohälsa i syfte att
minska de långa sjukperioderna samt aktivt arbeta med rehabilitering,
d) lämna hjälp vid handhavandet av annan verksamhet enligt vad re-
geringen bestämmer, samt
e) lämna hjälp åt en myndighet som har hand om arbetslöshetsförsäk-
ringen eller åt ett sådant lokalt organ som avses i 1 kap. 2 § lagen om allmän försäkring.
4.1.3. Premiepensionsmyndigheten
Premiepensionsmyndighetens administration av premiepensionssystemet innefattar ett flertal uppgifter. Myndigheten skall bokföra och genomföra alla köp och all försäljning av fondandelar och ansvara för de premiepensionskonton som upprättas samt besluta om utbetalning av premiepension. Vidare skall myndigheten förvalta de pengar som pensionssparare
vid pensioneringen väljer att föra över till traditionella försäkringar. Ytterligare en uppgift är att administrera efterlevandeskydd som ingår i systemet.
Inom sitt verksamhetsområde företräder Premiepensionsmyndigheten staten vid domstol.
4.2. Automatiserad behandling av personuppgifter inom socialförsäkringens administration
I Socialförsäkringsregisterlagen (1997:934) återfinns regler om skydd för den personliga integriteten vid behandling av personuppgifter inom socialförsäkringens administration. Lagen är till stor del präglad av den ITstruktur som funnits inom socialförsäkringens administration (i detta fall RFV och de allmänna försäkringskassorna) alltsedan mitten av 1970-talet. I första hand kan denna struktur sägas bestå av ett större antal verksamhetsstödjande register, dvs. på visst sätt strukturerade eller organiserade samlingar av uppgifter, som företrädesvis används som informationskälla vid handläggning av de olika ärendeslagen inom socialförsäkringen. Vidare finns visst integrerat handläggningsstöd i form av enklare program för beräkning av ersättning, utbetalning m.m. Registren används dessutom i viss utsträckning för uppföljning, utvärdering, tillsyn och framställning av statistik. Vid sidan härav används naturligtvis informationstekniken för ordbehandling vid dokumentation av beslut och framställning av andra handlingar såsom föredragningspromemorior, minnesanteckningar m.m.
Socialförsäkringsregisterlagen och de lagar den lagen kom att ersätta utarbetades huvudsakligen med utgångspunkt i de synsätt och strukturella lösningar som präglade den tidigare gällande datalagen, som även denna till stor del relaterade till den typ av IT-struktur som beskrivits ovan.
Den mycket snabba utvecklingen inom informationstekniken innebär emellertid nya förutsättningar för den offentliga förvaltningen. I allt större utsträckning tas den nya tekniken i anspråk för ärendehantering. Handlingar framställs, kommer in och expedieras elektroniskt och handläggningen sker med ett långt utvecklat datorstöd. Detta medför att all den individrelaterade information som är nödvändig för att handlägga ett ärende, i många fall helt och hållet hanteras i en elektronisk akt, dvs. pappersbunden lagring av information förekommer inte i ärendet. Det registerbegrepp som tillämpats i lagstiftningen blir därmed allt mindre tillämpligt för de behandlingar av personuppgifter som sker inom myndigheterna. Samtidigt har möjligheterna till kommunikation mellan medborgare och myndigheter via Internet ökat dramatiskt, vilket i sig innebär bättre förutsättningar för snabb ärendehantering, eftersom uppgifter i ansökningar etc. via Internet kan skickas in direkt till myndigheternas egna datoriserade ärendehanteringssystem. Denna utveckling påskyndas av de krav som riktas mot myndigheterna när det gäller effektivitet, samverkan med andra myndigheter och en förbättrad service gentemot medborgarna. En annan viktig faktor är möjligheterna att med hjälp av den nya tekniken analysera utvecklingen inom de olika försäkringsområdena och även
aktivt och systematiskt använda tekniken för att komma till rätta med problemområden eller uppnå en effektiv resursanvändning.
4.2.1. Register som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna
Det finns ett stort antal omfattande register som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna. Här redovisas de viktigaste.
Sjukförsäkringsregistret används för att förse alla ärendeslag inom socialförsäkringen med personinformation samt vid handläggning och förberedande åtgärder för handläggning av sjukpenning, föräldrapenning, havandeskapspenning, närståendepenning, rehabiliteringsersättning, smittbärarpenning, aktivitetsstöd, dagpenning till totalförsvarspliktiga, frivillig sjukförsäkring, sjukpenninggrundande inkomst och svenska och utländska bosättnings- och arbetsperioder. Registret används vidare för uppföljning, utvärdering, tillsyn, framställning av statistik beträffande sådana ärenden samt för kontroll och utbetalning vid handläggning av övriga ärenden som omfattas av 1 § första stycket socialförsäkringsregisterlagen.
Statens pensionsverk och det organ för administration av personalpensioner som är gemensamt för kommunerna och landstingen (KPA Pension AB) använder sjukförsäkringsregistret för samordning av tjänstepensioner. De båda organen har direktåtkomst till registret. Statens pensionsverk använder vidare registret för handläggning av ärenden där reglerna om statens tjänstegrupplivförsäkring skall tillämpas.
Uppgifter om identitet, andra personuppgifter som namn, adress, telefonnummer, civilstånd och medborgarskap, sekretessmarkering, anhöriga, skatt samt folkbokföringsort inhämtas till sjukförsäkringsregistret från Riksskatteverket. Inkomstuppgifter samt uppgifter om bankkonto och svenska och utländska bosättnings- och arbetsperioder inhämtas från den registrerade. Uppgifter om pension eller annan socialförsäkringsförmån inhämtas från försäkringskassorna och RFV. Från andra myndigheter som Arbetsmarknadsstyrelsen, Pliktverket och Centrala studiestödsnämnden inhämtas vissa uppgifter om andra ersättningar/åtgärder. Från sjukförsäkringsregistret lämnas uppgifter till Riksskatteverket, Premiepensionsmyndigheten och kronofogdemyndigheterna om namn, adress, civilstånd och medborgarskap. Till Premiepensionsmyndigheten och kronofogdemyndigheterna lämnas uppgifter om anhöriga. Uppgifter om inkomster och arbetsgivare lämnas till kommuner, Riksskatteverket och kronofogdemyndigheterna. Skatteuppgifter lämnas till Riksskatteverket och kronofogdemyndigheterna.
Bidragsregistret används för administration av ärenden om underhållsstöd, barnbidrag, förlängt barnbidrag och adoptionskostnadsbidrag.
Registret används också för förberedande åtgärder för utvärdering, uppföljning, tillsyn och framställning av statistik beträffande dessa ärenden. För kontroll av att utbetalning sker och med vilket belopp kan registret vidare komma att användas vid handläggning av övriga ärenden som omfattas av 1 § första stycket socialförsäkringsregisterlagen.
Uppgifterna om identitet, namn, adress, civilstånd, rättslig vårdnad, förmåner, återbetalningsskyldighet, skuldsanering, inkomster inhämtas från bl.a. Riksskatteverket, försäkringskassorna och kronofogdemyndigheterna. Från Bidragsregistret lämnas uppgifter ut till bl.a. Centrala studiestödsnämnden, kommuner och kronofogdemyndigheter.
Ålderspensionsregistret används för administration av ärenden om ålderspension. Registret används vidare för förberedande åtgärder för handläggning och för uppföljning, utvärdering, tillsyn och framställning av statistik beträffande dessa ärenden. För kontroll om utbetalningar sker och med vilket belopp kan registret även komma att användas vid handläggning av och samordning med övriga socialförsäkringsersättningar.
Uppgifter om identitet, anhöriga, adress, ATP-poäng, sekretessmarkering, utbetalningar, utländsk pension m.m. inhämtas från Riksförsäkringsverket, försäkringskassorna eller Riksskatteverket. Från registret lämnas uppgifter ut till Statistiska centralbyrån, Pensionärernas riksorganisation, Nordea, Postgirot, Bankgirocentralen, AFA, Folksam, Kooperationens pensionsanstalt, Alecta, Statens pensionsverk, Kommunsektorns pensions AB, Riksskatteverket och Kronofogdemyndigheten. Statens Pensionsverk och KPA Pension AB har direktåtkomst till registret.
Efterlevandepensionsregistret används för administration av ärenden om efterlevandepension. Registret används vidare för förberedande åtgärder för handläggning och för uppföljning, utvärdering, tillsyn och framställning av statistik beträffande dessa ärenden. För kontroll om utbetalningar sker och med vilket belopp kan registret även komma att användas vid handläggning av och samordning med övriga socialförsäkringsersättningar.
Uppgifter om identitet, anhöriga, adress, ATP-poäng, sekretessmarkering, utbetalningar, utländsk pension m.m. inhämtas från Riksförsäkringsverket, försäkringskassorna eller Riksskatteverket. Från registret lämnas uppgifter ut till Statistiska centralbyrån, Pensionärernas riksorganisation, Nordea, Postgirot, Bankgirocentralen, AFA, Folksam, Kooperationens pensionsanstalt, Alecta, Statens pensionsverk, Kommunsektorns pensions AB, Riksskatteverket och Kronofogdemyndigheten. Statens Pensionsverk och KPA Pension AB har direktåtkomst till registret.
Sjuk- och aktivitetsersättningsregistret används för administration av ärenden om sjuk- eller aktivitetsersättning. Registret används vidare för förberedande åtgärder för handläggning och för uppföljning, utvärdering, tillsyn och framställning av statistik beträffande dessa ärenden. För kontroll om utbetalningar sker och med vilket belopp kan registret även komma att användas vid handläggning av och samordning med övriga socialförsäkringsersättningar.
Uppgifter om identitet, anhöriga, adress, ATP-poäng, sekretessmarkering, utbetalningar, utländsk pension m.m. inhämtas från Riksförsäkringsverket, försäkringskassorna eller Riksskatteverket. Från registret lämnas uppgifter ut till Statistiska centralbyrån, Pensionärernas riksorganisation, Nordea, Postgirot, Bankgirocentralen, AFA, Folksam, Kooperationens pensionsanstalt, Alecta, Statens pensionsverk, Kommunsektorns pensions AB, Riksskatteverket och Kronofogdemyndigheten.
Statens Pensionsverk och KPA Pension AB har direktåtkomst till registret.
Intjänanderegistret används för administration av ärenden om fastställande av pensionsrätt, pensionspoäng och pensionsbehållning enligt lagen (1998:674) om inkomstgrundad ålderspension, för beräkning av statlig ålderspensionsavgift enligt lagen (1998:676) om statlig ålderspensionsavgift och för framställning av pensionsprognoser.
Registret används också för förberedande åtgärder för handläggningen samt för uppföljning, utvärdering, tillsyn och framställning av statistik beträffande dessa ärenden.
Uppgifter om identitet, adress, kön, civilstånd, medborgarskap och födelseort inhämtas från Riksskatteverket. Uppgifter om förhållanden som behövs för att beräkna pensionsgrundande belopp inhämtas från Riksskatteverket, Statistiska centralbyrån, Pliktverket, Centrala studiestödsnämnden och försäkringskassorna. Premiepensionsmyndigheten har direktåtkomst till registret.
Bostadstilläggsregistret används av Riksförsäkringsverket och försäkringskassorna för handläggning av ärenden enligt lagen (2001:761) om bostadstillägg till pensionärer m.fl. och lagen (1994:309) om hustrutillägg i vissa fall då make uppbär folkpension. Registret används för tillsyn, uppföljning, utvärdering och framställning av statistik beträffande ärenden om bostadstillägg till pensionärer och hustrutillägg. Registret används också för förberedande åtgärder för handläggningen. För kontroll av att utbetalning sker och med vilket belopp kan registret vidare komma att användas vid handläggning av övriga ärenden som omfattas av 1 § första stycket socialförsäkringsregisterlagen.
Statens pensionsverk har direktåtkomst till registret och använder det för handläggning av ärenden om samordning. Detsamma gäller KPA Pension AB.
Uppgifter om personnummer, namn, adress, bostadsstorlek, typ av bostad inhämtas från den registrerade. Uppgifter om taxeringsvärde för bostad, bostadsyta, bostadsbidrag m.m. inhämtas förutom från sökanden även från Riksförsäkringsverket, Riksskatteverket och försäkringskassorna. Förutom till Statens pensionsverk och KPA Pension AB lämnas uppgifter ut från registret till socialnämnderna i kommunerna.
Arbetsskaderegistret används för administration av ärenden om arbetsskadelivränta och för förberedande åtgärder för handläggning samt för uppföljning, utvärdering, tillsyn och framställning av statistik avseende sådana ärenden. För kontroll av att utbetalning sker och med vilket belopp kan registret vidare komma att användas vid handläggning av övriga ärenden som omfattas av 1 § första stycket socialförsäkringsregisterlagen.
Uppgifter om identitet, adress, skatt m.m. inhämtas från Riksskatteverket. Uppgifter om betalningsmottagare, typ av livränta, inkomster, förhållanden av betydelse för samordning m.m. inhämtas från försäkringskassorna.
Statens pensionsverk och KPA Pension AB har direktåtkomst till registret och använder detta för handläggning av ärenden om samordning med tjänstepensioner.
Delpensionsregistret används för administration av ärenden om delpension och för förberedande åtgärder för handläggning samt för upp-
följning, utvärdering, tillsyn och framställning av statistik avseende dessa ärenden. För kontroll av att utbetalning sker och med vilket belopp kan registret vidare komma att användas vid handläggning av övriga ärenden som omfattas av 1 § första stycket socialförsäkringsregisterlagen.
Statens pensionsverk och KPA Pension AB har direktåtkomst till registret och använder det för handläggning av ärenden om samordning med tjänstepensioner.
Uppgifter om namn, personnummer, adress, inhämtas från den registrerade, Riksskatteverket, försäkringskassorna och Riksförsäkringsverket. Uppgifter om skatt inhämtas från Riksskatteverket. Uppgifter om arbetsinkomster och pensionsmedelpoäng inhämtas från försäkringskassorna. Uppgifter om förvärvsarbete, arbetslöshetskassa, bisyssla, arbetstidens utläggning m.m. inhämtas från den registrerade. Uppgifter från registret lämnas ut till Statistiska centralbyrån, Nordea, Postgirocentralen, Bankgirocentralen, Kooperationens pensionsanstalt, socialnämnder, Alecta, Folksam och Riksskatteverket.
Bostadsbidragsregistret används för administration av ärenden om bostadsbidrag och för den samordning som sker med bostadsbidragsärenden vid handläggning av ärenden enligt lagen (2001:761) om bostadstillägg till pensionärer m.fl. och ärenden om familjebidrag enligt 7 kap. förordningen (1995:239) om förmåner till totalförsvarspliktiga samt för förberedande åtgärder, utvärdering, uppföljning, tillsyn och framställning av statistik beträffande bostadsbidragsärenden. För kontroll av att utbetalning sker och med vilket belopp kan registret också komma att användas vid handläggning av övriga ärenden som omfattas av 1 § socialförsäkringsregisterlagen.
Uppgifter om personnummer, namn, civilstånd, adress och folkbokföringsuppgifter i övrigt inhämtas från den registrerade, Riksskatteverket eller Riksförsäkringsverket. Uppgifter om det aktuella hushållets sammansättning, bostaden, bostadskostnad inhämtas från den registrerade. Uppgifter som behövs för att fastställa bidragsgrundande inkomst inhämtas från den registrerade, Riksskatteverket, Centrala studiestödsnämnden och Boverket. Från registret lämnas uppgifter ut till kommuner, banker och kronofogdemyndigheter om utbetalda belopp m.m.
Familjebidragsregistret används för administration av ärenden om familjebidrag samt tillsyn, uppföljning, utvärdering och framställning av statistik beträffande sådana ärenden. För kontroll av att utbetalningen sker med rätt belopp används registret också vid handläggningen av övriga ärenden enligt 1 § socialförsäkringsregisterlagen.
Uppgifter om den registrerades personnummer och namn, adress, sekretessmarkering inhämtas från Pliktverket, försäkringskassorna, Riksförsäkringsverket och Riksskatteverket. Uppgifter om den totalförsvarspliktiges tjänstgöring inhämtas från Pliktverket. Uppgifter om beslut och förmånstyper inhämtas från försäkringskassorna och Riksförsäkringsverket. Uppgifter om antal barn, typ av boende, inkomst och familjeförhållanden inhämtas från sökanden. Från registret lämnas uppgifter ut i fakturor till betalningsansvarig enhet inom totalförsvaret.
Assistansersättningsregistret används för administration av ärenden om assistansersättning samt tillsyn, uppföljning, utvärdering och framställning av statistik av sådana ärenden.
Uppgifter om identitet och adress inhämtas från den registrerade eller kommunerna. Sekretessmarkering inhämtas från Riksskatteverket. Uppgifter om antal utnyttjade timmar, arbetsgivare och kontouppgifter inhämtas från den registrerade. Uppgifter om annan socialförsäkringsförmån inhämtas från försäkringskassorna eller Riksförsäkringsverket.
Från registret lämnas uppgifter ut till kommuner om namn och ärendeuppgifter och till betalningsinrättningar om kontonummer.
Bilstödsregistret används för administration av ärenden om bilstöd till handikappade samt för förberedande åtgärder, tillsyn, uppföljning, utvärdering och framställning av statistik beträffande dessa ärenden.
Uppgifter om namn, personnummer, adress, fordonsslag och inkomst inhämtas från sökanden. Uppgift om personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade inhämtas från försäkringskassorna. Sekretessmarkering inhämtas från Riksskatteverket.
Från registret lämnas uppgifter ut till betalningsinrättningar om kontonummer.
Registret för försäkring för småföretagare används för administration av ärenden om försäkring mot kostnader för sjuklön samt för tillsyn och framställning av statistik.
Uppgifter om arbetsgivare inhämtas från Riksförsäkringsverket och försäkringskassorna. Uppgifter om lönekostnad, avgifter, försäkringsersättning inhämtas från försäkringskassorna. Uppgifter om innehavare av försäkring lämnas ut till Riksskatteverket.
Registret för försäkring mot vissa semesterlönekostnader används för administration av ärenden om försäkring mot vissa semesterlönekostnader samt för tillsyn och framställning av statistik.
Uppgifter om arbetsgivare inhämtas från Riksförsäkringsverket och försäkringskassorna. Uppgifter om lönekostnad, avgifter, försäkringsersättning inhämtas från försäkringskassorna.
Yrkesskaderegistret används för handläggning av ärenden om yrkesskador samt för tillsyn, uppföljning, utvärdering och framställning av statistik beträffande sådana ärenden. Registret används vidare för förberedande åtgärder för handläggningen. För kontroll av att utbetalning sker och med vilket belopp kan registret komma att användas vid handläggning av övriga ärenden som omfattas av 1 § socialförsäkringsregisterlagen samt för samordning mellan olika ersättningar.
Registret används vidare av Statens pensionsverk och KPA Pension AB, som har direktåtkomst till registret, för handläggning av ärenden om samordning av tjänstepensionsförmåner.
Uppgifter om namn, adress och personnummer inhämtas från den registrerade. Uppgifter om utbetalningar, utsökning, sekretessmarkering, invaliditetsgrad, årsinkomst inhämtas från försäkringskassorna. Uppgifter om skatt, makes personnummer och särskild prövning inhämtas från Riksskatteverket.
Kåntra används för administration, tillsyn och uppföljning av ärenden i vilka beslut har fattats om återbetalning av socialförsäkringsförmåner samt andra förmåner och ersättningar som omfattas av socialförsäkringsregisterlagen.
Uppgifter om identitet inhämtas från Riksförsäkringsverket. Uppgifter om vilken förmån som felaktigt utbetalats, fordringsbelopp, skatt, pensionsgrundande arbetsskadelivränta, sjukvårdsavdrag, förfallodatum,
datum för indrivningsåtgärder, anstånd, eftergift, debiterade avgifter, solidariskt betalningsansvar, avbetalningsplan, ränta, betalningar inhämtas från försäkringskassorna.
FAREG används för administration av Riksförsäkringsverkets och försäkringskassornas kontakter med arbetsgivare vid handläggning av småföretagarförsäkringen, semesterlöneförsäkringen samt i ärenden om sjuklön och rehabilitering.
Uppgifter om organisationsnummer/personnummer, huvudnäringsgren, företagets namn, adress, telefonnummer, arbetsställenummer inhämtas från Statistiska centralbyrån (BASUN).
Statistiska centralbyrån har direktåtkomst till registret.
Registret för beställning av information används för handläggning av beställning av information enligt personuppgiftslagen och socialförsäkringsregisterlagen ur försäkringskassornas och Riksförsäkringsverkets gemensamma register och Riksförsäkringsverkets egna register. Registret används även för framställning av statistik.
Uppgifter om identitet inhämtas från den registrerade. Uppgifter om försäkringskassa och tidpunkter inhämtas från försäkringskassorna och Riksförsäkringsverket.
4.2.2. Register som förs särskilt för Riksförsäkringsverket
Riksförsäkringsverket är även ensam personuppgiftsansvarig myndighet för vissa personregister som förs särskilt för verket.
Frivillig pension används av Riksförsäkringsverket för administration av ärenden om frivillig pension och utbetalning av frivillig pension samt för uppföljning och utvärdering av försäkringstekniska antaganden rörande ränte-, dödlighets- och omkostnadsutveckling. Registret används också för individuella vinstberäkningar och för statistikframställning.
Uppgifter om personnummer, namn och adress inhämtas från den registrerade. Uppgifter om god man, förvaltare eller annan betalningsmottagare inhämtas från god man, förvaltare respektive den registrerade. Uppgifter om tidpunkter, preliminärskatteuppgifter och utgående pension inhämtas från Riksförsäkringsverket. Uppgifter om dödsfallstidpunkt inhämtas från Riksskatteverket.
Från registret lämnas uppgifter om antal registrerade och årsbelopp till Statistiska centralbyrån, om pensionen till skattemyndighet och om utbetalningar till banker respektive bank- och postgirocentral.
Sjömanspensionsregistret används för handläggning av ärenden om utbetalning av sjömanspension samt uppföljning och framställning av statistik av dessa ärenden.
Personuppgifter inhämtas från den registrerade. Inkomstuppgifter inhämtas från Riksförsäkringsverket.
Uppgifter om utbetalningar lämnas till skattemyndighet.
TESS-databasen används för förberedande åtgärder för handläggning av pensionsärenden för personer bosatta utomlands. För detta ändamål sambearbetas registret med motsvarande register hos organ i andra stater som har att handlägga ärenden om social trygghet i enlighet med EGrättsliga regler.
Uppgifter om identitet, adress, medborgarskap, civilstånd, utländskt försäkringsnummer, bosättningsland, dödsfallsdatum inhämtas från försäkringskassor, utländska pensionsorgan respektive Riksskatteverket.
Dessa uppgifter utlämnas till utländska pensionsorgan.
4.2.3. Register som förs särskilt för de allmänna försäkringskassorna
De allmänna försäkringskassorna har naturligtvis möjlighet att själva förfoga över inrättandet av olika socialförsäkringsregister som förs särskilt för respektive försäkringskassa. Någon detaljerad redovisning av varje sådant register hos respektive försäkringskassa är naturligtvis inte möjlig att lämna här. Redovisningen är i stället inriktad på de viktigaste förekommande registren.
Till en början kan nämnas de till ärendehanteringssystemet (ÄHS) knutna samlingarna av elektroniska akter som förs särskilt för varje försäkringskassa. Systemet med elektroniska akter innebär i princip att alla relevanta uppgifter, handlingar och all information i övrigt i ett ärende kommer att behandlas automatiserat. ÄHS är en plattform med vilken förmånsspecifika system med elektronisk akthantering kan integreras. Vissa funktioner i ÄHS är emellertid av generell karaktär. Det gäller funktionerna Personinfo, som visar fördjupad personinformation om en försäkrad och i förekommande fall dennes make/maka samt Globala fältet. Vid användning av ÄHS kan man bl.a. hämta upp inlästa (skannade) sådana handlingar som sänts till försäkringskassan, lägga handlingar till befintliga ärenden, lägga upp nya ärenden, handlägga ärenden, använda elektroniska mallar för beslut m.m. använda elektroniska blanketter, lägga in bevakningsfunktioner i ärenden, göra journalanteckningar m.m.
Emellertid finns, vid sidan av sådana rent personaladministrativt betingade register som inte är relevanta i nu berört avseende, även ett antal redan befintliga register hos de allmänna försäkringskassorna som förtjänar att redovisas i detta sammanhang. I ett flertal fall är det egentligen mer fråga om system för handläggning än personregister i egentlig mening, dvs. det är fråga om kombinationer av dataprogram och personregister, där vissa handläggningsfunktioner m.m. integrerats med en uppgiftssammanställning. Systemen i fråga har i regel utvecklats gemensamt mellan Riksförsäkringsverket och de allmänna försäkringskassorna, men används i skilda applikationer för respektive försäkringskassa.
Ginsten är ett handläggarstöd för hantering av ärenden inom sjukförsäkrings-, pensions- och bidragsområdena. Systemet har bl.a. stöd för mätning av genomströmningstider och bevakning av ärenden. Ginsten kan även användas som ett sökregister där man kan se vem eller vilket kontor som handlägger ett ärende. Uppgifter om bl.a. personnummer, namn, lokalkontorstillhörighet, adress, postnummer, postadress, telefonnummer, arbetsgivare, diagnosgrupp inhämtas från den försäkrade.
Handläggares namn och kortnummer samt uppgifter om samordning, rehabilitering, typ av ärende, läkarutlåtanden och tidpunkter för ersättning m.m. registreras av försäkringskassan.
Statistiska sammanställningar utan identifikationsmöjligheter från registret översänds till Riksförsäkringsverket kvartalsvis.
Mälker används för handläggning av sjukpenning- och rehabiliteringsärenden, ansökningsärenden avseende förtidspension/sjukbidrag samt ärenden avseende arbetsskada, livränta, vårdbidrag, handikappersättning, bilstöd, assistansersättning, arbetshjälpmedel, pension och bidrag. Ändamålet med registret är att effektivisera ärendehandläggningen genom ett samlat informations- och statistiksystem som täcker behov inom olika verksamhetsgrenar och på olika nivåer inom organisationen. Uppgifterna i registret används för att man snabbt skall få fram information om eventuell förekomst av ärenden och status i förekommande ärenden. Vidare används uppgifterna som underlag för statistik.
Uppgifter om bl.a. personnummer, namn, lokalkontorstillhörighet inhämtas från den försäkrade. Handläggares namn och kortnummer samt uppgifter om typ av ärende, ansökningsdatum, läkarutlåtanden och tidpunkter för ersättning m.m. registreras av försäkringskassan.
PIHREN – Återkrav används för handläggning av återkrav enligt vissa riktlinjer (processbeskrivningar). Syftet med registret är att handläggningen av återkrav skall följa dessa riktlinjer samt att ge handläggare och ledning stöd för handläggningen när det gäller dokumentation av vidtagna åtgärder, påminnelser, att sammanställa produktionsstatistik och statistik över frekvenser av återkrav per ärendeslag eller lokalkontorsområde. I registret finns uppgifter bl.a. om personnummer, namn, lokalkontor, handläggare, ärendekod, datum för inledande av ärende och andra moment i handläggningen m.m., arbetsgivare, tjänsteanteckningar.
PLOMBEN används för handläggning av ersättning till tandläkare som är anslutna till den allmänna försäkringen. Registret används för kontroll av tandvårdsräkningar, uppföljning av taxetillämpning och produktionsstatistik för uppföljning av försäkringskassans arbete med tandvårdsförsäkringen. Registret innehåller uppgifter om bl.a. namn på handläggare, vårdgivare och tandvårdspatient, adresser, organisationsnummer, personnummer, telefonnummer, fakturadatum, ankomstdatum, förfallodag, antal tandvårdsräkningar, debiterat pris och utbetalningsbelopp.
4.2.4. Register som förs särskilt för Premiepensionsmyndigheten
Premiepensionsmyndigheten är ensam personuppgiftsansvarig för ett stort antal personregister som förs särskilt för myndigheten. Flera av dessa används för administrationen av myndigheten och torde inte vara att anse som socialförsäkringsregister i socialförsäkringsregisterlagens mening. Den nedan lämnade redovisningen upptar dock även sådana register.
Premiepensionsregistret används för administration av premiepensionssystemet, vilket innefattar handläggning av olika ärenden, förberedande åtgärder för handläggning samt uppföljning, utvärdering, tillsyn och framställning av statistik. Registret används också vid tester i samband med prov och vidareutveckling av de datasystem som används inom premiepensionssystemet. Uppgifter om identitet, adress, civilstånd, pensionsrätter, tillgodohavande, fondval, beslut, meddelanden m.m., namn, telefonnummer och adressuppgifter på fondföretagens kontaktpersoner och namn på fondadministratörer har inhämtats från Riksförsäk-
ringsverket, den registrerade, fondföretagen eller Premiepensionsmyndigheten.
Fondinformationsdatabasen används som underlag för Premiepensionsmyndighetens informationsverksamhet kring de värdepappersfonder som är anslutna till premiepensionssystemet. Uppgifterna rör i första hand ekonomiska och historiska data kring fonderna. Premiepensionsmyndigheten har för närvarande ett avtal med Stadsporten Citygate AB, som på myndighetens uppdrag samlar in och bearbetar uppgifter. Uppgifter om namn på fondförvaltare, födelseår och förvaltningserfarenhet inhämtas från fondförvaltare och Stadsporten Citygate AB. Allmänheten kan nå uppgifterna i databasen via myndighetens hemsida på Internet och s.k. fondfaktablad kan beställas från myndighetens kundservicefunktion.
Ärendehanteringssystemet (myndighetens diarium) används för att efterkomma skyldigheten enligt 15 kap. sekretesslagen. I registret finns uppgifter om diarienummer, namn, datum, ärendemeningar och inkomna eller upprättade handlingar. Uppgifterna lämnas ut till allmänheten.
Palasso är ett register som omfattar anställda vid myndigheten och som används för administration av löneutbetalningar, framtagning av statistik, uppföljning av tjänsteresor, inventering av utbildningsbehov m.m. Uppgifter om identitet, adress, telefonnummer, anhöriga, lön och andra förmåner, övriga anställningsdata, grundutbildning och meriter m.m. inhämtas från den registrerade. Från registret kan uppgifter lämnas till Ekonomistyrningsverket, Arbetsgivarverket, Riksförsäkringsverket, skattemyndighet, Statens pensionsverk, Statistiska centralbyrån, Försäkringsföreningen för det statliga området (FSO) eller Nordea.
Agresso-Ekonomi används för administration av in- och utbetalningar i verksamheten, framtagning av statistik m.m. Registret innehåller bl.a. uppgifter om fondföretag och andra leverantörer till myndigheten, kontaktpersoner och adresser.
5. Gällande rätt vid behandling av personuppgifter inom socialförsäkringens administration
5.1. Grundläggande regler för behandling av personuppgifter finns i personuppgiftslagen
År 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter med hänvisning till enskilda personers fri- och rättigheter.
Genom personuppgiftslagen (1998:204) har dataskyddsdirektivet genomförts i Sverige. Liksom dataskyddsdirektivet bygger personuppgifts-
lagen på att själva hanteringen av personuppgifter regleras. Lagen omfattar således formellt även behandlingar som inte på något sätt kan sägas utgöra intrång i den personliga integriteten. Den tillämpas alltså på helt eller delvis automatiserad behandling av personuppgifter och dessutom på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Tillämpningsområdet för personuppgiftslagen har begränsats genom en rad bestämmelser. Lagen omfattar inte sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur. Av förtydligande skäl anges också att lagen inte heller skall tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen att tillämpa lagens regler. Motsvarande gäller när en tillämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. Andra undantag i fråga om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande. Slutligen gäller vissa undantag från tillämpning av personuppgiftslagen som tar sikte på arkivering av handlingar. Personuppgiftslagens tillämpningsområde kan dessutom inskränkas genom särreglering i annan lag eller förordning, exempelvis registerlagstiftningen. Lagen innehåller endast generella regler och det förutsattes vid dess tillkomst att behov av undantag och preciseringar för mer speciella områden skulle tillgodoses genom särskild registerlagstiftning. Sådan särreglering får dock givetvis inte stå i strid med dataskyddsdirektivet eller Europarådets dataskyddskonvention.
Personuppgiftslagen innehåller en rad definitioner av olika begrepp som används i lagen. Med behandling (av personuppgifter) avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftslagen omfattar således varken uppgifter om juridiska personer eller uppgifter om avlidna fysiska personer. I förarbetena har anförts att det endast krävs att en fysisk person kan identifieras med hjälp av informationen, inte att den personuppgiftsansvarige själv skall förfoga över samtliga uppgifter som gör identifieringen möjlig (SOU 1997:39 s. 338). Även bild- och ljuduppgifter som kan hänföras till en person kan omfattas. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. När det gäller offentlig verksamhet är dock ändamålen ofta bestämda i registerförfattningarna och inte av den aktuella myndigheten. I sådana fall har det i regel genom särskilda bestämmelser angetts i registerförfattningen vem som är personuppgiftsansvarig (se 2 § personuppgiftslagen och exempelvis 13 § socialförsäkringsregisterlagen). Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Den registrerade är den som en personupp-
gift avser. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.
Tredje land är en stat som varken ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
I personuppgiftslagen åläggs den personuppgiftsansvarige att upprätthålla vissa grundläggande krav på behandlingen av personuppgifter. Personuppgifter skall behandlas bara om det är lagligt. Behandlingen skall alltid ske på ett korrekt sätt och i enlighet med god sed.
Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (finalitetsprincipen). En behandling för historiska, statistiska eller vetenskapliga ändamål skall dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Fler personuppgifter än som är nödvändigt med hänsyn till behandlingen får inte behandlas. De personuppgifter som behandlas skall vara riktiga och, om det är nödvändigt, aktuella.
Alla rimliga åtgärder skall vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.
Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ursprungliga ändamålen med behandlingen, om det inte behövs för historiska, statistiska eller vetenskapliga ändamål. Myndigheternas arkivering och bevarande av allmänna handlingar hindras dock inte av lagen.
Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får enligt huvudregeln användas för att vidta åtgärder i fråga om den registrerade bara om de registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.
I personuppgiftslagen anges vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten. Minst en av dessa förutsättningar måste alltså föreligga för att en behandling skall vara tillåten enligt lagen. Den inledande av de alternativa förutsättningarna är att den registrerade har lämnat samtycke till behandlingen. Föreligger inget samtycke kan en handling vara tillåten om den är nödvändig för ett antal uppräknade syften. Enligt Domstolsdatautredningen (SOU 2001:32 s. 95) räcker det sannolikt med att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg för att nödvändighetsrekvisitet skall kunna anses uppfyllt.
Är en behandling nödvändig för att ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, så kan den vara tillåten.
En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, för
att vitala intressen för den registrerade skall kunna skyddas eller för att en arbetsuppgift av allmänt intresse skall kunna utföras.
Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.
Slutligen kan en behandling vara tillåten om den är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Behandling av personuppgifter för ändamål som rör direkt marknadsföring får enligt personuppgiftslagen inte ske, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Ett förbud mot sådan behandling förutsätter således enligt denna regel en skriftlig anmälan från den registrerade. Såsom regeln utformats torde redan utlämnandet av personuppgifter till någon annan för att denne skall behandla uppgifterna för ändamål som rör direkt marknadsföring utgöra en sådan behandling som omfattas av regeln.
För vissa slag av uppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Huvudregeln i lagen innebär att det är förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.
Det finns emellertid en rad undantag från förbudet mot behandling av känsliga personuppgifter angivna direkt i personuppgiftslagen. Sålunda får sådana uppgifter enligt lagen behandlas med den registrerades uttryckliga samtycke eller när denne offentliggjort uppgifterna på ett tydligt sätt. Känsliga uppgifter får vidare i vissa fall behandlas om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, om det är nödvändigt för att den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke eller om det är nödvändigt för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Förbudet mot att behandla känsliga personuppgifter gäller inte heller när ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandlar personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Endast om den registrerade uttryckligen har samtyckt till det får dock känsliga personuppgifter lämnas ut till tredje man från en sådan ideell organisation. Känsliga personuppgifter får vidare behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller om uppgifterna omfattas av sjukvårdssekretess. Slutligen undantas viss behandling för forsknings- och statistikändamål från förbudet mot behandling av känsliga personuppgifter.
Regleringen av behandling av känsliga personuppgifter i personuppgiftslagen följer i princip den motsvarande reglering som återfinns i direktivet. Direktivet medger emellertid dessutom att medlemsstaterna, under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse, i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndighet beslutar om andra undantag från förbudet mot behandling av känsliga uppgifter än dem som anges i personuppgiftslagen. Den nationella lagstiftningen kan således innehålla ytterligare undantag från förbudet mot behandling av känsliga personuppgifter.
I punkt 34 i ingressen till direktivet anges bl.a. att ”När det av hänsyn till viktiga allmänna intressen är nödvändigt, måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik.”
Regeringen eller den myndighet regeringen bestämmer, får om det behövs med hänsyn till ett viktigt allmänt intresse medge ytterligare undantag från förbudet att behandla känsliga uppgifter. Den 1 oktober 2001 infördes en bestämmelse i 8 § personuppgiftsförordningen (1998:1191) om att känsliga personuppgifter får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Det är enligt personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer (Datainspektionen) får dock besluta om undantag från förbudet.
Uppgifter om personnummer och samordningsnummer får enligt personuppgiftslagen behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. Har uppgifterna samlats in från en annan källa skall den registrerade informeras när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen inte ges förrän uppgifterna lämnas ut för första gången. I de fall uppgifter samlas in från någon annan än den registrerade krävs inte att information lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker. Finns det i lag eller annan författning särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter behöver inte heller information lämnas då uppgifter samlas in från annan källa än den registrerade. De olika registerförfattningarna, exempelvis socialförsäkringsregisterlagen (1997:934), torde vara att anse som sådana bestämmelser som avses i denna undantagsbestämmelse (se prop. 2000/01:69 s 26 f.).
När information skall lämnas skall den omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas. Den personuppgiftsansvarige är härutöver skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut, s.k. registerutdrag.
Under förutsättning att uppgifterna inte har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål behöver information dock inte lämnas beträffande personuppgifter som behandlas i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget för löpande text som inte fått sin slutliga utformning gäller dock inte om personuppgifterna behandlats under längre tid än ett år. Bestämmelserna om informationsskyldighet gäller inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.
Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen eller anknytande föreskrifter skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Den sistnämnde kan också vara skyldig att underrätta tredje man till vilken uppgifterna har lämnats ut.
Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns vissa särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, t.ex. om tystnadsplikt och sekretess, skall dessa tillämpas.
Den personuppgiftsansvarige skall enligt personuppgiftslagen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade uppgifterna är.
Det är enligt personuppgiftslagen förbjudet att utan samtycke från den registrerade föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Frågan om ett land har en adekvat skyddsnivå skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.
Som bestämmelserna är utformade torde de omfatta även överföring av en pappersutskrift av personuppgifter från Sverige till tredje land. Är avsikten att personuppgifter efter överföring skall behandlas i tredje land torde förbudet omfatta även sådana personuppgifter som inte undergått automatiserad behandling eller ingått i ett manuellt register. Vidare omfattas att uppgifter görs tillgängliga genom att publiceras öppet på Internet.
Det finns en rad undantag från förbudet angivna direkt i personuppgiftslagen. Har den registrerade samtyckt till det får personuppgifter överföras utan hinder av huvudregeln. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Vidare får överföring ske om den är nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, för att ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras, för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade skall kunna skyddas.
Regeringen får meddela föreskrifter om undantag från förbudet för överföring till vissa stater och om att en överföring är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Det förstnämnda undantaget om överföring till vissa stater tar sikte på direktivets regler om överföring till stater med adekvat skyddsnivå. EG-kommissionen har i enlighet med direktivet meddelat beslut med ställningstagande om adekvat skyddsnivå såvitt avser Schweiz, Ungern, Kanada och enligt s.k. Safe Harbor-principer i USA. EG-kommissionens beslut har genomförts i Sverige genom 13 § personuppgiftsförordningen (1998:1191) och bilagan till förordningen. EG-kommissionen har vidare fattat beslut enligt direktivet om standardavtalsklausuler som kan användas vid överföring av personuppgifter till tredje land (EGT L 181, 4.7.2001, s. 19 och EGT L 6, 10.1.2002, s. 52). Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om undantag från förbudet i 33 § om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Direktivet medger undantag från förbudet mot överföring av personuppgifter med hänsyn till ett viktigt allmänt intresse. I punkt 58 i ingressen i direktivet har angetts att undantag från förbudet får medges om skyddet av väsentliga samhällsintressen kräver det, ”till exempel vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter eller mellan socialförsäkringsmyndigheter”. Slutligen får regeringen och, efter delegation, Datainspektionen besluta om undantag från förbudet i vissa enskilda fall. Vissa undantag från förbudet finns i 12 § personuppgiftsförordningen för publicering av bl.a. kommuners och landstings diarier på Internet. Genom 14 § personuppgiftsförordningen har regeringen vidare bemyndigat Datainspektionen att meddela beslut om undantag i enskilda fall om det finns tillräckliga garantier till skydd för de registrerades rättigheter.
Behandling av personuppgifter som är helt eller delvis automatiserad omfattas enligt personuppgiftslagen av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndig-
heten innan en sådan behandling eller serie av sådana behandlingar med samma eller liknande ändamål genomförs. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Anmälningsskyldighet för behandlingar föreligger inte heller om den personuppgiftsansvarige tillsätter ett personuppgiftsombud som anmälts till tillsynsmyndigheten.
I Sverige har Datainspektionen tilldelats uppgiften att vara tillsynsmyndighet. Med rollen som tillsynsmyndighet följer vissa befogenheter, såsom rätt att få tillgång till behandlade personuppgifter och tillträde till lokaler med anknytning till behandlingen. Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter som har behandlats på ett olagligt sätt skall utplånas.
Den personuppgiftsansvarige skall enligt personuppgiftslagen ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock i den utsträckning det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Den som uppsåtligen eller av oaktsamhet gör sig skyldig till vissa förfaranden kan enligt personuppgiftslagen dömas till böter eller fängelse. Det gäller i vissa fall vid lämnande av osann uppgift i information till den registrerade eller i anmälan eller information till tillsynsmyndigheten. Vidare gäller straffansvaret den som behandlar känsliga personuppgifter m.m. i strid med personuppgiftslagen, för över personuppgifter till tredje land i strid med lagen eller låter bli att göra föreskriven anmälan till tillsynsmyndigheten.
Regeringen har utsett en särskild utredare med uppgift att se över personuppgiftslagen i syfte att, inom ramen för EG-direktivet om personuppgifter, åstadkomma ett regelverk som mera tar sikte på missbruk av personuppgifter (se dir. 2002:31). Utredaren skall närmare analysera förutsättningarna – inom ramen för EG-direktivet om personuppgifter – för en reglering som tar sikte på missbruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet är i första hand att underlätta vardaglig hantering av personuppgifter och opinionsbildning samt kommunikation, samtidigt som enskilda ges ett effektivt skydd mot missbruk av uppgifterna och andra obefogade intrång i den personliga integriteten. Utredningsuppdraget skall vara slutfört senast den 15 oktober 2003.
Det sagda innebär att förändringar av personuppgiftslagen kan komma att genomföras inom en inte alltför avlägsen framtid. Förutsättningarna för såväl registerlagstiftningen i sig som myndigheternas insatser för integritetsskydd kan således komma att förändras. Samtidigt skall inte konsekvenserna av en förändrad inriktning i enlighet med vad som övervägs överdrivas. Det är ett rimligt antagande att flertalet av de regler i registerlagstiftningen om ändamålsstyrning av behandling, begränsningar för sökning, reglering av behandling av känsliga personuppgifter, gallring m.m. kommer att anses lika motiverade vid en övergång till starkare inslag av missbruksmodell i personuppgiftslagen. Till en del reglerar registerlagstiftningen dessutom vissa frågor som inte omfattas av person-
uppgiftslagen, exempelvis bestämmelser om i vilka fall uppgifter får lämnas ut genom direktåtkomst eller utlämnande på medium för automatiserad behandling. Det ter sig därför motiverat att genomföra den aktualiserade översynen av registerlagstiftningen för socialförsäkringens administration även med beaktande av den påbörjade översynen av personuppgiftslagen.
5.2. Socialförsäkringsregisterlagen (1997:934)
Socialförsäkringsregisterlagen (1997:934) trädde i kraft den 1 januari 1998. Den 1 oktober 2001 genomfördes vissa förslag till ändringar i anledning av en begränsad översyn av lagen i syfte att anpassa den till personuppgiftslagen (se prop. 2000/01:69, bet. 2000/01:SfU14, rskr. 2000/01:256).
I socialförsäkringsregisterlagen särregleras personregister för sådan verksamhet i fråga om socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag, förordning eller särskilt beslut av regeringen ankommer på de allmänna försäkringskassorna, Premiepensionsmyndigheten eller Riksförsäkringsverket (socialförsäkringsregister).
Med personregister förstås enligt socialförsäkringsregisterlagen dels register, förteckning eller andra anteckningar som förs helt eller delvis automatiserat och som innehåller uppgifter som direkt eller indirekt kan hänföras till en fysisk person, dels strukturerade samlingar av uppgifter som inte förs automatiserat men som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som innehåller uppgifter som direkt eller indirekt kan hänföras till en fysisk person.
I personuppgiftslagen används emellertid inte begreppet personregister. I stället regleras behandling av personuppgifter, vilket inte på samma sätt relaterar till förfaranden med inriktning på mer eller mindre fastställda samlingar av uppgifter i register utan innefattar i princip alla tänkbara handhavanden av en personuppgift.
Socialförsäkringsregister får enligt lagen användas för ändamålen handläggning och förberedande åtgärder avseende ärenden om förmåner och ersättningar som de allmänna försäkringskassorna, Riksförsäkringsverket eller Premiepensionsmyndigheten har att sköta enligt lag, förordning eller särskilt beslut av regeringen. Registren får vidare användas för uppföljning, utvärdering och tillsyn samt statistikframställning i nämnda verksamhet.
Personregistren får enligt en särskild ändamålsbestämmelse användas av Statens pensionsverk och det organ som administrerar personalpensioner gemensamt för kommunerna och landstingen (KPA Pension AB) för viss handläggning av ärenden om utbetalning och samordning av förmåner. Regeringen, eller den myndighet regeringen bestämt, får föreskriva i vilken omfattning detta får ske.
Sedan den 1 juli 2002 får uppgifter i socialförsäkringsregister enligt ytterligare en särskild ändamålsbestämmelse behandlas av de allmänna försäkringskassorna och Riksförsäkringsverket för tillhandahållande av information som behövs i Centrala studiestödsnämndens och arbetslöshetskassornas verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskild.
Ett socialförsäkringsregister får innehålla uppgifter om en person som förekommer eller kan komma att förekomma i ett ärende som omfattas av lagen. En förutsättning för att personuppgifter skall få registreras är dock att dessa är av betydelse för handläggningen av ärendet.
Personuppgifterna som får registreras indelas i allmänna och särskilda ärendeuppgifter. Allmänna ärendeuppgifter är identifierings- och adressuppgifter samt uppgifter om kön, civilstånd, medborgarskap och födelseort. Särskilda ärendeuppgifter är uppgifter om sådana personliga och ekonomiska förhållanden som är av betydelse för handläggning av ett ärende.
En huvudregel i socialförsäkringsregisterlagen är att särskilda ärendeuppgifter som är av sådant slag som avses i bestämmelserna i personuppgiftslagen om känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott m.m. inte får registreras i socialförsäkringsregister.
I vissa särskilt angivna fall medges dock undantag från huvudregeln i socialförsäkringsregisterlagen om begränsningar för registrering av uppgifter. Dels har i lagen intagits en lista med ett drygt 40-tal olika typer av uppgifter som får registreras, dels undantas särskilt vissa angivna typer av uppgifter som intagits i beslut eller domar i anledning av socialförsäkringsärenden. En särskild regel finns också om att regeringen får föreskriva att uppgifter om sjukdomsdiagnos i begränsad omfattning får registreras i socialförsäkringsregister om det behövs för angelägna uppföljningsändamål. Slutligen finns också en undantagsregel som tar sikte på s.k. elektroniska akter (i lagtexten används begreppet ”socialförsäkringsregister som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna för handläggning av ärenden”).
Tillförande av uppgifter genom sambearbetning får enligt socialförsäkringsregisterlagen ske dels från andra socialförsäkringsregister, dels när det gäller uppgifter som lämnats till en allmän försäkringskassa, Premiepensionsmyndigheten eller Riksförsäkringsverket med stöd av en särskild bestämmelse i lag eller förordning om lämnande av uppgifter. Uppgifter kan även tillföras ett socialförsäkringsregister med stöd av annan lag eller förordning.
I socialförsäkringsregisterlagen återfinns särskilda bestämmelser om personuppgiftsansvaret för olika behandlingar hos de allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten. Personuppgiftsansvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje försäkringskassa när det gäller behandling av uppgifter hos den försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan personuppgiftsansvarig. Premiepensionsmyndigheten är personuppgiftsansvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är personuppgiftsansvarigt för socialförsäkringsregister som förs särskilt för verket.
I socialförsäkringsregisterlagen återfinns regler om direktåtkomst och utlämnande på medium för automatiserad behandling. Riksförsäkringsverket och de allmänna försäkringskassorna får ha direktåtkomst till uppgifter i socialförsäkringsregister som förs gemensamt för verket och försäkringskassorna. Om det behövs för handläggning av ärenden eller förberedande åtgärder för sådan handläggning får även Premiepensions-
myndigheten ha direktåtkomst till ett sådant register. Direktåtkomst till uppgifter i socialförsäkringsregister som förs särskilt för en allmän försäkringskassa får endast den försäkringskassan ha. Om ett register förs särskilt för ett lokalt organs verksamhetsområde inom försäkringskassan får dock endast det lokala organet ha direktåtkomst till uppgifterna. Direktåtkomst till uppgifter i socialförsäkringsregister som förs särskilt för Premiepensionsmyndigheten får endast myndigheten ha. Om det behövs för handläggning av ärenden eller förberedande åtgärder för sådan handläggning får dock även en allmän försäkringskassa och Riksförsäkringsverket ha direktåtkomst till ett sådant register med undantag för sådana handlingar som avses i bestämmelsen om elektroniska akter. Direktåtkomst till uppgifter i socialförsäkringsregister som förs särskilt för Riksförsäkringsverket får endast verket ha. Om det behövs för handläggning av ärenden eller förberedande åtgärder för sådan handläggning får dock även en allmän försäkringskassa och Premiepensionsmyndigheten ha direktåtkomst till ett sådant register med undantag för sådana handlingar som avses i bestämmelserna om elektroniska akter. Behörighet för direktåtkomst till uppgifter i socialförsäkringsregister får endast ges till den som behöver ha tillgång till uppgifterna för att kunna utföra sitt arbete.
Även organ utanför socialförsäkringsadministrationen får enligt socialförsäkringsregisterlagen ha direktåtkomst till socialförsäkringsregister för vissa angivna ändamål. Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, ha direktåtkomst till uppgifter i socialförsäkringsregister för handläggning av ärenden om utbetalning av socialförsäkringsförmåner och samordning av tjänstepensionsförmåner. Statens pensionsverk får dessutom, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, använda socialförsäkringsregister för handläggning av ärenden om statens tjänstegrupplivförsäkring.
I anledning härav finns även en särskild regel om tystnadsplikt för den som genom sin befattning med ett socialförsäkringsregister hos det för kommunerna och landstingen gemensamma organet för administration av personalpensioner.
Från och med den 1 juli 2002 får även Centrala studiestödsnämnden och arbetslöshetskassorna ha direktåtkomst till socialförsäkringsregister om det behövs för att upprätta underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskild.
Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas på medium för automatisk databehandling. I övrigt får uppgifter lämnas ut på medium för automatiserad behandling endast om sådant utlämningssätt följer av lag eller förordning eller om uppgiften skall användas för forskning eller framställning av statistik.
Särskilda restriktioner gäller enligt socialförsäkringsregisterlagen för sökning i socialförsäkringsregister. Uppgifter i socialförsäkringsregister får användas som sökbegrepp endast om det behövs för tillämpning av lag eller förordning eller särskilt beslut av regeringen samt för rättelse, tillsyn, uppföljning eller utvärdering, eller urval för forskning eller fram-
ställning av statistik. Uppgifter om att den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad, är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad får användas som sökbegrepp endast för rättelse och bara om felet inte kan rättas på annat sätt. I fråga om handlingar i elektroniska akter i ärendehanteringssystem får endast ärendebeteckning och beteckning på handling användas som sökbegrepp. Regeringen eller den myndighet regeringen bestämmer får dessutom föreskriva ytterligare begränsningar av användningen av uppgifter som sökbegrepp.
Uppgifter i socialförsäkringsregister skall gallras ut senast tio år efter det att de registrerades eller inom den kortare tidsfrist som föreskrivs av regeringen eller den myndighet regeringen bestämmer. Detta gäller dock inte om uppgifterna fortfarande kan antas ha betydelse för handläggning av ett ärende. Handlingar i elektroniska akter skall gallras ut senast tre år efter utgången av det år under vilket ärendet har avslutats. Regeringen eller den myndighet regeringen bestämmer får föreskriva undantag från bestämmelserna om gallring i socialförsäkringsregister för bevarande av ett urval av material för forskningens behov. Sådant material skall överlämnas till arkivmyndighet.
Socialförsäkringsregisterlagen innehåller också bestämmelser om information till den som är eller avses bli registrerad i ett socialförsäkringsregister. Inledningsvis anges att 23 och 25–27 §§personuppgiftslagen (1998:204) gäller vid tillämpning av socialförsäkringsregisterlagen. Beträffande register som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna skall informationen lämnas av försäkringskassan. Uppgifter i handlingar i elektroniska akter behöver emellertid inte tas med i information enligt 26 § personuppgiftslagen. Av informationen skall dock framgå vilka handlingar avseende den registrerade som finns i registret. Om den enskilde begär det och anger vilken handling som avses skall, om inte annat följer av bestämmelser om sekretess, information lämnas även om uppgifter i handlingar i elektroniska akter. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.
Den som är personuppgiftsansvarig för ett socialförsäkringsregister skall se till att den som är eller avses bli registrerad på lämpligt sätt får information om registret. Informationen skall innehålla en beskrivning av de uppgifter som registret får innehålla samt upplysning om ändamålen med registret, de sekretess- och säkerhetsbestämmelser som gäller för registret, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten till rättelse enligt personuppgiftslagen och socialförsäkringsregisterlagen, samt de begränsningar i fråga om direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling, sökbegrepp och bevarande av uppgifter som gäller för registret.
Ett motsvarande skadeståndsansvar som det som gäller vid behandling i strid med personuppgiftslagen gäller enligt socialförsäkringsregisterlagen vid behandling i strid med sistnämnda lag eller anslutande författningar. Vidare har i socialförsäkringsregisterlagen intagits en bestämmelse om rättelse som motsvarar vad som gäller enligt personuppgiftslagen.
En myndighets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen får enligt socialförsäkringsregisterlagen överklagas hos allmän förvaltningsdomstol. Andra beslut enligt socialförsäkringsregisterlagen får inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.
Slutligen innehåller socialförsäkringsregisterlagen en bestämmelse om att regeringen eller den myndighet regeringen bestämmer får meddela säkerhetsföreskrifter för socialförsäkringsregister.
6. En ny lag om behandling av personuppgifter inom socialförsäkringens administration – överväganden och förslag
6.1. Inledning
Den snabba utvecklingen inom informationstekniken innebär i sig att de ramar till skydd för integriteten som ställs upp i lagstiftningen behöver anpassas för att garantera såväl ett fullgott integritetsskydd som en effektiv användning av tekniken.
Ett exempel är utvecklingen av och övergången till system för elektroniska akter för hantering av ärenden hos förvaltningsmyndigheter. Ett sådant system innebär att dokumentation av personuppgifter m.m. på papper helt upphör. I stället lagras alla uppgifter i ett ärende på någon form av medium för automatiserad behandling. Detta innebär att även känsliga uppgifter behöver lagras och behandlas elektroniskt i större utsträckning än vad som är fallet i ett huvudsakligen pappersbaserat aktsystem.
Den nya tekniken innebär även att tekniska förutsättningar föreligger för ett effektiviserat informationsutbyte genom överföring på medium för automatiserad behandling mellan myndigheter respektive mellan myndigheter och andra aktörer. Detta kan i sin tur innebära bättre förutsättningar för en effektiviserad handläggning eftersom information i sådana fall direkt kan användas i automatiserad behandling.
Den grundläggande ambitionen bakom de förslag som lämnas är att med utgångspunkt i personuppgiftslagen och dataskyddsdirektivet samt de särskilda integritetsrisker som finns på området utforma en reglering som garanterar ett fullgott integritetsskydd och samtidigt innebär en lämplig avvägning mellan intresset av skydd för enskildas personliga integritet och andra intressen. Däribland kan nämnas intresset av effektivisering av myndigheternas handläggning av ärenden genom ianspråktagande av den nya tekniken. En annan faktor som beaktats är att rimliga förutsättningar bör ges för en utvecklad uppföljning och analys av utvecklingen inom ohälsoområdet.
6.2. Särskild författningsreglering
Regeringens förslag: Automatiserad behandling av personuppgifter inom socialförsäkringens administration skall regleras särskilt i lag.
Lagen skall ges namnet lag om behandling av personuppgifter inom socialförsäkringens administration.
Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser har inte yttrat sig särskilt i frågan om särskild författningsreglering, men allmänt tillstyrkt de förslag som lämnats i promemorian. Premiepensionsmyndigheten ifrågasätter behovet av en särskild registerförfattning för ålderspensionsområdet, bl.a. med hänsyn till att de personuppgifter som förekommer inom ålderspensionssystemet relativt sett får anses mindre skyddsvärda utifrån integritetssynpunkt än de personuppgifter som förekommer inom andra delar av socialförsäkringens administration. Enligt myndighetens mening ger dessutom personuppgiftslagen ett mer generellt skydd i samband med behandling av personuppgifter jämfört med tidigare lagstiftning. Genom den prövning som ska göras i fråga om den sökandes behandling står i strid med personuppgiftslagen finns det vidare enligt myndighetens mening redan i dag ett effektivt skydd för den personliga integriteten vid alla utlämnanden av personuppgifter enligt 2 kap. tryckfrihetsförordningen. Enligt myndighetens uppfattning skapas det onödiga hinder genom den reglering som föreslås och myndigheternas ambitioner att utveckla 24-timmarsmyndigheten försvåras. Datainspektionen anför att uttrycket ”socialförsäkringens administration” snarare för tanken till sådan rent administrativ verksamhet som inte på något sätt omfattar sådan behandling av personuppgifter som avser själva kärnverksamheten och som faller inom lagens tillämpningsområde.
Skälen för regeringens förslag: Inom socialförsäkringens administration behandlas en mängd uppgifter om i stort sett alla fysiska personer i
Sverige och dessutom ett stort antal personer som är bosatta utomlands. Personuppgifterna som behandlas är i många fall av integritetskänslig natur. Särskilda författningar som reglerar särskilt känsliga behandlingar av personuppgifter innebär bättre förutsättningar för en ändamålsenlig utformning av integritetsskyddet. Sådan författningsreglering av personregister har skett utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör vara reglerade i lag (prop. 1990/91:60 om offentlighet, integritet och ADB, s. 56 ff. och bet. 1990/91:KU11 s. 11), vilket också framhölls i förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 41).
Därmed är inte sagt att skäl saknas för att i lag reglera en offentlig verksamhets behandling av personuppgifter även i de fall det inte är fråga om en verksamhet med stora inslag av behandling av i sig integritetskänsliga uppgifter. Om en verksamhet innefattar behandling av ett stort antal kategorier mindre integritetskänsliga uppgifter som samlats in för ett bestämt ändamål, kan just möjligheterna att för nytillkomna syften göra omfattande sammanställningar av uppgifter som var och en för sig kan betecknas som harmlös sammantaget innebära betydande risker för den personliga integriteten. Detta utgör enligt regeringens mening ett
tungt vägande skäl för att i en särskild lag reglera en sådan verksamhet, med de ökade möjligheter till särskilda överväganden och lösningar som detta medför i förhållande till alternativet att inte ha någon registerförfattning.
En grundläggande princip i dataskyddsdirektivet och personuppgiftslagen är att behandling av personuppgifter inte får vara oförenlig med de ändamål för vilka de samlats in. Ändamålen ges alltså en mycket central roll i såväl dataskyddsdirektivet som personuppgiftslagen, vilket med styrka talar för att ändamålen för behandlingen av personuppgifter inom en sådan verksamhet som ålderspensionssystemet bör regleras i lag. Därutöver bör även de grundläggande begränsningar som skall gälla för behandling av personuppgifter anges i lag. Ytterligare ett område som bör regleras i lag är frågan om personuppgiftsansvar och därmed sammanhängande frågor.
Regeringen anser således att den behandling av personuppgifter som sker inom socialförsäkringens administration i sin helhet är av sådan karaktär och omfattning att de grundläggande principerna för hur personuppgifterna får behandlas bör – i likhet med vad som gäller i dag – regleras i lag. Vid utformningen av en ny författningsreglering som garanterar ett fullgott integritetsskydd bör emellertid en utgångspunkt vara att den i största möjliga utsträckning möjliggör successiva förändringar i systemen utan att hela regelverket behöver ändras. Den lagstiftning som reglerar behandlingen av personuppgifter måste alltså så långt intresset av ett fullgott integritetsskydd tillåter det vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som pågår.
Tidigare kompletterade den generellt tillämpliga datalagen socialförsäkringsregisterlagen. Numera är det personuppgiftslagen som fyller ut där det inte finns några särskilda bestämmelser i socialförsäkringsregisterlagen. När personuppgiftslagens huvudsakliga reglering fullt ut trädde i kraft den 1 oktober 2001 medförde detta betydande förändringar vad avser de rättsliga förutsättningarna för att behandla personuppgifter. Numera regleras i princip all behandling av personuppgifter av personuppgiftslagen, såvida det inte finns en särskild registerförfattning som gäller för viss behandling av personuppgifter.
Behovet av förändringar i förhållande till den nu gällande socialförsäkringsregisterlagen bedöms vara så stora att en ny lag bör införas. Den nya lagen föreslås få namnet lag om behandling av personuppgifter inom socialförsäkringens administration, vilket anknyter till ett inom socialförsäkringen etablerat språkbruk.
6.3. Den nya lagens tillämpningsområde m.m.
Regeringens förslag: Den föreslagna lagen skall tillämpas vid behandling av personuppgifter i den verksamhet avseende socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen ankommer på Riksförsäkringsverket, de allmänna försäkringskassorna eller Premiepensionsmyndigheten (socialförsäkringens administration).
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Bestämmelserna i lagen om bl.a. ändamål, känsliga personuppgifter, databas, sökning av uppgifter och gallring skall i tillämpliga delar även gälla uppgifter om avlidna personer.
Behandling av personuppgifter som enligt den föreslagna lagen är tillåten oberoende av den registrerades samtycke skall få utföras även om han eller hon motsätter sig behandlingen.
I den föreslagna lagen skall ett förtydligande anges vad beträffar förhållandet till behandling av personuppgifter inom ramen för den officiella statistiken.
Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom socialförsäkringens administration skall benämnas socialförsäkringsdatabasen.
Promemorians förslag: Överensstämmer i princip med regeringens. Remissinstanserna: Riksförsäkringsverket anför att beskrivningen av gränsdragningen för lagens tillämpningsområde bör förtydligas med fler exempel på i vilka situationer respektive lag kan bli tillämplig. Enligt verkets uppfattning är det vidare inte lämpligt att i den nya lagen begränsa räckvidden för vissa bestämmelser i lagen om den officiella statistiken (2001:99) utan att en ändring görs i den lagen. Verket föredrar vidare att verkets framställning av annan statistik än den officiella statistiken regleras i lagen om den officiella statistiken, eftersom det inte kan uteslutas att den nya lagen begränsar möjligheterna att framställa annan statistik. Försäkringskasseförbundet och Hallands läns allmänna försäkringskassa anser att det är bra att den föreslagna lagen även gäller behandling av uppgifter om avlidna personer. Stockholms läns allmänna försäkringskassa anser att det hade varit önskvärt med en viss vägledning i fråga om vilken slags manuell hantering av personuppgifter som faller in under lagens tillämpningsområde. Södermanlands läns allmänna försäkringskassa m.fl. anför att det vore till stor fördel om det i förarbetena till den nya lagen tydligt framgick att den lagen är tillämplig även i fråga om användning av administrativa databaser som Agresso för verkställning av utbetalning av ersättning till försäkrade eller betalning till en leverantör vid köp av en tjänst eller mottagning av inbetalningar från försäkrade. Datainspektionen har gjort gällande att 2 § personuppgiftslagen innebär att den lagen endast kan åsidosättas genom bestämmelser i lag eller förordning, dvs. inte genom myndighetsföreskrifter, och föreslår att lydelsen ”eller föreskrifter som meddelats i enlighet med denna lag eller med stöd av personuppgiftslagen” i 4 § i den föreslagna lagen skall tas
bort. Vidare anför inspektionen att det vore önskvärt att det inledningsvis i den föreslagna lagen anges vilka bestämmelser i personuppgiftslagen som skall tillämpas. Statskontoret finner att förhållandet mellan den föreslagna lagen och personuppgiftslagen utformats på ett genomtänkt sätt.
Riksskatteverket har inte något att erinra mot förslaget om i vilken utsträckning personuppgiftslagen skall vara tillämplig. Däremot föreslår verket att de bestämmelser i personuppgiftslagen som skall vara tillämpliga anges genom uttrycklig hänvisning i den föreslagna lagen. Statskontoret tillstyrker förslaget att frångå registerbegreppet till förmån för det mer tidsenliga och korrekta uttrycket socialförsäkringsdatabasen. Riksförsäkringsverket anför att övergången från registerbegreppet till databasbegreppet öppnar för en mer flexibel handläggning över kassagränserna. Värmlands läns allmänna försäkringskassa ansluter sig till tanken att överge det s.k. registerbegreppet och i stället utgå från begreppet socialförsäkringsdatabasen. Detta skapar enligt kassan större flexibilitet vid tekniska förändringar och är mera anpassat till bestämmelserna i personuppgiftslagen.
Skälen för regeringens förslag
Från socialförsäkringsregister till behandling av personuppgifter
Regeringen föreslår att den nya lagen skall tillämpas vid behandling av personuppgifter i den verksamhet avseende socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen ankommer på Riksförsäkringsverket, de allmänna försäkringskassorna eller Premiepensionsmyndigheten (socialförsäkringens administration). Lagen skall dock endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förslaget till reglering av tillämpningsområdet har utformats så att detta, i högre grad än vad som gäller enligt socialförsäkringsregisterlagen, genom att bygga på det i personuppgiftslagen (1998:204) använda begreppet ”behandling av personuppgifter” ansluter till tillämpningsområdet för personuppgiftslagen. Socialförsäkringsregisterlagen är utformad med utgångspunkt i begreppet ”personregister”, som kan härledas till datalagen (1973:289).
Med personregister avsågs enligt datalagen register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Registerbegreppet har vid flera tillfällen kritiserats. Främst har kritiken avsett att registerbegreppet för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter, samtidigt som detta inte längre kan sägas vara ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. lagras helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar. Viktigast kanske det dock är att datorsystemen inom exempelvis myndigheter alltmer innefattar integrering av olika funktioner, löpande text och uppgiftssam-
lingar och att således register i traditionell mening endast utgör en del av systemen. Givetvis innebär det föreslagna tillämpningsområdet att personregister i socialförsäkringsregisterlagens mening omfattas av regleringen.
Viss manuell behandling omfattas
Liksom socialförsäkringsregisterlagen och personuppgiftslagen bör den föreslagna lagen även omfatta viss manuell behandling av personuppgifter, nämligen om de behandlade uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Eftersom den föreslagna lagens tillämpningsområde i denna del ansluter till personuppgiftslagens tillämpningsområde kan ledning för bedömningar av vilka manuella behandlingar som omfattas sökas i förarbeten, doktrin och praxis rörande personuppgiftslagens bestämmelser, se t.ex. RÅ 2001 ref. 35.
Enligt punkt 3 i övergångsbestämmelserna till personuppgiftslagen skall vissa av bestämmelserna i den lagen inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före ikraftträdandet den 24 oktober 1998 eller manuell behandling av personuppgifter som utförs för ett visst bestämt ändamål om manuell behandling för ändamålet påbörjats före ikraftträdandet. Personuppgiftslagen är alltså tillämplig i fråga om sådan manuell behandling av det slag som omfattas av lagen och som inletts den 24 oktober 1998 eller senare.
Övergångsbestämmelserna till de ändringar av socialförsäkringsregisterlagen som medförde att även den lagen är tillämplig i fråga om vissa manuella personregister innebar en motsvarande ordning, dvs. endast manuella personregister som enligt vad som beskrivits ovan är undantagna från tillämpningen av personuppgiftslagen undantogs från tillämpningen av vissa regler i socialförsäkringsregisterlagen för tiden fram till den 1 oktober 2007. En motsvarande regel föreslås nu i den nya lagen.
Den skall alltså från ikraftträdandet vara tillämplig på sådan manuell behandling av personuppgifter som omfattas av personuppgiftslagen och som påbörjats den 24 oktober 1998 eller senare. Sådan manuell behandling av personuppgifter som enligt övergångsbestämmelserna till personuppgiftslagen är undantagen från tillämpning av vissa regler under tiden fram till den 1 oktober 2007 skall också vara undantagen från tillämpning av reglerna i den nu föreslagna lagen under tiden fram till den 1 oktober 2007.
Kärnverksamhet och annan verksamhet
Den kärnverksamhet som bedrivs av Riksförsäkringsverket, de allmänna försäkringskassorna respektive Premiepensionsmyndigheten tar sikte på administrationen av de förmåner m.m. som normalt går in under begreppet socialförsäkring. Det är också kärnverksamheten som tillämpningsområdet för den föreslagna lagen i första hand omfattar.
Definitionen av tillämpningsområdet i den föreslagna lagen tar sikte på behandling av personuppgifter i verksamhet som gäller socialförsäkringsförmåner samt vissa andra förmåner eller ersättningar. Härigenom avgränsas tillämpningsområdet i förhållande till rent administrativ verksamhet utan någon koppling till förmånssystemet. Inom ramen för verksamheterna hos de olika myndigheterna förekommer naturligtvis utöver den egentliga kärnverksamheten även en omfattande administrativ verksamhet med avseende på den egna personalen, lokal- och materialförsörjning m.m. I sådan verksamhet föreligger emellertid i regel inte en sådan koppling till hantering av socialförsäkringsförmåner eller andra förmåner eller ersättningar att förekommande behandlingar av personuppgifter kan anses hänförliga till den nya lagens tillämpningsområde. Naturligtvis är personuppgiftslagen (1998:204) tillämplig i fråga om sådan administrativ verksamhet.
Detta innebär dock på intet sätt någon begränsning av den föreslagna lagens tillämpningsområde till behandling av personuppgifter för endast sådana syften som tar sikte på kärnverksamheten inom socialförsäkringens administration. Även sådan behandling som utlämnanden av personuppgifter till andra myndigheter etc. för syften som inte har direkt koppling till handläggning av ärenden eller andra ändamål med sikte på behov inom socialförsäkringens administration omfattas av lagen.
Av definitionen av den föreslagna lagens tillämpningsområde följer alltså en avgränsning i förhållande till den rent administrativa verksamheten. Automatiserad behandling av personuppgifter för behörighetskontroll, lagring av telefonnummer, passersystem, löneutbetalning, flextid, förslagsverksamhet m.m. kan hänföras till sådan rent administrativ verksamhet som enbart avser exempelvis anställningsförhållanden m.m. och som det saknas anledning att reglera särskilt i en registerlag. I sådana fall är enbart personuppgiftslagen tillämplig i fråga om behandlingen. Detsamma gäller naturligtvis även behandling av personuppgifter som har sin grund i myndigheternas köp av tjänster eller varor. I de fall register eller programvara för administrativa rutiner såsom in- eller utbetalningar, exempelvis AGRESSO, används vid transaktioner som har sin grund i rättigheter eller skyldigheter i förmånssystemet omfattas dock behandlingen av personuppgifter av den föreslagna lagen. När det gäller behandling av uppgifter för administrativ verkställighet i form av utbetalning, uppföljning eller utvärdering av handläggningen av de olika förmånsslagen inom socialförsäkringen omfattas alltså behandlingen av den föreslagna lagen.
Vid exempelvis integrering av funktioner för administrativ uppföljning av verksamheten i system för ärendehantering, kan det exempelvis förekomma gemensam behandling av uppgifter som är hänförliga till såväl kärnverksamheten som till den administrativa uppföljningen. Exempel på uppgifter av det senare slaget är uppgifter om vem som är ansvarig för ett visst ärende vid en viss tidpunkt eller om vem som faktiskt utfört handläggningen av ett ärende m.m. Sådan administrativ uppföljning får ske med stöd av de i den föreslagna lagen angivna primära ändamålen. I sådana fall är såväl personuppgiftslagen som de tillämpliga reglerna i den nu föreslagna lagen tillämpliga.
Uppgifter om avlidna omfattas i vissa fall
Socialförsäkringsregisterlagen är till skillnad från personuppgiftslagen tillämplig även i fråga om uppgifter som är hänförliga till avlidna personer. Ett skäl till detta är att det inom den verksamhet som bedrivs av socialförsäkringens administration förekommer en mängd uppgifter som är hänförliga till avlidna (se prop. 2000/01:69 s. 19 f.). I fråga om uppgifter om avlidna personer har det vid utarbetandet av personuppgiftslagen ansetts att integritetsintresset inte gör sig gällande på sådant sätt att dessa uppgifter bör omfattas av lagen (se SOU 1997:39 s. 337). Det ter sig dock alltjämt motiverat att vissa av de nu föreslagna reglerna omfattar även uppgifter om avlidna.
Undantag från rätten att motsätta sig behandling
Den registrerade skall enligt dataskyddsdirektivet i vissa fall, bl.a. när det gäller en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgiften har lämnats ut, ha rätt att motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. I personuppgiftslagen finns en bestämmelse om att en registrerad med ett par undantag inte har rätt att motsätta sig sådan behandling som är tillåten enligt personuppgiftslagen. Det finns behov av att i den utsträckning som anges i den föreslagna lagen kunna behandla personuppgifter inom socialförsäkringens administration oberoende av den registrerades inställning. Därför bör det föreskrivas att sådan behandling av personuppgifter som enligt den föreslagna lagen får ske oberoende av den registrerades samtycke får utföras även om den registrerade motsätter sig behandlingen.
Förtydligande vad avser den officiella statistiken
En del av Riksförsäkringsverkets verksamhet rörande socialförsäkringsförmåner utgörs av framställning av delar av den officiella statistiken. För denna verksamhet finns särskilda bestämmelser om behandling av personuppgifter i lagen (2001:99) om den officiella statistiken och till den lagen anslutande författningar. Den föreslagna lagen bör därför inte vara tillämplig i fråga om sådan verksamhet. Ett förtydligande av detta bör tas in i den föreslagna lagen.
Av 1 § tredje stycket lagen (2001:99) om den officiella statistiken framgår att vissa bestämmelser i den lagen som rör behandling av känsliga personuppgifter m.m. och om gallring skall tillämpas även vid framställning av annan statistik än officiell hos en statistikansvarig myndighet. Det är fråga om följande bestämmelser. En statistikansvarig myndighet får behandla personuppgifter för framställning av statistik. Känsliga personuppgifter och uppgifter om lagöverträdelser får dock behandlas bara om det följer av föreskrifter som regeringen meddelat. Däremot får behandlingen omfatta även uppgift om personnummer. Den statistikansvariga myndigheten är personuppgiftsansvarig enligt personuppgiftslagen. Personuppgifter skall gallras hos de statistikansvariga myndigheterna när uppgifterna inte längre behövs för sitt
ändamål. Regeringen eller den myndighet som regeringen bestämmer får dock under vissa förutsättningar föreskriva om undantag från denna skyldighet. Material som inte gallras skall lämnas över till en arkivmyndighet.
I lagrådsremissen föreslogs en bestämmelse om att den nämnda regeln i 1 § tredje stycket lagen om den officiella statistiken inte skall gälla i fråga om framställning av statistik inom socialförsäkringens administration. Vad gällde Riksförsäkringsverkets synpunkt om att en sådan bestämmelse borde föranleda en ändring av bestämmelserna i lagen om den officiella statistiken konstaterade regeringen i remissen att en sådan ändring förutsätter en bredare översyn än vad som är möjligt i förevarande lagstiftningsärende.
Lagrådet har anfört att ett undantag från en bestämmelse i en lag föranlett av att specialbestämmelser finns i en annan lag bör tas in i den lag från vilken undantag görs samt att det förhållandet att detta kräver en bredare översyn inte är skäl att i förevarande fall frångå denna ordning.
Regeringen instämmer i den principiella utgångspunkt Lagrådet sålunda gett uttryck för. Bestämmelsen om undantag från lagen om den officiella statistiken har därför inte tagits med i lagförslaget i propositionen. Det innebär att de båda lagarna får tillämpas samtidigt i fråga om behandling av personuppgifter för framställning av annan statistik än officiell inom socialförsäkringens administration. Det kan inte anses innebära någon nackdel, eftersom det är regeringens bedömning att den som följer det som föreskrivs i lagen om behandling av personuppgifter inom socialförsäkringens administration jämte den anknytande förordning som regeringen avser att utfärda i praktiken också uppfyller det som krävs enligt lagen om den officiella statistiken.
Frågan om en eventuell översyn av lagen om den officiella statistiken får bedömas i annat sammanhang.
Förhållandet till personuppgiftslagen m.m.
Personuppgiftslagen innehåller vissa definitioner och grundläggande regler för hur personuppgifter får behandlas. Den är enligt huvudregeln generellt tillämplig inom ramen för sitt tillämpningsområde och omfattar alltså även behandling av personuppgifter inom socialförsäkringens administration. Omfattningen av behandlingar av bl.a. integritetskänsliga uppgifter inom socialförsäkringens administration och behovet av en tydlig reglering av sådana behandlingar påkallar emellertid att personuppgiftslagens bestämmelser kompletteras genom en registerlag som är tillämplig inom de aktuella myndigheternas verksamheter. Datainspektionen och Riksskatteverket har, med hänvisning till att en större tydlighet därigenom skulle uppnås, föreslagit att det i den nya lagen uttryckligen skall anges vilka bestämmelser i personuppgiftslagen som skall vara tillämpliga vid behandling av personuppgifter inom den föreslagna lagens tillämpningsområde. Regeringen har emellertid redan i tidigare lagstiftningsärenden, med hänvisning till den kritik som Lagrådet riktat mot en lagstiftningsteknik av liknande slag som den som föreslås av Datainspektionen och Riksskatteverket, avvisat en sådan konstruktion (se exempelvis prop. 2001/02:144 s. 21). De skäl som låg till grund för detta ställningstagande gör sig gällande även i fråga om den nu föreslagna la-
gen. Därtill kommer att förhållandet mellan bestämmelser i en registerförfattning och bestämmelser i personuppgiftslagen i vissa fall kan vara betydligt mer komplext än vad som är möjligt att uttrycka i en sådan slags uppräkning av bestämmelser som föreslagits av de nämnda myndigheterna. Regeringen föreslår därför att de regler i personuppgiftslagen som är tillämpliga inte skall anges i lagen.
Enligt 2 § personuppgiftslagen skall, om det i en annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, de bestämmelserna gälla. I de flesta fall är också registerlagstiftningen konstruerad så att den genom särreglering endast kompletterar personuppgiftslagen vad avser frågor som är specifika för de verksamheter som omfattas av lagstiftningen. Visserligen innebär detta att myndigheter som omfattas av en sådan registerlag måste beakta såväl den lagen som personuppgiftslagen vid behandling av personuppgifter. Alternativet, att den särskilda registerlagen heltäckande reglerar all behandling av personuppgifter, framstår dock som en på sikt svårhanterlig lösning. Detta gäller bl.a. på grund av svårigheterna att överblicka konsekvenserna av eventuella framtida ändringar av personuppgiftslagen eller av dataskyddsdirektivet.
Den reglering som nu föreslås för socialförsäkringens administration omfattar därför endast de särbestämmelser och förtydliganden som det bedöms föreligga behov av. Lagen bör dock endast innehålla de ur integritetssynpunkt viktigaste bestämmelserna och inte vara alltför detaljerad. Det är därför nödvändigt att i många avseenden komplettera lagen med författningar på lägre nivå. Den föreslagna lagen innehåller, helt i enlighet med vad som anges i 2 § personuppgiftslagen, bestämmelser som innebär möjligheter att i föreskrifter meddela bestämmelser som innebär undantag från personuppgiftslagens bestämmelser.
I den föreslagna lagen används en rad beteckningar som hämtats från personuppgiftslagen. Det gäller exempelvis beteckningarna ”behandling” (av personuppgift), ”personuppgift”, ”personuppgiftsansvarig” och ”den registrerade”. Dessa beteckningar definieras i 3 § personuppgiftslagen. Avsikten är att de skall ha samma innebörd i de fall de används i den föreslagna lagen.
En gemensam reglering för personuppgifter som används gemensamt i verksamheten
Den föreslagna lagen skall vara tillämplig i fråga om i princip all automatiserad behandling av personuppgifter och viss manuell behandling av personuppgifter inom socialförsäkringens administration. Detta innebär att även ordbehandling på en enstaka persondator som innefattar behandling av personuppgifter inbegrips i lagens tillämpningsområde.
Det finns emellertid ett behov av att kunna särskilt reglera sådan automatiserad behandling av personuppgifter som innebär att fler än ett fåtal personer har sådan tillgång till uppgifterna i fråga att de förutom att ta del av dem i regel även kan bearbeta dem eller förfoga över dem på annat sätt. Sådan behandling av personuppgifter är naturligtvis typiskt sett mer integritetskänslig än vad som är fallet när endast en enstaka person förfogar över uppgifterna.
I datalagen (1973:289) och socialförsäkringsregisterlagen liksom i annan äldre registerlagstiftning har begreppet personregister använts som utgångspunkt för regleringen. Med personregister avses register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. I personuppgiftslagen används emellertid inte begreppet register över huvud taget för olika samlingar av uppgifter. I stället talas det om behandling av personuppgifter. I de nya lagarna om behandling av personuppgifter inom beskattnings-, tull- och exekutionsverksamheterna har begreppet databas införts för de elektroniska sammanställningar av personuppgifter som sker i dessa verksamheter (se exempelvis lagen [2001:181] om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet).
De skäl som anförts för införandet av detta begrepp kan sammanfattas enligt följande. Ofta är samlingar av personuppgifter i elektronisk form att se som register i ordets mer egentliga bemärkelse. Begreppet register är emellertid inte så väl lämpat att användas som beteckning för det samlade datasystemet hos myndigheter som tillämpar elektronisk ärendehantering. I ett sådant system lagras inkomna handlingar i ett ärende i en elektronisk akt efter att ha lästs av genom s.k. skanning eller sänts in av den enskilde i elektronisk form. Handlingar som upprättas i ärendet framställs genom automatiserad behandling och lagras även huvudsakligen i elektronisk form. Begreppet register bör på detta område förbehållas sådana automatiserade uppgiftssamlingar som faktiskt utgör register i strikt betydelse, nämligen när uppgifter är organiserade på ett systematiskt sätt enligt fastställda kriterier. Begreppet databas har rent språkligt en mer naturlig anknytning till automatiserade sammanställningar i allmänhet och har den fördelen att det inte tekniskt avgränsar hur en samling uppgifter är uppbyggd eller organiserad (se prop. 2000/01:33 s. 88 ff.).
För att tillgodose det ovan berörda behovet av att kunna särreglera behandling av personuppgifter som innebär att fler än ett fåtal personer har tillgång till uppgifterna krävs utöver begreppet databas ytterligare ett begrepp som tar sikte på just detta förhållande. I den nämnda lagstiftningen om behandling av personuppgifter inom beskattnings-, tull- och exekutionsverksamheterna har begreppet ”används gemensamt i verksamheten” använts för att markera att de aktuella reglerna inte skall tillämpas i fråga om exempelvis ordbehandling av en enstaka tjänsteman. Det väsentliga är därvid inte på vilket sätt uppgifter tekniskt lagras, utan den faktiskt åsyftade tillgängligheten. En uppgift anses gemensamt tillgänglig om den registreras och lagras på ett sådant sätt att tjänstemännen inom en eller flera myndigheter har möjlighet att vid behov och i olika sammanhang – t.ex. i samband med handläggningen av ett ärende – ta del av uppgiften direkt på automatiserad väg.
Även i fråga om den här föreslagna lagen föreslås att begreppet databas används som centralt begrepp. Behovet av en särreglering av de gemensamt tillgängliga samlingarna av personuppgifter och handlingar som finns inom socialförsäkringens administration framstår som minst lika starkt som när det gäller myndigheter i övrigt. I lagrådsremissen föreslogs att socialförsäkringsdatabasen skulle definieras som den samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i verksamheten.
Lagrådet konstaterar att den föreslagna parallella användningen av uppgifter och handlingar inte förekommer i de motsvarande definitioner på databaser som finns i registerlagar för andra verksamheter, såsom för skatteförvaltningen, kronofogdemyndigheterna, Tullverket och den arbetsmarknadspolitiska verksamheten. Med hänvisning till att den terminologi som används i dessa lagar svarar bättre mot den i bl.a. personuppgiftslagen och sekretesslagen anför Lagrådet att densamma bör användas även i den här föreslagna lagen. Regeringen instämmer i Lagrådets bedömning. I definitionen av socialförsäkringsdatabasen i lagförslaget i propositionen har därför hänvisningen till ”handlingar” tagits bort. Därmed uppnås enhetlighet i definitionerna i de olika registerlagarna som använder databasbegreppet. Någon saklig skillnad är inte avsedd.
Vad som avses med begreppet socialförsäkringsdatabasen är alltså i princip den inom socialförsäkringens administration gemensamt använda samling av dels personuppgifter i olika personregister i egentlig mening, dvs. på visst sätt organiserade sammanställningar av personuppgifter som används som underlag för beslutsfattande, utbetalning, uppföljning m.m., som för närvarande förs eller framgent kommer att föras inom socialförsäkringens administration, dels uppgifter i handlingar som inkommit eller upprättats i ett ärende och som lagrats elektroniskt för användning i ett ärendehanteringssystem inom socialförsäkringens administration.
I andra bestämmelser än definitionen av socialförsäkringsdatabasen förekommer emellertid begreppet handling när bara handlingar i databasen avses.
Någon definition av begreppen handling och uppgift lämnas inte i lagen. Med handlingar avses i den föreslagna lagen sammanställningar av uppgifter utan en sådan i förväg fastställd struktur som brukar finnas när det är fråga om exempelvis ett personregister. Exempel på handlingar är ansökningar, läkarintyg, skriftlig komplettering av uppgifter från en försäkrad eller beslut i ärenden. Med uppgift avses enskilda ord eller mindre sammanställningar av ord som är bärare av en begränsad informationsmängd och som enligt särskilda fastställda rutiner kan registreras på ett bestämt sätt, exempelvis i ett personregister, i ett datasystem.
Även andra typer av handlingar eller uppgifter än dessa kan anses ingå i socialförsäkringsdatabasen. Ett exempel är samlingar av domar eller beslut som upprättats för ledning angående praxis etc. och som inte är avidentifierade så att de inte längre kan anses innehålla personuppgifter. Är det däremot så att en sammanställning hanteras av endast en enstaka tjänsteman på en avskild persondator utan avsikt att sammanställningen skall vara gemensamt tillgänglig ingår den inte i databasen. En grundläggande förutsättning för att en elektroniskt lagrad uppgift skall anses ingå i en databas, är att uppgiften används gemensamt i verksamheten. Det väsentliga är alltså inte på vilket sätt en uppgift lagras, utan den faktiskt åsyftade tillgängligheten.
Gränserna för socialförsäkringsdatabasen
Det avgörande för om en uppgift används gemensamt i en verksamhet och därmed utgör en beståndsdel i en databas är om den behandlas på ett sätt som medför att den utgör ”allmän egendom” i verksamheten. Att
olika personalkategorier kan ha olika behörighet och att vissa uppgifter därför i praktiken är åtkomliga endast för ett begränsat antal personer hos olika myndigheter inom en myndighetsorganisation förtar i sig inte uppgifternas egenskap som gemensamt använda. Detsamma gäller om vissa uppgifter görs åtkomliga endast för handläggare inom en regional myndighet.
En uppgift som lagras elektroniskt på hårddisken i en dator eller i en server hos en myndighet i samband med att en tjänsteman arbetar med ordbehandling, och som normalt är åtkomlig endast för tjänstemannen själv och exempelvis systemadministratören vid myndigheten, kan däremot inte anses vara gemensamt använd. Syftet med sådan tillfällig behandling är inte att uppgifterna som lagras i datorn skall användas av andra än dem som utför behandlingen. (Se prop. 2000/01:33 s. 89 f.)
Det är dock viktigt att komma ihåg att begreppet socialförsäkringsdatabasen är ett juridiskt begrepp och att det inte bygger på tekniska avgränsningar eller utformningar i övrigt av uppgiftshanteringen. Inte heller innebär det förhållandet att en uppgift anses hänförlig till socialförsäkringsdatabasen att den på något sätt kan anses generellt tillgänglig för alla verksamma inom socialförsäkringens administration. Tillgängligheten är naturligtvis på olika sätt begränsad genom behörighetsregler m.m. Å andra sidan medger förslaget om en socialförsäkringsdatabas att myndighetsöverskridande tillgänglighet till uppgifter kan komma i fråga på ett annat sätt än vad som för närvarande gäller. Exempelvis möjliggörs nya former för samarbete mellan olika försäkringskassor i fråga om ärendehandläggning, informationsverksamhet m.m. Även det behov av gränsöverskridande informationsinhämtning som s.k. koncentrerad handläggning av vissa ärendeslag kan tänkas medföra torde kunna tillgodoses.
Den grundläggande tanken med socialförsäkringsdatabasen är att reglera behandling av personuppgifter som på grund av just gemensam användning är att anse som särskilt integritetskänslig. Det innebär att vanlig ordbehandling och e-posthantering där avsikten är att endast en enstaka tjänsteman skall använda och ha tillgång till uppgifterna i de aktuella dokumenten faller utanför ramen för socialförsäkringsdatabasen. Det faktum att en systemadministratör eller någon annan tjänsteman vid myndigheten kan få tillgång till en uppgift genom ett visst tekniskt förfarande medför inte att uppgiften är lagrad för att användas gemensamt i verksamheten. Inte heller innebär det förhållandet att en handling som innehåller exempelvis ett koncept till ett beslut i ett ärende och som av en enstaka tjänsteman behandlas tillfälligt i en dator med det uttalade syftet att den senare skall användas gemensamt att uppgiften ingår i databasen.
När det gäller gränsdragningen för vilka uppgifter eller handlingar som kan anses hänförliga till socialförsäkringsdatabasen kan naturligtvis ledning sökas i de ovan redovisade förarbetsuttalandena och den praxis som kan komma från Datainspektionen och domstolar om tillämpningen av de sålunda införda reglerna om databaser.
Det finns emellertid skäl att utöver vad som angetts ovan något utveckla innebörden av att en uppgift används gemensamt i verksamheten. När man talar om behörighet att få del av en viss uppgift avses ibland den rättsligt betingade rättigheten att ta del av en uppgift som kan följa
av en anställning eller ett förordnande av annat slag, ibland den faktiska tekniskt betingade möjligheten att ta del av en uppgift som ofta styrs av tilldelning av åtkomst i olika kortsystem etc. Ofta görs i dagligt tal ingen åtskillnad mellan dessa olika betydelser. När det gäller den ovan berörda registerlagstiftningen för beskattnings-, tull- och exekutionsverksamheterna torde det vara den rättsligt betingade rättigheten som är utgångspunkten för gränsdragningen för om en uppgift skall anses gemensamt använd i verksamheten, även om uttrycket ”används” kan tyckas leda tanken till ett samtidigt faktiskt användande.
Nedan föreslås en i lag intagen reglering av behörighet till åtkomst till uppgifter som alltså tar sikte på den rättsligt betingade rättigheten. Behörigheten skall enligt förslaget alltid vara begränsad till den åtkomst till uppgifter som behövs för den enskilde handläggarens fullgörande av sina arbetsuppgifter. Det innebär naturligtvis i allmänhet att behörigheten att vid en viss tidpunkt ta del av en viss uppgift är beroende av hur arbetet är organiserat inom en myndighet och att den behöriga kretsen kan vara begränsad till ett mycket litet antal personer, nämligen de som har behov av behörigheten för att kunna utföra sina arbetsuppgifter, och att kretsen tjänstemän som har behörighet till åtkomst till uppgiften i inte obetydlig mån torde kunna variera över tid. I vissa fall torde det kunna vara så att det inte är någon eller endast en enda tjänsteman vid en försäkringskassa som vid en given tidpunkt har behörighet att få tillgång till en uppgift. Att så kan vara fallet innebär emellertid inte att uppgiften i fråga inte kan anses gemensamt använd i verksamheten. Vad som är utgångspunkten för gränsdragningen är snarare den avsedda omfattningen av den krets av tjänstemän som på sikt kan förmodas ha behov av uppgiften i fråga.
6.4. Personuppgiftsansvar
Regeringens förslag: En myndighet inom socialförsäkringens administration skall vara personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen föreslår att bestämmelsen i 5 § om personuppgiftsansvar formuleras ”En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför eller som det åligger den att utföra.” för att markera att det finns ett ansvar inte endast för att en utförd behandling är korrekt utan även för att en behandling faktiskt utförs när det skall ske.
Riksskatteverket föreslår att personuppgiftsansvaret knyts till den behandling som myndigheten skall utföra. På det sättet blir det tydligare att myndigheten även ansvarar i de fall då den har underlåtit att t.ex. föra in uppgifter i databasen. Södermanlands läns allmänna försäkringskassa m.fl. anför att det är nödvändigt med ett för försäkringskassorna och
Riksförsäkringsverket gemensamt personuppgiftsansvar för de system som Riksförsäkringsverket skapar, med hänsyn till att det är verket som har faktisk möjlighet att påverka om och hur en behandling skall företas och som kan påverka säkerhetsnivån.
Skälen för regeringens förslag: Enligt 3 § personuppgiftslagen är den personuppgiftsansvarig, som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter.
I verksamhet som omfattas av registerlagstiftning är emellertid ändamålen i regel angivna i den aktuella registerförfattningen. Detta medför ett behov av att i registerlagen klargöra personuppgiftsansvaret för olika förekommande behandlingar av personuppgifter genom en särskild bestämmelse.
Med personuppgiftsansvaret följer av såväl personuppgiftslagen som den föreslagna lagen en rad åligganden, såsom ett ansvar för att behandlingen av personuppgifter sker i enlighet med respektive lags bestämmelser, skyldighet att lämna information enligt de särskilda bestämmelserna om detta, skadeståndsskyldighet m.m. En rimlig utgångspunkt för fördelningen av personuppgiftsansvaret bör vara att det är den myndighet som har faktisk möjlighet att påverka om och hur en behandling skall företas som bör vara personuppgiftsansvarig för den behandlingen. För varje behandling finns det en personuppgiftsansvarig, som har ansvaret bl.a. för att föreskrivna åtgärder i anslutning till den behandlingen utförs, t.ex. lämnande av registerutdrag. Det ligger i personuppgiftsansvaret att det omfattar även underlåtenhet att vidta föreskrivna åtgärder, t.ex. underlåtenhet att genomföra den behandling som krävs för att lämna ett registerutdrag. Regeringen anser – till skillnad från Datainspektionen – att det inte finns anledning att särskilt markera att ansvaret gäller också en sådan underlåtenhet. En sådan markering saknas i de flesta andra registerlagar.
Det är inte ändamålsenligt att i lag i detalj specificera vem som skall vara personuppgiftsansvarig för alla de olika typer av behandlingar som kan tänkas förekomma inom socialförsäkringens administration. Särskilt gäller detta de mer komplexa förhållanden som råder vid myndighetsgemensam användning av de stora register som ingår i socialförsäkringsdatabasen. I stället bör personuppgiftsansvaret fördelas genom en regel av mer övergripande karaktär. Det mest närliggande alternativet är då att regeln om personuppgiftsansvaret utformas så att den i första hand tar sikte på den myndighet som utför en viss behandling.
När det gäller behandlingar av personuppgifter som inte sker inom ramen för den nedan föreslagna socialförsäkringsdatabasen, exempelvis ordbehandling i ett dokument som utförs av en tjänsteman, torde det inte vara något större problem att identifiera den myndighet i vars verksamhet behandlingen utförs. I fråga om behandlingar i databasen, i vilken uppgifter i många fall kan vara gemensamt tillgängliga för flera myndigheter, kan dock bedömningen av personuppgiftsansvaret vara mer komplicerad.
Databasbegreppet är i och för sig endast en juridisk konstruktion för gemensam reglering av behandling av personuppgifter för en viss massa av uppgifter och handlingar i elektronisk form. Det förhållandet att en uppgift är hänförlig till databasen innebär inte att andra anställda inom socialförsäkringens administration än dem som behöver det för sin tjänst skall ha tillgång till uppgiften. Systematiken i det tekniska systemet för registrering av uppgifter m.m. kommer naturligtvis att beakta indelningen av verksamheten i olika myndigheter. I regel torde det med utgångspunkt i forumregler och vem som faktiskt utfört en behandling inte vara något större problem att avgöra vilken myndighet som utfört en viss
behandling. Det är också den enskilda behandlingen som skall utgöra grunden för fördelningen av personuppgiftsansvaret. Har en uppgift lagrats i databasen är det den myndighet som i och för sin verksamhet utför lagringsåtgärden som är ansvarig för att den lagrade uppgiften är korrekt. Ansvaret för uppgiften bör rimligtvis sedan sträcka sig så långt som fram till den tidpunkt då gallring aktualiseras, dock inte längre än fram till den tidpunkt då den myndigheten av olika skäl inte längre besitter möjligheter att förfoga över uppgiften genom rättning, blockering, borttagning etc. Om en personuppgift lämnas ut av en annan myndighet än den som registrerade uppgiften svarar naturligtvis den utlämnande myndigheten för den behandling som utgörs av själva utlämnandet.
För den fortsatta behandlingen av uppgiften efter en registrering kan även andra myndigheter vara ansvariga, allt efter vilka faktiska behandlingar som utförs. Förslaget om fördelning av personuppgiftsansvar förutsätter naturligtvis att det går att genom loggning spåra vilken myndighet som företagit en viss behandling.
I övergripande frågor, såsom ansvar för att tekniska eller organisatoriska säkerhetsåtgärder vidtas, måste personuppgiftsansvaret fördelas efter vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder. I regel torde det följa av åläggandet för Riksförsäkringsverket i verksinstruktionen att vara ansvarig systemägare för Riksförsäkringsverkets och försäkringskassornas gemensamma IT-system att det är verket som har personuppgiftsansvaret vad avser sådana frågor. Enligt regeringens uppfattning innebär det lämnade förslaget i princip ett sådant ”gemensamt” personuppgiftsansvar som ett flertal försäkringskassor efterlyst. Att införa en bestämmelse som innefattar begreppet ”gemensamt personuppgiftsansvar” är dock inte i sig ägnat att bringa större klarhet rörande fördelningen av personuppgiftsansvaret eftersom det i enlighet med vad som anförts ovan i själva verket är så att personuppgiftsansvaret splittras upp på de olika myndigheterna. Enligt regeringens uppfattning bör personuppgiftsansvaret i stället fördelas utifrån en bestämmelse som tar sikte på vilken myndighet som utför en behandling av personuppgifter.
För varje behandling av personuppgifter finns det alltid någon personuppgiftsansvarig. Det följer av myndigheternas serviceskyldighet att de skall hänvisa en registrerad som har klagomål eller synpunkter på behandlingen av en uppgift som myndigheten har tillgång till, till den myndighet som är personuppgiftsansvarig för behandlingen.
Hänvisningar till S6-4
- Prop. 2002/03:135: Avsnitt 8
6.5. Ändamål
Regeringens förslag: I lagen om behandling av personuppgifter inom socialförsäkringens administration skall anges ändamål för vilka behandling av personuppgifter får förekomma. Ändamålen skall delas in i primära ändamål och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för tillgodoseende av de behov som finns inom socialförsäkringens administration. De sekundära ändamålen avser olika typer av utlämnande av personuppgifter. I fråga om behandling av personuppgifter för andra ändamål än de primära eller sekundära ändamålen gäller den ram som följer av den s.k. finalitetsprincipen i personuppgiftslagen (1998:204).
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Kammarrätten i Sundsvall anför att uppdelningen på primära och sekundära ändamål och den särskilda regleringen av socialförsäkringsdatabasen samt den föreslagna regleringen för elektroniska handlingar sammantaget innebär bestämmelser som är mycket vidsträckta och svåra att överblicka, vilket medför att det är otydligt vad som kommer att gälla. Riksförsäkringsverket anför att uppräkningen av ändamål och uppdelningen av dessa i primära och sekundära ändamål gör det tydligare vad informationen får användas till. Försäkringskasseförbundet anser att det tekniska upplägget med primära och sekundära ändamål är positivt. Datainspektionen anför att man genom att göra en uppdelning i primära och sekundära ändamål åstadkommer tydlighet i fråga om hur personuppgifter får användas för en myndighets egna verksamhet och under vilka förutsättningar de får lämnas ut till andra. Enligt
Datainspektionens uppfattning vore det önskvärt att uppräkningen av ändamål vore uttömmande. Samtidigt har Datainspektionen förståelse för att det i praktiken kan vara svårt att genomföra en sådan lösning. Statskontoret anför att det bör övervägas om inte indelningen i primära och sekundära ändamål är överdrivet komplex. Åtskillnaden tycks enligt verkets uppfattning ha sin stora förtjänst som analysredskap vid utformningen av skyddet medan de inbördes hänvisningarna i lagen inte på ett uppenbart sätt motiverar indelningen. Det är enligt verkets uppfattning ingen principiell skillnad ur integritetsskyddssynvinkel mellan de båda ändamålskategorierna. Såsom lagförslaget är utformat finns det en risk för att de två kategorierna av ändamål framstår som principiellt åtskilda.
Skälen för regeringens förslag
Personuppgiftslagens regler om ändamål
I 9 § personuppgiftslagen anges vissa grundläggande krav på behandling av personuppgifter. I punkterna c) och d) i 9 § första stycket åläggs den personuppgiftsansvarige att se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål och att sådana uppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Dessa bestämmelser har enligt förarbetena samma innebörd som motsvarande bestämmelser i artikel 6 i EGdirektivet (se prop. 1997/98:44 s. 123).
I fråga om efterkommande behandlingar sägs dock i 9 § andra stycket personuppgiftslagen att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I de fall en tilltänkt behandling inte direkt omfattas av de ursprungliga ändamålen måste det dock i princip alltså prövas om ändamålet med den senare behandlingen är oförenlig med de ursprungliga ändamålen. Detta följer av den s.k. finalitetsprincipen, som uttrycks i punkt d i 9 § första stycket personuppgiftslagen.
Datalagskommittén uttalar i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39) att vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen och Datainspektionen kan utfärda (s. 351). Enligt Registerförfattningutredningens uppfattning antyder begreppet ”oförenligt” som sådant att det finns visst utrymme för tolkningen att behandling som sker efter insamlandet inte direkt måste motsvaras av ett från början givet ändamål. Ett visst spelrum torde alltså finnas (se SOU 1999:105 s. 253).
Ändamålen ger alltså en ram för vilka behandlingar som är tillåtna enligt personuppgiftslagen. Denna ram gäller alla typer av behandlingar, dvs. varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
Registerförfattningar, finalitetsprincipen och tryckfrihetsförordningen
När det är fråga om särskilt reglerad behandling av personuppgifter i den statliga förvaltningen, så gäller tämligen regelmässigt att ändamålen anges i lag eller förordning och alltså inte av den personuppgiftsansvarige. Om inte annat följer av den aktuella registerförfattningen är även sådana efterkommande behandlingar vars ändamål ligger vid sidan av de i lagen angivna ändamålen tillåtna, förutsatt att ändamålet för den nya behandlingen vid en tillämpning av 9 § första stycket d) och andra stycket personuppgiftslagen inte kan anses oförenligt med de ändamål för vilka personuppgifterna samlades in. Ramen för tillåtna behandlingar som ges av ändamålen definieras i sådant fall alltså av 9 § första stycket d) och andra stycket personuppgiftslagen och aktuell registerlag i förening.
I fråga om offentlig verksamhet som omfattas av bestämmelserna i tryckfrihetsförordningen (TF) gäller dock generellt att reglerna om allmänna handlingars offentlighet har ett obetingat företräde framför finalitetsprincipen och övriga bestämmelser i personuppgiftslagen (se 8 § första stycket personuppgiftslagen). Utlämnande av uppgifter med stöd av TF får alltså ske även om det skulle strida mot finalitetsprincipen. Dessutom anges i andra stycket i 9 § personuppgiftslagen att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses oförenlig med de ändamål för vilka uppgifterna samlades in.
I den föreslagna lagen har en lösning valts som syftar till att bestämmelserna i 9 § första stycket d) och andra stycket personuppgiftslagen skall vara tillämpliga jämte den föreslagna lagen. Vid sidan av de behandlingar som får ske med stöd av uttryckliga bestämmelser i den föreslagna lagen skall alltså även andra efterkommande behandlingar få företas förutsatt att det inte kan anses oförenligt med de ursprungliga ändamålen. Någon uttrycklig bestämmelse om detta föreslogs emellertid inte i lagrådsremissen. Lagrådet har, med hänvisning till att uppbyggnaden och utformningen av ändamålsbestämmelserna ger intryck av att ändamålen är uttömmande angivna i dessa, anfört att lagtexten i lagrådsremissen inte ger klart uttryck för detta förhållande. Regeringen instämmer i att det kan behövas ett förtydligande i lagtexten och föreslår också ett sådant. Mot bakgrund av att motsvarande förtydliganden saknas i andra registerlagar är det dock viktigt att betona att det inte är fråga om en materiell regel, utan endast ett förtydligande.
Lagrådet har också anfört att det allmänt kan sägas att det är önskvärt att samtliga ändamål för vilka behandling skall vara tillåten framgår av lagen. Datainspektionen har framfört liknande synpunkter. Även i detta avseende instämmer regeringen i princip med vad Lagrådet och
Datainspektionen anfört. De praktiska svårigheterna att överblicka alla tillkommande typer av behandling som bör få utföras är dock så stora att det i nuläget inte är möjligt med en uttömmande uppräkning. Att eventuella nytillkomna ändamål inte får vara oförenliga med de ändamål som uttryckligen anges i den föreslagna lagen utgör enligt regeringens mening ett tillfredsställande integritetsskydd.
De i lagen intagna bestämmelserna om behandling av känsliga uppgifter och uppgifter om lagöverträdelser m.m., gallring, databas, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling relaterar dock på olika sätt enbart till de i lagen uttryckligen angivna ändamålen. Vissa särskilt integritetskänsliga behandlingar får därför bara utföras för de i lagen angivna ändamålen.
Ändamålen i socialförsäkringsregisterlagen och de behandlingar som sker i verksamheten
De ändamål som angetts i socialförsäkringsregisterlagen återfinns i 3 §, 3 a § och 4 §.
I 3 §, som tar sikte på den egentliga kärnverksamheten för socialförsäkringsadministrationen, anges att de allmänna försäkringskassorna, Premiepensionsmyndigheten och Riksförsäkringsverket får använda socialförsäkringsregister för
1. handläggning av ärenden,
2. förberedande åtgärder för handläggning, samt
3. uppföljning, utvärdering, tillsyn och framställning av statistik avse-
ende verksamhet enligt 1 och 2. 3 a §, som trätt i kraft den 1 juli 2002, avser informationsutbyte mellan de allmänna försäkringskassorna, Riksförsäkringsverket, Centrala studiestödsnämnden, länsarbetsnämnderna och arbetslöshetskassorna. De allmänna försäkringskassorna och Riksförsäkringsverket får enligt paragrafen behandla uppgifter i socialförsäkringsregister för tillhandahållande av information som behövs i Centrala studiestödsnämndens och ar-
betslöshetskassornas verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskild.
Statens pensionsverk (SPV) och det organ för administration av personalpensioner som är gemensamt för kommunerna och landstingen (KPA Pension AB) får enligt 4 §, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, använda socialförsäkringsregister för handläggning av ärenden om utbetalning av socialförsäkringsförmåner och samordning av tjänstepensionsförmåner. I den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer får SPV vidare använda socialförsäkringsregister för handläggning av ärenden om statens tjänstegrupplivförsäkring.
De i socialförsäkringsregisterlagen angivna ändamålen omfattar alltså i första hand den egentliga kärnverksamheten hos de personuppgiftsansvariga. Närmare bestämt handläggning av ärenden enligt lagstiftningen om socialförsäkring och till handläggningen anknytande verksamhet såsom uppföljning, utvärdering, tillsyn och framställning av statistik. Därtill omfattas en del av det utlämnande av uppgifter till andra mottagare utanför socialförsäkringsadministrationen som förekommer, dvs. utlämnande av uppgifter till Centrala studiestödsnämnden, arbetslöshetskassorna samt SPV och KPA Pension AB. Regleringen kan emellertid synas vara inkonsekvent så till vida att den inte omfattar allt utlämnande av uppgifter från socialförsäkringsadministrationen.
Riksförsäkringsverket och försäkringskassorna lämnar således med stöd av olika författningar regelbundet ut uppgifter från socialförsäkringsregister till andra mottagare än dem som uttryckligen anges i socialförsäkringsregisterlagen dels på medium för automatiserad behandling, dels på papper.
Till olika myndigheter lämnas uppgifter som behövs i den mottagande myndighetens verksamhet. Ändamålen kan vara exempelvis taxering, brottsutredning, utsökning, handläggning av ärenden inom socialtjänsten.
Till enskilda organ som försäkringsbolag eller arbetsgivare lämnas uppgifter för samordning mellan socialförsäkringsersättning och förmåner enligt privata försäkringar eller sjuklön m.m. Det förekommer även att beslutsunderlag i arbetsskadeärenden lämnas ut till försäkringsbolag för handläggning av arbetsskadeersättning som lämnas enligt kollektivavtalsreglerade försäkringar.
Vidare lämnas uppgifter ut till socialförsäkringsorgan i andra länder på grund av antingen internationella konventioner om social trygghet eller gemenskapsrätten, i det sistnämnda fallet främst förordningen (EEG) nr 1408/71 om tillämpningen av systemen för social trygghet när anställda, egenföretagare eller deras familjemedlemmar flyttar inom gemenskapen.
Slutligen lämnas personuppgifter ut för olika forskningsändamål.
Vilken detaljnivå är nödvändig vid formulering av ändamål i en registerlag?
Liksom flertalet remissinstanser som uttalat sig i frågan anser regeringen att det i systematiskt hänseende ter sig lämpligt att dela in ändamålen i två huvudgrupper; primära ändamål och sekundära ändamål. De förstnämnda ändamålen tar sikte på behoven av behandling av personuppgif-
ter i den s.k. kärnverksamheten och bildar tillsammans med den s.k. finalitetsprincipen en yttre ram för vilka typer av uppgifter som får behandlas inom socialförsäkringens administration. De sekundära ändamålen anger de olika utlämnanden av uppgifter som får ske från någon av myndigheterna inom socialförsäkringens administration till mottagare utanför den egna myndigheten. Denna indelning av ändamålen är funktionell på flera sätt. En funktion är att den på ett tydligt sätt klarlägger användningen av personuppgifter för andra ändamål än den s.k. kärnverksamheten. Detta är enligt regeringens uppfattning värdefullt i integritetshänseende. Dessutom utgör indelningen i primära och sekundära ändamål en utgångspunkt för den ovan berörda lagtekniska lösningen att ändamålen i lagen på olika sätt skall utgöra utgångspunkt för bestämmelserna om behandling av känsliga uppgifter och personnummer, gallring, databas, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling.
Redan av den ovan redovisade omfattningen av behandlingar av personuppgifter som sker inom socialförsäkringens administration kan sägas följa att en detaljerad ändamålsbeskrivning som omfattar alla typer av behandlingar av personuppgifter med nödvändighet skulle bli mycket svåröverskådlig. Socialförsäkringen är dessutom i sig en dynamisk verksamhet som ständigt förändras vad avser de olika förmånernas utformning etc. Därtill kommer att utvecklingen inom informationstekniken ständigt öppnar för nya möjligheter att effektivisera och på annat sätt utveckla verksamheten. Vid utarbetandet av en registerlag så bör man emellertid så precist som möjligt ange den behandling av personuppgifter som skall få förekomma inom den aktuella verksamheten.
Av naturliga skäl blir det i många fall fråga om komplexa bedömningar när gränserna för behandlingen av personuppgifter skall fastställas, bl.a. därför att den reglerade verksamheten är så komplex i sig. Regeringen kan emellertid konstatera att bemötandet av promemorians förslag om ändamålsbestämmelser till övervägande delen är positivt bland de myndigheter som kommer att tillämpa lagen.
Finalitetsprincipen och sambearbetning
I socialförsäkringsregisterlagen finns en bestämmelse om s.k. sambearbetning. Tillförande av uppgifter till socialförsäkringsregister genom sambearbetning får enligt socialförsäkringsregisterlagen ske dels från andra socialförsäkringsregister, dels när det gäller uppgifter som lämnats till en allmän försäkringskassa, Premiepensionsmyndigheten eller Riksförsäkringsverket med stöd av en särskild bestämmelse i lag eller förordning om lämnande av uppgifter. Uppgifter kan även tillföras ett socialförsäkringsregister med stöd av annan lag eller förordning. Begreppet sambearbetning är hämtat från den lagstiftningsstruktur som datalagen byggde på. Med sambearbetning (ofta används begreppet samkörning som synonymt med sambearbetning) avses maskinell bearbetning av uppgifter i ett personregister tillsammans med uppgifter i ett annat personregister hos den registeransvarige eller hos annan registeransvarig. Även annan direkt överföring av uppgifter från ett personregister till ett annat omfattas av bestämmelsen. Ett enklare sätt att uttrycka saken är att med sambearbetning avses att ett personregister tillförs personuppgifter
från andra personregister (se Datalagen med kommentarer, Claes Kring och Sten Wahlqvist, Norstedts, 1989, s. 20 och 76).
Reglerna om sambearbetning i socialförsäkringsregisterlagen kan sägas härröra från datalagens struktur för reglering av integritetsskyddet. Datalagen innehöll således en särskild regel om krav på tillstånd för personregister som skulle innehålla personuppgifter som inhämtades från något annat personregister om inte registreringen av uppgifterna skedde med stöd av författning, beslut av Datainspektionen eller den registrerades medgivande. Grundtanken bakom bestämmelsen var att personuppgifter som samlats in för ett visst register (med ett visst ändamål) i princip inte borde få utnyttjas för andra register (med ett annat ändamål) och att denna princip skulle upprätthållas genom en bestämmelse om tillståndsplikt. För de fall sambearbetningen skedde med stöd av författning, beslut av datainspektionen eller den registrerades medgivande gjordes dock undantag. Genom bestämmelsen i socialförsäkringsregisterlagen om att sambearbetning får ske i vissa fall krävdes alltså inte något särskilt tillstånd enligt datalagen för de aktuella personregistren. Syftet var ursprungligen inte att begränsa samkörningsfallen till endast vad som medgavs i lag eller förordning, således kunde Datainspektionen ge tillstånd till samkörning.
Personuppgiftslagen innehåller inte några särskilda bestämmelser om sambearbetning. Det följer emellertid direkt av den i den lagen angivna finalitetsprincipen att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket de samlades in. Finalitetsprincipen kan alltså sägas ha ersatt reglerna om tillståndsplikt vid sambearbetning i datalagen och den grundtanke som dessa regler syftade till att upprätthålla. Vad beträffar senare registerlagstiftning har detta ansetts medföra att några särskilda bestämmelser om samkörning inte längre framstår som motiverade (se t.ex. SOU 1999:105 s. 235 f.). Därtill kommer att behandling i särskiljbara register alltmer kommit att kompletteras med andra typer av behandlingar som inte självklart låter sig inordnas under registerbegreppet. I såväl dataskyddsdirektivet som personuppgiftslagen har tekniken att basera regleringen på registerbegreppet frångåtts. I stället utgår man från begreppet behandling, vilket gäller även den moderna registerlagstiftningen. Ett hänsynstagande till integritetsintressen sker vidare redan vid utformningen av regler om utlämnande av personuppgifter. Den föreslagna lagstiftningen innehåller också bestämmelser om vilka uppgifter som får ingå i socialförsäkringsdatabasen. Enligt regeringens uppfattning saknas, bl.a. med hänsyn till personuppgiftslagens bestämmelser skäl för att införa en motsvarighet till bestämmelsen i 12 § socialförsäkringsregisterlagen i den nya lagen. Regeringen lämnar därför inte något sådant förslag.
6.6. Primära ändamål
Regeringens förslag: Behandling av personuppgifter får ske om den är nödvändig för följande primära ändamål:
1. återsökning av vägledande avgöranden,
2. tillgodoseende av behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om förmåner eller ersättningar skall kunna bedömas eller fastställas,
3. information om förmåner eller ersättningar,
4. handläggning av ärenden,
5. planering av verksamhet samt resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet,
6. framställning av statistik avseende verksamhet enligt 4 och 5. Vid behandling för återsökning av vägledande avgöranden får inte uppgifter som direkt pekar ut den registrerade användas.
Promemorians förslag: Överensstämmer huvudsakligen med regeringens förslag, men innehöll inte ändamålet ”resultatstyrning”.
Remissinstanserna: Kammarrätten i Sundsvall anser att en del av ändamålen är vagt formulerade och behöver förtydligas, t.ex. ändamålet ”planera” och ifrågasätter om en sådan behandling som föreslås är i överensstämmelse med direktivet. Enligt Riksförsäkringsverkets uppfattning är uppräkningen av de primära ändamålen i stort sett heltäckande.
Av pedagogiska skäl förordar verket dock att ändamålen räknas upp ifrån handläggningssynpunkt kronologisk ordning. Vidare anför verket att resultatstyrning bör ingå som ett ändamål. Försäkringskasseförbundet konstaterar att behovet av lagstöd för försäkringskassornas egen uppföljning av verksamheten liksom utvärdering och resultatredovisning är tillgodosett. Detta ökar förutsättningar för försäkringskassorna att bättre kunna följa upp utvecklingen inom ohälsoområdet. Östergötlands läns allmänna försäkringskassa vill understryka vikten av att kassorna ges möjlighet att göra uppföljningar även på individnivå, bl.a. för att kunna följa utvecklingen och därmed kunna vidta rätt insatser, exempelvis i syfte att minska de långa sjukskrivningarna. Uppsala läns allmänna försäkringskassa anför att försäkringskassorna i dag har mycket information som inte går att sammanställa och följa upp på ett rationellt sätt med mindre än att det kräver stora personella insatser. Försäkringskassan ställer sig därför mycket positiv till de ökade möjligheter som bereds genom förslagen i promemorian. Lagstiftningen ger bland annat en väsentlig förbättring för ökad kunskap och professionella arbetsmetoder inom sjukförsäkringsområdet. Kunskapsperspektivet får förutsättningar att breddas för att socialförsäkringen ska kunna agera strategiskt, dvs. den föreslagna lagen ger möjlighet att utveckla gemensamma metoder såväl ur ett förebyggande perspektiv som i det direkta samordningsuppdraget. Exempelvis kan socialförsäkringen utveckla kunskap kring vad som kan vara effektiva rehabiliteringsåtgärder i förhållande till diagnosgrupper, vilket leder till smidigare återgång i arbete.
Skälen för regeringens förslag
De i promemorian föreslagna primära ändamålen är i förhållande till socialförsäkringsregisterlagens motsvarande bestämmelser betydligt mer preciserade. Regeringen anser att de i promemorian föreslagna primära ändamålen uppfyller de krav på precisering som är rimliga att ställa i sammanhanget. Det saknas enligt regeringens uppfattning anledning att befara att de föreslagna ändamålen på något sätt inte skulle vara förenliga med dataskyddsdirektivet. Enligt Riksförsäkringsverkets uppfattning är dessutom uppräkningen av de primära ändamålen i stort sett heltäckande. Regeringen delar dock verkets uppfattning att ”resultatstyrning” bör tas in som ett särskilt ändamål. När det gäller verkets förslag om en ändring av ordningsföljden i uppräkningen av de olika ändamålen i lagtexten med hänsyn till ”ifrån handläggningssynpunkt kronologisk ordning”, finner regeringen emellertid inte fog för ändring i förhållande till vad som föreslagits i promemorian. En bärande invändning som kan riktas mot verkets förslag är att de uppräknade ändamålen omfattar ett betydligt mer vidsträckt verksamhetsområde än handläggning av ärenden.
De primära ändamålen tar sikte på behoven av behandling av personuppgifter i den s.k. kärnverksamheten och utgör en ram för vilka typer av uppgifter som får behandlas inom socialförsäkringens administration när det är nödvändigt för dessa ändamål. Som primära ändamål föreslås återsökning av vägledande avgöranden, tillgodoseende av underlag för bedömning av rättigheter eller skyldigheter, information om socialförsäkringsförmåner, handläggning av ärenden, planering, resultatuppföljning, resultatredovisning, resultatstyrning, utvärdering och tillsyn av respektive verksamhet samt framställning av statistik.
Återsökning av vägledande avgöranden
Med återsökning av vägledande avgöranden åsyftas exempelvis sökning i samlingar av domar och beslut som upprättats för ledning angående praxis. Inte bara domstolsavgöranden avses med begreppet vägledande avgöranden. Ett exempel på andra typer av sammanställningar av avgöranden som omfattas av begreppet är samlingar av beslut av JO. I sådana samlingar som avses i den aktuella bestämmelsen bör berörda personer inte vara direkt identifierbara genom namn eller personnummer. Detta utesluter inte att innehållet kan anses innefatta personuppgifter, bl.a. eftersom exempelvis angivande av ärendenummer innebär en möjlighet att ta reda på den registrerades namn i akten. Återsökning av vägledande avgöranden sker i regel i sådan anslutning till handläggningen av ett ärende, att behandlingen i själva verket kan ses som en del av handläggningen. Vid sidan härav uppkommer det emellertid ofta behov av sådan informationsinhämtning i utbildningssyfte, i anslutning till praxisdiskussioner m.m. utan att behandlingen i fråga kan anses hänförlig till handläggning. Det framstår därför som motiverat att ange återsökning av vägledande ändamål som ett särskilt ändamål. De samlingar av domar och beslut som upprättats för ledning angående praxis bör emellertid inte få innehålla uppgifter som direkt pekar ut de registrerade, dvs. uppgifter om namn eller personnummer.
Underlag för bedömning av rättigheter och skyldigheter
Handläggning av ärenden kan naturligtvis förekomma först när ett ärende anhängiggjorts vid en myndighet. Inom socialförsäkringen förekommer i princip tre former för anhängiggörande; skriftlig ansökan, anmälan som sker formlöst och följs upp med en skriftlig försäkran samt de fall då det enligt särskilda regler ankommer på myndigheten i fråga att självmant ta initiativ till ett ärende. Ärenden i egentlig mening uppkommer således först när ett sådant anhängiggörande ägt rum. Det är emellertid ofta nödvändigt att företa vissa behandlingar av personuppgifter på exempelvis en försäkringskassa även utan att ett ärende aktualiserats i den meningen.
Ett exempel är sådan registrering och uppdatering av uppgifter om identitet, födelsenummer, adress, folkbokföringsort m.m. som sker utan att ett ärende anhängiggjorts och som är nödvändig för att handläggningen av vissa tillkommande ärenden skall kunna ske på ett rättssäkert och rationellt sätt. I sammanhanget kan nämnas barnbidragen, som regelmässigt utan föregående ansökan utbetalas enbart på grundval av uppgifter som inhämtats automatiskt från folkbokföringen. Detta förutsätter naturligtvis att behandling av personuppgifter kan ske hos försäkringskassan utan att ett ärende inletts. Ett annat fall när behandling av personuppgifter aktualiseras utan att ett ärende finns anhängigt är riktade informationsinsatser avseende försäkrade vars förhållanden är sådana att ett ärende rörande dem kan tänkas bli aktualiserat inom en nära förestående framtid, ett exempel är information om de pensionsvillkor som kommer att gälla vid en framtida pensionering. Vidare förekommer inom socialförsäkringssystemet en avsevärd mängd materiella bestämmelser om fastställande av rätten till förmåner respektive beräkning av förmåners storlek m.m. som förutsätter registrering av personuppgifter under en längre eller kortare tid innan ett egentligt ärende eventuellt anhängiggörs. I många fall är det så att en registrering måste ske utan att man med säkerhet kan säga att ett ärende kommer att anhängiggöras. Några exempel är registrering av uppgifter som arbetsgivare lämnar enligt 12 § lagen (1991:1047) om sjuklön samt beslut enligt 10 § och 13 § samma lag. Samtliga nu redovisade fall av behandlingar har enligt såväl socialförsäkringsregisterlagen som tidigare gällande registerförfattningar ansetts kunna ske med stöd av ändamålet ”förberedande åtgärder för handläggning” (se prop. 1996/97:155 s. 77 och där anmärkta propositioner).
Den centrala roll som ändamålen tilldelats i personuppgiftslagen medför emellertid att ändamålen i en registerförfattning bör preciseras så långt det är möjligt. Den använda termen ”förberedande åtgärder” bör därför ersättas med mer preciserade ändamål som direkt tar sikte på och tydliggör de legitima behov av behandlingar som föreligger inom socialförsäkringens administration.
De behandlingar inom socialförsäkringens administration som har ansetts kunna ske med stöd av ändamålet ”förberedande åtgärder för handläggning” kan i huvudsak delas in efter två olika delsyften; 1. insamling av uppgifter som är nödvändiga för att kunna bedöma/fastställa rättigheter inom socialförsäkringen 2. information till de försäkrade om socialförsäkringsförmåner.
Det för kärnverksamheten viktigaste delsyftet är insamling av personuppgifter som är nödvändiga för att den registrerades eller andra perso-
ners rättigheter i fråga om socialförsäkringsförmåner skall kunna bedömas eller fastställas. Ovan har som exempel nämnts användningen av folkbokföringsuppgifter för administrationen av barnbidrag och registrering av vissa uppgifter m.m. hänförliga till bestämmelser i lagen om sjuklön. Det mest omfattande insamlandet av personuppgifter sker dock för ålderspensionssystemet, som förutsätter registrering av uppgifter om inkomster, familjeförhållanden m.m. under mycket lång tid och i vissa fall under en individs hela vuxna liv. Den övervägande delen av dessa uppgifter kan vidare i händelse av dödsfall komma att behövas vid fastställande av efterlevandeförmåner till andra än den registrerade själv. Personuppgifter som registreras i anledning av ett ärende, exempelvis en uppgift om sjukpenninggrundande inkomst i ett sjukpenningärende, måste vidare i ett stort antal fall kunna användas i efterkommande ärenden avseende samma eller andra förmånsslag. Dessa typer av behandlingar, dvs. insamlandet av personuppgifter som är nödvändiga för att den registrerades eller andra personers rättigheter i fråga om socialförsäkringsförmåner skall kunna bedömas eller fastställas, har en sådan omfattning att de bör omfattas av ett särskilt ändamål i den föreslagna lagen. Ett annat och språkligt sett lämpligare sätt att uttrycka det aktuella behovet av behandlingar är, att det är fråga om att tillgodose de behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om socialförsäkringsförmåner skall kunna bedömas eller fastställas. Ett sådant ändamål bör alltså anges bland de primära ändamålen i den föreslagna lagen.
Information till de försäkrade om förmåner och ersättningar
Ytterligare en typ av verksamhet inom socialförsäkringens administration som förutsätter behandling av personuppgifter är information till de försäkrade om förmåner och ersättningar. I första hand är det i dessa fall fråga om behandling av uppgifter om namn och adress för försäkrade, men i många fall blir det aktuellt att genom olika kriterier göra urval av kategorier försäkrade. Naturligtvis är en stor del av informationen som skickas ut till försäkrade hänförlig till ärendehandläggning. Som följd av den serviceskyldighet som åläggs förvaltningsmyndigheterna i förvaltningslagen (1986:223) skickas emellertid i många fall information ut till de försäkrade utan att det kan hänföras till ärendehandläggning i egentlig mening. Ofta kan det vara fråga om mer allmänt riktad information om regelförändringar m.m. till personer som kan tänkas bli berörda. I andra fall är det fråga om information till personer som befinner sig i en sådan livssituation, exempelvis föräldraskap, att de kan tänkas vara i behov av information om en viss förmån. Inom det reformerade ålderspensionssystemet sänds dessutom individrelaterad information ut årligen till de pensionsberättigade. Dessa olika typer av informationsverksamhet har sammantaget en sådan omfattning att ett särskilt primärt ändamål som tar sikte på detta bör tas in bland de primära ändamålen.
Handläggning av ärenden
Den centrala delen av kärnverksamheten hos socialförsäkringens administration är naturligtvis handläggningen av ärenden om förmåner, som självklart måste omfattas av de primära ändamålen.
Enbart försäkringskassorna administrerar 46 olika förmånsslag. En central del av lagstiftningen om sådana förmåner är lagen (1962:381) om allmän försäkring, i vilken sjukförsäkringen regleras. Denna omfattar sjukpenning, förtidspension/sjukersättning, sjukvårdsersättning, tandvård och föräldrapenningförmåner. Det reformerade ålderspensionssystemet regleras först och främst i lagen (1998:674) om inkomstgrundad ålderspension och lagen (1998:702) om garantipension. Arbetsskadeförsäkringens huvudlagstiftning återfinns i lagen (1976:380) om arbetsskadeförsäkring. Handikappförmåner regleras bl.a. i lagen (1998:703) om handikappersättning och vårdbidrag, lagen (1993:389) om assistansersättning, förordningen (1988:890) om bilstöd till handikappade. Lagstiftningen om bidrag till barnfamiljer m.fl. inbegriper lagen (1947:529) om allmänna barnbidrag, lagen (1996:1030) om underhållsstöd och lagen (1993:737) om bostadsbidrag. Härutöver finns ett stort antal författningar som antingen i olika avseenden kompletterar de nämnda förmånerna eller reglerar andra särskilda förmåner. De olika förmånsslagen är alla inriktade på specifika livssituationer, då individernas personliga förhållanden är sådana att det är motiverat att socialförsäkringen täcker olika ekonomiska behov eller behov av annat slag. Med nödvändighet medför handläggningen av dessa förmåner ett mycket omfattande behov av behandlingar av personuppgifter, som ofta kan vara av integritetskänslig karaktär.
Några särskilda aspekter som gäller för handläggningen av ärenden inom socialförsäkringen är den ofta mycket långvariga varaktigheten för ärenden, den komplexa verksamheten med arbetslivsinriktad rehabilitering samt den korsvisa användningen av personuppgifter mellan olika ärenden. En typ av förmån, exempelvis sjukpenning, som utgetts under mycket lång tid kan således upphöra helt eller delvis för att avlösas av en annan typ av förmån såsom rehabiliteringspenning, förtidspension/sjukersättning, arbetsskadelivränta etc. I sådana fall är det ofta så att personuppgifter som samlats in för fastställande av den först utgivna typen av ersättning behöver användas för fastställande av de efterkommande ersättningarna eller användas på annat sätt vid senare tillfälle. Ofta kan olika typer av ersättningar eller förmåner dessutom utges eller på annat sätt löpa parallellt, varvid uppgifter även i dessa fall behöver användas korsvis mellan ärendeslagen.
Ändamålet handläggning av ärenden är emellertid inte begränsat till att omfatta enbart ärenden om bestämmande av förmåner eller ersättningar. Även andra typer av handläggning av ärenden omfattas av det ändamålet. Såsom nämnts i författningskommentaren i lagrådsremissen avses även exempelvis tillsynsärenden. I enlighet med vad Lagrådet föreslagit har lydelsen av vissa bestämmelser ändrats i förhållande till vad som föreslogs i lagrådsremissen på så sätt att de särskilda omnämnandena i lagtexten av tillsynsärenden har tagits bort. Ändringarna har skett med syftet att undanröja eventuella oklarheter angående vad som avses med begreppet handläggning av ärenden.
Planering av verksamhet samt resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering samt tillsyn av respektive verksamhet
Utöver den egentliga ärendehandläggningen tillkommer en rad mycket centrala verksamhetsområden där det är viktigt att informationstekniken kan tas i anspråk för att uppnå en rättssäker, effektiv och rationell förvaltning. Regeringen föreslår att det i den nya lagen som ändamål för behandling av personuppgifter anges planering, resultatuppföljning, resultatredovisning, resultatstyrning, utvärdering samt tillsyn av respektive verksamhet. I inte ringa utsträckning kan sådan verksamhet utövas utan att det förutsätter att personuppgifter behandlas. I den utsträckningen individrelaterade uppgifter behöver behandlas är det ofta tillfyllest att använda sig av avidentifierade uppgifter. I många fall är det dock nödvändigt att behandla personuppgifter för de nu aktuella syftena, bland annat gäller detta när det är fråga om longitudinella studier av utvecklingen inom exempelvis sjukförsäkringen.
Informationstekniken måste kunna tas i anspråk för planering av verksamheten och uppföljning av organisationen inom de olika myndigheterna. Förekomsten av rutiner för att upptäcka och åtgärda för hög arbetsbelastning för enskilda arbetstagare och eventuella behov av arbetsanpassning är en viktig arbetsmiljöfråga. Det är viktigt att arbetsgivaren har rutiner för att följa arbetsbelastningen även på individnivå för att på ett rationellt sätt leda och fördela arbetet och i tid kunna vidta relevanta åtgärder mot arbetsplatsbetingad ohälsa. Även från den enskilde försäkrades perspektiv är det viktigt att arbetet leds och bedrivs på ett effektivt sätt, som i sig därigenom också bidrar till en rättssäker handläggning. Utredningen Handlingsplan för ökad hälsa i arbetslivet (S 2000:07) har i sitt betänkande Handlingsplan för ökad hälsa i arbetslivet (SOU 2002:5) noterat att ett välfungerande informationssystem är av stor vikt för såväl övergripande analys som ärendehandläggning, styrning och ledning av verksamheten inom försäkringskassorna. I dag saknas ett enhetligt handläggarstöd och i många fall måste statistik inhämtas manuellt. Sett i ett ledningsperspektiv är också behovet enligt utredningens uppfattning stort av att kunna följa ärendemängder och ärendens status för att kunna leda, fördela och följa upp handläggarnas arbete.
Det ankommer på Riksförsäkringsverket att verka för att socialförsäkrings- och bidragssystemen tillämpas likformigt och rättvist, att verka för att åtgärder vidtas för att förebygga och minska ohälsa i syfte att minska de långa sjukperioderna, att ansvara för ekonomistyrningen av försäkringskassorna, att ha en stödjande och rådgivande funktion för den interna revisionen vid de allmänna försäkringskassorna och därvid samråda med Riksrevisionsverket i frågor av större vikt, att följa utvecklingen inom socialförsäkringen och anslutande bidragssystem samt utvärdera effekterna av dessa för individ och samhälle, att ta fram och vidareutveckla prognosmodeller samt svara för prognoser för och analyser av utgifterna för de socialförsäkrings- och bidragssystem som administreras av Riksförsäkringsverket och de allmänna försäkringskassorna.
Utöver den rena tillsynsverksamheten åligger det alltså verket att på ett utvecklat sätt analysera såväl utvecklingen inom de olika förmånsslagen, särskilt sjukförsäkringen, som utvecklingen för försäkringskassornas administration av förmånerna. Dessa uppgifter, som närmast kan hänföras
till resultatuppföljning, resultatredovisning resultatstyrning och utvärdering av respektive verksamhet, förutsätter en omfattande kartläggande verksamhet, som med nödvändighet måste omfatta behandling av personuppgifter.
Resultatstyrning innebär enligt Ekonomistyrningsverkets anvisningar:
1. att mål formuleras för myndighetens verksamhet,
2. att man löpande tar fram information om verksamhetens resultat,
3. att resultatet bedöms regelbundet med ledning av målen för verk-
samheten,
4. att resultatbedömningen läggs till grund för beslut om den fortsatta
verksamheten. Resultatstyrning kan i många fall sägas innefatta begreppen ”resultatuppföljning”, ”resultatredovisning” och ”utvärdering”. Samtidigt kan det ofta finnas behov av att kunna vidta sådana åtgärder utan att det finns en klar koppling till resultatstyrning.
Att ta informationstekniken i anspråk för sådana uppgifter utgör en självklar del av modern förvaltning. Det är naturligtvis inte bara åtgärder av Riksförsäkringsverket som avses med ändamålen resultatuppföljning, resultatredovisning, resultatstyrning och utvärdering. Det åligger såväl försäkringskassorna som Premiepensionsmyndigheten att ägna sig åt den typen av verksamhet. I fråga om försäkringskassorna kan särskilt nämnas att det enligt 18 kap. 2 § lagen om allmän försäkring åligger dem att svara för att socialförsäkrings- och bidragssystemen tillämpas likformigt och rättvist och att vidta åtgärder för att förebygga och minska ohälsa i syfte att minska de långa sjukperioderna samt aktivt arbeta med rehabilitering enligt vad som närmare anges i 22 kap. nämnda lag. Detta förutsätter naturligtvis en egen analys- och uppföljningsverksamhet hos försäkringskassorna som baseras på personuppgifter i den egna verksamheten. Ramarna för respektive myndighets verksamhet inom dessa områden följer automatiskt av organens olika kompetens.
Riksförsäkringsverket, som endast i ringa utsträckning ansvarar för handläggning av ärenden om socialförsäkringsförmåner, är central förvaltningsmyndighet för socialförsäkringen och anslutande bidragssystem. I denna roll ankommer det bl.a. på verket att utöva tillsyn över de allmänna försäkringskassorna och över att Premiepensionsmyndigheten tillämpar de bestämmelser om premiepension som inte avser kapitalförvaltning eller försäkringsteknisk verksamhet på ett likformigt och rättvist sätt i förhållande till enskilda. Det ger sig självt att denna tillsynsverksamhet, som kan avse såväl individuella ärenden hos försäkringskassorna som mer övergripande granskning, måste innebära en omfattande behandling av personuppgifter.
Framställning av statistik
Enligt förordningen (2001:100) om den officiella statistiken ansvarar Riksförsäkringsverket för den del av den officiella statistiken som avser socialförsäkringen. De behandlingar av personuppgifter som kan hänföras till den officiella statistiken omfattas emellertid inte av den föreslagna lagen.
Vid sidan av den officiella statistiken framställs emellertid statistik inom socialförsäkringens administration dels i form av s.k. verksamhets-
statistik, som tar sikte på måluppfyllelse i fråga om ärendehantering etc. inom respektive myndighet, dels statistik som är hänförlig till de ovan beskrivna åliggandena för respektive myndighet att analysera utvecklingen inom de olika förmånsslagen m.m. Dessa typer av statistik bör omfattas av regleringen i den nu föreslagna lagen. Till stor del kan den statistikframställning som här avses anses inrymmas inom ändamålen resultatuppföljning, resultatredovisning resultatstyrning och utvärdering. I inte ringa utsträckning föreligger dock ett behov av att kunna framställa statistik för analysändamål som inte utan vidare kan hänföras till nämnda ändamål. Framställning av statistik bör därför anges som ett särskilt ändamål i den föreslagna lagen.
Härutöver kan naturligtvis personuppgifter som behandlas av socialförsäkringens administration tillhandahållas utomstående mottagare för bl.a. sådana vetenskapliga ändamål som avses i exempelvis 9 § andra stycket personuppgiftslagen. I sådan forskningsverksamhet som avses härmed förekommer givetvis upprättande av statistiska sammanställningar i stor omfattning. I sådana fall är också personuppgiftslagens och personuppgiftsförordningens bestämmelser tillämpliga (jfr exempelvis bestämmelsen om anmälningsskyldighet i 10 § första stycket 1 personuppgiftsförordningen). Nämnda författningar innehåller en rad bestämmelser som syftar till ett integritetsskydd inom forskningsverksamhet.
Hänvisningar till S6-6
- Prop. 2002/03:135: Avsnitt 8
6.7. Sekundära ändamål
I detta avsnitt lämnas förslag om vilka sekundära ändamål som skall anges i den föreslagna lagen. De sekundära ändamålen är sådana ändamål som till stor del kan hänföras till tillgodoseende av information i verksamhet utanför socialförsäkringens administration. I samtliga fall är det fråga om att uppgifter som behandlas hos en myndighet inom socialförsäkringens administration med stöd av vissa av de primära ändamålen tillhandahålls externa mottagare, i vissa fall en myndighet inom socialförsäkringens administration men i många fall hör mottagaren inte dit. I princip täcks det huvudsakliga utlämnande av uppgifter till sådana mottagare in genom de angivna ändamålen. Som utvecklas närmare nedan utgör de sekundära ändamålen även en ram för i vilka fall uppgifter får lämnas ut genom direktåtkomst respektive på medium för automatiserad behandling. Bestämmelserna om sekundära ändamål omfattar en mycket vittskiftande verksamhet och det är av naturliga skäl i flertalet fall nödvändigt att definiera de olika sekundära ändamålen på ett tämligen generellt sätt. I regel kan dock mer preciserade ändamål utläsas av de olika särskilda bestämmelser som de sekundära ändamålen ansluter till.
De sekundära ändamålen kan indelas i två huvudgrupper; dels ändamål som omfattar utlämnande av personuppgifter till organ utanför socialförsäkringens administration som föreslås ha direktåtkomst till uppgifter i socialförsäkringsdatabasen, dels ändamål som avser utlämnande till andra organ.
Hänvisningar till S6-7
- Prop. 2002/03:135: Avsnitt 8
6.7.1. Utlämnande till organ utanför socialförsäkringens administration som har direktåtkomst
Regeringens förslag: Personuppgifter skall få behandlas av de allmänna försäkringskassorna och Riksförsäkringsverket för tillhandahållande av information som behövs
1. som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda i den verksamhet som bedrivs av Centrala studiestödsnämnden och arbetslöshetskassorna
2. för samordning av tjänstepensioner i den verksamhet som bedrivs av Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner eller
3. för handläggning av ärenden som handläggs av Statens pensionsverk i vilka reglerna om statens tjänstegrupplivförsäkring skall tillämpas.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Som framgår i det följande har ett flertal remissinstanser framfört synpunkter rörande direktåtkomst för Statens pensionsverk och KPA Pension AB. Några särskilda synpunkter rörande bestämmelserna om de ändamål som avser organ utanför socialförsäkringens administration som har direktåtkomst har dock inte lämnats.
Skälen för regeringens förslag: De ändamål som avser utlämnande av uppgifter till organ utanför socialförsäkringens administration som föreslås ha direktåtkomst till socialförsäkringsdatabasen avser särskilt integritetskänsliga förfaranden. Direktåtkomst innebär nämligen att information om enskilda lämnas ut från myndigheter inom socialförsäkringens administration till andra organ utan möjlighet till sekretessprövning i det enskilda fallet. Det är bl.a. med hänsyn härtill lämpligt att i olika avseenden behandla dessa ändamål för sig.
Den 1 juli 2002 infördes ett utökat informationsutbyte mellan de allmänna försäkringskassorna, Riksförsäkringsverket, Centrala studiestödsnämnden, länsarbetsnämnderna och arbetslöshetskassorna (se prop. 2000/01:129, bet. 2001/02:KU3, rskr. 2001/02:18). I första hand är avsikten med informationsutbytet att arbetslöshetskassorna skall få information från Riksförsäkringsverket och de allmänna försäkringskassorna samt från Centrala studiestödsnämnden. De syften som ligger bakom informationsutbytet är att effektivisera ärendehanteringen hos de berörda organen, att förbättra servicen för enskilda och att förbättra kontrollen av utbetalningar av statliga medel och därigenom uppnå bättre underlag för beslut och minska riskerna för systembrister och fusk. En motsvarighet föreslås här. Uppgifter skall även inhämtas till Riksförsäkringsverket och de allmänna försäkringskassorna från Centrala studiestödsnämnden, arbetslöshetskassor m.m. I sådana fall är det dock fråga om verksamhet som omfattas av de primära ändamålen.
I 4 § socialförsäkringsregisterlagen anges en ändamålsbestämmelse som avser utlämnande av personuppgifter till Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner för samordning av tjänstepensioner m.m. En motsvarighet till den bestämmelsen föreslås införas i den nya lagen. Vissa justeringar har dock gjorts bl.a. i anledning av förändrade utbetalningsrutiner för offentliga förmåner.
6.7.2. Utlämnande till övriga organ
Regeringens förslag: De allmänna försäkringskassorna, Premiepensionsmyndigheten och Riksförsäkringsverket skall få behandla personuppgifter som behandlas med stöd av de primära ändamålen för tillhandahållande av information utanför den egna myndigheten på grund av
1. i lag eller förordning reglerad sekretessbrytande uppgiftsskyldighet i förhållande till andra myndigheter,
2. sådant medgivande att lämna ut uppgifter som följer av särskilda bestämmelser i lag eller förordning,
3. sådan skyldighet att lämna ut uppgifter som följer av gemenskapsrätten inom Europeiska unionen (EU),
4. åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet (EES) eller i avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Riksrevisionsverket har påtalat att begreppet ”mottagare” såsom det definieras i personuppgiftslagen inte omfattar myndigheter som mottar uppgifter för att kunna utföra tillsyn, kontroll eller revision. En följd av detta är att uppgifter därigenom inte får lämnas ut på medium för automatiserad behandling. Verket har föreslagit att bestämmelserna om utlämnande på medium för automatiserad behandling eller om sekundära ändamål ändras så att det står klart att utlämnande till
Riksrevisionen för granskning får ske på medium för automatiserad behandling respektive omfattas av de sekundära ändamålen. Arbetsmarknadsstyrelsen föreslår att personuppgifter även bör få behandlas av de allmänna försäkringskassorna och Riksförsäkringsverket för tillhandahållande av information som behövs som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd till enskilda i den verksamhet som bedrivs av Arbetsmarknadsstyrelsen, (den föreslagna) Inspektionen för arbetslöshetsförsäkringen och länsarbetsnämnderna. Enligt Arbetsmarknadsstyrelsens bedömning bör inom ramen för de nuvarande administrativa kontakterna med de nämnda myndigheterna, men också med beaktande av det nu utökade samarbetet mellan myndigheterna inom sjukförsäkringsområdet och arbetsmarknadssektorn, en möjlighet till utökat informationsutbyte medges. Arbetsmiljöverket anför att det är angeläget att verket från försäkringskassorna och Riksförsäkringsverket erhåller uppgifter på arbetsställenivå vad beträffar bl.a. sjukfrånvaro, arbetsskador, diagnoser samt förekomsten av rehabiliteringsutredningar. Därigenom skulle verket ges bättre möjligheter att rikta sina tillsynsinsatser. Verket är i första hand inte i behov av enskilda personuppgifter utan av aggregerade och avidentifierade uppgifter sammanställda på arbetsställenivå. Verket föreslår att förutsättningarna för informationsutbytet mellan verket och socialförsäkringens administration klargörs i den nya lagen genom tillägg i ändamålsbestämmelserna. Detta gäller även det informationsutbyte som i dag finns i fråga om arbetsskador och som är oumbärligt för att upprätthålla och driva databasen ISA och bör säkerställas i lagen. När det gäller de sekundära ändamålen framgår det enligt Försäkringskasseförbundet inte tillräckligt tydligt att
personuppgifter även enligt den nya lagen får lämnas ut för forskningsändamål.
Skälen för regeringens förslag: Utlämnande av uppgifter till andra organ än de organ utanför socialförsäkringens administration som föreslås ha direktåtkomst till socialförsäkringsdatabasen sker till en rad olika organ för mångskiftande syften. Det kan gälla uppgifter som behövs för handläggning av ärenden hos andra myndigheter, men även vara fråga om helt andra användningsområden som exempelvis tillsyn eller revision. Som påpekats av Riksrevisionsverket innefattar begreppet ”mottagare” enligt dess definition i personuppgiftslagen inte myndigheter som inhämtar uppgifter för att kunna utföra tillsyn, kontroll eller revision. I anledning härav anser regeringen att en mindre justering av bestämmelsen om sekundära ändamål bör göras, så att det står klart att även ett utlämnande för sådana syften omfattas av bestämmelsen.
Det skulle i och för sig vara önskvärt att det i en registerlag på ett preciserat sätt anges vilka utlämnanden av uppgifter som sker från den verksamhet som regleras av lagen. Regeringen delar emellertid den i promemorian redovisade bedömningen att det inte är möjligt att i en i lagen intagen ändamålsbestämmelse på ett preciserat sätt ange alla de fall av utlämnanden som sker från myndigheterna inom socialförsäkringens administration. Den i promemorian föreslagna systematiken, som i första hand utgår från olika slag av författningsregleringar av utlämnande av uppgifter framstår enligt regeringens uppfattning som ett ändamålsenligt sätt att reglera utlämnandet av uppgifter.
De synpunkter som framförts av Arbetsmarknadsstyrelsen och Arbetsmiljöverket om utökningar av uppgiftslämnandet till de myndigheterna finns det inte underlag för att ta ställning till i detta lagstiftningsärende.
Lagrådet har invänt mot utformningen av lagtexten i lagrådsremissen såvitt avser den punkt i bestämmelsen om sekundära ändamål som gäller skyldighet att lämna ut uppgifter till följd av s.k. sekretessbrytande regler som avses i 14 kap. 1 § sekretesslagen (1980:100) och anfört att bestämmelsen bör förtydligas. Till följd av Lagrådets synpunkter har utformningen av lagtexten förtydligats. Frågan om utlämnande enligt 15 kap. 5 § sekretesslagen påverkas inte av den föreslagna lagen.
En annan fråga som berörts av Lagrådet är vilka typer av författningar som de sekundära ändamålen bör omfatta. Enligt regeringens uppfattning bör inte myndighetsföreskrifter omfattas. Som resultat av Lagrådets påpekande har därför lagtexten ändrats.
De sekundära ändamål som regeringen föreslår är tillhandahållande av information på grund av
1. i lag eller förordning reglerad sekretessbrytande uppgiftsskyldighet
i förhållande till andra myndigheter,
2. sådant medgivande att lämna ut uppgifter som följer av särskilda
bestämmelser i lag eller förordning,
3. sådan skyldighet att lämna ut uppgifter som följer av gemenskaps-
rätten inom Europeiska unionen (EU),
4. åtaganden i samarbetet inom Europeiska ekonomiska sam-
arbetsområdet (EES) eller i avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater. De olika myndigheterna inom socialförsäkringens administration är enligt ett stort antal författningar skyldiga att lämna ut uppgifter till andra
myndigheter. Bestämmelsen i punkt 1 avser sådana s.k. sekretessbrytande regler som avses i 14 kap. 1 § sekretesslagen. Enligt nämnda bestämmelse bryts den annars gällande sekretessen mellan myndigheter om en uppgiftsskyldighet följer av lag eller förordning. En sådan uppgiftsskyldighet måste vara uttrycklig. Bestämmelsen i 12 § förordningen (1977:284) om arbetsskadeförsäkring och statligt personskadeskydd är ett exempel på en sådan bestämmelse. Det behov av reglering av informationsutbytet angående arbetsskador som Arbetsmiljöverket efterlyst i sitt remissvar är alltså beaktat i den föreslagna lagen.
Punkt 2 avser i första hand dels sådana sekretessbrytande bestämmelser som avses i 7 kap. 7 § fjärde stycket eller 9 kap. 25 § andra stycketsekretesslagen (1980:100), dels vissa särskilda bestämmelser om utlämnande på medium för automatiserad behandling som återfinns antingen i den föreslagna lagen eller i förordning.
Exempel på bestämmelser av det förstnämnda slaget är 20 kap. 9 a § lagen (1962:381) om allmän försäkring, 3 § lagen (1993:16) om försäkring mot vissa semesterlönekostnader, 11 § och 27 § lagen (1991:1047) om sjuklön, 15 kap. 15 § lagen (1998:674) om inkomstgrundad ålderspension, 6 kap. 3 § lagen (1998:702) om garantipension, 22 § lagen (1998:703) om handikappersättning och vårdbidrag och 10 § lagen (2000:461) om efterlevandepension och efterlevandestöd till barn.
En annan typ av bestämmelse som avses i den aktuella punkten är vissa fall av utlämnanden på medium för automatiserad behandling som särskilt reglerats i denna lag eller i förordning, exempelvis socialförsäkringsregisterförordningen (1998:1576). Ytterligare ett exempel på en regel som avses i punkt 2 är 19 § tredje stycket personuppgiftslagen. (I prop. 2002/03:50 lämnas emellertid vissa förslag till ändring av bestämmelsen i personuppgiftslagen och att bestämmelsen om utlämnande för forskning skall föras över till en särskild lag, lagen om etikprövning av forskning som avser människor, som föreslås träda i kraft den 1 januari 2004.) Härigenom tillgodoses det av Försäkringskasseförbundet påtalade behovet av reglering av utlämnande för forskningsändamål.
Härutöver omfattas även vissa utlämnanden av information om pensionsförhållanden m.m. av särskilda regleringar som föreslås. I det ena fallet avses utlämnande av uppgifter till den registrerade i fråga för gemensam pensionsinformation via den s.k. Pensionsportalen. Pensionsportalen är en planerad hemsida på Internet där den enskilde genom uppgiftsinhämtande från såväl offentliga som privata organ skall kunna få en helhetsbild av sina pensionsförhållanden.
Det andra fallet är utlämnande av personuppgifter för användning vid skadereglering till organ som driver försäkringsrörelse.
I artikel 84 i förordningen (EEG) nr 1408/71 om tillämpningen av systemen för social trygghet när anställda, egenföretagare eller deras familjemedlemmar flyttar inom gemenskapen finns bestämmelser om skyldighet för myndigheterna inom socialförsäkringens administration att lämna ut uppgifter till socialförsäkringsmyndigheter i de andra medlemsländerna. Förordningen ingår i gemenskapsrätten och gäller således i Sverige med den verkan som följer av EG-rätten. Av punkt 5 i artikel 84 framgår emellertid att då en medlemsstats myndigheter enligt förordningen överför personuppgifter till myndigheter eller institutioner i en annan medlemsstat, skall sådant överförande omfattas av de lagbestäm-
melser om skydd av personuppgifter som gäller i den medlemsstat som lämnar uppgifterna. Utlämnande av uppgifter enligt förordningen är alltså underkastat den nationella lagstiftningen om behandling av personuppgifter. Personuppgiftslagen innehåller inte några bestämmelser som tar sikte på utlämnande av uppgifter på grund av gemenskapsrätten. Genom en särskild ändamålsbestämmelse i punkt 3 klargörs att utlämnande av personuppgifter från socialförsäkringens administration på grund av förordningen eller annan gemenskapsrätt får ske under de förutsättningar som anges i den föreslagna lagen, vilken får anses vara en sådan lag som avses i den ovan berörda punkt 5 i artikel 84.
Utlämnande av uppgifter till socialförsäkringsorgan i andra länder sker även på grund av åligganden inom samarbetet inom Europeiska ekonomiska samarbetsområdet (EES) eller i avtal om social trygghet m.m. som Sverige ingått med andra stater. Sådana åligganden kan även omfatta utlämnande av uppgifter till myndigheter eller institutioner inom EU, bl.a. i fråga om personer som är medborgare i tredje land, men därutöver sker naturligtvis utlämnanden av uppgifter till socialförsäkringsorgan i andra länder i stor omfattning. För närvarande har Sverige träffat avtal om social trygghet med cirka 25 länder och om utgivande av sjukvårdsförmåner med 7 länder. Utlämnandet av uppgifter på grund av dessa avtal bör omfattas av de sekundära ändamålen.
Från myndigheterna inom socialförsäkringens administration lämnas även personuppgifter ut för tillgodoseende av behov av underlag för forskning. Med forskning avses här i första hand verksamhet som bedrivs vid institutioner, såsom universitet och högskolor eller privata forskningsinstitut. Även viss annan verksamhet kan i nu berört avseende anses utgöra forskning förutsatt att det finns ett samhällsintresse av att verksamheten bedrivs och att den är vetenskaplig i någon mening. I 9 § andra stycket personuppgiftslagen anges att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ursprungliga ändamål för vilka uppgifterna samlades in. Detta innebär att den s.k. finalitetsprincipen i personuppgiftslagen inte i sig påkallar att utlämnande av uppgifter för tillgodoseende av forskningens behov anges som ett särskilt ändamål. I 19 § personuppgiftslagen anges dessutom vissa materiella regler, bl.a. för behandling av känsliga personuppgifter för forskningsändamål. I prop. 2002/03:50 har föreslagits vissa ändringar i 19 § personuppgiftslagen som innebär att bestämmelserna om behandling av personuppgifter för forskningsändamål skall flyttas över till en särskild lag, lagen om etikprövning av forskning som avser människor, som föreslås träda i kraft den 1 januari 2004. Reglerna i 19 § personuppgiftslagen respektive den föreslagna lagen bör vara tillämpliga i de fall det aktualiseras ett utlämnande av personuppgifter från socialförsäkringens administration för forskningsändamål. Det ter sig därför, med hänsyn till den lagtekniska konstruktionen i den föreslagna lagen med ändamålsrelaterade gränsdragningar bl.a. i fråga om behandling av känsliga personuppgifter, som mindre lämpligt att ange utlämnande av personuppgifter för forskningsändamål som ett särskilt ändamål i den föreslagna lagen.
6.8. Behandling av känsliga personuppgifter m.m.
6.8.1. Personuppgiftslagens regler om känsliga personuppgifter
Huvudregeln är enligt personuppgiftslagen att det är förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.
Det finns emellertid en rad undantag från förbudet mot behandling av känsliga personuppgifter angivna direkt i personuppgiftslagen. Sålunda får sådana uppgifter enligt lagen behandlas med den registrerades uttryckliga samtycke eller när denne offentliggjort uppgifterna på ett tydligt sätt. Känsliga personuppgifter får vidare bl.a. behandlas om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, om det är nödvändigt för att den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke eller om det är nödvändigt för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Förbudet mot att behandla känsliga personuppgifter gäller inte heller när ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandlar personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det. Känsliga personuppgifter får vidare behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller om uppgifterna omfattas av sjukvårdssekretess. Slutligen undantas viss behandling för forsknings- och statistikändamål från förbudet mot behandling av känsliga personuppgifter.
Regeringen eller den myndighet regeringen bestämmer får enligt personuppgiftslagen medge ytterligare undantag från förbudet att behandla känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse. Den 1 oktober 2001 infördes en bestämmelse i 8 § personuppgiftsförordningen (1998:1191) om att känsliga personuppgifter får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Regleringen av behandling av känsliga personuppgifter i personuppgiftslagen följer i princip den motsvarande reglering som återfinns i dataskyddsdirektivet. Direktivet medger att medlemsstaterna, under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse, i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndighet beslutar om andra undantag från förbudet mot behandling av känsliga personuppgifter än dem som anges i personuppgiftslagen. Den nationella lagstiftningen kan således innehålla ytterligare undantag från förbudet mot behandling av känsliga personuppgifter. I punkt 34 i ingressen till direktivet anges bl.a. att ”När det av hänsyn till viktiga allmänna intressen är nödvändigt, måste medlemsstaterna kunna avvika från för-
budet mot att behandla känsliga kategorier av uppgifter på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik.”
6.8.2. Personuppgiftslagens regler om uppgifter om lagöverträdelser m.m.
Det är enligt personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer (Datainspektionen) får dock besluta om undantag från förbudet. Uttrycket ”myndighet” i 21 § första stycket personuppgiftslagen är avsett att ha samma innebörd som i den artikel i direktivet som innehåller motsvarande bestämmelse. Såväl de allmänna försäkringskassorna som Riksförsäkringsverket och Premiepensionsmyndigheten torde vara att anse som myndigheter i personuppgiftslagens mening. Förbudet i personuppgiftslagen mot att behandla personuppgifter om lagöverträdelser omfattar alltså inte något av dessa organ.
6.8.3. Generella regler om behandling av känsliga personuppgifter inom socialförsäkringens administration
Regeringens förslag: Känsliga personuppgifter som avses i 13 § personuppgiftslagen skall få behandlas om de lämnats till en myndighet i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får vidare behandlas för återsökning av vägledande avgöranden eller för något av de sekundära ändamålen om det är nödvändigt med hänsyn till ändamålet.
För informationsverksamhet, behov av underlag för bedömning av rättigheter och skyldigheter, planering, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet. I övrigt får känsliga personuppgifter inte behandlas för de ändamålen om det inte är fråga om behandling av uppgifter i handlingar i ett ärende. Behandling för planering, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får inte ske beträffande andra känsliga personuppgifter än sådana som behandlas eller har behandlats för informationsverksamhet, behov av underlag för bedömning av rättigheter och skyldigheter eller handläggning av ärenden.
I fråga om behandling av känsliga personuppgifter i socialförsäkringsdatabasen skall särskilda begränsningar gälla.
Promemorians förslag: Överensstämmer i huvudsak med regeringens.
Remissinstanserna: Riksförsäkringsverket avstyrker att generella bestämmelser om behandling av känsliga personuppgifter införs med de föreslagna lydelserna. Verkets uppfattning grundas på att verket och försäkringskassorna har behov av att behandla sådana uppgifter i större omfattning än de föreslagna bestämmelserna medger och att förslagen i promemorian innebär att möjligheterna att behandla sådana uppgifter blir mer begränsade än vad som är fallet i nuvarande lagstiftning. Verkets bedömning är att det enligt den föreslagna lagen inte blir möjligt att vid tillsyn av elektroniska akter behandla andra känsliga personuppgifter än uppgifter om hälsa. Även om det vid tillsynen inte finns ett intresse av t.ex. den sexuella läggningen hos en person går det inte att undvika att den sortens uppgifter kommer att behandlas. Även i övrigt har verket behov av att behandla andra känsliga personuppgifter än uppgifter om hälsa. Det är t.ex. mycket möjligt att verket kan få ett uppdrag från regeringen att följa upp om homosexuella föräldrar behandlas annorlunda än andra. Dessutom anser verket att de föreslagna bestämmelserna är mycket svårbegripliga och svårtolkade. De tydliga ändamålsbestämmelserna bör i kombination med gällande sekretessbestämmelser får enligt verkets uppfattning anses utgöra ett tillräckligt skydd för integriteten.
Kammarrätten i Sundsvall anmärker att det är oklart hur dataskyddsdirektivet skall tolkas bl.a. när det gäller registrering av känsliga personuppgifter och innebörden av t.ex. begreppet hälsa. Vidare anser kammarrätten att en analys av i vilken utsträckning en motsvarande behandling som den som föreslås kommer att ske i andra medlemsstater och av i vilken utsträckning uppgifterna kan skyddas vid överföring till andra medlemsstater bör utföras innan lagstiftningen genomförs.
Skälen för regeringens förslag: Begränsningar av möjligheterna att behandla känsliga personuppgifter är ett viktigt inslag i registerförfattningar. I en sådan verksamhet som socialförsäkringen är det emellertid nödvändigt att i viss utsträckning behandla känsliga personuppgifter.
Handläggningen av olika förmånsslag såsom sjukpenning, handikappförmåner etc. måste med nödvändighet innebära behandling av känsliga personuppgifter redan på grund av att själva grunden för en sådan ersättning är en känslig personuppgift, dvs. en personuppgift som rör hälsa.
Övergången från pappersbaserade akter till ärendehanteringssystem (ÄHS) med integrerade elektroniska akter innebär dessutom att alla relevanta uppgifter, handlingar och all information i övrigt i ett ärende kommer att behandlas automatiserat. Alla inkomna handlingar i ett ärende läses i ett sådant system in genom s.k. skanning och lagras elektroniskt för den aktuella försäkringskassans räkning. Eftersom det naturligtvis inte är möjligt för den handläggande personalen att påverka innehållet i de handlingar som ges in eller att radera ut eventuella känsliga personuppgifter från de elektroniskt lagrade inkomna handlingarna måste det vara tillåtet att behandla sådana känsliga personuppgifter som lämnats i ett ärende.
Även försäkringskassans beslut, tjänsteanteckningar och andra handlingar upprättas och lagras i den elektroniska akten. Det är omöjligt att i detalj förutse vilka känsliga personuppgifter som det kan bli nödvändigt att behandla vid upprättandet av dessa typer av elektroniska handlingar.
Däremot kan det med säkerhet sägas att det i många fall kommer att föreligga behov av behandling av sådana uppgifter. Detta innebär att det i sådana sammanhang i viss utsträckning måste vara tillåtet att behandla sådana uppgifter. Här föreslås att känsliga personuppgifter skall få behandlas inom socialförsäkringsadministrationen om de är nödvändiga för handläggningen av ett ärende.
En följd härav är också att det vid utövande av tillsyn måste vara möjligt att i ett tillsynsärende behandla alla typer av uppgifter eftersom sådan tillsyn regelmässigt innebär att akter i ärenden granskas. Som Riksförsäkringsverket påtalat innebär förslaget i promemorian att det vid tillsyn inte skulle vara möjligt att behandla andra känsliga uppgifter än uppgifter om hälsa. Eftersom de elektroniska akterna kan innehålla alla slags känsliga uppgifter är enligt regeringens uppfattning en sådan begränsning inte lämplig.
Även när det gäller verksamhet i övrigt inom socialförsäkringens administration föreligger emellertid behov av att behandla sådana känsliga personuppgifter som rör hälsa. Vid en närmare eftertanke kan detta tyckas vara en självklarhet när det är fråga om ett system som bl.a. omfattar den allmänna offentliga sjukförsäkringen och ett antal olika förmåner med inriktning på funktionshindrade.
Det ankommer på såväl Riksförsäkringsverket som de allmänna försäkringskassorna att analysera utvecklingen inom de olika förmånsslagen, särskilt sjukförsäkringen. Detta förutsätter en omfattande kartläggande verksamhet, som med nödvändighet måste omfatta behandling av personuppgifter. Att ta informationstekniken i anspråk för sådana uppgifter utgör en självklar del av modern förvaltning.
Under de senaste åren har utvecklingen inom sjukförsäkringen också tagit en sådan vändning att det framstår som synnerligen motiverat att vidta kraftfulla åtgärder mot den ökade ohälsan. Detta förutsätter en ingående kunskap om hur utvecklingen faktiskt ser ut. Den nuvarande ordningen i socialförsäkringsregisterlagen har emellertid ansetts utgöra ett hinder för detta.
Förutsättningar måste skapas för ett arbetsliv som i större utsträckning än i dag kan vidmakthålla hälsa och lust att kvarstå i arbetslivet hos den enskilda människan. Arbetslivet, men även människans totala livssituation, den enskildes fysiska och psykosociala förutsättningar samt hälso- och sjukvårdens funktionssätt är exempel på faktorer som kan förklara sjukskrivningarna i de fall där det inte finns en avgränsad tydlig sjukdomsdiagnos. Sjukskrivningen är ofta en process där flera faktorer samverkar på ett sätt som är negativt för den enskilde individen. För att komma till rätta med detta krävs ett utvecklat analysarbete på olika nivåer som kan ligga till grund för relevanta åtgärder från samhällets sida.
I sitt delbetänkande (SOU 2000:72) konstaterade Sjukförsäkringsutredningen följande. ”Avsaknaden av väsentliga data och bristen på enhetlighet i befintliga data gör att det idag inte finns förutsättningar för en övergripande och fortlöpande analys av sjukfrånvaron och dess orsaker. Utredningen finner det ytterst angeläget att ett så samhällsekonomiskt betydelsefullt område som sjukfrånvaron med dess konsekvenser för individer, produktion och ekonomi blir föremål för en fortlöpande heltäckande systematisk analys och uppföljning. Riksförsäkringsverket bör därför få möjlighet att komplettera sitt sjukdataregister med uppgifter avse-
ende diagnoser, intygsskrivande läkare, arbetsställen och yrken. Vi förutsätter att detta kan ske utan att den enskildes integritet hotas.”
Sjukförsäkringsutredningen uppdrog åt Riksförsäkringsverket att kartlägga och redovisa vilka data som skulle erfordras för en fortlöpande och heltäckande systematisk analys av sjukfrånvaron. Kartläggningen visade att hinder i lagstiftningen för behandling av relevanta personuppgifter endast föreligger när det gäller uppgifter om diagnoser och intygsskrivande läkare. I båda fallen var hindret förbudet mot behandling av känsliga personuppgifter som rör hälsa som angetts i 7 § socialförsäkringsregisterlagen. Övriga uppgifter avseende individ, arbetsplats, åtgärder etc. får enligt Riksförsäkringsverkets bedömning behandlas redan inom ramen för nuvarande lagstiftning.
Även utredningen Handlingsplan för ökad hälsa i arbetslivet (S 2000:07) har i sitt betänkande Handlingsplan för ökad hälsa i arbetslivet SOU 2002:5 påtalat behovet av förbättrade möjligheter till statistisk analys och uppföljning av utvecklingen av sjukfrånvaron. Utredningen noterar att ett välfungerande informationssystem är av stor vikt för såväl övergripande analys som ärendehandläggning, styrning och ledning av verksamheten inom försäkringskassorna. Utredningen hänvisar också till Sjukförsäkringsutredningens förslag angående förutsättningarna att få registrera diagnos och sjukskrivande läkare samt förslaget om den statistiska uppföljningen av sjukfrånvaro under sjuklöneperioden.
Regeringen har i sitt 11-punktsprogram för ökad hälsa i arbetslivet, som presenterats i budgetpropositionen för 2002 (2001/2002:1), berört frågan om behov av förbättrad analys. I en särskild punkt, 10. Förbättrad statistik och forskning på ohälsoområdet, konstaterar regeringen bl.a. att kunskaperna om sjukskrivningsprocessens orsaker, samband och konsekvenser behöver förbättras. Det finns därför enligt regeringen behov av mer utvecklad forskning och bättre statistik. Det är viktigt att utvecklingen av den arbetsrelaterade ohälsan följs upp och utvärderas.
I linje med detta har regeringen uppdragit åt en särskild utredare att lämna förslag till utformningen och den närmare inriktningen av en analysgrupp inom området hälsa och ohälsa i arbetslivet. Enligt direktiven (dir. 2002:4) skall utredningen, som antagit namnet Utredningen (2002:1) om Analys av Hälsa och Arbete (AHA-utredningen) bl.a. redogöra för hur det framtida systemet för produktion av sjukförsäkringsstatistik bör utformas för att detta skall kunna uppfylla kraven på ett tillfredsställande instrument för uppföljning och analys av sjukfrånvarons utveckling och bedömning av olika åtgärders effektivitet.
AHA-utredningen har i delbetänkandet Kunskapsläge sjukförsäkringen (SOU 2002:62) lämnat förslag till har det framtida systemet för produktion av sjukförsäkringsstatistik skall utformas. Utredningen delar de analyser som Sjukförsäkringsutredningen (S 1999:11) och Utredningen om Ökad Hälsa i Arbetslivet HpH (S 2000:07) gjort och föreslår att registerlagstiftningen för socialförsäkringens administration ändras så att en förbättrad statistik kan läggas till grund för uppföljning och prognosarbete och användas som arbetshjälpmedel för försäkringskassornas ledning, uppföljning och handläggning.
Den enskilde bör särskilt när det gäller behandling av känsliga personuppgifter tillförsäkras en sfär som skyddas mot otillbörligt intrång från myndigheter och andra som kan uppfattas som utomstående. Samtidigt
måste dock den enskilde godta viss behandling av sådana uppgifter, framför allt från samhällets sida, när andra intressen, som av samhället bedöms som totalt sett viktigare, kräver det. När det kan vara aktuellt att behandla känsliga personuppgifter måste således en avvägning göras mellan den enskildes rätt till personlig integritet och motstående intressen såsom det allmännas behov av information och de för den registrerade positiva effekter som kan följa av en behandling av känsliga personuppgifter.
Nu gällande lagstiftning medger behandling av sådana uppgifter om hälsa som diagnos inom ramen för den officiella statistiken. Däremot är det inte tillåtet att behandla uppgifter om diagnos för lokal och regional uppföljning inom socialförsäkringens administration, vilket uppenbarligen kan vara till men för den registrerade själv i de fall ett förbud mot behandling av känsliga personuppgifter motverkar en effektiv rehabilitering. Den utveckling inom sjukförsäkringen som redovisats i förening med de möjligheter till analys och uppföljning som informationstekniken innebär talar starkt för att sådana till buds stående möjligheter bör utnyttjas för att ligga till grund för verkningsfulla åtgärder i syfte att motverka den negativa utvecklingen inom ohälsoområdet. Sådana åtgärder är värdefulla för såväl enskilda individer som samhället i dess helhet.
En tanke bakom den reglering av integritetsskyddet som dataskyddslagstiftningen innebär, är att motverka risken för att omfattande sammanställningar med integritetskänsliga personuppgifter med relativt enkla åtgärder kan tillskapas och/eller spridas för oegentliga syften. Integritetsintresset kan dock aldrig medföra ett absolut hinder för sammanställningar av integritetskänsliga uppgifter i ett utvecklat samhälle. Ett utvecklat välfärdssystem förutsätter att integritetskänsliga uppgifter måste kunna behandlas för olika syften. I detta sammanhang måste också vägas in att det i regel är endast ett begränsat antal personer som kan komma att få tillgång till sammanställningar av sådant slag att individerna som avses kan identifieras.
Naturligtvis måste en registerlag för socialförsäkringens administration innehålla begränsningar för behandling av känsliga personuppgifter. Känsliga personuppgifter skall få behandlas om de lämnats till en myndighet i ett ärende eller är nödvändiga för handläggning av ett ärende, varmed avses även ett tillsynsärende. I dessa fall ger alltså den föreslagna lagen utrymme för att behandla samtliga kategorier av känsliga personuppgifter. I fråga om behandling för återsökning av vägledande avgöranden, som innefattar tillhandahållande av referat av vägledande domar och beslut, måste naturligtvis en motsvarande ordning gälla eftersom referaten i fråga måste kunna lagras och återges utan andra begränsningar än att i dokumenten berörda inte skall vara direkt identifierbara.
Riksförsäkringsverket har gjort gällande att behov föreligger av att kunna behandla även andra känsliga personuppgifter än uppgifter som rör hälsa för övriga primära ändamål såsom underlag för bedömning av rättigheter och skyldigheter, planering, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller framställning av statistik.
Emellertid måste enligt regeringens uppfattning sådana behov vägas mot integritetsintresset i en noggrann analys innan det kan komma i fråga att i lagstiftningen öppna för sådana behandlingar. I likhet med den bedömning som redovisades i promemorian finner regeringen att det för närva-
rande inte föreligger tillräckliga skäl för att utöka möjligheterna till behandling av känsliga personuppgifter på det sätt verket efterfrågat. I fråga om det av verket påtalade behovet av behandling av uppgifter för tillsyn delar dock regeringen verkets uppfattning. I fråga om ärenden som gäller tillsyn bör därför göras ett undantag. Integritetsskyddet bör således upprätthållas genom att utrymmet för behandling av känsliga personuppgifter i verksamhet som omfattas av de primära ändamålen i övrigt begränsas så, att endast sådana känsliga personuppgifter som rör hälsa får behandlas och endast i den utsträckning det är nödvändigt för sådan verksamhet som anges i de i lagen intagna ändamålen. Detta innebär att behandling av uppgifter som rör hälsa måste vara nödvändig för något av de i lagen angivna ändamålen. Ändamålen utgör således en ram för behandlingen av känsliga uppgifter.
Samtidigt möjliggörs härigenom behandling av uppgifter som rör hälsa i den mån det behövs för sådana angelägna analys- och uppföljningsändamål som berörts ovan. Som redovisats ovan torde även en sådan reglering som omfattar behandling av känsliga personuppgifter inom socialförsäkringsområdet ligga inom ramen för vad dataskyddsdirektivet medger.
Emellertid bör inte känsliga personuppgifter få samlas in enbart för behandling för planering, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik. Som ytterligare begränsning bör därför gälla att behandling för planering, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får inte ske beträffande andra känsliga personuppgifter än sådana som behandlas eller har behandlats för informationsverksamhet, behov av underlag för bedömning av rättigheter och skyldigheter eller handläggning av ärenden. Tillsynsärenden faller emellertid in under ändamålet handläggning av ärenden. I sådana fall kan alltså känsliga personuppgifter behandlas utan att de dessförinnan behandlats för något annat ändamål.
Vid behandling enligt de sekundära ändamålen måste ofta känsliga personuppgifter kunna behandlas. Det är inte möjligt att i detalj reglera alla de olika typer av utlämnanden som omfattas av de sekundära ändamålen. De olika typerna av utlämnanden som omfattas av de sekundära ändamålen grundas emellertid alltid på antingen i olika författningar intagna regler om utlämnande av uppgifter eller åtaganden som Sverige gjort inom ramen för internationellt samarbete. I dessa fall kan avvägning med hänsyn till integritetsintresset sägas ha skett redan vid tillkomsten av de olika bakomliggande författningarna eller åtagandena. Med hänsyn härtill framstår det som tillräckligt med en mer allmänt formulerad regel om i vilka fall känsliga personuppgifter får behandlas vid behandling enligt de sekundära ändamålen. Vid behandling som omfattas av något av de sekundära ändamålen skall således känsliga personuppgifter få behandlas om det är nödvändigt med hänsyn till ändamålet i fråga.
De ovan beskrivna begränsningarna för behandling av känsliga uppgifter föreslås gälla generellt vid alla behandlingar av personuppgifter som omfattas av den föreslagna lagens tillämpningsområde. I fråga om behandling av känsliga personuppgifter i socialförsäkringsdatabasen skall gälla ytterligare särskilda begränsningar.
Lagrådet har påtalat att förslaget till lagtext om den generella regleringen av behandling av känsliga personuppgifter i lagrådsremissen är svårläst. Till följd av Lagrådets synpunkter föreslås en annan lydelse, vars utformning även skett med hänsyn till Lagrådets ovan redovisade synpunkter om behovet av förtydligande vad avser ändamålet handläggning av ärenden.
Enligt regeringens bedömning är den utformning som de föreslagna reglerna om begränsningar för behandling av känsliga personuppgifter fått, fullt förenlig med dataskyddsdirektivet.
Hänvisningar till S6-8-3
- Prop. 2002/03:135: Avsnitt 8
6.8.4. Generella regler om behandling av uppgifter om lagöverträdelser m.m. inom socialförsäkringens administration
Regeringens förslag: Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen skall få behandlas om de lämnats till en myndighet i ett ärende eller är nödvändiga för handläggning av ett ärende. Sådana uppgifter får även behandlas för återsökning av vägledande avgöranden eller för något av de sekundära ändamålen om det är nödvändigt med hänsyn till ändamålet.
För informationsverksamhet, behov av underlag för bedömning av rättigheter och skyldigheter, planering, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får sådana uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen behandlas som ligger inom ramen för vad som får behandlas i socialförsäkringsdatabasen. I övrigt får sådana uppgifter inte behandlas för de ändamålen om det inte är fråga om behandling av uppgifter i handlingar i ett ärende. Behandling för planering, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller framställning av statistik får inte ske beträffande andra sådana uppgifter än dem som behandlas eller har behandlats för informationsverksamhet, behov av underlag för bedömning av rättigheter och skyldigheter eller handläggning av ärenden
I fråga om behandling av personuppgifter i socialförsäkringsdatabasen skall gälla särskilda begränsningar i fråga om uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen.
Promemorians förslag: Överensstämmer i huvudsak med regeringens.
Remissinstanserna: Riksförsäkringsverket avstyrker att generella bestämmelser om behandling av uppgifter om lagöverträdelser m.m. införs med de föreslagna lydelserna. Verkets uppfattning grundas på att verket och försäkringskassorna har behov av att behandla sådana uppgifter i större omfattning än de föreslagna bestämmelserna medger. Det kan förutsättas att verket och försäkringskassorna kommer att ha behov av att behandla uppgifter om lagöverträdelser i arbetet med att bekämpa fusk och missbruk inom socialförsäkringen. Dessutom anser verket att de föreslagna bestämmelserna är mycket svårbegripliga och svårtolkade. De tydliga ändamålsbestämmelserna bör i kombination med gällande sekretessbestämmelser anses utgöra ett tillräckligt skydd för integriteten.
Skälen för regeringens förslag: Det är en huvudregel i socialförsäkringsregisterlagen att personuppgifter om lagöverträdelser som innefattar brott m.m. inte får registreras i socialförsäkringsregister. Socialförsäkringsregisterlagen innebär alltså en inskränkning i förhållande till vad som gäller enligt personuppgiftslagen, eftersom restriktionerna i den lagen för behandling om uppgifter om lagöverträdelser som innefattar brott m.m. enbart omfattar andra än myndigheter.
I vissa särskilt angivna fall medges dock nödvändiga undantag från huvudregeln i socialförsäkringsregisterlagen om begränsningar för registrering av den aktuella typen av uppgifter, dels i en i lagen intagen en lista olika typer av uppgifter som får registreras, dels undantas särskilt vissa angivna typer av uppgifter som intagits i beslut eller domar i anledning av socialförsäkringsärenden. Slutligen finns också en undantagsregel som tar sikte på s.k. elektroniska akter.
Det framstår enligt regeringens uppfattning som motiverat att även i den här föreslagna lagen ha vissa begränsningar i fråga om behandling av personuppgifter om lagöverträdelser.
Uppgifter om lagöverträdelser avses i 21 § personuppgiftslagen föreslås få behandlas om de lämnats till en myndighet i ett ärende eller är nödvändiga för handläggning av ett ärende. Liksom i fråga om känsliga personuppgifter måste dessutom sådana uppgifter kunna behandlas i tillsynsärenden om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende.
För informationsverksamhet, behov av underlag för bedömning av rättigheter och skyldigheter, planering, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik skall emellertid i fråga om uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen en generell begränsning gälla motsvarande de särskilda begränsningarna för behandling av sådana uppgifter i socialförsäkringsdatabasen. Enligt regeringens uppfattning innebär detta emellertid att vissa möjligheter finns att tillgodose de behov av behandlingar som Riksförsäkringsverket påtalat när det gäller att bekämpa fusk eller missbruk inom socialförsäkringen. Det är emellertid av vikt att sådana möjligheter endast tillskapas med beaktande av integritetsintresset.
Behandling av uppgifter om lagöverträdelser för planering, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik skall inte få ske beträffande andra sådana uppgifter än dem som behandlas eller har behandlats för informationsverksamhet, behov av underlag för bedömning av rättigheter och skyldigheter eller handläggning av ärenden
Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen skall få behandlas för återsökning av vägledande avgöranden eller för något av de sekundära ändamålen om det är nödvändigt med hänsyn till ändamålet.
Lagrådet har påtalat att förslaget till lagtext om den generella regleringen av behandling av uppgifter om lagöverträdelser m.m. i lagrådsremissen är svårläst. Till följd av Lagrådets synpunkter föreslås en annan lydelse, vars utformning även skett med hänsyn till Lagrådets ovan redovisade synpunkter om behovet av förtydligande vad avser ändamålet handläggning av ärenden.
Hänvisningar till S6-8-4
- Prop. 2002/03:135: Avsnitt 8
6.9. Behandling av personuppgifter i socialförsäkringsdatabasen
Hänvisningar till S6-9
- Prop. 2002/03:135: Avsnitt 8
6.9.1. Endast personuppgifter som är relevanta för de primära ändamålen bör ingå i socialförsäkringsdatabasen
Regeringens förslag: I socialförsäkringsdatabasen skall endast sådana personuppgifter få behandlas som avser personer som omfattas eller har omfattats av verksamhet enligt de primära ändamålen eller om vilka uppgifter på annat sätt är nödvändiga för handläggningen av ett ärende.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har särskilt kommenterat förslaget.
Skälen för regeringens förslag: En begränsning som bör gälla för behandling av personuppgifter i socialförsäkringsdatabasen är, att endast de personer om vilka uppgifter finns som på något sätt är relevanta för de primära ändamålen bör förekomma. Därför föreslås att i socialförsäkringsdatabasen får personuppgifter behandlas endast om uppgifterna gäller sådana personer som omfattas eller har omfattats av verksamhet enligt de primära ändamålen eller om vilka uppgifter på annat sätt behövs för handläggningen av ett ärende.
Denna begränsning är ett uttryck för ett grundläggande krav på integritetsskydd, som innebär att behandling av personuppgifter inte skall få ske utan att det finns något godtagbart skäl för detta. Den föreslagna regeln anknyter till reglerna i 9 § personuppgiftslagen om att den personuppgiftsansvarige skall se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, men torde samtidigt i sig innebära en precisering av vad som gäller inom socialförsäkringens administration. Vidare medför begränsningen att det för den enskilde är lättare att konstatera om han eller hon kan eller bör vara registrerad i databasen. En motsvarighet med ett något annorlunda sakligt innehåll återfinns i 5 § socialförsäkringsregisterlagen.
Hänvisningar till S6-9-1
- Prop. 2002/03:135: Avsnitt 5
6.9.2. En regel om behandling av vissa kategorier av uppgifter i socialförsäkringsdatabasen
Regeringens förslag: En särskild regel skall klargöra att för de ändamål som är tillåtna enligt den föreslagna lagen skall – med beaktande av vissa begränsningar – identifierings- och adressuppgifter få behandlas i socialförsäkringsdatabasen.
Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) skall endast få behandlas i socialförsäkringsdatabasen i de fall de finns i en handling som upprättats i ett ärende och är nödvändiga för ärendets handläggning eller i en handling som kommit in i ett ärende eller om det särskilt anges i lag eller förordning.
Regeringen eller den myndighet regeringen bestämmer skall dessutom få meddela föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen.
Promemorians förslag: Överensstämmer delvis med regeringens. I promemorian har föreslagits att det i lagen skall tas in en detaljerad uppräkning av uppgiftskategorier av uppgifter som skall få behandlas i socialförsäkringsdatabasen och att uppräkningen skall kunna kompletteras genom andra bestämmelser i lag eller förordning som överensstämmer i princip med regeringens. Vidare har i promemorian föreslagits att det i lagen skall anges en upplysning om att regeringen eller den myndighet regeringen bestämmer meddelar verkställighetsföreskrifter.
Remissinstanserna: Riksförsäkringsverket avstyrker den föreslagna ordningen med begränsningar för behandling av vissa uppgifter och en uppräkning av olika uppgiftskategorier som får behandlas i socialförsäkringsdatabasen. Det finns enligt verket en uppenbar risk för att denna kommer att skapa oklarhet och osäkerhet kring vilka uppgifter som får behandlas. Verket anser att det är fullt tillräckligt att i lagen på ett mer övergripande sätt begränsa möjligheterna att behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Det tydliga angivandet av ändamål för behandling av personuppgifter innebär en begränsning i sig. Detta överensstämmer dessutom betydligt bättre med den lagstiftningsteknik som har använts inom andra verksamhetsområden som socialtjänsten, kriminalvården eller arbetsmarknadspolitiken. Datainspektionen avstyrker att uppgifter om diagnos skall få behandlas på samma sätt som andra uppgifter i socialförsäkringsdatabasen. Samtidigt har Datainspektionen förståelse för att uppgifter om diagnos kan behöva behandlas för att komma till rätta med problemen på ohälsoområdet. Enligt inspektionens uppfattning bör det närmare anges i vilken omfattning uppgifter om diagnos skall få förekomma, exempelvis genom att regeringen närmare preciserar i vilka situationer uppgifter om diagnos skall få behandlas. Om det öppnas upp för ett ökat användande av uppgifter om diagnos måste man på nytt överväga om den svaga sekretess som gäller på socialförsäkringsområdet är tillräcklig jämfört med sekretessen på hälso- och sjukvårdsområdet. Premiepensionsmyndigheten gör gällande att bestämmelsen i den föreslagna lagen om ett antal uppgiftskategorier som får behandlas bör kompletteras med uppgiftskategorierna tillgodohavande, fondfördelning, efterlevandeskydd, val av traditionell försäkring samt utbetalningsinformation. Även om det anges att uppräkningen i bestämmelsen inte är uttömmande framgår det inte klart om samtliga dessa kategorier kan anses innefattade i begreppet ekonomiska förhållanden. Arbetsmarknadsstyrelsen anför att förslaget till lagtext bör ändras med hänsyn till att förordningen (1996:1100) om aktivitetsstöd har ändrats. Arbetsmiljöverket noterar med tillfredsställelse att det i promemorian föreslås att uppgifter om diagnoser, arbetsställen, yrken och branscher där de registrerade är verksamma skall få behandlas. Sådana kompletteringar öppnar för goda utvecklingsmöjligheter vad beträffar samverkan mellan verket och Riksförsäkringsverket när det gäller samverkan i syfte att uppnå en effektivare användning av tillgängliga resurser inom rehabiliteringsområdet. Östergötlands läns allmänna försäkringskassa anser att regeringen eller den myndighet regeringen bestämmer skall ges möjlighet att komplettera den i lagen intagna uppräkningen av olika kategorier av uppgifter som får behandlas.
Skälen för regeringens förslag: Behandling av personuppgifter i socialförsäkringsdatabasen kännetecknas av att åtkomsten till uppgifterna
inte är förbehållen ett fåtal personer. I vissa fall kan ett relativt stort antal personer komma att ta del av en enskild uppgift. Enligt regeringens uppfattning påkallar det särskilda begränsningar när det gäller behandling av känsliga personuppgifter och sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen. Det är alltså i fråga om socialförsäkringsdatabasen inte tillräckligt att, såsom föreslagits av Riksförsäkringsverket, endast på ett mer övergripande sätt begränsa möjligheterna att behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Av integritetsskyddsskäl föreslås därför en begränsningsregel som innebär att känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) endast skall få behandlas i socialförsäkringsdatabasen i de fall de finns i en handling som upprättats i ett ärende och är nödvändiga för ärendets handläggning eller i en handling som kommit in i ett ärende eller om det särskilt anges i lag eller i förordning.
Lagrådet har anfört att det är svårt att av en sådan regel som föreslagits i remissen, med en detaljerad uppräkning av kategorier som skall vara tillåtna att behandla i socialförsäkringsdatabasen, sluta sig till att uppräkningen inte är uttömmande på det sätt som avsetts enligt vad som förutsatts i remissen. Lagrådet framhåller även att det från rättssystematisk utgångspunkt är inkonsekvent och främmande att i en författning som kan sägas vara ramlagsbetonad foga in en så starkt detaljpräglad reglering. Regeringen föreslår mot bakgrund av Lagrådets synpunkter att den föreslagna uppräkningen av kategorier av personuppgifter som skall få behandlas i socialförsäkringsdatabasen lyfts bort från lagtexten och i stället tas in i förordning. Vid en sådan utformning av regleringen uppkommer inte den problematik som Lagrådet påtalat.
Genom den föreslagna lösningen uppnås ett integritetsskydd som i princip motsvarar vad som gäller enligt socialförsäkringsregisterlagen.
Eftersom förslaget samtidigt innebär att känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får behandlas i socialförsäkringsdatabasen om det särskilt medges i lag eller förordning öppnas dock en möjlighet för regeringen att i en förordning medge att sådana kategorier av uppgifter får behandlas. En sådan möjlighet att komplettera lagstiftningen med medgivanden att behandla känsliga personuppgifter m.m. i socialförsäkringsdatabasen är nödvändig med hänsyn till de stora svårigheter som föreligger för att i ett lagstiftningsärende i förväg fullständigt bedöma behovet av behandling av sådana uppgifter. Möjligheten att i föreskrifter medge att ytterligare kategorier av uppgifter får behandlas bör inte delegeras till myndighetsnivå. Självklart gäller att de generella begränsningar som gäller för behandlingen av sådana uppgifter inom socialförsäkringens administration måste beaktas vid utarbetandet av sådana förordningar som avses.
Regeringen eller den myndighet regeringen bestämmer bör dock få meddela föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen. Regeringen delar Lagrådets uppfattning att den i remissen föreslagna upplysningen i lagtexten om att regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter i fråga om vilka uppgifter som får behandlas, bör utgå.
Hänvisningar till S6-9-2
- Prop. 2002/03:135: Avsnitt 8
6.9.3. En särskild regel om inkomna respektive upprättade handlingar i ärenden
Regeringens förslag: Uppgifter i en handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204). Sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning.
Promemorians förslag: Överensstämmer i princip med regeringens, dock har i promemorian föreslagits en annorlunda utformning av lagtexten.
Remissinstanserna: Ingen av remissinstanserna har särskilt kommenterat förslaget.
Skälen för regeringens förslag: Lagrådet har anfört att den i remissen föreslagna bestämmelsen har utformats så att den kommit att innehålla regler om vilka uppgifter handlingar i ett ärende får innehålla. Eftersom sådana regler inte hör hemma i en lag som den nu aktuella, föreslår
Lagrådet att den ifrågavarande paragrafen utformas så att den inte reglerar annat än frågan om behandling av uppgifter i handlingar i ett ärende. Regeringen instämmer i Lagrådets bedömning och föreslår därför en särskild bestämmelse om att uppgifter i handlingar som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör känsliga personuppgifter eller sådana uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen. Vidare föreslås att sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen om uppgifterna är nödvändiga för ärendets handläggning.
Hänvisningar till S6-9-3
- Prop. 2002/03:135: Avsnitt 8
6.9.4. Behörighet för behandling av personuppgifter
Regeringens förslag: Tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen skall inom socialförsäkringens administration ske genom en särskild handling i enlighet med vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer. Behörighet för åtkomst till socialförsäkringsdatabasen skall alltid vara begränsad till den åtkomst till uppgifter som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter.
Promemorians förslag: Innebar att tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen endast skulle ske skriftligen. Den som tilldelas sådan behörighet skulle vidare skriftligen informeras om gränserna för behörigheten.
Remissinstanserna: Riksförsäkringsverket är mycket positivt till att en reglering om tilldelning av behörighet införs i lagen eftersom detta är ett viktigt område. Verket delar uppfattningen att det är angeläget att tilldelning av behörighet dokumenteras, men avstyrker att sättet att tilldela behörighet regleras i lag eftersom det bör finnas möjlighet att tilldela behörighet på andra sätt än med pappersdokument. Statskontoret delar uppfattningen att tilldelning av behörighet bör ske på ett kontrollerat sätt,
men ifrågasätter att tilldelningen bör dokumenteras och meddelas på papper. Det bör enligt verkets mening vara fullt möjligt att på ett tillräckligt säkert och beständigt sätt både dokumentera tilldelningen elektroniskt och meddela berörd handläggare om hennes tilldelning elektroniskt. Verket avstyrker därför förslaget att behörighet måste tilldelas och meddelas på papper. Vidare ifrågasätter verket att det i promemorian använda uttrycket ”skriftligen” är lämpligt för att uttrycka att något skall ske på papper eftersom det finns olika uppfattningar om innebörden av skriftlighetsbegreppet. Försäkringskasseförbundet, Hallands läns allmänna försäkringskassa och Östergötlands läns allmänna försäkringskassa är positiva till regleringen av tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen. Kraven på skriftlig tilldelning och skriftlig information är bra och kommer att öka medvetenheten bland handläggarna på försäkringskassan. Förbundet anser också att det är viktigt att behörigheten för åtkomst till socialförsäkringsdatabasen alltid skall begränsas till den åtkomst till uppgifter som behövs för att handläggaren skall kunna fullgöra sina arbetsuppgifter. Centrala studiestödsnämnden föreslår att det av den föreslagna lagen tydligt skall framgå att bestämmelserna om tilldelning av behörighet inte skall gälla i fråga om handläggare av studiestödsärenden hos Centrala studiestödsnämnden som har direktåtkomst till socialförsäkringsdatabasen.
Skälen för regeringens förslag: Regeringen instämmer i den i promemorian redovisade bedömningen, som även delas av samtliga remissinstanser som uttalat sig i frågan, att tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen bör regleras särskilt i den föreslagna lagen.
Den som anställs vid en myndighet inom socialförsäkringens administration eller på annan grund utför arbete inom denna myndighetssfär bör av naturliga skäl inte av arbetsgivaren/uppdragsgivaren medges obegränsad tillgång till alla uppgifter och handlingar som behandlas i socialförsäkringsdatabasen. Det krävs således att arbetsgivaren/uppdragsgivaren aktivt tar ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag innebär och tilldelar honom eller henne behörighet till databasen härefter.
I detta sammanhang är även straffbestämmelsen om dataintrång i 4 kap. 9 c § brottsbalken av betydelse. Enligt nämnda bestämmelse kan bl.a. den som olovligen bereder sig tillgång till upptagning för automatisk databehandling under vissa förutsättningar dömas för dataintrång till böter eller fängelse i högst två år. Bestämmelsen förutsätter inte att den som olovligen berett sig tillgång till en upptagning haft något särskilt syfte med intrånget för att gärningen skall vara straffbar. Vad som beläggs med straff är alltså bl.a. själva intrånget i en upptagning. Avgörande för huruvida någon anställd eller av annan anledning verksam inom socialförsäkringens administration kan bedömas ha olovligen berett sig tillgång till exempelvis socialförsäkringsdatabasen torde vara om det skett inom ramen för dennes behörighet, dvs. den rättsligt betingade rättigheten att ta del av uppgifter, eller ej (se RH 2000:90). Redan detta förhållande talar för att tilldelningen av behörighet bör ske under sådana former att det otvetydigt kan konstateras dels vilken behörighet som tilldelats en person, dels att denne faktiskt tagit del av och förstått innebör-
den av beslutet om tilldelning av behörighet och de däri angivna ramarna för behörigheten.
Med hänsyn härtill och till omfattningen av integritetskänsliga uppgifter i socialförsäkringsdatabasen bör tilldelningen av behörighet alltså omgärdas av vissa i lag intagna regler. En rimlig utgångspunkt bör vara att ingen bör medges åtkomst till socialförsäkringsdatabasen utan att det tydligt klargjorts för honom eller henne var de rättsligt betingade gränserna för åtkomsten går. Ett av olika tänkbara sätt att säkerställa detta är att tilldelningen av behörighet, såsom föreslagits i promemorian, endast får ske genom ett traditionellt pappersdokument. Ett sådant förfarande innebär att de ramar för behörigheten som arbetsgivaren/uppdragsgivaren ställt upp dokumenteras på ett säkert sätt och att den som tilldelats behörighet ges rimlig möjlighet att för egen del ta del av var gränserna går för behörigheten. Såväl Riksförsäkringsverket som Statskontoret har emellertid anfört att detta även kan tillgodoses vid tilldelning av behörighet i andra former, exempelvis genom en elektronisk handling. Regeringen delar denna bedömning och anser att reglerna om tilldelning av behörighet bör möjliggöra ett sådant förfarande. Det i promemorian ställda kravet på skriftlighet bör därför, bl.a. mot bakgrund av Statskontorets synpunkter angående användningen detta begrepp, inte kvarstå. I stället bör det mer teknikneutrala begreppet ”handling” användas för det dokument genom vilket behörighet tilldelas och de närmare gränserna för behörigheten preciseras. Härigenom möjliggörs användning av såväl ett pappersbundet förfarande som ett förfarande med elektroniska handlingar. Samtidigt medför ett införande av tilldelning av behörighet genom elektroniska handlingar att särskilda överväganden måste göras, bl.a. angående kraven på dokumentation av identifieringen av den som tilldelas en behörighet. Föreskrifter om sådana krav bör lämpligen ges i annan form än lag. Det bör därför överlåtas till regeringen eller den myndighet regeringen bestämmer att närmare föreskriva formerna för tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen.
I klargörande syfte bör det även i den föreslagna lagen föreskrivas att behörighet för åtkomst till socialförsäkringsdatabasen skall begränsas av den myndighet som tilldelar behörighet till den åtkomst till uppgifter som behövs för den enskildes fullgörande av sina arbetsuppgifter. Det förhållandet att en tjänsteman genom tilldelning av ett tjänstekort som används för identitetskontroll (kan i vissa sammanhang benämnas behörighetskort) vid användning av en dator eller på annat sätt getts vida faktiska möjligheter till åtkomst till uppgifter i socialförsäkringsdatabasen, saknar med hänsyn till denna regel betydelse för huruvida en åtkomst sker olovligen eller ej. Det är tjänsteåliggandena som ger den yttersta ramen för den egentliga behörigheten.
Regeringen delar Centrala studiestödsnämndens uppfattning att det av den föreslagna lagen tydligt skall framgå att bestämmelserna om tilldelning av behörighet inte skall gälla i fråga om handläggare av studiestödsärenden hos Centrala studiestödsnämnden som har direktåtkomst till socialförsäkringsdatabasen. Regeln om att behörigheten skall begränsas till vad som behövs för att den till vilken behörighet ges skall kunna fullgöra sina arbetsuppgifter gäller dock givetvis alla som får direktåtkomst till socialförsäkringsdatabasen, dvs. även handläggare hos Centrala studiestödsnämnden.
Hänvisningar till S6-9-4
- Prop. 2002/03:135: Avsnitt 8
6.10. Direktåtkomst
6.10.1. Särskilda regleringar av utlämnande av uppgifter i registerlagstiftning
I registerlagstiftning finns ofta bestämmelser som syftar till att reglera om och i vilka fall personuppgifter som behandlas hos myndigheter får lämnas ut i elektronisk form till andra myndigheter eller enskilda. Allmänt sett föreligger ofta relativt omfattande begränsningar för sådant utlämnande med hänsyn till de integritetsrisker som typiskt sett kan uppkomma vid omfattande utlämnanden av uppgifter i personregister etc. Som utvecklas närmare i det följande används i den aktuella typen av lagstiftning ofta begreppen direktåtkomst och utlämnande på medium för automatiserad behandling.
Med direktåtkomst avses att den som använder registret på egen hand kan söka i detta och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet, samt att uppgifter i registret på det beskrivna sättet lämnas ut utan att den ansvariga myndigheten i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut (se prop. 2000/01:33 s. 111).
Man gör i registerlagstiftningen åtskillnad mellan direktåtkomst och utlämnande på medium för automatiserad behandling. Ett exempel på den sistnämnda formen för utlämnande är att en myndighet tillhandahåller en diskett på vilken uppgifter från ett personregister lagrats. Det är alltså normalt fråga om ett överlämnande av elektroniskt lagrade uppgifter på någon slags medium för lagring eller överföring. I ett sådant fall skall naturligtvis en prövning i varje enskilt fall ske av huruvida uppgifterna kan lämnas ut eller om exempelvis sekretessbestämmelser utgör hinder för utlämnandet.
Direktåtkomst innebär att någon sekretessprövning inte sker vid varje enskilt fall av utlämnande av uppgift. Det innebär att enskildas direktåtkomst till personuppgifter enbart bör avse uppgifter för vilka sekretess inte kan föreligga i förhållande till honom eller henne. Lagrådet har i lagstiftningsärendet om registerlagstiftningen inom skatteförvaltningen anfört att ett sätt att i bestämmelser om direktåtkomst understryka att sekretessprövning är nödvändig kan vara att i lagtexten ange att direktåtkomsten gäller uppgifter ”som får lämnas ut” till den enskilde. Den prövning av eventuell sekretess som kan komma i fråga sker dock i praktiken av naturliga skäl vid fastställandet av det urval av uppgifter som enskilda skall ha tillgång till.
Vad begreppet medium för automatiserad behandling innefattar kan inte sägas vara helt klarlagt. Syftet med de olika förekommande reglerna i registerlagstiftningen om utlämnade av uppgifter är emellertid i regel att med hänsyn till intresset av att skydda medborgarnas integritet inskränka möjligheterna för utomstående att genom överföring av uppgifter i personregister kunna upprätta egna personregister. Den tekniska metoden för överföring av uppgifter, om det sker via en diskett eller via Internet, är i det sammanhanget ointressant. Mot bakgrund härav bör även överföring av uppgifter via Internet till en persondator, vilket även om huvudsyftet är att innehavaren skall ta del av uppgifterna på skärmen i regel dessutom innebär att uppgifterna på något sätt kan lagras i persondatorn,
ofta vara att anse som utlämnande av uppgifter på medium för automatiserad behandling. En annan sak är att de skyddsaspekter som ligger till grund för registerlagstiftningen naturligtvis inte på samma sätt gör sig gällande när det är fråga om uppgifter om enstaka personer som utlämnas till honom eller henne själv.
6.10.2. Direktåtkomst till uppgifter och handlingar i socialförsäkringsdatabasen
Regeringens förslag: Direktåtkomst till uppgifter i socialförsäkringsdatabasen får endast förekomma i den utsträckning som anges i lag eller förordning.
Promemorians förslag: Överensstämmer i princip med regeringens, dock har det i promemorian föreslagits att direktåtkomst skall vara tillåten i den utsträckning som anges i lag eller annan författning.
Remissinstanserna: Västernorrlands läns allmänna försäkringskassa delar uppfattningen att det är viktigt att direktåtkomst till uppgifter i socialförsäkringsdatabasen endast får förekomma i den utsträckning som anges i lagen samt konstaterar att det är tillfredsställande att möjligheterna för enskilda att kunna överblicka spridningen av personuppgifter som rör dem själva särskilt har beaktats i förslaget. Datainspektionen anför att det framstår som oklart vad som ur integritetsaspekt skiljer ett utlämnande av uppgifter genom direktåtkomst från ett utlämnande av uppgifter på medium för automatiserad behandling och varför den enskildes åtkomst till uppgifter genom automatiserad behandling regleras i lagen, men inte förutsättningarna för att den enskilde skall få ha direktåtkomst till uppgifterna. Enligt inspektionens uppfattning bör direktåtkomst begränsas vad avser antalet integritetskänsliga uppgifter genom föreskrifter i förordning. Statskontoret anser att begreppen direktåtkomst och utlämnande på medium för automatiserad behandling mister något av sin exakthet och relevans vid användning av nya kommunikationstekniker.
Dessa begrepp bör enligt verkets uppfattning utmönstras på sikt. Premiepensionsmyndigheten anser att uppdelningen i olika regler för direktåtkomst respektive utlämnande på medium för automatiserad behandling inte är hållbar. Myndigheten anför att den tekniska utvecklingen har kommit så långt att det inte längre är någon väsentlig skillnad mellan de olika utlämningssätten samt att begreppen är oklart definierade i promemorian. Enligt myndighetens uppfattning måste det kunna överlämnas till myndigheterna själva att avgöra vilket utlämningssätt som är lämpligast i vart fall när det är fråga om utlämning av uppgifter till den enskilde själv.
Södermanlands läns allmänna försäkringskassa, Jönköpings läns allmänna försäkringskassa delar den i promemorian redovisade uppfattningen att direktåtkomst till uppgifter i socialförsäkringsdatabasen endast får förekomma i den utsträckning som anges i lagen.
Skälen för regeringens förslag: Ett flertal remissinstanser har berört att de tekniska möjligheterna för tillhandahållanden av uppgifter genom direktåtkomst respektive utlämnande på medium för automatiserad behandling i hög grad har utvecklats och att det i vissa fall framstår som i integritetshänseende mindre centralt vilket sätt för utlämnande som an-
vänds. Enligt regeringens mening finns det emellertid inte tillräckliga skäl att i detta sammanhang frångå den strukturella uppdelning som tillämpas allmänt i gällande registerlagstiftning. Direktåtkomst innebär att uppgifter lämnas ut direkt från en myndighets datasystem utan att den ansvariga myndigheten i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut. Ett utlämnande måste alltid vara förenligt med sekretessregleringen. Uppgifter som är åtkomliga via terminal måste vara sådana som alltid får lämnas ut till den mottagande myndigheten. Uppgifterna bör ha ett godtagbart sekretesskydd även hos den myndighet där terminalen finns. De allmänna handlingar hos en myndighet som en annan myndighet får tillgång till genom direktåtkomst utgör allmän handling även hos den sistnämnda myndigheten. Direktåtkomsten kan således medföra att sekretessen för uppgifter, på grund av avsaknad av överföringssekretess, kan ha ett annat innehåll hos den mottagande myndigheten än hos den utlämnande. Regeringen delar därför den i promemorian redovisade bedömningen att det behövs särskilda regler för i vilken utsträckning direktåtkomst skall få finnas. När det gäller behandling av personuppgifter med sådant integritetskänsligt innehåll som ofta är fallet inom socialförsäkringens administration, är det naturligtvis i allmänhet påkallat att i möjligaste mån nedbringa antalet individer som har direkt tillgång till uppgifterna. En viktig aspekt är dessutom möjligheterna för enskilda att kunna överblicka spridningen av personuppgifter som rör dem själva. Lagrådet har påtalat att det i remissen lämnade förslaget innebär en möjlighet att medge direktåtkomst genom myndighetsföreskrifter. Enligt regeringens uppfattning bör direktåtkomst till socialförsäkringsdatabasen endast kunna medges i lag eller förordning. Regeringen föreslår därför att direktåtkomst till uppgifter i socialförsäkringsdatabasen endast skall få förekomma i den utsträckning som anges i lag eller förordning.
Hänvisningar till S6-10-2
- Prop. 2002/03:135: Avsnitt 8
6.10.3. Myndigheterna inom socialförsäkringens administration
Regeringens förslag: De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten skall få ha direktåtkomst till uppgifter i socialförsäkringsdatabasen i den utsträckning det behövs för verksamhet enligt de primära eller sekundära ändamålen. Sådan direktåtkomst skall endast medges de personer som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om direktåtkomsten.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Västernorrlands läns allmänna försäkringskassa,
Västerbottens läns allmänna försäkringskassa och Jämtlands läns allmänna försäkringskassa anser att förslaget förefaller väl underbyggt och motiverat. Det är dock av vikt att datasystemen anpassas till att ge försäkringskassorna möjlighet att tillgodose de utökade kraven på säkerhetsnivå som aktualiseras vid direktåtkomst mellan flera kassor. Förslaget förefaller enligt Södermanlands läns allmänna försäkringskassa, Jönköpings läns allmänna försäkringskassa, Västra Götalands läns all-
männa försäkringskassa väl underbyggt och motiverat. Västra Götalands läns allmänna försäkringskassa har även anfört att när det gäller gemensam direktåtkomst för t.ex. kundtjänsten hos ett antal försäkringskassor är det av vikt att författningsförslaget ställer krav på att socialförsäkringsdatabasen anpassas till att kunna tillhandahålla en godtagbar åtkomst- och spårbarhetsnivå med flexibla möjligheter att även begränsa åtkomsten.
Skälen för regeringens förslag: En rimlig avvägning mellan integritets- och effektivitetshänsyn ger vid handen att de allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten får ha direktåtkomst till uppgifter i socialförsäkringsdatabasen i den utsträckning det behövs för verksamhet enligt ändamålen. En lagregel med det innehållet föreslås därför. Den mer detaljerade reglering som bör komplettera en sådan allmänt hållen regel vad avser myndighetsöverskridande direktåtkomst till uppgifter som behandlas i socialförsäkringsdatabasen bör dock ske genom föreskrifter som utfärdas av regeringen eller den myndighet regeringen bestämmer. Direktåtkomsten för de allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten bör emellertid vara förbehållen de personer som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Hänvisningar till S6-10-3
- Prop. 2002/03:135: Avsnitt 8
6.10.4. Statens pensionsverk och KPA Pension AB
Regeringens förslag: Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner (KPA Pension AB) skall, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, få ha direktåtkomst till uppgifter i socialförsäkringsdatabasen för samordning av tjänstepensioner.
Statens pensionsverk skall, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, få ha direktåtkomst till uppgifter i socialförsäkringsdatabasen för handläggning av ärenden i vilka reglerna om statens tjänstegrupplivförsäkring skall tillämpas.
Direktåtkomst till personuppgifter i socialförsäkringsdatabasen skall endast få ges till den som behöver ha tillgång till uppgifterna för att kunna utföra sitt arbete.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Riksförsäkringsverket delar inte bedömningen att
Statens pensionsverk och KPA Pension AB skall få ha direktåtkomst till socialförsäkringsdatabasen. Enligt verkets uppfattning saknas det numera skäl för att dessa organ skall ha direktåtkomst till socialförsäkringsdatabasen. Sådan direktåtkomst kan dessutom ifrågasättas av såväl integritets- som konkurrensskäl. De behov som finns av uppgifter från socialförsäkringsdatabasen kommer att kunna tillgodoses genom utlämnande på medium för automatiserad behandling. Premiepensionsmyndigheten anser att det inte finns något vägande skäl för att positivt särbehandla Statens pensionsverk och KPA på det sätt som föreslagits i promemorian när det gäller direktåtkomst till socialförsäkringsdatabasen. Statens pensionsverk välkomnar förslaget om fortsatt direktåtkomst till uppgifter i
socialförsäkringsdatabasen för verket. Enligt verkets uppfattning kan en frågerutin av det slag som berörs i promemorian inte ersätta direktåtkomsten. Det är endast verket som kan informera statspensionärer om den allmänna pensionens betydelse för storleken av den bruttosamordnade tjänstepensionen. KPA Pension AB konstaterar med tillfredsställelse att förslagen i promemorian innebär att bolaget även fortsättningsvis kommer att få direktåtkomst till uppgifter i socialförsäkringsdatabasen för samordning av kommunala tjänstepensioner. Detta är enligt bolagets uppfattning nödvändigt för att säkerställa högsta kvalitet och säkerhet i bolagets pensionsadministration. Bolaget förutsätter att förslaget medger att bolaget får tillgång till de uppgifter om sjukersättning/aktivitetsersättning som är nödvändiga för att fastställa och beräkna den kommunala tjänstepensionen. Bolaget skulle gärna se att man även fortsättningsvis kommer att få tillgång till nödvändiga uppgifter om allmän pension som behövs för att man skall kunna lämna information om pensionsförmåner till sina kunder. Södermanlands läns allmänna försäkringskassa tillstyrker förslaget att Statens pensionsverk och KPA Pension AB skall ha direktåtkomst till socialförsäkringsdatabasen för samordning av tjänstepensioner. Svenska kommunförbundet och Landstingsförbundet anför att administrationen av tjänstepensionsförmåner utförs antingen av respektive kommun/landsting eller av en administratör som kommunen/landstinget slutit avtal med samt att det för närvarande finns minst två möjliga administratörer, dvs. KPA Pension AB och SPV/SPP. Förbunden föreslår att direktåtkomst för samordning av bruttopension skall medges till såväl de kommuner eller landsting som själva administrerar tjänstepensionsförmåner som till de organ som på avtalsrättslig grund administrerar tjänstepensionsförmåner. Den föreslagna regeln om tystnadsplikt kan därvid utvidgas till att avse den som på avtalsrättslig grund administrerar tjänstepensioner för kommunens räkning.
Skälen för regeringens förslag: Det finns enligt regeringens uppfattning starka skäl att vara återhållsam med att tillåta myndigheter eller andra utanför socialförsäkringens administration att ha direktåtkomst till socialförsäkringsdatabasen. Om det är nödvändigt att lämna ut uppgifter för automatiserad behandling måste man i första hand överväga om inte andra alternativ, som exempelvis utlämnande på media för automatiserad behandling, kan användas för informationshanteringen. Bedömningen av om direktåtkomst skall medges eller inte måste således utmynna i en avvägning mellan behovet av effektivitet i olika samhällsfunktioner och enskildas behov av starkt integritetsskydd. Om direktåtkomst medges är det väsentligt att den endast avser sådana uppgifter där det är av stor betydelse att utlämnandet sker genom direktåtkomst. Mottagarens legitima uppgiftsbehov i övrigt bör således tillgodoses på annat sätt.
Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner (KPA Pension AB) får, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, enligt socialförsäkringsregisterlagen ha direktåtkomst till uppgifter i socialförsäkringsregister för handläggning av ärenden om utbetalning av socialförsäkringsförmåner och samordning av tjänstepensionsförmåner.
En viktig faktor bakom denna regel om tillåtande av direktåtkomst till socialförsäkringsregister för dessa organ har varit utformningen av vissa
regler om beräkning av tjänstepension inom det statliga respektive kommunala området. Vad som åsyftas är att tjänstepensionen beräknas genom s.k. bruttosamordning med offentlig pension och vissa andra offentliga förmåner, dvs. tjänstepensionen beräknas med utgångspunkt från det sammanlagda beloppet av dessa förmåner som utbetalas till den som är berättigad till tjänstepension. De aktuella reglerna tillämpas alltjämt och kommer att tillämpas under lång tid framöver i fråga om redan beviljade pensioner. Det innebär att utbetalaren av tjänstepension varje månad måste ha kännedom om det sammanlagda beloppet av offentlig pension och andra ersättningar som samordnas med tjänstepensionen för att kunna beräkna denna. Denna konstruktion har medfört att Statens pensionsverk och KPA Pension AB ålagts att betala ut även de offentliga förmåner som samordnas med tjänstepensionen. Som ett led i reformeringen av ålderspensionssystemet har emellertid beslutats att denna ordning skall upphöra. I stället skall Riksförsäkringsverket betala ut all offentlig pension m.m.
Statens pensionsverk får även, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, använda socialförsäkringsregister för handläggning av ärenden om statens tjänstegrupplivförsäkring.
I anledning av utlämnandet av uppgifter till KPA Pension AB finns i 16 § socialförsäkringsregisterlagen även en särskild regel om tystnadsplikt för den som genom sin befattning med ett socialförsäkringsregister hos det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får kännedom om vissa personuppgifter.
Riksförsäkringsverket har i remissyttrandet och i en skrivelse till socialdepartementet 2001-10-30 (Dnr S2001/9762 SF) ifrågasatt den nuvarande ordningen med tillåtande av direktåtkomst för Statens pensionsverk och KPA Pension AB. I första hand anförs som skäl för att direktåtkomsten skall upphöra att de bägge organens uppdrag att betala ut offentlig pension upphört vid årsskiftet 2002/03. Riksförsäkringsverket anför också vikten av konkurrensneutralitet och integritetsaspekter som skäl för att ovan nämnda bestämmelser i socialförsäkringsregisterlagen skall upphävas. Riksförsäkringsverket föreslår att möjligheten till direktåtkomst skall upphöra och helt ersättas med utlämnande av erforderliga uppgifter för samordning och beräkning av ersättning på medium för automatiserad behandling.
Statens pensionsverk och KPA Pension AB har gjort gällande att den avtalsenliga bruttosamordningen av tjänstepensionerna, som kommer att tillämpas under lång tid framöver, påkallar att de medges fortsatt direktåtkomst. De har dessutom anfört att direktåtkomsten medför möjligheter till rättelse av felaktigheter i socialförsäkringsregistren och en servicenivå i förhållande till tjänstepensionärerna som inte längre skulle föreligga om direktåtkomsten upphör.
Statens pensionsverk som KPA Pension AB bör enligt regeringens uppfattning även fortsättningsvis få tillgång till uppgifter om offentliga pensioner och andra förmåner i den utsträckning som är nödvändig för att tjänstepensionerna inom respektive avtalsområde skall kunna administreras på ett effektivt och tillfredsställande sätt. Den s.k. bruttosamordningen hanteras i dag huvudsakligen genom ett omfattande system för
utlämnade av uppgifter på medium för automatiserad behandling. Detta system är under uppbyggnad i samråd mellan de båda organen och Riksförsäkringsverket. Systemet med filöverföring innebär att information överförs på två sätt; dels med automatik så till vida att när registrering sker i socialförsäkringsregister av uppgifter som är relevanta för Statens pensionsverk respektive KPA Pension AB så översänds automatiskt uppdateringar till den av dem som har behov av informationen, dels efter förfrågningar från Statens pensionsverk eller KPA Pension AB via frågerutiner genom filöverföring som besvaras genom elektronisk behandling i s.k. s-poster inom högst ett dygn. Den förstnämnda typen av informationsöverföring fungerar redan i dag. Funktionen med frågerutiner är dock ännu inte införd. Vissa typer av uppgifter om delpension samt arbets- och yrkesskadelivränta kan för närvarande inte lämnas i s-poster, men kommer att kunna lämnas på detta sätt efter viss systemutveckling. Genom utvecklingsarbete i samråd mellan å ena sidan Riksförsäkringsverket och å andra sidan Statens pensionsverk och KPA Pension AB måste eventuella problem i systemet för filöverföring kunna förutsättas vara lösta under en relativt nära framtid. Regeringen förutsätter att liknande system kan tillämpas i fråga om andra utbetalare av bruttosamordnade tjänstepensioner. Någon anledning att i nuläget medge direktåtkomst för exempelvis kommuner eller andra utbetalare av tjänstepension föreligger således inte.
Eftersom tekniken för närvarande inte fyller det behov som Statens pensionsverk och KPA Pension AB har föreslår emellertid regeringen att en motsvarighet till 15 § socialförsäkringsregisterlagen införs i den nya lagen. Någon utökning av ramarna för direktåtkomsten bör emellertid inte ske. Eftersom inget av de aktuella organen fortsättningsvis skall utbetala någon offentlig socialförsäkringsförmån bör dock en viss justering ske i förhållande till nuvarande reglering. Genom den tillämpade lagtekniska lösningen, som innebär att direktåtkomst förutsätter föreskrifter av regeringen eller den myndighet regeringen bestämmer, föreligger emellertid möjligheter att i förordning anpassa medgivandet av direktåtkomst i linje med de ställningstaganden som regeringen tidigare gjort i fråga om direktåtkomst.
Samma begränsningar i fråga om direktåtkomst och tilldelning av behörighet för tillgång till socialförsäkringsdatabasen som gäller för myndigheterna inom socialförsäkringens administration bör även gälla Statens pensionsverk och KPA Pension AB. När det gäller tilldelning av behörighet får det naturligtvis ankomma på dessa organ att för respektive verksamhet meddela beslut om behörighet och tilldela behörighet.
Hänvisningar till S6-10-4
- Prop. 2002/03:135: Avsnitt 8
6.10.5. Centrala studiestödsnämnden och arbetslöshetskassorna
Regeringens förslag: Centrala studiestödsnämnden och arbetslöshetskassorna skall få ha direktåtkomst till uppgifter i socialförsäkringsdatabasen i den utsträckning det behövs för verksamhet enligt det sekundära ändamål som omfattar utlämnande av uppgifter till dem.
Regeringen meddelar föreskrifter om vilka uppgifter direktåtkomsten får omfatta.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Södermanlands läns allmänna försäkringskassa tillstyrker att Centrala studiestödsnämnden och arbetslöshetskassorna skall ha direktåtkomst för de ändamål som gäller enligt nuvarande lagstiftning. Riksskatteverket anför att även exekutionsväsendet och skatteförvaltningen bör anslutas till det utbyte av information som sker genom direktåtkomst för Centrala studiestödsnämnden, de allmänna arbetslöshetskassorna, Riksförsäkringsverket och de allmänna försäkringskassorna. De uppgifter som skulle lämnas ut till exekutionsväsendet och skatteförvaltningen är de nämnda organen skyldiga att lämna ut till skatteförvaltningen och kronofogdemyndigheterna på grund av särskilda sekretessbrytande bestämmelser. Uppgifterna lämnas i dag ut i pappersform.
Verket upplever att detta förfarande medför otillfredsställande tidsförluster utifrån de möjligheter till effektivitet och kvalitet som elektronisk handläggning erbjuder. Direktåtkomst för skatteförvaltningen och exekutionsväsendet till uppgifterna i socialförsäkringsdatabasen uppfyller kravet på snabb ärendehantering. Utlämnande på medium för automatiserad behandling kan i många fall ersätta behovet av direktåtkomst. En förutsättning är dock att de manuella inslagen utformas så att informationsutbytet kan ske utan dröjsmål. Arbetslöshetskassornas samorganisation (SO) tillstyrker förslagen om utlämnande av uppgifter till arbetslöshetskassorna genom direktåtkomst respektive utlämnande på medium för automatiserad behandling.
Skälen för regeringens förslag: Sedan den 1 juli 2002 får Centrala studiestödsnämnden och arbetslöshetskassorna enligt 14 a § socialförsäkringsregisterlagen ha direktåtkomst till socialförsäkringsregister om det behövs för att upprätta underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskild. Denna direktåtkomst utgör en beståndsdel i utbyggnaden av ett utökat informationsutbyte mellan å ena sidan de allmänna försäkringskassorna och Riksförsäkringsverket och å andra sidan Centrala studiestödsnämnden och arbetslöshetskassorna.
Syftet med förändringarna är att säkerställa korrekta underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskild (se prop. 2000/01:129, bet. 2001/02:KU3, rskr. 2001/02:18).
Till stor del sker informationsutbytet genom utlämnande av uppgifter på medium för automatiserad behandling, men i fråga om vissa preciserade fall har regering och riksdag funnit att direktåtkomst till uppgifter bör få förekomma. Regeringen har den 1 juli 2002 meddelat föreskrifter om vilka uppgifter sådan direktåtkomst får omfatta i 5 a § socialförsäkringsregisterförordningen (1998:1576). Regeringen föreslår att Centrala studiestödsnämnden och arbetslöshetskassorna skall medges direktåtkomst till personuppgifter i socialförsäkringsdatabasen motsvarande vad som gäller enligt nuvarande bestämmelser i lag.
En anslutning av även exekutionsväsendet och skatteförvaltningen till det utbyte av information som sker genom direktåtkomst för Centrala studiestödsnämnden m.fl. bör enligt regeringens uppfattning inte komma i fråga om de behov som föreligger på ett tillfredsställande sätt kan tillgodoses i annan ordning. De uppgifter som i enlighet med Riksskatteverkets förslag skulle lämnas ut till exekutionsväsendet och skatteförvaltningen är de nämnda organen enligt verkets uppfattning skyldiga att lämna ut till skatteförvaltningen och kronofogdemyndigheterna på grund
av särskilda sekretessbrytande bestämmelser. Regeringen konstaterar att det lämnade förslaget om utlämnande av personuppgifter på medium för automatiserad behandling innebär att sådana uppgifter får lämnas ut på sådant medium till skatteförvaltningen och kronofogdemyndigheterna.
Hänvisningar till S6-10-5
- Prop. 2002/03:135: Avsnitt 8
6.10.6. Enskilda
Regeringens förslag: En enskild skall få ha direktåtkomst till uppgifter om sig själv i socialförsäkringsdatabasen som får lämnas ut till honom eller henne om det medges i lag eller förordning.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen anför att det framstår som oklart varför den enskildes åtkomst till uppgifter genom automatiserad behandling regleras i lagen, men inte förutsättningarna för att den enskilde skall få ha direktåtkomst till uppgifterna.
Skälen för regeringens förslag: Den direktåtkomst till socialförsäkringsdatabasen som är aktuell för enskilda är direktåtkomst till uppgifter via Internet. Det är regeringens principiella uppfattning att den tekniska infrastrukturen för den offentliga förvaltningens kommunikation med medborgarna bör bygga på Internet. Myndigheterna bör använda Internet för att utveckla tjänster som förenklar kontakterna mellan medborgare och förvaltningen. Under förutsättning att säkerheten är tillräcklig anser regeringen att det inte finns några integritetsskäl som talar mot att enskilda kan ta del av uppgifter om sig själva via Internet. Regeringen anser emellertid i linje med de ställningstaganden som tidigare gjorts på området (se prop. 2000/01:33 s. 112 ff.) att enskildas direktåtkomst till uppgifter i socialförsäkringsdatabasen med hänsyn till bl.a. sekretessproblematiken och vikten av en säker identifiering endast bör vara tillåten i de fall sådan åtkomst särskilt medges i lag eller förordning. Någon motsvarighet till den generella regel som föreslås i fråga om utlämnande på medium för automatiserad behandling till enskilda bör därför inte införas. Det kan förutses att huvuddelen av de medgivanden om direktåtkomst för enskilda som kan komma att författningsregleras kommer att tas in i förordningar meddelade av regeringen.
I 3 § förordningen (2001:1125) om försöksverksamhet med 24-timmarsmyndighet inom socialförsäkringsadministrationen finns bestämmelser om direktåtkomst för enskilda till socialförsäkringsregister. I detta fall är det fråga om direktåtkomst till uppgifter i socialförsäkringsregister via Internet för användning i ett system med självbetjäningstjänster.
6.11. Utlämnande av uppgifter på medium för automatiserad behandling
Hänvisningar till S6-11
- Prop. 2002/03:135: Avsnitt 8
6.11.1. Utlämnande får ske till den registrerade samt enligt de sekundära ändamålen
Regeringens förslag: Personuppgifter om en enskild fysisk person som får lämnas ut till honom eller henne skall alltid få lämnas ut på medium för automatiserad behandling till denne själv.
Personuppgifter och handlingar som innehåller personuppgifter i socialförsäkringsdatabasen skall i övrigt endast få lämnas ut på medium för automatiserad behandling till myndigheter eller enskilda om det sker i enlighet med de sekundära ändamålen.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Försäkringsförbundet anför att det inte borde finnas några sådana begränsningar som föreslås när det gäller möjligheterna att lämna ut uppgifter på medium för automatiserad behandling.
Statens pensionsverk föreslår att uppgifter i socialförsäkringsdatabasen som får lämnas ut till en myndighet alltid får lämnas till myndigheten på medium för automatiserad behandling. Det skulle således räcka med att uppgifterna inte är föremål för sekretess eller att, om sekretess föreligger, en sekretessbrytande bestämmelse i sekretesslagen är tillämplig. Södermanlands läns allmänna försäkringskassa tillstyrker förslaget om utlämnande av uppgifter på medium för automatiserad behandling. Riksskatteverket ifrågasätter om det behövs eller ens är lämpligt med en särskild reglering av vilket medium som får användas när uppgifter lämnas till andra myndigheter. Uppgifter bör enligt verkets mening få lämnas ut till myndigheter på medium för automatiserad behandling utan att det anges särskilt, om myndigheten har rätt att få ut uppgifterna. Centrala studiestödsnämnden föreslår att bestämmelsen i den föreslagna lagen om utlämnande på medium för automatiserad behandling kan göras tydligare genom att den delas upp på två stycken.
Skälen för regeringens förslag: Kortfattat kan sägas att begreppet utlämnande på medium för automatiserad behandling torde omfatta utlämnande av uppgifter på en rad olika sätt såsom e-post, diskett, cd-rom, direkt överföring av filer via fasta förbindelser i telenät eller annat nätverk eller via Internet. I de fall uppgifter lämnas på något av dessa sätt till en mottagare som endast skall behandla uppgifterna för den utlämnandes räkning såsom ett led i en teknisk bearbetning eller vid framställning av trycksaker etc. torde det emellertid inte vara fråga om ett utlämnande i registerlagstiftningens mening.
Att ett utlämnande av uppgifter sker på medium för automatiserad behandling betyder att informationen lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan bearbeta informationen. En betydande del om inte merparten av utlämnandet av uppgifter i elektronisk form från socialförsäkringens administration sker på medium för automatiserad behandling. Av naturliga skäl medför ett utlämnande på medium för automatiserad behandling i regel en avsevärt högre effektivitet när det gäller mottagarens möjlighet till behandling av uppgifterna. I vissa fall bör möjligheten till denna effektivitet naturligtvis tas till vara. I andra fall
kan de stora möjligheterna till bearbetning av omfattande samlingar av personuppgifter innebära ett hot mot integriteten. Detta har medfört att s.k. registerlagstiftning regelmässigt innehåller olika typer av regleringar av i vilka fall utlämnande på medium för automatiserad behandling får ske. Den tekniska utvecklingen har dock samtidigt inneburit att även omfattande samlingar av pappersbundna uppgifter genom s.k. skanning relativt enkelt och snabbt kan läsas in på en datafil och därigenom bli tillgängliga för bearbetning genom automatiserad behandling.
De integritetsaspekter som ligger bakom den beskrivna regleringen av utlämnande på medium för automatiserad behandling gör sig enligt regeringens uppfattning inte gällande när det är fråga om utlämnande av sådana personuppgifter som uteslutande avser mottagarna själva. I de fall ett utlämnande inte hindras av sekretess bör därför sådana uppgifter alltid kunna lämnas ut på medium för automatiserad behandling till den registrerade själv.
Det finns inte tillräckliga skäl att kräva att den registrerade personligen måste göra en framställan om ett sådant utlämnande eller motta uppgifterna. Även ett ombud med fullmakt från den registrerade bör alltså kunna göra en framställan respektive motta sådana personuppgifter för den registrerades räkning. Det är givetvis av vikt att utlämnande myndighet i sådant fall prövar fullmaktens giltighet med tillbörlig omsorg.
Regeringen föreslår emellertid att utlämnande av personuppgifter på medium för automatiserad behandling från socialförsäkringsdatabasen, utöver utlämnande till den registrerade själv, endast skall få ske om det sker i enlighet med de sekundära ändamålen, dvs. de sekundära ändamålen utgör en ram för i vilka fall personuppgifter skall få lämnas ut på medium för automatiserad behandling.
De sekundära ändamålen omfattar utlämnanden med stöd av olika typer av sekretessbrytande bestämmelser som tar sikte på myndigheter respektive enskilda, särskilt i den föreslagna lagen eller andra författningar reglerade utlämnanden, utlämnanden på grund av skyldigheter som följer av gemenskapsrätten samt utlämnanden på grund av åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet (EES) eller i avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater. Den lagtekniska konstruktion som föreslås innebär att även utlämnande av personuppgifter på medium för automatiserad behandling mellan myndigheter inom socialförsäkringens administration förutsätter stöd i författning. Sådana regler finns för närvarande i bl.a. förordningen (1980:995) om skyldighet för de allmänna försäkringskassorna att lämna uppgifter till andra myndigheter.
I samtliga fall kan det sägas föreligga bakomliggande specifika ställningstaganden i författning eller regeringsbeslut om att viss information skall eller får lämnas ut från de myndigheter som ingår i socialförsäkringens administration. Dessa ställningstaganden tar i och för sig i regel sikte mer på det sakliga innehållet i de uppgifter som avses än formen för utlämnande. Emellertid kan det förutsättas att integritetsaspekten har beaktats även om de skäl som talat för att utlämnande av uppgifterna i fråga skall få ske vid en avvägning har befunnits väga över. Detta i förening med effektivitetsintresset talar generellt sett för att uppgifterna i fråga även bör få lämnas ut på medium för automatiserad behandling.
För myndigheter som mottar personuppgifter på medium för automatiserad behandling finns det vanligtvis särskilda författningar som reglerar vilka behandlingar av personuppgifter som får förekomma hos respektive myndighet. I dessa författningar regleras även ändamålen med behandlingarna. En myndighet som tar emot uppgifter från andra myndigheter har inte rättsligt stöd för att behandla uppgifterna på annat sätt än i enlighet med de för myndigheten gällande författningarna. Risken för att en mottagande myndighet skulle behandla personuppgifter som mottas på medium för automatiserad behandling på ett sätt som avviker från de för myndigheten gällande författningarna måste anses liten. Samtidigt finns det skäl att i detta sammanhang erinra om den s.k. finalitetsprincipen i personuppgiftslagen, som innebär att uppgifter som samlats in för ett visst ändamål därefter inte får behandlas för något annat ändamål som är oförenligt med det ursprungliga ändamålet. Om uppgifter som inhämtats för socialförsäkringens behov utan begränsning får spridas till andra myndigheter finns alltid en risk för att efterkommande behandlingar kan komma att strida mot finalitetsprincipen. Detta talar för att utlämnandet av uppgifter på medium för automatiserad till andra myndigheter bör inskränkas till vad som faller inom ramen för de i den föreslagna lagen angivna ändamålen. Den lösning som föreslås torde dessutom enligt regeringens uppfattning innebära goda möjligheter att tillgodose i princip alla rimliga behov av informationsöverföring mellan myndigheterna.
I de fall det föreligger en skyldighet att lämna ut uppgifter enligt en särskild sekretessbrytande regel bör det således vara tillåtet att lämna ut informationen på medium för automatiserad behandling. Därutöver bör uppgifter få lämnas ut till myndigheter på medium för automatiserad behandling i de fall det i lag eller förordning finns särskilda föreskrifter som medger att utlämnande av uppgifter får ske på sådant medium. Ett annat exempel är bestämmelsen i 19 § tredje stycket personuppgiftslagen om att personuppgifter får lämnas ut för att användas i forsknings- eller statistikprojekt (i prop. 2002/03:50 föreslås vissa ändringar av denna bestämmelse).
När det gäller utlämnande av personuppgifter till andra enskilda än den registrerade, varmed avses även privaträttsliga subjekt såsom företag och organisationer, kan konstateras att den behandling som kan komma att ske hos andra än privatpersoner är underkastad personuppgiftslagens regler. Det innebär att ett visst skydd mot integritetshotande behandling hos mottagaren föreligger, men generellt sett torde detta skydd inte vara lika starkt som det som gäller för myndigheters behandling av personuppgifter.
Utlämnande av personuppgifter på medium för automatiserad behandling till andra enskilda än den registrerade bör emellertid medges i särskilt reglerade fall. Ett rimligt hänsynstagande till de ovan berörda aspekterna ger vid handen att utlämnande på medium för automatiserad behandling till enskilda får ske i de fall det finns särskilda sekretessbrytande bestämmelser som medger att vissa uppgifter lämnas ut. Enligt den här föreslagna regeln om utlämnande av uppgifter på sådant medium i förening med punkten 2 i de sekundära ändamålen får således utlämnande ske på medium för automatiserad behandling i de fall utlämnade sker med stöd av en sådan särskild sekretessbrytande regel som tar sikte på enskilda (exempelvis 20 kap. 9 a § lagen [1962:381] om allmän för-
säkring) eller med stöd av exempelvis 19 § tredje stycket personuppgiftslagen. (I prop. 2002/03:50 lämnas emellertid vissa förslag till ändring av bestämmelsen i personuppgiftslagen och att bestämmelsen om utlämnande för forskning skall föras över till en särskild lag, lagen om etikprövning av forskning som avser människor, som föreslås träda i kraft den 1 januari 2004.) Enligt 17 § socialförsäkringsregisterlagen får uppgift lämnas ut på medium för automatiserad behandling även i de fall uppgiften skall användas för framställning av statistik. Regeringen har inte för avsikt att genom den nu föreslagna lagen begränsa möjligheterna att lämna ut uppgifter på medium för automatiserad behandling för sådana ändamål i förhållande till hur den bestämmelsen tillämpas i dag. I huvudsak torde utlämnande för sådana ändamål omfattas av antingen sekretessbrytande bestämmelser eller bestämmelser om utlämnande på medium för automatiserad behandling i nu gällande författningar. I den mån det visar sig behövas kan det dock förutsättas att erforderliga kompletteringar kommer till stånd genom förordningar meddelade av regeringen.
Att utlämnande av uppgifter på medium för automatiserad behandling får ske till myndighet i de fall det finns en särskild bestämmelse i lag eller förordning som medger utlämnande på sådant medium har berörts ovan. Sådana bestämmelser kan dock även ta sikte på utlämnanden till enskilda. Ett exempel är vissa av bestämmelserna i socialförsäkringsregisterförordningen (1998:1576).
Även i de fall ett utlämnande av personuppgifter sker på grund av gemenskapsrätten eller i anledning av olika internationella åtaganden bör utlämnande på medium för automatiserad behandling få ske.
6.11.2. Utlämnande för direkt marknadsföring
Regeringens bedömning: Personuppgifter bör inte få lämnas ut från socialförsäkringens administration på medium för automatiserad behandling för direkt marknadsföring.
Promemorians bedömning: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen instämmer med de argument som anförs i promemorian och det restriktiva förhållningssätt som intagits beträffande huruvida det skall införas en bestämmelse om att personuppgifter skall få lämnas ut på medium för automatiserad behandling för direkt marknadsföring. Premiepensionsmyndigheten föreslår att myndigheten bör ges en generell möjlighet att efter sekretessprövning avgöra på vilket sätt begärda uppgifter ska lämnas ut. Myndigheten anser att den tekniska metoden inte ska få medföra någon skillnad när det gäller frågan i vilken utsträckning som personuppgifter får behandlas. Försäkringsförbundet anför att försäkringsbolagen på samma sätt som gällt enligt tidigare beslut av Datainspektion måste kunna få del av vissa uppgifter från myndigheterna. Med stöd av sådana uppgifter kan försäkringsbolagen på ett rationellt sätt komplettera den information som lämnas av t.ex.
Premiepensionsmyndigheten beträffande vad som erbjuds av de olika fondförvaltarna. De uppgifter som avsetts med Försäkringsförbundets framställan till Socialdepartementet är av sådan karaktär att de rimligen
kan lämnas ut på medium för automatiserad behandling utan samtycke från de registrerade. Ett krav på samtycke skulle försvåra den enskildes möjligheter att på ett tidigt stadium få information om de olika placeringsalternativ som står till buds. Om ett krav på samtycke skulle ställas menar förbundet att det är en naturlig ordning att ett samtycke skall kunna lämnas till Premiepensionsmyndigheten liksom till annan myndighet som kan ha tillgång till information av aktuellt slag. Om utlämnandet av personuppgifter på medium för automatiserad behandling för direktmarknadsföringsändamål inte medges måste försäkringsbolagens marknadsföring grundas på att bolagen införskaffar de nödvändiga uppgifterna på papper. De synnerligen stora resurskrav som detta ställer på såväl myndigheterna som försäkringsbolagen kan enligt förbundets mening inte försvaras.
Skälen för regeringens bedömning: 17 § socialförsäkringsregisterlagen innebär i princip ett förbud mot utlämnande av uppgifter i socialförsäkringsregister på medium för automatiserad behandling om det inte framgår av särskild lag eller förordning att uppgifterna får lämnas ut.
Fram till den 1 oktober 2001 kunde Datainspektionen ge tillstånd till sådant utlämnande i enstaka fall (se prop. 1996/97:155 s. 84).
Datainspektionen meddelade även sådana tillstånd. Bl.a. gavs tillstånd till försäkringsbolag m.fl. att få ut urval av personuppgifter på medium för automatiserad behandling för användning vid direkt marknadsföring. Denna möjlighet har emellertid nu upphört. I anledning av detta har Sveriges Försäkringsförbund inkommit till Socialdepartementet med en framställan (dnr S2001/4669/SF) om lagstiftning om att t.ex. försäkringsbolag skall kunna få uppgifter utlämnade på medium för automatiserad behandling i samma omfattning som tidigare medgetts av Datainspektionen. Sveriges Försäkringsförbund har i efterhand förtydligat att de uppgifter man önskar få ut är uppgifter om pensionsspararnas namn, postadress och de sex första siffrorna i personnumret samt, ”om det är möjligt ur sekretessynpunkt”, även de sista fyra siffrorna i personnumret och information om intjänad pensionsrätt.
Det finns möjlighet att med stöd av tryckfrihetsförordningen få ut personuppgifter för direkt marknadsföring på papper. Med hänsyn till den omedelbara tillgängligheten till stora mängder information som utlämnande på medium för automatiserad behandling innebär, finns det en beaktansvärd skillnad i integritetshänseende om personuppgifter också skulle få lämnas ut från en myndighet på medium för automatiserad behandling för direkt marknadsföring.
Det är därför viktigt att särskilt beakta integritetshänsyn i detta fall. En viktig aspekt är därvid att de ändamål för vilka personuppgifterna i premiepensionssystemet samlats in relativt markant avviker från ändamålet direkt marknadsföring. Det är dessutom av betydelse att uppgifterna i fråga har samlats in utan samtycke från de registrerade. Mot den bakgrunden finns det skäl att inta ett relativt restriktivt förhållningssätt i fråga om utlämnande av de aktuella personuppgifterna på medium för automatiserad behandling för direkt marknadsföring. Något förslag om att sådant utlämnande skall vara tillåtet lämnas därför inte.
6.12. Särskilt reglerade behandlingar
6.12.1. Pensionsportalen
Regeringens förslag: Personuppgifter i socialförsäkringsdatabasen skall få lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation om den registrerade samtyckt till det.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får lämnas ut.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen anför i fråga om förslaget till bestämmelse om gemensam pensionsinformation att det inte framgår till vem uppgifter skall lämnas ut och vem som är personuppgiftsansvarig för sådana behandlingar av personuppgifter. Inspektionen förutsätter vidare att det går att säkerställa att uppgifterna lämnas ut till rätt person.
Premiepensionsmyndigheten anför att den föreslagna regeln om Pensionsportalen bör göras mer oberoende av teknisk lösning. Sveriges akademikers centralorganisation (SACO), Södermanlands läns allmänna försäkringskassa och Hallands läns allmänna försäkringskassa tillstyrker förslaget om utlämnande av uppgifter för gemensam pensionsinformation. Försäkringsförbundet har inte något att erinra mot en lagstiftning enligt vilket det krävs ett samtycke från den enskilde för att personuppgifter i socialförsäkringsdatabasen skall kunna lämnas ut på medium för automatiserad behandling för gemensam pensionsinformation. Förbundet utgår från att ett samtycke skall kunna lämnas genom att den enskilde på
Internet redovisar sin inställning. Med hänsyn till kravet på samtycke ifrågasätter förbundet behovet av de kompletterande regler som föreslås.
Pensionärernas Riksorganisation (PRO) tillstyrker att personuppgifter får lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation om den registrerade samtyckt till det. PRO framhåller att det är angeläget att enskilda kan få så god information som möjligt över sina samlade pensionsrättigheter och instämmer i den i promemorian redovisade uppfattningen att en säker metod för identifiering av den registrerade måste tillämpas för att ett utlämnande skall få ske.
Skälen för regeringens förslag: I syfte att förbättra allmänhetens kunskaper och den enskildes möjligheter att skaffa sig en god bild av sin framtida pension har regeringen gett Riksförsäkringsverket i uppdrag att redogöra för hur arbetet med att ta fram en portal på Internet för pensionsinformation, Pensionsportalen, fortskrider. Om en portal inte bedöms kunna genomföras genom samverkan på frivillig väg med andra parter skall verket även lämna förslag om hur en lagreglering av hur deltagandet i en sådan portal skulle kunna utformas. Avsikten är att informationen som lämnas via en portal skall bl.a. innefatta uppskattningar av den framtida totala pensionen under vissa antaganden om tillväxt, pensionsålder m.m. Målsättningen med Pensionsportalen är att ge en heltäckande bild av individens samlade framtida ålderspensionsförmåner, inklusive de förmåner som utbetalas i anledning av såväl kollektivavtal som individuella avtal om pensionsförsäkring. Det är alltså frågan om en
sammanställning för gemensam pensionsinformation. I ett första steg är dock avsikten att endast offentlig ålderspension och tjänstepensioner skall ingå.
Avsikten är att den enskilde – efter att via Internet ha kopplat upp sig mot den aktuella hemsidan och på ett säkert sätt identifierat sig – genom en enkel funktion på hemsidan skall sända ut förfrågningar i elektronisk form till Riksförsäkringsverket, Premiepensionsmyndigheten och försäkringsbolag m.fl. som kan tänkas ha uppgifter att lämna om hans eller hennes framtida ålderspension. Enligt regeringens bedömning måste ett samtycke från den enskilde till det utlämnande det är fråga om kunna lämnas via Internet. De tillfrågade organen svarar sedan på förfrågningarna genom automatiserad behandling på så sätt att en fil med individrelaterad pensionsinformation sänds till den server som hanterar Pensionsportalen. Där sammanställs sedan automatiskt en översikt av den registrerades pensionssituation som baseras på uppgifterna från de olika organ från vilka uppgifter inhämtats. Den registrerade kan sedan via Internet ta del av översikten. I de fall individrelaterad pensionsinformation på fil översänds från Riksförsäkringsverket eller Premiepensionsmyndigheten till en server som disponeras av ett annat organ är det emellertid utan tvivel frågan om utlämnande av personuppgifter på medium för automatiserad behandling. Däremot torde förfarandet inte kunna gå in under begreppet direktåtkomst. Något sådant utlämnande på medium för automatiserad behandling från Riksförsäkringsverket eller Premiepensionsmyndigheten är i dag inte tillåtet enligt socialförsäkringsregisterlagen. Inte heller skulle ett sådant utlämnande av uppgifter vara tillåtet enligt den här föreslagna lagen om det inte fanns en särskild bestämmelse som medgav att ett sådant utlämnande fick ske.
I någon mening kan hävdas att informationen genom det beskrivna förfarandet egentligen inte lämnas ut till någon annan än den registrerade själv, eftersom sammanställningen sker automatiskt med hjälp av programvara på den server som hanterar Pensionsportalen. Utlämnandet skulle då kunna ske med stöd av den ovan föreslagna regeln som innebär att uppgifter om den registrerade själv alltid skall kunna lämnas ut till denne på medium för automatiserad behandling. Samtidigt är det egentligen inte de uppgifter som lämnas ut från Riksförsäkringsverket, Premiepensionsmyndigheten m.fl. som omedelbart utlämnas till den registrerade, utan det sker en viss bearbetning av dessa innan utlämnandet sker till den registrerade, vilket närmast talar för att det ursprungliga utlämnandet från myndigheterna sker till annan än den registrerade. Regeringen föreslår därför en särskild regel om utlämnande av uppgifter till Pensionsportalen. Premiepensionsmyndigheten har framfört ståndpunkten att förslaget i promemorian skulle vara beroende av någon viss teknisk lösning utan att över huvud taget precisera vad myndigheten bygger sin uppfattning på. Enligt regeringens bedömning kan det utlämnande av uppgifter som kommer att ske inte betecknas som direktåtkomst. Som
Datainspektionen anmärkt är det ännu inte klarlagt vilket organ som kommer att bli huvudman för hanteringen av Pensionsportalen och således vara mottagare av de uppgifter som hämtas in från olika håll. Om någon av myndigheterna inom socialförsäkringens administration skulle komma att bli huvudman skulle det i fråga om de fall då den myndigheten tillför uppgifter för gemensam pensionsinformation kunna sägas att
det inte är fråga om utlämnande på medium för automatiserad behandling. Emellertid torde Pensionsportalen även i sådant fall förutsätta en regel av det slag som föreslås när det gäller utlämnande av uppgifter från en annan myndighet inom socialförsäkringens administration.
En grundläggande förutsättning för att ett utlämnande av uppgifter om offentlig pension skall få ske är emellertid att metoder för säker identifiering av den enskilde tillämpas vid uppkopplingen till den aktuella hemsidan. Detta gäller inte minst med hänsyn till att det inte kan uteslutas att sekretess kan gälla för vissa av de aktuella uppgifterna i förhållande till annan än den registrerade. Under denna förutsättning bör utlämnanden av det aktuella slaget tillåtas. Här föreslås därför en bestämmelse som medger utlämnande av uppgifter på det sätt som planeras.
Närmare föreskrifter om vilka uppgifter som skall få lämnas ut på medium för automatiserad behandling för det här aktuella ändamålet bör lämnas av regeringen eller den myndighet regeringen bestämmer.
Hänvisningar till S6-12-1
- Prop. 2002/03:135: Avsnitt 8
6.12.2. Utökning av möjlighet till utlämnande av uppgifter för skadereglering
Regeringens förslag: Personuppgifter som behövs för skadereglering skall få lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse. En förutsättning skall dock vara att den försäkrade samtyckt till att mottagaren får del av uppgifterna. Om utlämnandet avser känsliga personuppgifter enligt 13 § personuppgiftslagen skall samtycket vara uttryckligt.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som skall få lämnas ut.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Riksförsäkringsverket tillstyrker förslaget om utlämnande av personuppgifter för skadereglering på medium för automatiserad behandling till organ som driver försäkringsrörelse. Verket anser dock att det bör förtydligas vad som menas med skadereglering. Vidare ifrågasätter verket användandet av uttrycket ”uttryckligen”. I kommentaren till personuppgiftslagen sägs att det är något oklart vad som menas med att samtycket skall vara ”uttryckligt”. Ett samtycke måste alltid tillkomma på ett sådant sätt att en utomstående kan iaktta det, och samtycket måste då på något sätt vara uttryckligt. Enligt verkets uppfattning ger användningen av begreppet intryck av att något annat avses än då begreppet samtycke används i personuppgiftslagen. Eftersom detta knappast är avsikten bör begreppet ”samtycke” användas i detta fall. Försäkringsförbundet välkomnar att personuppgifter skall få lämnas till försäkringsbolag på medium för automatiserad behandling. I detta sammanhang har förbundet inte något att erinra mot kravet på uttryckligt samtycke, men ifrågasätter behovet av kompletterande regler mot bakgrund av att samtycke från den registrerade krävs. Sveriges akademikers centralorganisation (SACO) ställer sig bakom förslaget om utökade möjligheter till utlämnande av uppgifter för skadereglering. Uppsala läns allmänna försäkringskassa anför att det vore att föredra att överföring av personuppgifter för skadereglering kunde ske utan den registrerades samtycke samt
invänder mot den i promemorian redovisade uppfattningen att tillämpningsområdet för 20 kap. 9 a § lagen om allmän försäkring skulle kunna inskränkas som följd av förslagen i promemorian. AFA anser att förslagen om utökning av möjligheter till utlämnande av uppgifter för skadereglering är invändningsfria och att ett genomförande av förslagen leder till administrativa förenklingar i kontakterna mellan AFA och socialförsäkringens administration.
Skälen för regeringens förslag: Riksförsäkringsverket och försäkringskassorna lämnar regelbundet ut personuppgifter till olika försäkringsbolag, bl.a. till AFA Sjukförsäkring och AFA Trygghetsförsäkring, dels på medium för automatiserad behandling (när det gäller utlämnande av uppgifter till AFA finns ett system för utlämnande av uppgifter på fil med fråga/svar-rutiner som utarbetats i samråd mellan AFA och Riksförsäkringsverket), dels på papper. Utlämnandet sker med stöd av två bestämmelser i lagen (1962:381) om allmän försäkring.
I det ena fallet, som gäller överföring på medium för automatiserad behandling, sker behandlingen med stöd av en sekretessbrytande bestämmelser i 20 kap. 9 a § lagen om allmän försäkring. Enligt denna bestämmelse får en allmän försäkringskassa, Riksförsäkringsverket och en domstol utan hinder av sekretess lämna ut uppgifter om sådana ersättningar åt enskilda, som utbetalas enligt lagstiftningen om allmän försäkring eller arbetsskadeförsäkring eller enligt lagstiftning om annan jämförbar ekonomisk förmån för enskilda, under förutsättning att en försäkringsinrättning, ett försäkringsbolag eller en arbetsgivare behöver uppgiften för samordning med ersättning därifrån. Av 17 § socialförsäkringsregisterlagen följer att utlämnande på medium för automatiserad behandling i nu nämnda fall får ske av uppgifter som behövs för samordning.
Övrigt utlämnande av personuppgifter sker med stöd av 18 kap. 2 § första stycket punkt 4 lagen om allmän försäkring, enligt vilken försäkringskassan skall ”lämna hjälp vid handhavandet av annan verksamhet enligt vad regeringen bestämmer”. I beslut 1978-10-12 har regeringen föreskrivit att försäkringskassorna skall tillhandahålla AMF-Trygghetsförsäkring vissa uppgifter i arbetsskadeärenden enligt anvisningar som utfärdas av RFV. AMF skall betala försäkringskassornas kostnader för verksamheten enligt grunder ”som kan överenskommas mellan RFV och AMF”.
RFV har med stöd av regeringsbeslutet utfärdat föreskrifter (RFFS 1979:20) om tillhandahållande av de aktuella uppgifterna.
AFA Trygghetsförsäkring och AFA Sjukförsäkring (nedan anges bolagen gemensamt under det gemensamma begreppet AFA) har vid kontakter med Socialdepartementet aktualiserat frågan om inte allt utlämnande av personuppgifter, alltså även sådant utlämnande som inte avser samordning av ersättning, skulle kunna ske på medium för automatiserad behandling. AFA har därvid framhållit att man utöver behovet av uppgifter för samordning har behov av en rad olika typer av uppgifter för annan skadereglering än samordning. För samordningsändamål behöver AFA uppgifter om bl.a. insjuknandedag, ersättningshistorik, sjukpenning, livränta, arbetsoförmågans omfattning, rehabiliteringsersättning vid arbetsskada och sjukpenninggrundande inkomst. När det gäller annan skadereglering finns även behov av andra uppgifter.
20 kap. 9 a § lagen om allmän försäkring torde emellertid till följd av den i bestämmelsen angivna begränsningen till samordningsfall inte kunna omfatta ett utlämnande av uppgifter i flertalet av dessa fall.
De framställningar som AFA gjort om en utökning av möjligheterna till utlämnande av uppgifter på medium för automatiserad behandling aktualiserar en generell frågeställning om utlämnande av sådana personuppgifter från socialförsäkringens administration som försäkringsgivare behöver för sin skadereglering. Även andra försäkringsgivare har liknande behov av uppgifter och får också ut uppgifter från socialförsäkringens administration. Det finns naturligtvis inte någon rimlig anledning att särbehandla AFA i detta avseende. En utökning av möjligheterna att få ut uppgifter på medium för automatiserad behandling bör således avse försäkringsgivare i allmänhet.
I effektivitetshänseende torde det vara en betydande fördel för såväl försäkringsgivare som socialförsäkringens administration att de personuppgifter som socialförsäkringens administration förfogar över och som försäkringsgivare behöver för sin skadereglering i så stor utsträckning som möjligt lämnas ut på medium för automatiserad behandling. Inte minst gäller detta eftersom systemet med fråga/svar-rutiner torde innebära ett minimum av manuell hantering. En utökning av möjligheterna att lämna ut uppgifter på medium för automatiserad behandling för skadereglering måste förutsättas minska den manuella hanteringen av personuppgifter.
De uppgifter som skulle kunna tänkas komma att lämnas ut på medium för automatiserad behandling vid en sådan förändring som påkallats av AFA kan i vissa fall vara mycket integritetskänsliga. Eftersom uppgifterna för att kunna lämnas ut samtidigt skall behövas för skaderegleringen i ett enskilt fall och därigenom utgöra en del av själva grunden för försäkringsersättning är det dock i första hand den försäkrades eget anhängiggörande av försäkringsfall som är avgörande för om sådana uppgifter skall behandlas av en försäkringsgivare eller ej.
Det torde dessutom vara ett utbrett förfarande att den försäkrade i ett enskilt skadeärende lämnar fullmakt/medgivande till försäkringsgivaren att från myndigheter få ut erforderliga uppgifter för skaderegleringen. I regel innebär ett sådant samtycke att den enskilde måste anses ha eftergett den sekretess som gäller till förmån för honom eller henne (se 14 kap. 4 § sekretesslagen) till förmån för försäkringsgivaren, med följd att uppgifter som utan hinder av sekretesslagen kan lämnas ut till den registrerade även får lämnas ut till den samtycket avser. Vad beträffar AFA så ger den försäkrade i samband med att han eller hon anhängiggör ett försäkringsfall regelmässigt AFA fullmakt/medgivande att från försäkringskassan, Riksförsäkringsverket eller annan myndighet inhämta uppgifter och handlingar som behövs för att AFA ska kunna bedöma den enskildes rätt till försäkringsersättning. Således föreligger i nu nämnda fall ett uttryckligt samtycke från den försäkrade till utlämnande av uppgifter från de nämnda organen. Samtycket gäller dessutom utlämnande av alla uppgifter som är nödvändiga för skaderegleringen och inte endast de uppgifter som behövs för samordning.
En utökning av möjligheterna till utlämnande på medium för automatiserad behandling är dessutom på många sätt ägnad att minska risken för integritetsintrång dels genom att den nuvarande manuella hanteringen av
uppgifter minskar i allmänhet, dels genom att det kan tänkas leda till att försäkringsbolag i sin skadereglering anknyter till bedömningar av arbetsoförmåga m.m. som gjorts inom den allmänna försäkringen och därigenom inte behöver behandla exempelvis uppgifter som rör hälsa i samma utsträckning som i dag.
Mot bakgrund av de ovan redovisade förhållandena måste det bedömas som att det i princip inte föreligger några bärande integritetsskäl för att ifrågasätta en utvidgning av möjligheterna att få ut uppgifter på medium för automatiserad behandling på ett sådant sätt som avses i AFA:s framställningar. En viktig förutsättning är dock den försäkrades samtycke till utlämnande av uppgifter. Om utlämnandet avser känsliga personuppgifter enligt 13 § personuppgiftslagen skall samtycket vara uttryckligt. Enligt regeringens uppfattning är ett skriftligt medgivande av en registrerad till att ett försäkringsbolag från en myndighet inhämtar uppgifter och handlingar som behövs för att AFA ska kunna bedöma den enskildes rätt till försäkringsersättning att anse som ett uttryckligt samtycke.
Sammanfattningsvis föreslås alltså att en särskild bestämmelse i lagen om behandling av personuppgifter inom socialförsäkringens administration om att personuppgifter som behövs för skadereglering får lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse. Vad som avses med att en uppgift behövs för skadereglering torde i huvudsak bestämmas av försäkringsvillkoren som gäller i det enskilda fallet. Om dessa förutsätter klarläggande av en viss omständighet så behövs uppgiften för skaderegleringen. En förutsättning för utlämnande av uppgifter för skadereglering skall dock vara att den försäkrade samtyckt – avser utlämnandet känsliga personuppgifter skall samtycket vara uttryckligt – till att mottagaren får del av de uppgifter som lämnas ut. Som berörts ovan är en sådan bestämmelse inte i sig sekretessbrytande. Däremot kan ett samtycke från den registrerade till utlämnande av uppgifter innebära att sekretess till förmån för honom eller henne efterges i förhållande till försäkringsgivaren.
Det bör dock ankomma på regeringen eller den myndighet regeringen bestämmer att närmare föreskriva vilka uppgifter som skall få lämnas ut.
Hänvisningar till S6-12-2
- Prop. 2002/03:135: Avsnitt 8
6.13. Sökbegrepp
6.13.1. Begränsningar för vissa fall
Regeringens förslag: Känsliga personuppgifter eller sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen skall inte få användas som sökbegrepp vid sökning i socialförsäkringsdatabasen.
Vid sökning i socialförsäkringsdatabasen som omfattar innehållet i fler än en handling som kommit in i anledning av ett ärende eller upprättats i ett ärende skall endast ärendebeteckning eller beteckning på handling få användas som sökbegrepp.
Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt av vilka sökbegrepp som får användas.
Promemorians förslag: Överensstämmer i huvudsak med regeringens.
Remissinstanserna: Försäkringskasseförbundet och ett flertal försäkringskassor anser att det är viktigt att det säkerställs att det inte sker otillbörliga ingrepp i den personliga integriteten vid behandling av personuppgifter. Övergången till elektroniska akter och ärendehanteringssystem gör detta än mer angeläget. Det är emellertid enligt förbundets respektive kassornas uppfattning även viktigt att inte begräsningen av vilka sökgrepp som får användas går ut över kassornas möjligheter att effektivt kunna utnyttja de möjligheter till uppföljning som den tekniska utvecklingen medger. Mot bakgrund av de krav som ställs på socialförsäkringens administration i regleringsbrev m.m. angående uppföljning av fusk och missbruk är det enligt förbundet och kassorna en förutsättning att försäkringskassorna ges möjlighet att använda uppgifter om lagöverträdelser som sökbegrepp. En variant är att tillåta att sökbegrepp får användas om det är uppenbart att intresset av att sökbegreppen används har företräde framför det intresse som menar att ett användande medför oacceptabla integritetsintrång. Även Östergötlands läns allmänna försäkringskassa anser att försäkringskassorna bör ges möjlighet att använda uppgifter om lagöverträdelser som sökbegrepp. Datainspektionen har inget att erinra mot de överväganden som gjorts med hänsyn till de registrerades integritet, men föreslår att sökbegränsningarna endast skall gälla vid sökning efter en handling. Riksskatteverket anför att den föreslagna sökbegränsningen beträffande sökning i handlingar som kommit in i ett ärende eller som har upprättats i ett ärende är mycket långtgående.
För det första hindrar bestämmelsen sökning efter handlingar utifrån andra sökbegrepp. Det kan enligt verkets uppfattning ifrågasättas om inte sökbegreppen bör utökas till de uppgifter som enligt 15 kap. 1 § 1–4 sekretesslagen (1980:100) skall framgå av ett diarium. För det andra hindrar bestämmelsen sökning i en viss handling, till och med när en handläggare väl har tagit fram den på sin bildskärm. Enligt verkets mening kan begränsningen i detta avseende antas hindra effektivitet vid handläggning av ärenden utan att kunna motiveras av hänsyn till den enskildes behov av integritetsskydd.
Skälen för regeringens förslag: I en databas eller annan textmassa som lagrats på medium för automatiserad behandling är det möjligt att genom att ange ett begrepp i en s.k. sökmotor söka igenom den lagrade informationen och hitta de poster eller uppgiftskonstellationer där begreppet förekommer (enkel sökning). Med användande av enkel sökning är det alltså ofta möjligt att snabbt göra en sammanställning av exempelvis förekomsten av vissa känsliga personuppgifter i en databas och därigenom även att göra en sammanställning av dessa uppgifter. Är en myndighets samlingar av elektroniskt lagrade personuppgifter tillgängliga för sökning utan några begränsningar, uppkommer utan tvivel betydande risker för otillbörliga intrång i enskildas integritet. Detta har medfört att man i registerlagstiftning i regel även har regler som begränsar hur sökning får ske i myndigheternas system för automatiserad behandling. Sådana begränsningar bör finnas även i den nya lagen.
Vid bedömningen av vilka sökbegrepp som bör vara tillåtna vid sökning i socialförsäkringsdatabasen måste enligt regeringens uppfattning en avvägning göras mellan effektivitetskrav och risken för integritetsin-
trång. Något generellt förbud mot sökning i databasen är naturligtvis inte motiverat. Ofta kan en sökmotor vara ett värdefullt redskap vid automatiserad behandling, utan att det på något sätt kan innebära risker för integriteten.
Den nya tekniken bör kunna tas i anspråk i alla de fall när det inte skulle innebära en icke acceptabel risk för otillbörliga integritetsintrång. Reglerna om sökning bör alltså i princip ta sikte direkt på sådana typer av sökning som kan medföra särskilda integritetsrisker. I vissa sådana fall måste integriteten ges företräde även om goda skäl kan anföras för motsatsen. Försäkringskasseförbundet och ett flertal försäkringskassor har påtalat ett behov av att använda uppgifter om lagöverträdelser som sökbegrepp. Regeringen kan dock inte utifrån de skäl som anförts till stöd för detta finna att tillräckliga motiv skulle föreligga för att sådana integritetskänsliga behandlingar skulle vara tillåtna. Liksom föreslagits i promemorian anser regeringen således att känsliga personuppgifter eller sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen inte skall få användas som sökbegrepp vid sökning i socialförsäkringsdatabasen. Hantering av sådana personuppgifter innebär typiskt sett alltid en risk för integritetsintrång.
Det finns ett legitimt behov av att för bl.a. uppföljningsändamål göra sammanställningar av uppgifter som kan komma att hämtas från elektroniska handlingar. Av integritetsskyddsskäl bör detta dock inte ske genom enkel sökning utan genom i särskild ordning framställda handlingar.
För att ärendehanteringen skall kunna skötas på ett effektivt sätt är det dock nödvändigt att handläggare ges möjlighet att söka efter såväl ett ärende som enskilda handlingar, t.ex. med angivande av ärendebeteckning eller beteckning på en specifik handling. Behandlingen av personuppgifter i elektroniska akter som hanteras i system för elektronisk ärendehantering kan emellertid innebära speciella risker för otillbörliga intrång i den personliga integriteten. Detta har bl.a. sin grund i att i fråga om elektroniskt lagrade handlingar som kommit in eller upprättats i ett ärende, så gäller att de innehållsmässiga begränsningarna för vilka uppgifter som får behandlas inte kan vara så långtgående som när det gäller annan behandling. Det är därför nödvändigt att ställa upp särskilda begränsningar när det gäller sökning som omfattar elektroniskt lagrade handlingar. Sådana begränsningar bör dock, som påtalats av Datainspektionen och Riksskatteverket, inte gälla vid sökning i en enstaka handling. I det fallet framstår sökningen inte som en särskild integritetsrisk. Däremot bör en begränsning gälla vid en sökning som omfattar innehållet i fler än en handling.
Vad som avses med sökning som omfattar innehållet i fler än en handling är, att sökmotorn i en sökning som omfattar mer än en enda handling kan hitta matchande begrepp till det sökbegrepp som används även i den text som finns i de enskilda handlingarna. En sökning vid vilken detta inte är möjligt omfattas inte av den här föreslagna bestämmelsen om sökning som omfattar innehållet i fler än en handling.
Det är alltså möjligt att använda sig av ett söksystem för att hitta eller sortera elektroniska akter som bygger på begrepp som personnummer, inkomstdatum, ärendeprocess eller bevakningsdatum så länge sökfunktionen inte kan läsa av uppgifterna i sådana handlingar eller känsliga personuppgifter eller uppgifter om lagöverträdelser används som sökbe-
grepp. Därigenom torde de möjligheter som Riksskatteverket föreslagit rörande sökning på uppgifter som skall ingå i ett diarium i vart fall delvis kunna tillgodoses.
Regeringen föreslår således att vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen, varmed avses att en sökmotor kan läsa texten i handlingarna och söka efter matchande begrepp, som kommit in i anledning av ett ärende eller upprättats i ett ärende skall endast ärendebeteckning eller beteckning på handling få användas som sökbegrepp.
Härutöver kan regeringen eller den myndighet regeringen bestämmer komma att meddela föreskrifter om ytterligare begränsningar för vilka sökbegrepp som får användas.
Hänvisningar till S6-13-1
- Prop. 2002/03:135: Avsnitt 8
6.13.2. Sammanställningar av uppgifter
Regeringens förslag: Utan hinder av begränsningarna för sökning i den föreslagna lagen skall personuppgifter som rör hälsa få användas som urvalskriterium vid sammanställningar om regeringen har meddelat föreskrifter om det.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen ifrågasätter om inte det integritetsskydd som åstadkoms genom sökbegränsningar sätts ur spel genom den föreslagna bestämmelsen om att uppgifter som rör hälsa skall få användas som urvalskriterium vid sammanställningar om regeringen har meddelat föreskrifter om det. Riksförsäkringsverket anser att bestämmelsen om urvalskriterium vid sammanställningar bör utvidgas så att det blir möjligt att som urvalskriterium använda både andra typer av känsliga uppgifter än uppgifter om hälsa och uppgifter om lagöverträdelser m.m.
Skälen för regeringens förslag: Utvecklingen inom informationstekniken har inneburit att nya förutsättningar ständigt skapats för behandling av information för olika ändamål. Det är enligt regeringens mening motiverat att den nya tekniken på ett annat sätt än i dag skall kunna tas i anspråk för bl.a. uppföljning av utvecklingen inom olika förmånsslag såsom sjukpenningen. I vissa fall är det naturligtvis möjligt att uppnå ett rimligt resultat genom användning av avidentifierade uppgifter, dvs. det är i sådant fall inte fråga om användning av personuppgifter. Emellertid krävs det även att möjligheter finns att behandla personuppgifter för de olika primära ändamålen, bl.a. därför att det i vissa fall handlar om behandlingar som utgör ett led i handläggningen av individuella ärenden eller uppföljningar av exempelvis långtidssjukskrivning eller utgivandet av andra ersättningar som kräver att individer måste kunna följas under en längre tid.
Vad som avses är att man utifrån registrerade uppgifter skall kunna på ett systematiskt sätt sammanställa kunskap och därigenom kunna utarbeta metoder och instrument för att påverka utvecklingen i en riktning som är till gagn för såväl individerna i socialförsäkringssystemet som hela samhället. Till en del kan detta betecknas som framställning av statistik avseende den verksamhet som bedrivs inom socialförsäkringens administration. Tanken är emellertid att sammanställningar även skall
kunna göras som ett led i verksamhet enligt de i punkterna 4 och 5 angivna ändamålen, dvs. uppgiftssammanställningarna skall ligga direkt till grund för åtgärder i sådan verksamhet, i vissa fall i enskilda ärenden. I vissa sådana fall kan det hävdas att sammanställningarna inte sker för ett i egentlig mening statistiskt ändamål.
Genom sammanställningar av det aktuella slaget ges möjligheter för systematisk återkoppling från försäkringskassan till exempelvis olika arbetsplatser eller sjukskrivande läkare. Exempel på områden där behovet av detta är starkt är den förebyggande verksamheten inom ohälsoområdet och den rehabiliteringsverksamhet som ankommer på de allmänna försäkringskassorna.
Detta förutsätter emellertid att automatiserad behandling av känsliga personuppgifter såsom uppgifter som rör hälsa får ske med syfte att upprätta olika sammanställningar av sådana uppgifter. I viss utsträckning pågår naturligtvis ett sådant arbete redan i dag, men detta sker huvudsakligen manuellt. De möjligheter som informationstekniken ger att effektivt och säkert kunna utvärdera utvecklingen kan i dag inte tas till vara på ett rimligt sätt. Genom övergången till ärendehanteringssystem och elektroniska akter möjliggörs uppbyggnaden av ett nytt system för sammanställning av kunskaper om utvecklingen på bl.a. ohälsoområdet. Från de elektroniska akterna kan således för olika syften relevanta uppgifter exporteras för användning i bl.a. utvärderings- och uppföljningsarbete.
I vissa fall kan det som ovan berörts även vara aktuellt att som ett led i ärendehanteringen sammanställa uppgifter för systematiskt och rationellt arbete med rehabilitering av exempelvis långtidssjukskrivna personer. För att kunna säkerställa ett effektivt utnyttjande av resurserna som är avsatta för rehabilitering är det således nödvändigt att utifrån uppgifter om diagnos etc. kunna analysera de olika behoven av rehabilitering inom gruppen långtidssjukskrivna hos en försäkringskassa och även att välja ut deltagare till olika åtgärder. I ett sådant fall är det alltså fråga om att en sammanställning görs som ett direkt led i handläggningen av ärenden.
För att uppnå de beskrivna syftena bör enligt regeringens mening sammanställningar kunna tillskapas genom olika urvals- och uteslutningsmetoder, som bygger på att ett dataprogram letar upp vissa begrepp i en databas eller annan uppgiftssamling och utesluter respektive inbegriper en uppgiftspost i förhållande till en önskad sammanställning, beroende på förekomsten av dessa begrepp. Sammanställningen kan sedan genom olika funktioner såsom användning av urvalskriterier m.m. sorteras efter de ingående begreppen. På olika sätt omfattar det tekniska förfarandet vid sammanställning alltså i någon mening sökning bland uppgifter. Det är samtidigt enligt regeringens uppfattning i vissa fall nödvändigt att använda uppgifter som rör hälsa som urvalskriterier i ett sådant arbete. Med hänsyn till den ovan föreslagna begränsningen för användning av sökbegrepp vid sökning i socialförsäkringsdatabasen är det påkallat med en särskild regel som klargör att uppgifter som rör hälsa får användas som urvalskriterier vid sådana sammanställningar utan hinder av de begränsningar som gäller för sökning i allmänhet.
Emellertid måste även integritetsaspekten beaktas i detta sammanhang. Enligt regeringens uppfattning bör det inte i den nya lagen, såsom föreslagits av Riksförsäkringsverket, öppnas upp generellt för användning av känsliga uppgifter och uppgifter om lagöverträdelse som urvalskriterier.
En begränsning till uppgifter som rör hälsa bör gälla. Ett ianspråktagande av personuppgifter för de ändamål som det är fråga om måste vidare ske på ett sätt som är förenligt med människors rätt till skydd för integriteten. Det är således inte tänkbart att tillåta att sådana sammanställningar som avses fritt skall kunna göras oreglerat genom enkel sökning i socialförsäkringsdatabasen. Som framgått ovan är avsikten att sökmöjligheterna i socialförsäkringsdatabasen skall vara begränsade på olika sätt. En regel som endast medger att vissa uppgifter får användas som urvalskriterier vid sortering av uppgifter i en databas såsom föreslagits i promemorian innebär endast ett mycket begränsat undantag från de föreslagna sökbegränsningarna. Kretsen av personer som skall arbeta med framtagning av sammanställningar av det aktuella slaget bör också på olika sätt begränsas. Ett sätt att uppnå detta är att åtkomst till sammanställningsfunktionerna i systemet endast kan erhållas vid viss tilldelad behörighet som anges i ett tekniskt system för kontroll av identitet och behörighet. Det finns alltså ett krav på att verksamheten att sammanställa kunskaper inom socialförsäkringsområdet på olika sätt är reglerad med hänsyn tagen till integritetsaspekter. I detta sammanhang finns även skäl att erinra om att sekretess enligt sekretesslagen (1980:100) gäller hos allmän försäkringskassa, Premiepensionsmyndigheten och Riksförsäkringsverket i ärende enligt socialförsäkringslagstiftningen för uppgift om någons hälsotillstånd eller andra personliga förhållanden, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider men om uppgiften röjs. En sammanställning av hälsouppgifter som avslöjar enskilda personer torde normalt vara föremål för sekretess. Mot bakgrund härav kan regeringen inte instämma i Datainspektionens farhågor om att det integritetsskydd som åstadkoms genom sökbegränsningarna sätts ur spel genom förslaget om att uppgifter som rör hälsa skall få användas som urvalskriterium.
Det är inte möjligt att i lag i detalj reglera alla de tänkbara fall där behov av sammanställningar av kunskap föreligger. Särskilda överväganden krävs för olika fall. Det måste därför ankomma på regeringen att i förordning reglera i vilka fall det skall vara tillåtet att använda uppgifter som rör hälsa som urvalskriterier vid sammanställningar.
Hänvisningar till S6-13-2
- Prop. 2002/03:135: Avsnitt 8
6.14. Överföring av personuppgifter till tredje land
Regeringens förslag: Överföring av personuppgifter till tredje land som är nödvändig på grund av åtaganden i avtal om social trygghet som
Sverige ingått med andra stater skall få ske utan hinder av 33 § personuppgiftslagen.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har särskilt kommenterat förslaget.
Skälen för regeringens förslag: Enligt 33 § personuppgiftslagen är det förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Överföring av uppgifter får enligt 34 § personupp-
giftslagen ske om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras, rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller vitala intressen för den registrerade skall kunna skyddas.
Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention.
I 35 § personuppgiftslagen anges att regeringen i vissa fall får meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Dataskyddsdirektivet medger också undantag från förbudet mot överföring av personuppgifter med hänsyn till ett viktigt allmänt intresse. Som redovisats ovan anges det i punkt 58 i ingressen i direktivet att undantag från förbudet får medges om skyddet av väsentliga samhällsintressen kräver det, ”till exempel vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter eller mellan socialförsäkringsmyndigheter”.
Bland de länder med vilka Sverige träffat avtal om social trygghet eller utgivande av sjukvårdsförmåner torde det finnas sådana stater som inte har en adekvat nivå för skyddet av personuppgifter. I de flesta fall torde dock de ovan redovisade undantagen i personuppgiftslagen från förbudet vara tillämpliga i fråga om utlämnande av uppgifter på grund av något av de internationella avtalen. Emellertid kan det i avtalen även förekomma skyldigheter att lämna ut uppgifter för andra syften än vad som omfattas av dessa undantag. I samtliga tänkbara fall måste det emellertid anses vara ett sådant väsentligt eller viktigt samhällsintresse som avses i artikel 26 respektive ingresspunkt 58 i dataskyddsdirektivet att efterkomma skyldigheter enligt avtalen. Det är därför motiverat att genom en särskild bestämmelse i den föreslagna lagen föreskriva att utlämnande får ske utan hinder av bestämmelserna i 33 § personuppgiftslagen om det är nödvändigt på grund av sådana internationella avtal.
Hänvisningar till S6-14
- Prop. 2002/03:135: Avsnitt 8
6.15. Information
Regeringens förslag: I fråga om behandling av personuppgifter som omfattas av lagen om behandling av personuppgifter inom socialförsäkringens administration skall bestämmelserna om information till den registrerade i 23 och 25–27 §§personuppgiftslagen tillämpas, dock med den begränsningen att uppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende inte behöver tas med i information enligt 26 § personuppgiftslagen om den registrerade tagit del av handlingens innehåll.
Av informationen skall dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär det och anger vilken handling som avses skall dock informationen, om inte annat följer av bestämmelser om sekretess, även omfatta uppgifter i en sådan handling. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har särskilt kommenterat förslaget.
Skälen för regeringens förslag: Regeringens föreslår en bestämmelse om information som är avsedd att motsvara vad som i dag i detta avseende gäller enligt socialförsäkringsregisterlagen. I huvudsak innebär detta att personuppgiftslagens bestämmelser om information skall gälla inom socialförsäkringens administration. Den föreslagna bestämmelsen har dock anpassats till den nya lagens tillämpningsområde.
Det är av integritetsskäl angeläget att den enskilde får information om bl.a. att personuppgifter om honom eller henne behandlas, ändamålen för behandlingen, vilka typer av uppgifter som behandlas, vem som är personuppgiftsansvarig och vilka rättigheter den enskilde har i anledning av behandlingen.
Bestämmelserna i 23–27 §§personuppgiftslagen innehåller regler om information till den registrerade. Viss sådan information skall lämnas självmant medan annan information endast skall lämnas på begäran. Enligt 23 § skall, om uppgifter om en person samlas in från personen själv, den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. Den bestämmelsen bör gälla också inom socialförsäkringens administration.
I 24 § första stycket personuppgiftslagen regleras de situationer då personuppgifterna har samlats in från någon annan källa än från den registrerade. Den personuppgiftsansvarige skall i dessa fall självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Om uppgifterna är avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången. Av paragrafens andra stycke följer emellertid att information enligt första stycket inte behöver lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. I den här föreslagna lagen återfinns regler om registrering. Detta innebär för den verksamhet som omfattas av lagen att information utan att ansökan därom har gjorts endast behöver ske när informationen samlats in från den enskilde själv, om det inte särskilt föreskrivs en längre gående informationsskyldighet än vad som följer av personuppgiftslagen.
I 21 § socialförsäkringsregisterlagen finns det i dag bestämmelser om en sådan längre gående informationsskyldighet. Bestämmelserna i fråga härstammar från den registerlagstiftning som gällde innan socialförsäkringsregisterlagen, dvs. lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna och lagen (1994:1517) om socialförsäkringsregister (se prop. 1996/97:155 s. 85). Enligt 21 § första stycket skall den som är personuppgiftsansvarig för ett socialförsäkringsregister se till att den som är eller avses bli registrerad på lämpligt sätt får information om registret. Informationen skall enligt andra stycket innehålla en beskrivning av de uppgifter som registret får innehålla samt
1. upplysning om ändamålen med registret,
2. de sekretess- och säkerhetsbestämmelser som gäller för registret,
3. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen,
4. rätten till rättelse enligt personuppgiftslagen och socialförsäkrings-
registerlagen samt
5. de begränsningar i fråga om direktåtkomst, utlämnande av upp-
gifter på medium för automatiserad behandling, sökbegrepp och bevarande av uppgifter som gäller för registret. Lydelsen av 21 § kan ge intryck av att där föreskrivs en i olika avseenden långtgående skyldighet att ge individuellt anpassad information till de registrerade. Emellertid är tanken med bestämmelserna att informationen inte skall behöva ges individuellt till varje försäkrad inför varje ny registrering av uppgifter om honom eller henne. I stället är avsikten att information skall lämnas genom t.ex. annonser, broschyrer eller anslag i lokalkontorets lokaler eller i informationsrutor etc i de handlingar i ärenden som den enskilde får del av från försäkringskassorna eller Riksförsäkringsverket i samband med att uppgifter till ett register hämtas in från honom eller henne (se prop. 1992/93:193 s. 78, prop. 1994/95:8 s 68, prop. 1996/97:155 s. 85 och prop. 2000/01:69 s. 35). Någon motsvarighet till informationsskyldigheten enligt 24 § personuppgiftslagen är det alltså inte fråga om.
Den informationsverksamhet som föreskrivs i 21 § socialförsäkringsregisterlagen, dvs. information till allmänheten om behandlingen av personuppgifter inom socialförsäkringens administration genom t.ex. annonser, broschyrer eller anslag i lokalkontorets lokaler har naturligtvis ett värde i sig och bör enligt regeringens bedömning behållas.
En sådan skyldighet att tillhandahålla allmänheten information om den behandling av personuppgifter som förekommer inom socialförsäkringens administration bör dock inte såsom i dag åvila varje personuppgiftsansvarig myndighet inom socialförsäkringens administration. Ansvaret bör i stället åvila den myndighet som har en överblick över personuppgiftsbehandlingen och resurser för utformning och genomförande av informationsinsatser, nämligen Riksförsäkringsverket. Det kan förutsättas att övriga myndigheter inom socialförsäkringens administration på eget initiativ hjälper till att sprida den information i form av t.ex. broschyrer och affischer som verket har att utforma. Allmänheten bör alltså i framtiden ha rätt att få motsvarande information som i dag enligt 21 § socialförsäkringsregisterlagen, men det bör ankomma på Riksförsäkringsverket att ansvara för uppfyllandet av informationsskyldigheten. Det är inte nödvändigt att slå fast det ansvaret i lag, utan en motsvarande bestämmelse bör i stället tas in i förordningen (1998:739) med instruktion för Riksförsäkringsverket.
Avslutningsvis bör i denna del betonas att den föreslagna informationsskyldigheten för Riksförsäkringsverket är avsedd att gälla vid sidan av informationsskyldigheten i personuppgiftslagen.
I 26 § personuppgiftslagen finns föreskrifter om den information som skall lämnas efter ansökan. Sådan ansökan skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Informationen skall ge besked om huruvida personuppgifter som rör den sökande behandlas eller inte behandlas. Om sådana uppgifter behandlas skall skriftlig information lämnas om vilka uppgifter om den sökande som behandlas, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Informationen skall lämnas gratis en gång per kalenderår och normalt inom en månad från ansökan. Om det finns särskilda skäl för det, t.ex. att personuppgifterna är krypterade, att sökmöj-
ligheterna är begränsade eller att personuppgifterna är uppdelade på olika register, får informationen lämnas senare, dock senast inom fyra månader från ansökan.
Information behöver emellertid inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man om de behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Med löpande text avses härvid information som inte har strukturerats så att sökning av personuppgifter underlättas. Med text som inte har fått sin slutliga utformning avses koncept, utkast och liknande. Text som är avsedd att tid efter annan ändras eller kompletteras och aldrig kommer att få någon slutlig utformning omfattas således inte. Med text som utgör minnesanteckning avses promemorior och liknande som har tillkommit bara för att bereda något slags ärende. Med behandling för historiska, statistiska eller vetenskapliga ändamål avses detsamma som enligt artikel 6 i dataskyddsdirektivet. Huvudfallet är här att ett utkast eller en minnesanteckning har tagits om hand för arkivering (jfr prop. 1997/98:44 s. 132 ff.). Sparas sådana handläggningshjälpmedel som minnesanteckningar och liknande sedan ärendet avgjorts eller annars slutbehandlats, bör den registrerade få ta del av uppgifterna på motsvarande sätt som allmänheten har rätt att ta del av uppgifter i myndigheters minnesanteckningar och liknande som tagits om hand för arkivering (jfr prop. 1997/98:44 s. 84). När det gäller vilken information som måste lämnas den enskilde kan det inte, enligt förarbetena, anses krävas att en personuppgiftsansvarig ordnar sina uppgiftssamlingar på ett sådant sätt att det är möjligt att söka fram alla uppgifter om en registrerad som behandlas. Ett införande eller tillåtande av sådana sök- och sammanställningsmöjligheter, som inte behövs av något annat skäl, skulle i själva verket kunna hota den personliga integriteten eftersom det då skulle bli enkelt att kartlägga en person. Skulle det t.ex. finnas begränsningar i sökmöjligheterna, kan det inte krävas annat än att den personuppgiftsansvarige utnyttjar de sök- och sammanställningsmöjligheter som denne faktiskt och rättsligt har tillgång till (jfr prop. 1997/98:44 s 82 ff.). Regleringen i personuppgiftslagen innebär att den som en personuppgift rör har rätt att i vissa fall få information i vidare utsträckning än vad som följer av tryckfrihetsförordningen. Rätten enligt tryckfrihetsförordningen att få ta del av uppgifter rör ju bara allmänna handlingar. Allmänt gäller dock att informationsskyldigheten enligt personuppgiftslagen, både vad avser den information som skall ges självmant och den som skall ges efter ansökan, viker för sekretess.
Föreskrifterna i 23 och 25–27 §§personuppgiftslagen gäller enligt 20 § socialförsäkringsregisterlagen i princip även personuppgifter som behandlas i socialförsäkringsregister. En motsvarande ordning följer emellertid redan av personuppgiftslagen och 4 § i den föreslagna lagen och detta behöver därför inte särskilt anges i den föreslagna lagen. För sådana handlingar som avses i 11 § socialförsäkringsregisterlagen – dvs. handlingar i elektroniska akter m.m. – gäller dock i dag den begränsningen att uppgifter i sådana handlingar inte behöver tas med i information enligt 26 § personuppgiftslagen. Däremot skall av informationen framgå vilka
handlingar avseende den registrerade som finns i registret. Den enskilde ges dock möjlighet att få information även om uppgifter som behandlas i sådana handlingar om han eller hon särskilt begär det. Eftersom en enskild normalt inte vet vilka sådana handlingar som finns registrerade gäller ettårsbegränsningen, avseende rätten att gratis få information som finns i 26 § personuppgiftslagen, för varje handling för sig. Den enskilde kan då först lämna en allmän ansökan om information enligt 26 § och därefter, när han eller hon fått vetskap om vilka handlingar som finns i registret som omfattas av 11 § socialförsäkringsregisterlagen, ansöka om och få information om de handlingar han eller hon då närmare anger. Detta innebär naturligtvis inte att den enskilde inte redan från början kan ange att ansökan även avser samtliga handlingar som avses i 11 § socialförsäkringsregisterlagen. De allmänna begränsningarna i personuppgiftslagen om personuppgifter i löpande text och minnesanteckningar m.m. samt de begränsningar som följer av sekretess mot den enskilde gäller naturligtvis även i detta avseende.
I 29 § personuppgiftslagen finns bestämmelser om s.k. automatiserade beslut. Om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, skall den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person. Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §. Eftersom personuppgiftslagen gäller vid behandling av personuppgifter inom de verksamheter som omfattas av den nya lagen, om inte annat följer av den nya lagen eller föreskrifter som meddelas i enlighet med den lagen eller personuppgiftslagen är även
29 § personuppgiftslagen tillämplig i fråga om behandling av personuppgifter inom socialförsäkringens administration. Emellertid har det inte framkommit några indikationer på att det förekommer automatiska beslut i den mening som avses i personuppgiftslagen inom socialförsäkringens administration.
Hänvisningar till S6-15
- Prop. 2002/03:135: Avsnitt 8
6.16. Gallring
Regeringens förslag: Personuppgifter som behandlas automatiserat skall gallras när de inte längre är nödvändiga för de ändamål som anges i 7 §.
Regeringen eller den myndighet regeringen bestämmer får dock meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål.
Promemorians förslag: Överensstämmer i huvudsak med regeringens.
Remissinstanserna: Kammarrätten i Sundsvall har anfört att förslaget till gallringsregel skulle kunna anses strida mot dataskyddsdirektivet genom att regeringen eller den myndighet som regeringen bestämmer får föreskriva att uppgifterna skall bevaras. Enligt kammarrättens mening
bör huvudprinciperna för gallring anges i lagstiftningen. Datainspektionen förutsätter att de myndighetsföreskrifter som avses komplettera bestämmelsen om gallring ger tydlig vägledning när det gäller frågan om när uppgifterna skall gallras och hur gallringsbedömningen skall göras.
Riksförsäkringsverket föreslår att bemyndigandet för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om bevarande av handlingar eller uppgifter utvidgas till att gälla även gallring. Premiepensionsmyndigheten tillstyrker den föreslagna bestämmelsen om gallring. Riksarkivet föreslår att huvudregeln i förslaget till registerförfattning skall vara bevarande, med möjlighet för regeringen eller den myndighet som regeringen föreskriver att föreskriva om gallring. Det är
Riksarkivets uppfattning att socialförsäkringsområdet är så väsentligt för den enskilde och rör så stora värden att gallring inom området måste ske efter en samlad bedömning av en myndighet som har ett långsiktigt perspektiv. Den enskildes integritet bör enligt Riksarkivets mening i första hand skyddas på annat sätt än genom att allmänna handlingar gallras, t.ex. genom sökbegränsningar eller ett utökat sekretesskydd. Enligt Riksarkivets uppfattning finns det, åtminstone inom vissa verksamheter, anledning att ifrågasätta sanningen i att den enskildes integritet bäst skyddas genom att uppgifter utplånas. Sådana områden är både den rättskipande verksamheten och socialförsäkringens administration. Det är ett vitalt intresse att allmänna handlingar som kommer från rättskipningen bevaras så att kraven i tryckfrihetsförordningen och arkivlagen kan uppfyllas. Flera uppmärksammade frågor de senaste åren visar att det kan ligga i den enskildes intresse att arkiven bevaras även om de innehåller mycket känsliga uppgifter. Att uppgifter bevaras innebär att den enskilde i efterhand, också efter många år, har möjlighet att granska makten och kontrollera vilka åtgärder som vidtagits mot honom och vid konstaterade felaktigheter i handläggning eller andra bristfälligheter kunna få upprättelse.
Skälen för regeringens förslag: Med gallring avses här att handlingar eller personuppgifter sorteras ut och förstörs eller utplånas. I personuppgiftslagen saknas uttryckliga regler om gallring. Däremot anges i 9 § punkt i) personuppgiftslagen att personuppgifter inte får bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Enligt 8 § andra stycket personuppgiftslagen gäller dock att myndigheternas bevarande av allmänna handlingar inte hindras av personuppgiftslagen. Personuppgiftslagens reglering innebär alltså i den meningen en prioritering av intresset av att bevara allmänna handlingar framför integritetsintresset. Dataskyddsdirektivet medger enligt regeringens mening en sådan ordning genom ingresspunkt 72, som stadgar att direktivet gör det möjligt att vid genomförandet av bestämmelserna i direktivet ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar.
Grundläggande bestämmelser om bevarande och gallring av allmänna handlingar hos myndigheter finns i 2 kap. tryckfrihetsförordningen och i arkivlagen (1990:782). Av 1 § arkivlagen följer att lagen skall tillämpas av Riksförsäkringsverket, Premiepensionsmyndigheten och de allmänna försäkringskassorna.
Myndigheternas arkiv skall enligt arkivlagen bevaras, hållas ordnade och vårdas så att de tillgodoser
1. rätten att ta del av allmänna handlingar,
2. behovet av information för rättskipningen och förvaltningen, och
3. forskningens behov. Huvudregeln i arkivlagen är alltså att de allmänna handlingar som utgör en myndighets arkiv skall bevaras i sin helhet. Undantag från detta medges bl.a. genom bestämmelser om gallring i 10 § arkivlagen. Vid gallring enligt arkivlagen skall dock alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår skall kunna tillgodose de ändamål som anges i punkterna 1–3 ovan.
Statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning, se 14 § arkivförordningen (1991:446).
I arkivlagen finns en bestämmelse med innebörden att undantag från reglerna i den lagen om gallring skall göras om det i lag eller förordning finns avvikande regler om gallring. Sådana gallringsregler återfinns regelmässigt i registerförfattningar och de träder således då i stället för arkivlagens regler om gallring. Oftast är gallringsbestämmelserna i registerförfattningar utformade så att personuppgifterna i fråga skall gallras inom en viss tid efter det att exempelvis insamlandet av uppgifter eller avslutandet av ett ärende skett, om det inte finns särskilda föreskrifter om bevarande. Det förekommer dock även att gallringsreglerna i registerförfattningar, i likhet med regleringen i personuppgiftslagen, är ändamålsrelaterade (se exempelvis 7 § lagen [2001:617] om behandling av personuppgifter inom kriminalvården). Dessutom finns det exempel på registerförfattningar där särskilda gallringsregler saknas (se lagen [2001:182] om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet), vilket innebär att arkivlagens regler blir styrande för gallringen av personuppgifter inom tillämpningsområdet för den registerlagen.
Gallringsbestämmelserna i 19 § socialförsäkringsregisterlagen har utformats så, att det föreskrivs att gallring av uppgifter i socialförsäkringsregister skall ske senast tio år efter det att de registrerades eller inom den kortare tidsfrist som föreskrivs av regeringen eller den myndighet regeringen bestämmer. Detta gäller emellertid inte om uppgifterna fortfarande kan antas ha betydelse för handläggning av ett ärende. Handlingar i elektroniska akter skall dock gallras ut senast tre år efter utgången av det år under vilket ärendet avslutades. Regeringen eller den myndighet regeringen bestämmer får föreskriva undantag från dessa bestämmelser för bevarande av ett urval av material för forskningens behov. Det har dock visat sig att de tidsramar som anges i 19 § inte är tillräckliga. Exempelvis har de ansetts inte ligga i linje med de tekniska lösningar för behandling av information, dvs. elektronisk lagring, som med nödvändighet och i enlighet med beslut av regering och riksdag valts för exempelvis ålderspensionssystemet eller ärendehanteringssystemet med elektroniska akter.
I fråga om socialförsäkringsärenden är det till en början så, att även om den mer aktiva handläggningen av ett ärende i princip har avslutats, så pågår därefter ofta utbetalning av ersättning under ett stort antal år. I vissa fall betalas olika typer av ersättningar till en och samma individ i en aldrig avslutad kedja ”från vaggan till graven” där uppgifter från de inledningsvis utgivna ersättningarna på olika sätt kan ligga till grund för
handläggningen av de senare utgivna ersättningarna. Dessutom kan olika förmånsslag såsom exempelvis sjukpenning och förtidspension/sjukersättning utges parallellt i olika kvotdelar, vilket i sig är ägnat att sträcka ut den tid under vilken en uppgift måste bevaras.
Arbetsskadelivränta utges vanligtvis under tiden från beviljandet fram till tidpunkten för ålderspension. Däremot utges yrkesskadelivräntor enligt äldre bestämmelser i princip livsvarigt. Samordnings- och omprövningsbestämmelser avseende såväl arbetsskade- som yrkesskadelivräntor påkallar bevarande av såväl underlag för beslut om själva rätten till ersättning som underlaget för beräkningen av ersättningens storlek under mycket lång tid och i vissa fall livsvarigt. En liknande situation gäller i fråga om systemet för ersättning vid långvarigt nedsatt arbetsförmåga.
Som berörts ovan hänger olika förmåner inom socialförsäkringen ofta samman på så sätt att uppgifter som är primärt relevanta för handläggningen av ett ärende om ett visst förmånsslag, efter en lång tid därefter kan vara relevanta för handläggningen av ett annat förmånsslag. Efterlevandeskyddet, och användningen av den sjukpenninggrundande inkomsten vid beräkning av andra förmåner än sjukpenning är ett exempel på detta. Behov av personuppgifter från ärenden som avslutats kan i praktiken föreligga i ett efterkommande ärende långt mer än tio år efter det att det första ärendet avslutats. Det är helt enkelt så att några fasta tidsgränser när detta inte längre sker inte finns i regelverket.
Av väsentlig betydelse i detta sammanhang är även att det inom socialförsäkringens administration är en nödvändighet att behandla personuppgifter för andra ändamål än ren ärendehandläggning. Således är det en viktig del av arbetet för att komma till rätta med den ökade ohälsan och utvecklingen inom sjukförsäkringen att kunna genomföra ett kvalificerat analys- och uppföljningsarbete som inbegriper behandling av personuppgifter i longitudinella studier som sträcker sig över längre perioder. Även detta innebär ett krav på möjligheter till behandling av personuppgifter som går utöver de nu gällande tidsramarna.
I fråga om pappersbundna handlingar, som omfattas av de ovan nämnda bestämmelserna i arkivlagen, har mot bakgrund av den i nu berört avseende specifika situationen inom socialförsäkringens administration utarbetats en synnerligen omfattande reglering för gallring, i vilken särskilda gallringsbestämmelser angetts för i princip varje förmånsslag (se Riksarkivets föreskrifter och allmänna råd om gallring och återlämnande av handlingar [RAMS 1996:73] hos Riksförsäkringsverket och de allmänna försäkringskassorna).
Den ovan berörda bestämmelsen i arkivlagen om att en myndighets arkiv skall bevaras så att rätten att ta del av allmänna handlingar tillgodoses, syftar till att säkerställa den i 2 kap. 1 § tryckfrihetsförordningen angivna rätten att till främjande av ett fritt meningsutbyte och en allsidig upplysning ta del av allmänna handlingar. Denna rätt kan när det exempelvis gäller ett avslutat ärende endast tillgodoses om handlingarna i ärendet verkligen finns bevarade. Övergången till ett sådant system med elektronisk ärendehantering och elektroniska akter som är på väg att införas inom de allmänna försäkringskassorna innebär att det pappersbundna bevarandet av personuppgifter och handlingar ersätts av lagring av personuppgifter och handlingar på medium för automatiserad behandling.
För att den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna handlingar inte skall bli illusorisk krävs naturligtvis i sådant fall att handlingar i viss utsträckning bevaras även med hänsynstagande till denna rätt. Motsvarande bör även gälla i fråga om de övriga intressen som skall beaktas enligt arkivlagens regler. Enligt personuppgiftslagen gäller dessutom att uppgifter eller handlingar bör få bevaras för historiska, statistiska eller vetenskapliga ändamål.
Sammanfattningsvis innebär dessa omständigheter att en regel om gallring med fasta tidsramar av den typ som finns i socialförsäkringsregisterlagen och som vanligtvis förekommer inom registerlagstiftning inte framstår som helt ändamålsenlig, även om det finns möjligheter att besluta om bevarande utöver de angivna tidsramarna.
I linje med regleringen i 9 § punkt i) personuppgiftslagen föreslog regeringen därför i lagrådsremissen en gallringsbestämmelse med innebörden att en uppgift eller handling som behandlas automatiserat skall gallras när den inte längre är nödvändig med hänsyn till de primära ändamålen. En sådan bestämmelse innebär att de personuppgiftsansvariga måste utarbeta rutiner för återkommande genomgång av myndigheternas uppgiftssamlingar och bedömning av när olika uppgifter inte längre behövs med hänsyn till ändamålen. Bestämmelsen avsågs kompletteras med myndighetsföreskrifter som mer preciserat anger när uppgifter skall gallras och hur gallringsbedömningen skall göras, och det föreslogs i lagrådsremissen en bestämmelse som erinrar om att regeringen eller den myndighet regeringen bestämmer meddelar verkställighetsföreskrifter om gallring.
En gallringsregel av förevarande slag måste emellertid genom undantagsbestämmelser ge utrymme för ett bevarande av personuppgifter med hänsyn till sådana angelägna intressen som arkivlagens bestämmelser syftar till att tillgodose. I syfte att ge utrymme för bevarande för att tillgodose de intressen som ligger bakom arkivlagen föreslogs vidare i lagrådsremissen att regeringen eller den myndighet regeringen bestämmer skulle få föreskriva att handlingar eller uppgifter skulle bevaras.
Lagrådets uppfattning är att den i lagrådsremissen föreslagna särskilda bestämmelsen om gallring har fått en till såväl form som innehåll mindre tillfredsställande utformning. Enligt Lagrådet framstår en bestämmelse som i sak endast slår fast att uppgifter skall gallras när de inte längre är nödvändiga för sitt ändamål som föga upplysande. Lagrådet anser att en sådan bestämmelse knappast tillför något utöver regleringen i 9 § personuppgiftslagen. Lagrådet konstaterar vidare bl.a. att den föreslagna gallringsbestämmelsen innebär att arkivlagens gallrings- och bevarandebestämmelser inte blir tillämpliga och att det föreslagna bemyndigandet att meddela föreskrifter om att handlingar eller uppgifter skall bevaras inte innehåller några preciseringar av för vilka skäl uppgifter skall bevaras. Lagrådet ställer sig tvivlande till om de i och för sig något motstridiga syftena med den föreslagna regleringen blir bättre tillgodosedda med den föreslagna regleringen än om inga särskilda gallringsregler införs. Den tänkta huvudregeln om att gallring skall ske är enligt Lagrådet så vag att det kan ifrågasättas om den tillför det integritetsintresse som åberopas som skäl för den något utöver vad som följer av personuppgiftslagen. Lagrådet konstaterar att det blir regeringen eller den myndighet som regeringen bestämmer som kommer att ge bestämmelsen inne-
håll. Även de bevarandeintressen som återspeglas i arkivlagens regler avses bli tillgodosedda men de av riksdagen fastlagda principerna för detta sätts ur spel och ersätts av ett ”blankt” bemyndigande. Lagrådet anser mot denna bakgrund att en lämpligare lösning vore att inte ha några särskilda gallringsbestämmelser utan låta arkivlagens och personuppgiftslagens regler gälla.
Regeringen har viss förståelse för Lagrådets synpunkter. Regleringen i 9 § första stycket i personuppgiftslagen gäller emellertid inte i den utsträckningen att det skulle hindra en myndighet att arkivera och bevara allmänna handlingar. Det följer av 8 § andra stycket personuppgiftslagen. Utan en gallringsbestämmelse i en registerlag skulle det således inte finnas någon skyldighet att alls gallra personuppgifter i allmänna handlingar som inte längre behövs i verksamheten. Med hänsyn till integritetsintresset är det enligt regeringens uppfattning nödvändigt att, liksom fallet är i dag enligt socialförsäkringsregisterlagen, ha en regel om gallring i den lagstiftning som avser den automatiserade behandlingen av personuppgifter inom socialförsäkringens administration.
När det gäller utformningen av huvudregeln om gallring har Lagrådet noterat att den – till skillnad från bestämmelserna i nuvarande socialförsäkringsregisterlag och andra registerlagar – inte anger någon viss tid efter vilken uppgifterna skall gallras. Lagrådet anser att regeln är för vag. Regeringens skäl för att gå ifrån en gallringsregel med en bestämd tidsfrist till en som i stället anknyter till ändamålet med behandlingen har redovisats i det föregående. Det finns vidare många exempel på gallringsregler i registerlagar som på samma eller liknande sätt anknyter till ändamålet med behandlingen, se 13 § polisdatalagen (1998:622), 15 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga, 15 § lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar, 19 § lagen (2001:99) om den officiella statistiken, 22 § lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet och 7 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården. Mot den redovisade bakgrunden kan regeringen inte finna att den föreslagna gallringsregeln är alltför vag.
Vad sedan gäller utformningen av bemyndigandet att föreskriva undantag från gallringsregeln har Lagrådet förordat att det preciseras så att det framgår för vilka ändamål personuppgifter skall få bevaras. Regeringen godtar vad Lagrådet förordat och föreslår – i linje med vad som gäller enligt 13 § polisdatalagen, 15 § lagen om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar, 23 § lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet och 7 § lagen om behandling av personuppgifter inom kriminalvården – en bestämmelse om att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål. Härav följer bl.a. att rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov får beaktas, dvs. de ändamål som arkivlagen syftar till att tillgodose (se prop. 1997/98:44 s. 47 f.).
Lagrådet har vidare förordat att upplysningen i lagtexten om att regeringen eller den myndighet regeringen bestämmer meddelar verkställig-
hetsföreskrifter om gallring utgår. Regeringen anser att Lagrådets förslag bör följas.
Riksarkivet har anfört att det finns risk för att Riksarkivet, som har att bevaka området bevarande och gallring, inte kommer att ha möjlighet att meddela undantag från gallringsregler i den utsträckning som kan förväntas för att den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna handlingar inte skall bli illusorisk. Enligt Riksarkivets mening finns det två omständigheter som gör det extra komplicerat att använda den vanliga tekniken med gallring som huvudregel, nämligen att verksamheten behöver uppgifterna under lång tid samt att verksamhetsområdet är svåröverskådligt. Uppgiften att utfärda föreskrifter om undantag från den föreslagna regeln om gallring är enligt regeringens uppfattning utan tvivel en mycket kvalificerad uppgift. Emellertid måste det kunna förutsättas att Riksarkivet med utgångspunkt i arkivlagens bestämmelser och integritetsintresset kommer att utarbeta erforderliga föreskrifter om att personuppgifter i viss utsträckning skall bevaras trots att de inte längre behövs för de ursprungliga ändamålen. Den föreslagna regeln om möjligheter att föreskriva undantag från gallringsregeln torde dessutom ge Riksarkivet det utrymme för egna bedömningar som behövs för denna uppgift.
6.17. Avgifter
Regeringens förslag: Avgifter skall få tas ut för utlämnande av uppgifter och handlingar från socialförsäkringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen eller den myndighet regeringen bestämmer. Rätten att ta ut avgifter få dock inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Södermanlands läns allmänna försäkringskassa tillstyrker förslaget.
Skälen för regeringens förslag: Elektronisk hantering av uppgifter och handlingar inom socialförsäkringens administration innebär att det på ett enkelt sätt är möjligt att överföra information på olika medier till enskilda och myndigheter. I vissa avseenden innebär dock utlämnande genom automatiserad behandling eller direktåtkomst ett visst merarbete och materialkostnader. Det bör därför finnas möjligheter för de berörda myndigheterna att ta ut avgifter för det merarbete och kostnader i övrigt som uppkommer i sådana fall. Bestämmelser om att sådana avgifter får tas ut kan i och för sig beslutas av regeringen i förordning. Lagrådet har därför ifrågasatt att avgiften skall slås fast i lag samt, för det fall att det anses att en avgiftsbestämmelse skall finnas i lag, påtalat att det i lagen bör framgå att rätten att ta ut avgifter inte får inskränka enskildas rätt att enligt offentlighetsprincipen ta del av allmänna handlingar. Regeringen konstaterar att en motsvarande regel om avgiftsdebitering tagits in i registerlagar för andra verksamheter, såsom för skatteförvaltningen, kronofogdemyndigheterna och Tullverket. Bakgrunden till detta är bl.a. det förhållandet att riksdagen utifrån vissa utgångspunkter tagit ställning
till en enhetlig princip för myndigheternas uttag av avgifter för att i elektronisk form tillhandahålla begärda uppgifter (prop. 2000/01:33 s. 119 f.). Enligt regeringens mening bör det redan av lagen framgå att myndigheterna har rätt att ta ut avgifter. De närmare bestämmelserna om avgifter bör dock regleras i förordning eller genom föreskrifter av den myndighet regeringen bestämmer. Lagrådets förslag om att det i lagen bör framgå att rätten att ta ut avgifter inte får inskränka enskildas rätt att enligt offentlighetsprincipen ta del av allmänna handlingar bör enligt regeringens uppfattning följas.
6.18. Skadestånd m.m.
Regeringens förslag: Vid behandling av personuppgifter i strid med lagen om behandling av personuppgifter inom socialförsäkringens administration skall gälla en motsvarande skyldighet att betala skadestånd som enligt personuppgiftslagen gäller vid behandling av personuppgifter i strid med den lagen.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har särskilt kommenterat förslaget.
Skälen för regeringens förslag: Enligt 48 § personuppgiftslagen skall den personuppgiftsansvarige ersätta en registrerad för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Skadeståndsbestämmelserna i personuppgiftslagen gäller framför de allmänna bestämmelserna om skadestånd i skadeståndslagen (1972:207). I den mån en fråga inte är reglerad i personuppgiftslagen skall dock bestämmelserna i skadeståndslagen tillämpas. Det gäller exempelvis frågor om beräkning av ersättningens storlek.
Skillnaden mellan de särskilda bestämmelserna i personuppgiftslagen och bestämmelserna i skadeståndslagen består främst i att ersättning enligt personuppgiftslagen kan utgå för ren förmögenhetsskada och för kränkning av den personliga integriteten även om brottslig gärning inte begåtts. En annan viktig skillnad är att personuppgiftslagens skadeståndsbestämmelse bygger på ett i princip strikt skadeståndsansvar medan skadeståndsskyldighet enligt skadeståndslagen förutsätter åtminstone ett oaktsamt handlande från skadevållarens sida.
Skadeståndsbestämmelserna i personuppgiftslagen gäller dock bara vid behandling av personuppgifter i strid med bestämmelserna i den lagen. De är alltså inte tillämpliga vid behandling av personuppgifter i strid med andra författningar. Ett motsvarande skadeståndsansvar som det som gäller enligt personuppgiftslagen bör dock finnas även vid behandlingar som utförs i strid med den här föreslagna lagen. En bestämmelse med denna innebörd bör därför tas in i den lagen.
Den som bryter mot bestämmelserna i personuppgiftslagen kan inte bara drabbas av skadestånd. Vissa av lagens bestämmelser är enligt 49 § personuppgiftslagen även straffsanktionerade. Straffansvaret enligt denna
bestämmelse kommer naturligtvis att gälla även vid behandling av personuppgifter i strid med personuppgiftslagens bestämmelser inom socialförsäkringens administration, om inte särskilda bestämmelser i den föreslagna lagen trätt i ställe för personuppgiftslagens bestämmelser. Något behov av särskilda straffsanktioner vid överträdelser av reglerna i den föreslagna lagen torde emellertid inte föreligga och någon sådan regel förslås därför inte.
Hänvisningar till S6-18
- Prop. 2002/03:135: Avsnitt 8
6.19. Rättelse m.m.
Regeringens förslag: Personuppgiftslagens bestämmelser om rättelse, blockering eller utplåning av personuppgifter skall gälla på motsvarande sätt vid behandling av personuppgifter inom socialförsäkringens administration i strid med den föreslagna lagen.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har särskilt kommenterat förslaget.
Skälen för regeringens förslag: Enligt 28 § personuppgiftslagen gäller att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med den lagen eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Personuppgiftslagens regler om rättelse, blockering eller utplåning av personuppgifter är endast tillämpliga när uppgifter behandlats i strid med den lagen. Har personuppgifter behandlats på något sätt som endast står i strid med en registerförfattning kan alltså inte rättelse, blockering eller utplåning ske med stöd av personuppgiftslagens regler. Den registrerade bör emellertid ha samma möjlighet att få personuppgifter rättade, blockerade eller utplånade vid behandling av personuppgifter i strid med den nu föreslagna lagen. Det är därför nödvändigt att ha en särskild bestämmelse om rättelse, blockering och utplåning i den lagen som bör utformas som en hänvisning till personuppgiftslagens bestämmelser.
Hänvisningar till S6-19
- Prop. 2002/03:135: Avsnitt 8
6.20. Säkerhet m.m.
Regeringens förslag: De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten skall åläggas att genom särskilda åtgärder kontrollera efterlevnaden av denna lag enligt vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen anför att det av lagförslaget inte framgår att det är säkerhetsåtgärder som avses med bestämmelsen samt att det kan ifrågasättas vad innehållet i denna bestämmelse ger för mervärde jämfört med säkerhetsbestämmelserna i personuppgiftslagen.
Skälen för regeringens förslag: Enligt 31 § personuppgiftslagen skall den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är. Några särskilda bestämmelser om säkerhet vid automatiserad behandling anges inte i socialförsäkringsregisterlagen. Den ökning av automatiserad behandling av känsliga personuppgifter inom socialförsäkringens administration som övergången till elektroniskt ärendehanteringssystem och elektroniska akter medför samt de vidgade möjligheter till behandling av känsliga personuppgifter som föreslås i den här föreslagna lagen bör emellertid enligt regeringens uppfattning medföra att det införs en särskild bestämmelse med sikte på datasäkerheten inom socialförsäkringens administration. Den föreslagna bestämmelsen innebär en konkretisering i aktuellt avseende av personuppgiftslagens bestämmelser om säkerhet. Naturligtvis åsidosätts inte dessa bestämmelser genom införandet av en sådan bestämmelse som föreslås.
Bestämmelsen bör innefatta ett uttryckligt åläggande för myndigheterna inom socialförsäkringens administration att kontrollera efterlevnaden av lagen. Företrädesvis bör detta ske genom regelbunden kontroll av loggfiler etc. med syfte att kontrollera att inte sådan sökning eller andra behandlingar skett som står i strid med lagens bestämmelser. Förslaget är naturligtvis inte avsett att innebära någon inskränkning av den tillsynsverksamhet som utövas av Datainspektionen. De närmare bestämmelserna om kontrollverksamheten bör emellertid meddelas av regeringen eller den myndighet regeringen bestämmer.
Hänvisningar till S6-20
- Prop. 2002/03:135: Avsnitt 8
6.21. Tystnadsplikt vid KPA Pension AB
Regeringens förslag: Den som genom sin befattning med uppgifter från socialförsäkringsdatabasen hos det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har särskilt kommenterat förslaget.
Skälen för regeringens förslag: Statens pensionsverk och det organ för administration av personalpensioner som är gemensamt för kommunerna och landstingen (KPA Pension AB) skall även fortsättningsvis
medges viss direktåtkomst till personuppgifter som behandlas inom socialförsäkringens administration. Dessutom kommer personuppgifter att lämnas ut till de organen på medium för automatiserad behandling. I princip kommer inte den föreslagna lagen att innebära några avgörande skillnader i förhållanden till nuvarande reglering när det gäller omfattningen av de uppgifter som anställda och andra verksamma inom dessa organ faktiskt tar del av. Förhållandena är inte sådana att sekretesslagens regelsystem är tillämpligt i fråga om KPA Pension AB:s verksamhet, jfr 1 kap. 9 § sekretesslagen (1980:100). Därför bör en motsvarighet till nuvarande bestämmelser i 16 § i socialförsäkringsregisterlagen om tystnadsplikt införas i den föreslagna lagen.
Hänvisningar till S6-21
- Prop. 2002/03:135: Avsnitt 8
6.22. Överklagande
Regeringens förslag: En myndighets beslut om rättelse och eller om avslag på ansökan om information enligt 26 § personuppgiftslagen får överklagas hos allmän förvaltningsdomstol. Andra beslut får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen av remissinstanserna har särskilt kommenterat förslaget.
Skälen för regeringens förslag: Möjligheterna att överklaga förvaltningsbeslut enligt den föreslagna lagen bör motsvara vad som i dag gäller enligt socialförsäkringsregisterlagen. Enligt 21 b § socialförsäkringsregisterlagen får en myndighets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen överklagas hos allmän förvaltningsdomstol. Andra beslut enligt socialförsäkringsregisterlagen får inte överklagas.
Hänvisningar till S6-22
- Prop. 2002/03:135: Avsnitt 8
6.23. Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Den nya lagen skall träda i kraft den 1 december 2003. Samtidigt skall socialförsäkringsregisterlagen upphöra att gälla.
Bestämmelserna i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling av personuppgifter som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
Den nya lagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter det att den nya lagen har trätt i kraft. I annat fall tillämpas de äldre bestämmelserna.
Promemorians förslag: Innebär att den nya lagen skall träda i kraft den 1 november 2003.
Remissinstanserna: Riksförsäkringsverket anför att det mot bakgrund av den systemutveckling som pågår inom verket är mycket angeläget att
den nya lagen kan träda i kraft vid den i promemorian föreslagna tidpunkten, dvs. den 1 november 2003.
Skälen för regeringens förslag: Lagen om behandling av personuppgifter inom socialförsäkringens administration föreslås ersätta socialförsäkringsregisterlagen och träda i kraft den 1 december 2003. Tidpunkten för ikraftträdande har justerats något i förhållande till vad som föreslogs i lagrådsremissen mot bakgrund av de tidsramar som är erforderliga för riksdagsbehandlingen. I enlighet med vad som anförts i avsnitt 6.3 bör bestämmelserna i den nya lagen inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförts för ett visst ändamål om manuell behandling för ändamålet påbörjades före den 24 oktober 1998.
Hänvisningar till S6-23
7. Konsekvenser av förslagen
Regeringens bedömning: Den föreslagna lagen möjliggör på olika sätt såväl en effektivare handläggning inom socialförsäkringens administration som förbättrade förutsättningar att motverka den negativa utvecklingen inom ohälsoområdet och den därmed sammanhängande kraftiga ökningen av kostnader för förmåner som betalas ut till följd av ohälsan.
Detta kommer på sikt att innebära kostnadsbesparingar. Vid ett genomförande av förslagen kommer givetvis vissa kostnader för utbildnings- och informationsinsatser att uppstå. Dessa kostnader är dock inte större än att de kan täckas inom ramen för myndigheternas ordinarie resursramar.
Promemorians bedömning: Överensstämmer med regeringens. Skälen för regeringens bedömning: När det gäller anpassningen till personuppgiftslagen måste det allmänt sett sägas vara en mycket kvalificerad för att inte säga omöjlig uppgift att närmare uppskatta de långsiktiga finansiella konsekvenserna av förslagen. I väsentliga delar såsom reglerna om informationsskyldighet, skadeståndsskyldighet och rättelse är socialförsäkringsregisterlagen redan anpassad till personuppgiftslagen.
De förslag som lämnas ansluter i dessa delar i princip helt och hållet till vad som redan gäller enligt socialförsäkringsregisterlagen. I vissa delar, såsom exempelvis övergången till en mer ramlagsbetonad lagstiftning, kan de lämnade förslagen sägas ställa högre krav på kvalificerade bedömningar inom de myndigheter som kommer att omfattas av den nya lagen, vilket dock i sig inte automatiskt föranleder några egentliga kostnadsökningar. Å andra sidan har det vid utarbetandet av förslagen varit en ambition att genom förtydliganden och andra kompletteringar till reglerna i personuppgiftslagen underlätta myndigheternas beslutsfattande. Förslagen innebär även en ökad flexibilitet i förhållande till kommande tänkbara organisatoriska förändringar inom socialförsäkringen. Exempelvis gäller detta nya samarbetsformer med gränsöverskridande insatser mellan olika försäkringskassor.
Det är svårt att identifiera några egentliga tänkbara kostnadsökningar som följd av de förslag som lämnas med syfte att möjliggöra en utökad användning av informationstekniken inom socialförsäkringen. I den ut-
sträckning som identifierbara kostnadsökningar på något sätt kan knytas till förslagen är det snarast så, att det egentligen är bakomliggande beslut om rationaliserings- och effektiviseringsinsatser inom socialförsäkringens administration genom exempelvis övergång till ärendehanteringssystem och elektroniska akter som genererat ökningen av kostnader. Däremot möjliggör givetvis förslagen angelägna insatser för såväl effektivisering av socialförsäkringens administration som åtgärder mot den negativa utvecklingen inom ohälsoområdet. Därigenom måste förslagen förväntas bidra till besparingar på dessa områden.
De informations- och utbildningsinsatser som kommer att vara nödvändiga vid ett genomförande av förslagen bedöms inte vara av större omfattning än att finansieringen av dem kommer att kunna rymmas inom ordinarie anslag.
8. Författningskommentar
1 §
I paragrafen anges den föreslagna lagens tillämpningsområde. Bestämmelsen behandlas utförligt i avsnitt 6.3.
Lagen skall enligt första stycket tillämpas vid behandling av personuppgifter i verksamhet som gäller socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen ankommer på Riksförsäkringsverket, de allmänna försäkringskassorna eller Premiepensionsmyndigheten. Som samlingsbegrepp för de nämnda myndigheterna används i lagen ”socialförsäkringens administration”. Tillämpningsområdet inbegriper vissa fall av behandling av personuppgifter av administrativ karaktär, exempelvis de fall då ett ärendehanteringssystem innehåller integrerade funktioner för administrativ uppföljning. Vidare inbegrips användning av administrativa system för utbetalning etc. när det finns en koppling till en person som registrerats i egenskap av försäkrad. Sådan rent administrativ verksamhet som inte på något sätt innefattar behandling av personuppgifter som är hänförliga till kärnverksamheten faller dock utanför lagens tillämpningsområde. I sådana fall är personuppgiftslagen tillämplig.
I andra stycket klargörs att tillämpningsområdet även är begränsat till helt eller delvis automatiserad behandling eller behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Genom denna definition ansluter den föreslagna lagens tillämpningsområde till definitionen av personuppgiftslagens tillämpningsområde i 5 § personuppgiftslagen. Praxis rörande personuppgiftslagens tillämpningsområde torde således vara vägledande vid bedömning av frågor rörande den föreslagna lagens tillämpningsområde. Genom den föreslagna bestämmelsen omfattas bl.a. behandling i dator av personuppgifter i löpande text eller i form av bilder på individer eller bilder på textuppgifter om individer av tillämpningsområdet för den föreslagna lagen. Med automatiserad behandling avses i princip behandling i datorer.
Genom bestämmelsen i tredje stycket om att vissa angivna bestämmelser skall gälla avlidna personer utvidgas den föreslagna lagens tillämpningsområde i förhållande till personuppgiftslagen.
2 §
Bakgrunden till bestämmelsen avhandlas i avsnitt 6.3. Behandlingar som är tillåtna enligt den föreslagna lagen skall få utföras även om den registrerade motsätter sig behandlingen. Om det enligt lagen krävs samtycke är behandlingen naturligtvis inte tillåten om inte samtycke ges.
3 §
Bestämmelsen behandlas i avsnitt 6.3. Det kan hävdas att det i 1 § definierade tillämpningsområdet omfattar även Riksförsäkringsverkets verksamhet att utgöra statistikansvarig myndighet inom den officiella statistiken (se bilaga till förordningen [2001:100] om den officiella statistiken). I fråga om den verksamheten finns emellertid särskilda bestämmelser om behandling av personuppgifter i lagen (2001:99) om den officiella statistiken och till den lagen anslutande författningar. Den föreslagna lagen bör därför inte vara tillämplig i sådan verksamhet.
4 §
Bestämmelsen behandlas i avsnitt 6.3. På Lagrådets inrådan har bestämmelsen flyttats i förhållande till den placering som föreslogs i lagrådsremissen. I bestämmelsen definieras socialförsäkringsdatabasen. Databasbegreppet är i detta fall en juridisk konstruktion som utgör underlag för en gemensam reglering av vissa behandlingar av personuppgifter, nämligen sådana behandlingar som avser personuppgifter som används gemensamt i verksamheten. Begreppet bygger alltså inte på tekniska avgränsningar eller utformningar i övrigt av uppgiftshanteringen. Det avgörande för om en uppgift skall anses användas ”gemensamt” är om den behandlas på ett sådant sätt att den utgör ”allmän egendom” i verksamheten. En viktig utgångspunkt för gränsdragningen är den avsedda omfattningen av den krets av tjänstemän som på sikt kan förmodas ha behov av uppgiften i fråga som är betingade av deras tjänst. Gränserna för socialförsäkringsdatabasen har utförligt berörts i avsnitt 6.3.
5 §
Bestämmelsen behandlas i avsnitt 6.3. Som framgår av lydelsen i paragrafen gäller personuppgiftslagen för behandling av personuppgifter inom socialförsäkringens administration om inte avvikande bestämmelser finns i den föreslagna lagen eller föreskrifter som meddelas i enlighet med den lagen eller med stöd av personuppgiftslagen. Den föreslagna lagen omfattar således endast de särbestämmelser och förtydliganden som det bedöms föreligga behov av.
6 §
Bestämmelsen har behandlats utförligt i avsnitt 6.4. En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling som utförs av myndigheten. Med personuppgiftsansvaret följer en rad skyldigheter enligt såväl personuppgiftslagen som den föreslagna lagen. Ansvaret gäller naturligtvis underlåtenhet att fullgöra de skyldig-
heterna. Om samma uppgifter om en person förekommer hos olika myndigheter kan var och en av myndigheterna vara personuppgiftsansvarig för de behandlingar som sker hos respektive myndighet. Personuppgiftsansvaret begränsas dock av att en myndighet måste ha faktisk möjlighet att kunna påverka behandlingen för att det skall gälla, men för varje behandling finns det någon myndighet som är personuppgiftsansvarig. Personuppgiftsansvaret enligt den föreslagna lagen innefattar även ett ansvar att följa de bestämmelser som gäller behandlingar av uppgifter om avlidna personer.
7 §
Bestämmelsen behandlas utförligt i avsnitt 6.6. I paragrafen anges de primära ändamålen för behandling av personuppgifter. De primära ändamålen återspeglar i princip de behov av olika behandlingar, såsom insamling, lagring, utlämnande etc, som förekommer inom den kärnverksamhet som bedrivs av myndigheterna inom socialförsäkringens administration. På inrådan av Lagrådet har lydelsen av ändamålet som anges i första stycket 2 ändrats i förhållande till förslaget i lagrådsremissen på så sätt att ordet ”socialförsäkringsförmåner” bytts ut mot ”förmåner och ersättningar som nämns i 1 §”. Med ändamålet ”handläggning av ärenden” avses inte endast handläggning av ärenden om fastställande av förmåner utan även exempelvis tillsynsärenden. De primära ändamålen ger tillsammans med de i 8 § angivna sekundära ändamålen en ram för vilka behandlingar som är tillåtna. I fråga om innehållet i de olika punkterna i paragrafen hänvisas till avsnitt 6.6. Andra stycket innehåller en begränsningsregel med sikte på de referat av vägledande domar eller beslut som avses i punkt 1 i uppräkningen av de primära ändamålen. Begränsningsregeln innebär att personnummer eller namn på de personer som berörs i referaten måste elimineras.
8 §
Bestämmelsen behandlas i avsnitt 6.7. I paragrafen anges de sekundära ändamålen, som återspeglar det huvudsakliga utlämnandet av personuppgifter som behandlas med stöd av de primära ändamålen från myndigheterna inom socialförsäkringens administration. I fråga om den närmare innebörden av de angivna ändamålen hänvisas till avsnitt 6.7. I anledning av synpunkter från Lagrådet har andra stycket 1 ändrats i förtydligande syfte.
9 §
Bestämmelsen behandlas i avsnitt 6.5. Genom den föreslagna bestämmelsen klargörs att behandlingar av personuppgifter får ske även för andra ändamål än de i lagen uttryckligen angivna primära eller sekundära ändamålen, förutsatt att dessa inte kan anses oförenliga med det ändamål för vilket uppgifterna samlades in. Givetvis gäller de grundläggande kraven i 9 § personuppgiftslagen, däribland finalitetsprincipen, i fråga om all behandling av personuppgifter inom socialförsäkringens administration. Syftet med förevarande paragraf är endast att klargöra att behandling av personuppgifter kan ske inom socialförsäkringens administration för andra ändamål än de som uttryckligen anges i 7 och 8 §§. Bestämmelsen har tillkommit efter påpekande av Lagrådet. De begränsningar
för behandling av personuppgifter som har ett integritetsskyddande syfte och som tagits in i den föreslagna lagen gäller naturligtvis även de behandlingar som sker för andra ändamål än de som uttryckligen anges i 7 och 8 §§.
10 §
Bestämmelsen behandlas i avsnitt 6.8.3. En omarbetning har, bl.a. i anledning av synpunkter från Lagrådet, skett av bestämmelsen i förhållande till den utformning som föreslogs i lagrådsremissen. I paragrafen ges en ram för i vilken utsträckning känsliga personuppgifter som avses i 13 § personuppgiftslagen skall få behandlas. Denna ram gäller all behandling av personuppgifter inom den föreslagna lagens tillämpningsområde, dvs. oavsett om uppgifterna behandlas i den i 4 § definierade socialförsäkringsdatabasen eller ej. I första stycket klargörs att känsliga personuppgifter generellt får behandlas om de lämnats till en myndighet i ett ärende eller är nödvändiga för handläggningen av ett ärende. Denna regel blir bl.a. aktuell vid handläggning av ärenden i ärendehanteringssystem med elektroniska akter. Även annan ärendehandläggning omfattas dock, exempelvis tillsynsärenden. I verksamhet enligt flertalet av de primära ändamålen i övrigt får endast sådana känsliga personuppgifter som rör hälsa och som är nödvändiga för sådan verksamhet behandlas. Vid behandling enligt de sekundära ändamålen och vid behandling för återsökning av vägledande avgöranden får känsliga uppgifter behandlas om det är nödvändigt med hänsyn till ändamålen. I paragrafen klargörs även att inga andra känsliga personuppgifter än de som samlats in för andra ändamål får behandlas för planering, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik om det inte är frågan om handläggning av ärenden.
11 §
Bestämmelsen behandlas i avsnitt 6.8.4. Paragrafen innehåller vissa generella begränsningar för behandling av sådana uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen. I huvudsak innebär den en motsvarande ordning som enligt 10 § gäller för behandling av känsliga personuppgifter. Liksom 10 § har bestämmelsen, bl.a. i anledning av synpunkter från Lagrådet, omarbetats i förhållande till den utformning som föreslogs i lagrådsremissen.
12 §
Paragrafen innehåller en erinran om att utöver de generella begränsningar som anges i 10 och 11 §§ så gäller särskilda begränsningar för behandling av känsliga personuppgifter respektive sådana uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen i socialförsäkringsdatabasen.
13 §
Bestämmelsen behandlas utförligt i avsnitt 6.9. I bestämmelsen definieras den krets av personer beträffande vilka uppgifter får behandlas i socialförsäkringsdatabasen. Begreppet ”ärende” i bestämmelsen är avsett att ha samma innebörd som motsvarande begrepp i 7 §. Definitionen av socialförsäkringsdatabasen har på inrådan av Lagrådet placerats i 4 §.
14 §
Bestämmelsen behandlas i avsnitt 6.9.2. Syftet bakom regeln i första stycket är att klargöra att personuppgifter som hör till de angivna kategorierna får behandlas i socialförsäkringsdatabasen om det sker för de ändamål som anges i 7 och 8 §§. Dock skall de begränsningar som anges i 7 och 13 §§ gälla.
I andra stycket anges emellertid en begränsningsregel som innebär att känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) endast skall få behandlas i socialförsäkringsdatabasen i de fall de finns i en handling som upprättats i ett ärende och är nödvändiga för ärendets handläggning eller i en handling som kommit in i ett ärende, eller om det särskilt anges i lag eller i förordning. Gränserna för vad som kan medges i en förordning ges naturligtvis bl.a. av den ram som anges i lagen.
Slutligen framgår av andra stycket att regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen. Paragrafen har utformats med beaktande av Lagrådets synpunkter.
15 §
Bestämmelsen behandlas i avsnitt 6.9.3. I paragrafen klargörs att uppgifter i en handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204). Sådana uppgifter i en handling som upprättats i ett ärende får även behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning. Bestämmelsen har utformats i enlighet med Lagrådets förslag.
16 §
Bestämmelsen behandlas i avsnitt 6.9.4. I paragrafens första stycke anges vissa formkrav för hur tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen skall ske. Sådan tilldelning skall inom socialförsäkringens administration ske genom en särskild handling i enlighet med vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer. Bestämmelsen innebär att tilldelning av behörighet även får ske genom en elektronisk handling. Kravet på särskild handling innebär emellertid ett åliggande för myndigheterna inom socialförsäkringens administration att tilldelningen av behörighet skall vara väl dokumenterad vad avser såväl information om gränserna för behörigheten som mottagarens emottagande av informationen. Andra stycket i paragrafen innehåller en bestämmelse om vad behörigheten för en viss person får omfatta.
17 §
Bestämmelsen behandlas i avsnitt 6.10.2. I paragrafen klargörs att en förutsättning för direktåtkomst till socialförsäkringsdatabasen är att det finns särskilda bestämmelser om den aktuella direktåtkomsten i lag eller förordning. Bestämmelsen har justerats i förhållande till förslaget i lag-
rådsremissen i anledning av att Lagrådet ifrågasatt huruvida direktåtkomst skall kunna medges genom myndighetsföreskrifter.
18 §
Bestämmelsen behandlas i avsnitt 6.10.3. I första stycket regleras direktåtkomsten för de olika myndigheterna inom socialförsäkringens administration. Som allmän förutsättning för sådan direktåtkomst gäller att den skall behövas för verksamhet enligt de primära eller sekundära ändamålen. Att en myndighet har direktåtkomst innebär naturligtvis inte att samtliga anställda hos myndigheten med automatik har tillgång till alla handlingar eller uppgifter i socialförsäkringsdatabasen. Begränsningar för individens åtkomst följer av vilken behörighet som tilldelats honom eller henne. Bestämmelserna i 16 § medför en skyldighet för myndigheterna att omsorgsfullt överväga omfattningen av de anställdas behörighet för åtkomst till socialförsäkringsdatabasen. Som en allmän begränsning för tilldelning av behörighet gäller bestämmelsen i 16 § andra stycket. Dessutom kommer sannolikt vissa tekniskt betingade begränsningar för direktåtkomsten att gälla. Det sagda innebär dock inte att det för en person anställd inom exempelvis en försäkringskassa föreligger hinder för åtkomst till en annan försäkringskassas ärendehanteringssystem, så länge detta kan motiveras utifrån dennes tjänsteåligganden.
Av andra stycket i bestämmelsen framgår att regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om direktåtkomst för myndigheterna inom socialförsäkringens administration.
19 §
Bestämmelsen behandlas i avsnitt 6.10.4. I paragrafen anges en motsvarighet till nu gällande bestämmelser i 15 § socialförsäkringsregisterlagen om direktåtkomst till socialförsäkringsregister för Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner (KPA Pension AB). Bestämmelsen i tredje stycket innebär en särskild skyldighet för de berörda organen att pröva vilka anställda som skall tilldelas behörighet för direktåtkomsten.
20 §
Bestämmelsen behandlas i avsnitt 6.10.5. I paragrafen anges en motsvarighet till nu gällande bestämmelser i 14 a § socialförsäkringsregisterlagen om direktåtkomst till socialförsäkringsregister för Centrala studiestödsnämnden och arbetslöshetskassorna.
21 §
Bestämmelsen behandlas i avsnitt 6.11. På förslag av Lagrådet har bestämmelsen ändrats i förhållande till förslaget i lagrådsremissen så till vida att orden ”eller handlingar” utgått. Av första meningen i paragrafen framgår att personuppgifter om en enskild fysisk person alltid skall få lämnas ut till denne på medium för automatiserad behandling om hinder inte möter på grund av sekretess. Något krav på att den registrerade personligen begär att få ut uppgifter respektive mottar uppgifter på medium för automatiserad behandling ställs inte. Även ett ombud med fullmakt från den registrerade kan alltså framställa en sådan begäran respektive motta uppgifter för den registrerades räkning. För utlämnande av person-
uppgifter på medium för automatiserad behandling i övrigt gäller en ram som utgörs av de sekundära ändamål som anges i 8 §, inklusive de ändamål som anges i första stycket i den paragrafen.
22 §
Bestämmelsen behandlas i avsnitt 6.12.1. Genom vad som föreskrivs i första stycket möjliggörs utlämnande via Internet av personuppgifter från socialförsäkringsdatabasen för gemensam pensionsinformation. Utlämnande enligt denna bestämmelse förutsätter uttryckligt samtycke från den registrerade. Med hänsyn till att det är den registrerade som själv via Internet begär att uppgifterna skall lämnas ut torde sådant samtycke alltid kunna lämnas i samband därmed på webbplatsen. Av andra stycket framgår att närmare föreskrifter om vilka uppgifter som får lämnas ut med stöd av paragrafen lämnas av regeringen eller den myndighet regeringen bestämmer.
23 §
Bestämmelsen behandlas i avsnitt 6.12.2. Av vad som anges i första stycket följer att personuppgifter som behövs för skadereglering under förutsättning av den registrerades samtycke skall få lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse. Detta innebär även att skannade handlingar som innehåller personuppgifter får lämnas ut på medium för automatiserad behandling om de angivna förutsättningarna är uppfyllda. Samtycket skall vara uttryckligt. Bestämmelsen om utlämnande är inte i sig sekretessbrytande. Däremot kan den registrerades samtycke till utlämnande innebära att sekretessen efterges. Av 20 kap. 9 a § lagen om allmän försäkring följer att uppgifter kan lämnas ut till en försäkringsgivare utan hinder av sekretess om uppgiften behövs för samordning. Av andra stycket framgår att närmare föreskrifter om vilka uppgifter som får lämnas ut med stöd av paragrafen lämnas av regeringen eller den myndighet regeringen bestämmer.
24 §
Bestämmelsen behandlas i avsnitt 6.13.1. I paragrafen anges begränsningar för användningen av sökbegrepp i socialförsäkringsdatabasen. Med sökning avses här i första hand att man genom att ange ett begrepp i en s.k. sökmotor och söka igenom en informationsmängd hittar de poster eller uppgiftskonstellationer där begreppet förekommer. Med användande av sökning är det alltså ofta möjligt att snabbt göra en sammanställning av exempelvis förekomsten av vissa känsliga personuppgifter i en databas och därigenom även att göra en sammanställning av dessa uppgifter. Genom begränsningar av vilka sökbegrepp som är tillåtna begränsas även vad som är att anse som en allmän handling. Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen skall inte få användas som sökbegrepp vid sökning i socialförsäkringsdatabasen. Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.
I tredje stycket anges att regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka
sökbegrepp som får användas. Ytterligare begränsningar för sökning i socialförsäkringsdatabasen kan alltså komma att föreskrivas.
25 §
Bestämmelsen behandlas i avsnitt 6.13.2. Enligt vad som anges i paragrafen får personuppgifter som rör hälsa utan hinder av vad som anges i 24 § användas som urvalskriterier vid sammanställningar under förutsättning av att regeringen har meddelat föreskrifter om det. Tanken är att sammanställningar i datateknisk mening skall kunna tillskapas genom olika urvals- och uteslutningsmetoder, som bygger på att ett dataprogram letar upp vissa begrepp i en uppgiftssamling och utesluter respektive inbegriper en uppgiftspost i förhållande till en önskad sammanställning, beroende på förekomsten av dessa begrepp. Sammanställningen kan sedan genom olika funktioner såsom användning av urvalskriterier m.m. sorteras efter de ingående begreppen. På olika sätt omfattar det tekniska förfarandet vid sammanställning alltså i någon mening sökning bland uppgifter. Med hänsyn till de i 24 § angivna begränsningarna för användning av sökbegrepp vid sökning i socialförsäkringsdatabasen behövs det en särskild regel om att uppgifter som rör hälsa får användas som urvalskriterier.
26 §
Bestämmelsen behandlas i avsnitt 6.14. Genom vad som föreskrivs i paragrafen får överföring av vissa personuppgifter ske till andra länder utan hinder av förbudet i 33 § personuppgiftslagen att föra över personuppgifter till tredje land.
27 §
Bestämmelsen behandlas i avsnitt 6.15. Paragrafen innehåller bestämmelser om skyldigheten att informera den registrerade om behandling av personuppgifter som gäller honom eller henne. Regleringen motsvarar vad som i dag gäller enligt 20 § socialförsäkringsregisterlagen.
28 §
Bestämmelsen behandlas i avsnitt 6.16. Med gallring avses att handlingar eller personuppgifter sorteras ut och förstörs eller utplånas. Den i första stycket angivna gallringsbestämmelsen tar över arkivlagens bestämmelser om bevarande och gallring. Regeringen eller den myndighet regeringen bestämmer får enligt bestämmelsen meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål. Bestämmelserna i paragrafen har utformats med beaktande av Lagrådets synpunkter på förslaget i lagrådsremissen.
29 §
Bestämmelsen behandlas i avsnitt 6.17. Genom vad som anges i paragrafen ges en särskild grund att debitera mottagare för utlämnande av uppgifter och handlingar från socialförsäkringsdatabasen på medium för automatiserad behandling eller genom direktåtkomst. Rätten att ta ut avgifter får självklart inte inskränka den enskildes rätt att med stöd av offentlighetsprincipen ta del av allmänna handlingar eller att få informa-
tion enligt bestämmelserna i personuppgiftslagen. Andra stycket har lagts till i paragrafen i enlighet med Lagrådets förslag.
30 §
Bestämmelsen behandlas i avsnitt 6.18 och 6.19. Innebörden av paragrafen är dels att ett motsvarande skadeståndsansvar som gäller vid behandling i strid med personuppgiftslagen skall gälla vid behandling i strid med den föreslagna lagen, dels att personuppgiftslagens bestämmelser i 28 § om rättelse m.m. skall tillämpas även vid behandling av personuppgifter inom socialförsäkringens administration.
31 §
Bestämmelsen behandlas i avsnitt 6.20. Genom vad som föreskrivs i paragrafen åläggs myndigheterna inom socialförsäkringens administration att företa vissa kontroller av efterlevnaden av bestämmelserna i den föreslagna lagen enligt vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer. Det innebär ingen begränsning av Datainspektionens ansvar och befogenheter.
32 §
Bestämmelsen behandlas i avsnitt 6.21. Regeln om tystnadsplikt motsvarar nuvarande bestämmelser i 16 § socialförsäkringsregisterlagen om tystnadsplikt.
33 §
Bestämmelsen behandlas i avsnitt 6.22.
Hänvisningar till S8
Sammanfattning av förslagen i departementspromemorian En ny lag om behandling av personuppgifter inom socialförsäkringens administration (Ds 2002:60)
I departementspromemorian föreslås en ny lag om behandling av personuppgifter inom socialförsäkringens administration. Den föreslagna lagen är en sådan s.k. registerlag, som utgör ett komplement till personuppgiftslagens (1998:204) bestämmelser om skydd för den personliga integriteten vid automatiserad behandling av personuppgifter m.m. med avseende på behandling av personuppgifter i myndigheters verksamhet. Lagen skall ersätta socialförsäkringsregisterlagen (1997:934).
De centrala delarna i den föreslagna lagen innehåller i huvudsak följande.
- Lagen skall tillämpas vid behandling av personuppgifter vid Riksförsäkringsverket, de allmänna försäkringskassorna eller Premiepensionsmyndigheten (socialförsäkringens administration). Lagen gäller dock endast om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta innebär att den föreslagna lagens tillämpningsområde anpassats till personuppgiftslagens tillämpningsområde. Emellertid föreslås att bestämmelserna i den föreslagna lagen om bl.a. ändamål, känsliga uppgifter, gallring, databas och sökbegrepp i tillämpliga delar även skall gälla uppgifter om avlidna personer, vilket innebär en utvidgning av tillämpningsområdet i förhållande till personuppgiftslagens bestämmelser.
- Den föreslagna lagen utgör endast ett komplement till personuppgiftslagen. Även personuppgiftslagen skall alltså gälla vid behandling av personuppgifter inom de verksamheter som omfattas av den nya lagen, om inte annat följer av den lagen eller föreskrifter som meddelas i enlighet med denna eller personuppgiftslagen.
- I den föreslagna lagen anges ändamål för behandling av personuppgifter som på ett övergripande sätt återspeglar den behandling som förekommer. Ändamålen delas in i primära ändamål och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för tillgodoseende av de behov som finns inom socialförsäkringens administration. De sekundära ändamålen avser utlämnande av personuppgifter från myndigheter inom socialförsäkringens administration. Såväl de primära som de sekundära ändamålen utgör även grunden för ett antal av de föreslagna detaljreglerna med integritetsskyddande syfte.
- Känsliga personuppgifter som avses i 13 § personuppgiftslagen, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv, skall få behandlas om de lämnats till en myndighet i ett ärende eller är nödvändiga för handläggning av ett ärende. För informationsverksamhet, behov av underlag för bedömning av rättigheter och skyldigheter, planering, resultat-
uppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får endast sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet. Behandling för planering, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får inte ske beträffande andra känsliga uppgifter än sådana som behandlas eller har behandlats för informationsverksamhet, behov av underlag för bedömning av rättigheter och skyldigheter eller handläggning av ärenden. Känsliga personuppgifter får behandlas för återsökning av vägledande avgöranden eller för något av de sekundära ändamålen om det är nödvändigt med hänsyn till ändamålet.
- Uppgifter om lagöverträdelser avses i 21 § personuppgiftslagen skall få behandlas om de lämnats till en myndighet i ett ärende eller är nödvändiga för handläggning av ett ärende. För informationsverksamhet, dokumentation för framtida handläggning, planering, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får endast sådana uppgifter om lagöverträdelser behandlas som ligger inom ramen för vad som får behandlas i socialförsäkringsdatabasen. Behandling för planering, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får inte ske beträffande andra sådana uppgifter än dem som behandlas eller har behandlats för informationsverksamhet, dokumentation för framtida handläggning eller handläggning av ärenden. Uppgifter om lagöverträdelser avses i 21 § personuppgiftslagen får behandlas för återsökning av vägledande avgöranden eller för något av de sekundära ändamålen om det är nödvändigt med hänsyn till ändamålet.
- Den övergripande regleringen av de mer integritetskänsliga typerna av behandlingar utgår från begreppet socialförsäkringsdatabasen. Det innebär att det s.k. registerbegreppet överges som utgångspunkt för regleringen. Socialförsäkringsdatabasen avser den samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt inom socialförsäkringens administration. Begreppet innefattar allt från enkla datorregister till avancerade datorsystem som kan hantera elektroniska dokument. Avgörande för att viss behandling av personuppgifter skall omfattas av de särskilda bestämmelser som relaterar till socialförsäkringsdatabasen är om uppgifter eller handlingar hanteras för gemensamt bruk inom myndigheterna. För behandling i socialförsäkringsdatabasen av känsliga personuppgifter respektive sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen skall särskilda begränsningar gälla.
- I syfte att möta de integritetsrisker som följer med ett ökat inslag av informationsteknik inom förvaltningen föreslås även vissa regler om ökad datasäkerhet. Tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen skall endast ske skriftligen. Den som tilldelas sådan behörighet skall skriftligen informeras om gränserna för behörigheten. Behörighet för åtkomst till socialförsäkringsdatabasen skall alltid begränsas till den åtkomst till uppgifter som behövs för den enskildes fullgörande av sina arbetsuppgifter.
- Direktåtkomst till uppgifter i socialförsäkringsdatabasen skall förutsätta särskilt medgivande i lag eller annan författning. De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyn-
digheten skall dock få ha direktåtkomst till uppgifter i socialförsäkringsdatabasen i den utsträckning det behövs för verksamhet enligt de primära eller sekundära ändamålen. Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner (KPA Pension AB – i det följande benämnt KPA) skall, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, få ha direktåtkomst till uppgifter i socialförsäkringsdatabasen för samordning av tjänstepensioner. Statens pensionsverk skall, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, få ha direktåtkomst till uppgifter i socialförsäkringsdatabasen även för handläggning av ärenden i vilka reglerna om statens tjänstegrupplivförsäkring skall tillämpas. Även Centrala studiestödsnämnden och arbetslöshetskassorna skall få ha direktåtkomst till vissa uppgifter i socialförsäkringsdatabasen.
- Personuppgifter om en enskild fysisk person som får lämnas ut till honom eller henne skall alltid få lämnas ut på medium för automatiserad behandling till denne själv. Personuppgifter och handlingar som innehåller personuppgifter i socialförsäkringsdatabasen skall i övrigt endast få lämnas ut på medium för automatiserad behandling till myndigheter eller enskilda om det sker i enlighet med de sekundära ändamålen.
- Personuppgifter i socialförsäkringsdatabasen skall få lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation om den registrerade samtyckt till det.
- Personuppgifter som behövs för skadereglering skall få lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse. En förutsättning skall dock vara att den försäkrade samtyckt till att mottagaren får del av uppgifterna.
- Känsliga personuppgifter eller sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen skall inte få användas som sökbegrepp vid sökning i socialförsäkringsdatabasen. Vid sökning i handlingar som kommit in i anledning av ett ärende eller upprättats i ett ärende och som lagrats på medium för automatiserad behandling skall endast ärendebeteckning eller beteckning på handling få användas som sökbegrepp. Utan hinder av begränsningarna för sökning i den föreslagna lagen skall dock personuppgifter som rör hälsa få användas som urvalskriterium vid sammanställningar om regeringen har meddelat föreskrifter om det.
- Överföring av personuppgifter till tredje land som är nödvändig på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater skall få ske utan hinder av 33 § personuppgiftslagen.
- I fråga om automatiserad behandling av personuppgifter som omfattas av den nya lagen skall bestämmelserna om information till den registrerade i 23 och 25-27 §§personuppgiftslagen tillämpas, dock med den begränsningen att uppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende inte behöver tas med i information enligt 26 § personuppgiftslagen om den registrerade tagit del av handlingens innehåll. Av informationen skall dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär det och
anger vilken handling som avses skall dock informationen, om inte annat följer av bestämmelser om sekretess, även omfatta uppgifter i en sådan handling. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.
- Vid behandling av personuppgifter i strid med den nya lagen skall gälla en motsvarande skyldighet till skadestånd som enligt personuppgiftslagen gäller vid behandling av personuppgifter i strid med den lagen.
- Personuppgift eller handling som behandlas automatiserat skall gallras när det inte längre är nödvändigt med hänsyn till de primära ändamålen att bevara den. Regeringen eller den myndighet regeringen bestämmer får dock föreskriva att handlingar eller uppgifter skall bevaras.
- Personuppgiftslagens bestämmelser om rättelse, blockering eller utplåning av personuppgifter skall gälla på motsvarande sätt vid behandling av personuppgifter inom socialförsäkringens administration i strid med den föreslagna lagen.
- De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten åläggs att genom särskilda åtgärder kontrollera efterlevnaden av den nya lagen, enligt vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer.
Lagförslag i departementspromemorian En ny lag om behandling av personuppgifter inom socialförsäkringens administration (Ds 2002:60)
Förslag till lag om behandling av personuppgifter inom socialförsäkringens administration
Härigenom föreskrivs följande
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter i verksamhet som gäller socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Riksförsäkringsverket, de allmänna försäkringskassorna eller Premiepensionsmyndigheten (socialförsäkringens administration).
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Bestämmelserna i 6–13, 22, 23 och 26 §§ gäller i tillämpliga delar även uppgifter om avlidna personer.
2 § Sådan behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.
3 § I fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen (2001:99) om den officiella statistiken och i författningar som ansluter till den lagen. Bestämmelsen i 1 § tredje stycket nämnda lag gäller inte i fråga om framställning av statistik inom socialförsäkringens administration.
Förhållandet till personuppgiftslagen
4 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom socialförsäkringens administration, om inte annat följer av denna lag eller föreskrifter som meddelas i enlighet med denna lag eller med stöd av personuppgiftslagen.
Personuppgiftsansvar
5 § En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Primära ändamål
6 § De allmänna försäkringskassorna, Premiepensionsmyndigheten och
Riksförsäkringsverket får i sin verksamhet behandla personuppgifter om det är nödvändigt för att
1. återsöka vägledande avgöranden,
2. tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om socialförsäkringsförmåner skall kunna bedömas eller fastställas,
3. informera om socialförsäkringsförmåner,
4. handlägga ärenden,
5. planera, samt göra resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet,
6. framställa statistik avseende verksamhet enligt 4 och 5. Vid behandling för det ändamål som anges i första stycket 1 får inte användas uppgifter som direkt pekar ut den registrerade.
Sekundära ändamål
7 § Personuppgifter som behandlas för ändamål som anges i 6 § får också behandlas av de allmänna försäkringskassorna och Riksförsäkringsverket för tillhandahållande av information som behövs
1. som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda i den verksamhet som bedrivs av Centrala studiestödsnämnden och arbetslöshetskassorna,
2. för samordning av tjänstepensioner i den verksamhet som bedrivs av Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner eller
3. för handläggning av ärenden som handläggs av Statens pensionsverk i vilka reglerna om statens tjänstegrupplivförsäkring skall tillämpas,
De allmänna försäkringskassorna, Premiepensionsmyndigheten och Riksförsäkringsverket får även behandla personuppgifter som behandlas för ändamål som anges i 6 § för att tillhandahålla information till mottagare utanför den egna myndigheten på grund av
1. sådan skyldighet att lämna ut uppgifter som följer av särskilda bestämmelser i lag eller förordning,
2. sådant medgivande att lämna ut uppgifter som följer av särskilda bestämmelser i lag eller förordning,
3. sådan skyldighet att lämna ut uppgifter som följer av gemenskapsrätten inom Europeiska unionen,
4. åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller i avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
Behandling av känsliga personuppgifter m.m.
8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) (känsliga personuppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende.
För något av de ändamål som anges i 6 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet. I övrigt får känsliga personuppgifter inte behandlas för de ändamålen. Behandling för något av de ändamål som anges i 6 § första stycket 5 och 6 får inte ske beträffande andra sådana känsliga personuppgifter än dem som behandlas eller har behandlats för något av de ändamål som anges i 6 § första stycket 2–4.
Känsliga personuppgifter får behandlas för något av de ändamål som anges i 6 § första stycket 1 eller 7 § om det är nödvändigt med hänsyn till ändamålet.
9 § Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende.
För något av de ändamål som anges i 6 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) behandlas som enligt 12 § får behandlas i socialförsäkringsdatabasen. I övrigt får sådana uppgifter inte behandlas för de ändamålen. Behandling för något av de ändamål som anges i 6 § första stycket 5 och 6 får inte ske beträffande andra sådana uppgifter om lagöverträdelser än dem som behandlas eller har behandlats för något av de ändamål som anges i 6 § första stycket 2–4.
Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får behandlas för något av de ändamål som anges i 6 § första stycket 1 eller 7 § om det är nödvändigt med hänsyn till ändamålet.
10 § I 12 § finns särskilda bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) i socialförsäkringsdatabasen.
Socialförsäkringsdatabasen
11 § Den samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i verksamhet som avses i 1 § utgör socialförsäkringsdatabasen.
I socialförsäkringsdatabasen får endast sådana personuppgifter behandlas som avser personer som omfattas eller har omfattats av verksamhet enligt de ändamål som anges i 6 § eller personer om vilka uppgifter på annat sätt behövs för handläggningen av ett ärende.
12 § För de ändamål som anges i 6 och 7 §§ får, med beaktande av de begränsningar som följer av 6, 8, 9 och 11 §§, i socialförsäkringsdatabasen behandlas identifierings- och adressuppgifter samt uppgifter om
1. kön,
2. civilstånd,
3. medborgarskap,
4. födelseort,
5. förekomsten av ansökan eller anmälan i ärenden,
6. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,
7. grad av nedsatt arbetsförmåga,
8. förekomsten av intyg och utlåtande av läkare eller annan intygsgivare,
9. förekomsten av rehabiliteringsutredning eller annan utredning i rehabiliteringsärende samt av fastställd rehabiliteringsplan,
10. arten av och tidpunkter för föreslagna, planerade och vidtagna rehabiliteringsåtgärder,
11. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 14 § tredje stycket och 17 § tredje stycket lagen (1993:737) om bostadsbidrag,
12. den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,
13. den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,
14. den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,
15. fråga om återbetalningsskyldighet har uppkommit, 16. vilken personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade som den bilstödsberättigade hör till,
17. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,
18. att en förälder på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,
19. att den registrerade får aktivitetsstöd enligt 5 § tredje stycket förordningen (1996:1100) om aktivitetsstöd,
20. att den registrerade har rätt till ersättning enligt 16-22 §§ förordningen om aktivitetsstöd,
21. bevakningsanledning, 22. anledningen till att ett ärende avslutats. 23. vårdgivare i ärenden om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa
24. förekomsten av begäran om förhandsprövning enligt förordningen om tandvårdstaxa samt kod för behandlingsförslag som begäran avser,
25. kod för behandling som avses i förordningen om tandvårdstaxa, 26. att den registrerade har rätt till ersättning enligt 9, 13 eller 14 § förordningen om tandvårdstaxa,
27. förhållanden som anges i 15 § andra stycket förordningen om tandvårdstaxa,
28. förekomsten av remiss i ärenden om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa, remitterande vårdgivares namn och namnet på den vårdgivare till vilken remiss har skett,
29. patientavgift och tandvårdsersättning. 30. avgöranden av domstol, Riksförsäkringsverket, Premiepensionsmyndigheten eller allmän försäkringskassa som är av betydelse för enskilda ärenden såvitt avser uppgifter om utgången, de bestämmelser som har tillämpats, och huruvida avgörandet har överklagats
31. diagnos,
32. läkare som utfärdat intyg som ligger till grund för beslut om ersättning,
33. ekonomiska förhållanden, 34. arbetsgivare, 35. arbetsställe, 36. yrke, 37. bransch där den registrerade är verksam och 38. beslut i ärenden. Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får utöver vad som anges i första stycket och 13 § endast behandlas i socialförsäkringsdatabasen om det särskilt anges i lag eller förordning. Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen samt närmare föreskrifter om vilka uppgifter som får behandlas.
13 § En handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen och får innehålla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204). En handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
14 § Behörighet för åtkomst till socialförsäkringsdatabasen får endast tilldelas skriftligen. Den som tilldelas sådan behörighet skall skriftligen informeras om gränserna för den.
Behörighet för åtkomst till socialförsäkringsdatabasen skall begränsas till vad som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter.
Direktåtkomst
15 § Direktåtkomst till socialförsäkringsdatabasen är endast tillåten i den utsträckning som anges i denna lag eller annan författning.
16 § De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för de ändamål som anges i 6 och 7 §§.
Sådan direktåtkomst skall vara förbehållen de personkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om direktåtkomst som avses i första stycket.
17 § Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får ha direktåtkomst till socialförsäkringsdatabasen för samordning av tjänstepensioner med socialförsäkringsförmåner.
Statens pensionsverk får ha direktåtkomst till socialförsäkringsdatabasen för handläggning av ärenden i vilka reglerna om statens tjänstegrupplivförsäkring skall tillämpas.
Bestämmelserna i 14 § och 16 § första stycket andra meningen gäller också för pensionsverket och det gemensamma organet.
Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om vilka uppgifter direktåtkomst enligt första och andra stycket får omfatta.
18 § Centrala studiestödsnämnden och arbetslöshetskassorna får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för ändamål som anges i 7 § första stycket 1.
Regeringen meddelar föreskrifter om vilka uppgifter direktåtkomst enligt första stycket får omfatta.
Utlämnande på medium för automatiserad behandling
19 § Personuppgifter i socialförsäkringsdatabasen som får lämnas ut till den registrerade får lämnas ut till denne på medium för automatiserad behandling. Personuppgifter eller handlingar i socialförsäkringsdatabasen som innehåller personuppgifter får i övrigt lämnas ut på medium för automatiserad behandling endast om det behövs för något av de ändamål som anges i 7 §.
Särskilt reglerade behandlingar
20 § Personuppgifter i socialförsäkringsdatabasen får lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation om den registrerade uttryckligen samtyckt till utlämnandet.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får lämnas ut enligt första stycket.
21 § Personuppgifter som behövs för skadereglering får lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse om den registrerade uttryckligen samtyckt till utlämnandet.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som skall få lämnas ut enligt första stycket.
Sökbegrepp
22 § Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid sökning i socialförsäkringsdatabasen.
Vid sökning i handlingar i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.
Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får användas.
23 § Utan hinder av begränsningarna för sökning som anges i 22 § får personuppgifter som rör hälsa användas som urvalskriterium vid sammanställningar om regeringen har meddelat föreskrifter om det.
Överföring av personuppgifter till tredje land
24 § Överföring av personuppgifter till tredje land på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater får ske utan hinder av 33 § personuppgiftslagen (1998:204).
Information
25 § Personuppgifter i handlingar i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i information enligt 26 § personuppgiftslagen om den registrerade tagit del av handlingens innehåll. Av informationen skall det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär att informeras om uppgifter i en sådan handling och anger vilken handling som avses, skall dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.
Gallring
26 § Personuppgifter eller handlingar som behandlas automatiserat skall gallras när de inte längre är nödvändiga för de ändamål som anges i 6 §.
Regeringen eller den myndighet regeringen bestämmer får dock föreskriva att handlingar eller uppgifter skall bevaras.
Avgifter
27 § Avgifter får tas ut för utlämnande av uppgifter och handlingar från socialförsäkringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen eller den myndighet regeringen bestämmer.
Rättelse och skadestånd
28 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag.
Kontrollverksamhet
29 § De allmänna försäkringskassorna, Riksförsäkringsverket och
Premiepensionsmyndigheten skall genom särskilda åtgärder kontrollera efterlevnaden av denna lag enligt vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer.
Tystnadsplikt
30 § Den som genom sin befattning med personuppgifter som inhämtats från socialförsäkringsdatabasen till det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.
Överklagande
31 § En myndighets beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
1. Denna lag träder i kraft den 1 november 2003, då socialförsäkringsregisterlagen (1997:934) upphör att gälla.
2. Bestämmelserna i denna lag skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling av personuppgifter som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3. Den nya lagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter det att den nya lagen har trätt i kraft. I annat fall tillämpas de äldre bestämmelserna.
Förteckning över remissinstanser som avgett yttrande angående departementspromemorian En ny lag om behandling av personuppgifter inom socialförsäkringens administration (Ds 2002:60)
Göta hovrätt, Kammarrätten i Sundsvall, Länsrätten i Skåne län, Justitieombudsmannen, Justitiekanslern, Riksåklagaren, Datainspektionen, Statskontoret, Statistiska centralbyrån, Riksförsäkringsverket, Socialstyrelsen, Handikappombudsmannen, Riksrevisionsverket, Riksskatteverket, Arbetsgivarverket, Premiepensionsmyndigheten, Centrala studiestödsnämnden, Riksarkivet, Post- och telestyrelsen, Arbetsmarknadsstyrelsen, Arbetslivsinstitutet, Arbetsmiljöverket, Institutet för arbetsmarknadspolitisk utvärdering, Statens pensionsverk, KPA Pension AB, Försäkringskasseförbundet, Landsorganisationen i Sverige, Sveriges Akademikers Centralorganisation, Tjänstemännens Centralorganisation, Svenska Läkaresällskapet, Svenskt Näringsliv, Svenska kommunförbundet, Landstingsförbundet, Arbetslöshetskassornas Samorganisation, Sveriges Försäkringsförbund, AFA, Handikappförbundens Samarbetsorgan och Pensionärernas Riksorganisation.
Lagrådsremissens lagförslag
Förslag till lag om behandling av personuppgifter inom socialförsäkringens administration
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter i verksamhet som gäller socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Riksförsäkringsverket, de allmänna försäkringskassorna eller Premiepensionsmyndigheten (socialförsäkringens administration).
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Bestämmelserna i 6–13, 22, 23 och 26 §§ gäller i tillämpliga delar även uppgifter om avlidna personer.
2 § Sådan behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.
3 § I fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen (2001:99) om den officiella statistiken och i författningar som ansluter till den lagen. Bestämmelsen i 1 § tredje stycket nämnda lag gäller inte i fråga om framställning av statistik inom socialförsäkringens administration.
Förhållandet till personuppgiftslagen
4 §Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom socialförsäkringens administration, om inte annat följer av denna lag eller föreskrifter som meddelas i enlighet med denna lag eller med stöd av personuppgiftslagen.
Personuppgiftsansvar
5 § En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Primära ändamål för behandling av personuppgifter
6 § De allmänna försäkringskassorna, Premiepensionsmyndigheten och
Riksförsäkringsverket får i sin verksamhet behandla personuppgifter om det är nödvändigt för att
1. återsöka vägledande avgöranden,
2. tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om socialförsäkringsförmåner skall kunna bedömas eller fastställas,
3. informera om socialförsäkringsförmåner,
4. handlägga ärenden,
5. planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet,
6. framställa statistik avseende verksamhet enligt 4 och 5. Vid behandling för det ändamål som anges i första stycket 1 får inte uppgifter som direkt pekar ut den registrerade användas.
Sekundära ändamål för behandling av personuppgifter
7 § Personuppgifter som behandlas för ändamål som anges i 6 § får också behandlas av de allmänna försäkringskassorna och Riksförsäkringsverket för tillhandahållande av information som behövs
1. som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda i den verksamhet som bedrivs av Centrala studiestödsnämnden och arbetslöshetskassorna,
2. för samordning av tjänstepensioner i den verksamhet som bedrivs av Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner eller
3. för handläggning av ärenden som handläggs av Statens pensionsverk och där reglerna om statens tjänstegrupplivförsäkring skall tillämpas.
De allmänna försäkringskassorna, Premiepensionsmyndigheten och Riksförsäkringsverket får även behandla personuppgifter som behandlas för ändamål som anges i 6 § för att tillhandahålla information utanför den egna myndigheten på grund av
1. sådan skyldighet att lämna ut uppgifter som följer av särskilda bestämmelser i lag eller annan författning,
2. sådant medgivande att lämna ut uppgifter som följer av särskilda bestämmelser i lag eller annan författning,
3. sådan skyldighet att lämna ut uppgifter som följer av gemenskapsrätten inom Europeiska unionen,
4. åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller i avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
Behandling av känsliga personuppgifter m.m.
8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) (känsliga personuppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende.
För något av de ändamål som anges i 6 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet. I tillsynsärenden får även andra känsliga personuppgifter behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. I övrigt får känsliga personupp-
gifter inte behandlas för de ändamål som anges i 6 § första stycket 2, 3, 5 och 6. Behandling för något av de ändamål som anges i 6 § första stycket 5 och 6 får inte ske i fråga om andra sådana känsliga personuppgifter än dem som behandlas eller har behandlats för något av de ändamål som anges i 6 § första stycket 2–4.
Känsliga personuppgifter får behandlas för något av de ändamål som anges i 6 § första stycket 1 eller 7 § om det är nödvändigt med hänsyn till ändamålet.
9 § Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende.
För något av de ändamål som anges i 6 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) behandlas som enligt 12 § får behandlas i socialförsäkringsdatabasen. I tillsynsärenden får även andra sådana uppgifter behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende. I övrigt får sådana uppgifter inte behandlas för de ändamålen. Behandling för något av de ändamål som anges i 6 § första stycket 5 och 6 får inte ske i fråga om andra sådana uppgifter om lagöverträdelser än dem som behandlas eller har behandlats för något av de ändamål som anges i 6 § första stycket 2–4.
Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får behandlas för något av de ändamål som anges i 6 § första stycket 1 eller 7 § om det är nödvändigt med hänsyn till ändamålet.
10 § I 12 § finns särskilda bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) i socialförsäkringsdatabasen.
Socialförsäkringsdatabasen
11 § Den samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i verksamhet som avses i 1 § utgör socialförsäkringsdatabasen.
I socialförsäkringsdatabasen får endast sådana personuppgifter behandlas som avser personer som omfattas eller har omfattats av verksamhet enligt de ändamål som anges i 6 § eller personer om vilka uppgifter på annat sätt behövs för handläggningen av ett ärende.
12 § För de ändamål som anges i 6 och 7 §§ får, med beaktande av de begränsningar som följer av 6, 8, 9 och 11 §§, i socialförsäkringsdatabasen behandlas identifierings- och adressuppgifter samt uppgifter om
1. kön,
2. civilstånd,
3. medborgarskap,
4. födelseort,
5. förekomsten av ansökan eller anmälan i ärenden,
6. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,
7. grad av nedsatt arbetsförmåga,
8. förekomsten av intyg och utlåtande av läkare eller annan intygsgivare,
9. förekomsten av rehabiliteringsutredning eller annan utredning i rehabiliteringsärende samt av fastställd rehabiliteringsplan,
10. arten av och tidpunkter för föreslagna, planerade och vidtagna rehabiliteringsåtgärder,
11. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 14 § tredje stycket och 17 § tredje stycket lagen (1993:737) om bostadsbidrag,
12. att den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,
13. att den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,
14. att den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,
15. fråga om återbetalningsskyldighet har uppkommit, 16. vilken personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade som den bilstödsberättigade hör till,
17. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,
18. att en förälder på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,
19. att den registrerade får aktivitetsstöd enligt 5 § tredje stycket förordningen (1996:1100) om aktivitetsstöd,
20. bevakningsanledning, 21. anledningen till att ett ärende avslutats, 22. vårdgivare i ärenden om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa,
23. förekomsten av begäran om förhandsprövning enligt förordningen om tandvårdstaxa samt kod för behandlingsförslag som begäran avser,
24. kod för behandling som avses i förordningen om tandvårdstaxa, 25. att den registrerade har rätt till ersättning enligt 9, 13 eller 14 § förordningen om tandvårdstaxa,
26. förhållanden som anges i 15 § andra stycket förordningen om tandvårdstaxa,
27. förekomsten av remiss i ärenden om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa, remitterande vårdgivares namn och namnet på den vårdgivare till vilken remiss har skett,
28. patientavgift och tandvårdsersättning. 29. avgöranden av domstol, Riksförsäkringsverket, Premiepensionsmyndigheten eller allmän försäkringskassa som är av betydelse för enskilda ärenden i fråga om uppgifter om utgången, de bestämmelser som har tillämpats och huruvida avgörandet har överklagats,
30. diagnos, 31. läkare som utfärdat intyg som ligger till grund för beslut om ersättning,
32. ekonomiska förhållanden, 33. arbetsgivare, 34. arbetsställe, 35. yrke, 36. bransch där den registrerade är verksam och 37. beslut i ärenden. Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får utöver vad som anges i första stycket och 13 § behandlas i socialförsäkringsdatabasen endast om det särskilt anges i denna lag eller annan författning. Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen samt närmare föreskrifter om vilka uppgifter som får behandlas.
13 § En handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen och får innehålla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204).
En handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning. Det gäller även om ärendet avser tillsyn.
Tilldelning av behörighet
14 § Behörighet för åtkomst till socialförsäkringsdatabasen skall inom socialförsäkringens administration tilldelas genom en särskild handling i enlighet med vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer.
Behörighet för åtkomst till socialförsäkringsdatabasen skall begränsas till vad som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter.
Direktåtkomst
15 § Direktåtkomst till socialförsäkringsdatabasen är tillåten endast i den utsträckning som anges i denna lag eller annan författning.
16 § De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för de ändamål som anges i 6 och 7 §§. Sådan direktåtkomst skall vara förbehållen de personkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om direktåtkomst som avses i första stycket.
17 § Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får ha direktåtkomst till socialförsäkringsdatabasen för samordning av tjänstepensioner med socialförsäkringsförmåner.
Statens pensionsverk får ha direktåtkomst till socialförsäkringsdatabasen för handläggning av ärenden där reglerna om statens tjänstegrupplivförsäkring skall tillämpas.
Bestämmelserna i 14 § och 16 § första stycket andra meningen gäller också för pensionsverket och det gemensamma organet.
Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om vilka uppgifter direktåtkomst enligt första och andra stycket får omfatta.
18 § Centrala studiestödsnämnden och arbetslöshetskassorna får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för ändamål som anges i 7 § första stycket 1.
Regeringen meddelar föreskrifter om vilka uppgifter direktåtkomst enligt första stycket får omfatta.
Utlämnande på medium för automatiserad behandling
19 § Personuppgifter i socialförsäkringsdatabasen som får lämnas ut till den registrerade får lämnas ut till denne på medium för automatiserad behandling. Personuppgifter eller handlingar i socialförsäkringsdatabasen som innehåller personuppgifter får i övrigt lämnas ut på medium för automatiserad behandling endast om det behövs för något av de ändamål som anges i 7 §.
Särskilt reglerade behandlingar
20 § Personuppgifter i socialförsäkringsdatabasen får lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation om den registrerade uttryckligen samtyckt till utlämnandet.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får lämnas ut enligt första stycket.
21 § Personuppgifter som behövs för skadereglering får lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse om den registrerade uttryckligen samtyckt till utlämnandet.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får lämnas ut enligt första stycket.
Sökbegrepp
22 § Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid sökning i socialförsäkringsdatabasen.
Vid sökning som omfattar innehållet i fler än en handling i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.
Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får användas.
23 § Utan hinder av de begränsningar för sökning som anges i 22 § får personuppgifter som rör hälsa användas som urvalskriterium vid sammanställningar om regeringen har meddelat föreskrifter om det.
Överföring av personuppgifter till tredje land
24 § Överföring av personuppgifter till tredje land på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater får ske utan hinder av 33 § personuppgiftslagen (1998:204).
Information
25 § Personuppgifter i handlingar i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i information enligt 26 § personuppgiftslagen om den registrerade tagit del av handlingens innehåll. Av informationen skall det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär att informeras om uppgifter i en sådan handling och anger vilken handling som avses, skall dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.
Gallring
26 § Personuppgifter eller handlingar som behandlas automatiserat skall gallras när de inte längre är nödvändiga för de ändamål som anges i 6 §.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om gallring.
Regeringen eller den myndighet regeringen bestämmer får dock föreskriva att handlingar eller uppgifter skall bevaras.
Avgifter
27 § Avgifter får tas ut för utlämnande av uppgifter och handlingar från socialförsäkringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen eller den myndighet regeringen bestämmer.
Rättelse och skadestånd
28 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag.
Kontrollverksamhet
29 § De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten skall genom särskilda åtgärder kontrollera efterlevnaden av denna lag enligt vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer.
Tystnadsplikt
30 § Den som genom sin befattning med personuppgifter som inhämtats från socialförsäkringsdatabasen till det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.
Överklagande
31 § En myndighets beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
1. Denna lag träder i kraft den 1 november 2003, då socialförsäkringsregisterlagen (1997:934) upphör att gälla.
2. Bestämmelserna i denna lag skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling av personuppgifter som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3. Den nya lagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter det att den nya lagen har trätt i kraft. I annat fall tillämpas de äldre bestämmelserna.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2003-05-15
Närvarande: f.d. regeringsrådet Karl-Ingvar Rundqvist, regerings- rådet Marianne Eliason, justitierådet Severin Blomstrand.
Enligt en lagrådsremiss den 16 april 2003 (Socialdepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till lag om behandling av personuppgifter inom socialförsäkringensadministration.
Förslaget har inför Lagrådet föredragits av hovrättsassessorn Tomas Forenius.
Förslaget föranleder följande yttrande av Lagrådet:
3 §
I paragrafen lämnas en upplysning om att i fråga om behandling av personuppgifter inom ramen för den officiella statistiken särskilda bestämmelser finns i bl.a. lagen (2001:99) om den officiella statistiken. I andra meningen sägs att bestämmelsen i 1 § tredje stycket i den nu nämnda lagen inte gäller i fråga om framställning av statistik inom socialförsäkringens administration. I det stycket anges att bestämmelserna om behandling av personuppgifter och om gallring skall gälla även vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet. Riksförsäkringsverket är statistikansvarig myndighet för viss statistik på socialförsäkringsområdet, se bilagan till förordningen (2001:100) om den officiella statistiken.
I lagrådsremissen framförs (avsnitt 6.3) som skäl för förslaget i den aktuella paragrafens andra mening att framställning av annan statistik än officiell statistik uteslutande bör regleras i den föreslagna lagen. Härigenom uppnås enligt regeringen betydligt bättre förutsättningar för precision och tydlighet i regleringen av sådan statistikframställning.
Ett förslag med den nu angivna innebörden fanns redan i den remitterade departementspromemorian. Riksförsäkringsverket påpekade under remissbehandlingen att bestämmelsen borde föranleda en ändring i lagen om den officiella statistiken. Regeringen konstaterar i remissen att en sådan ändring förutsätter en bredare översyn än vad som är möjlig i förevarande lagstiftningsärende.
Enligt Lagrådets uppfattning bör ett undantag från en bestämmelse i en lag föranlett av att specialbestämmelser finns i en annan lag tas in i den lag från vilken undantag görs. Att detta kräver en bredare översyn är inte skäl att nu frångå denna ordning. Frågan om förhållandet mellan lagen om den officiella statistiken och de olika lagarna om behandling av integritetskänsliga personuppgifter torde vara av betydelse även i andra fall än det nu aktuella. Det är angeläget att det finns klara regler om vad som avses gälla på området. Lagrådet förordar att frågan övervägs ytterligare under ärendets fortsatta beredning.
6 och 7 §§
I dessa paragrafer anges ändamål för vilka behandling av personuppgifter får ske. De primära ändamålen specificeras i 6 § genom uppräkning i sex punkter och de sekundära i 7 § genom uppräkning i tre punkter i första stycket och i fyra punkter i andra stycket. Uppbyggnaden och utformningen av bestämmelserna ger intryck av att ändamålen är uttömmande angivna. Av den allmänna motiveringen (avsnitt 6.5) framgår emellertid att så inte avses vara fallet. Där framhålls i stället att en detaljerad ändamålsbeskrivning som omfattar alla typer av behandlingar av personuppgifter med nödvändighet skulle bli mycket svåröverskådlig och att socialförsäkringen i sig är en dynamisk verksamhet som ständigt förändras vad avser de olika förmånernas utformning. För socialförsäkringens administration bedöms det därför inte vara någon lämplig lösning att i en registerlag ange en uttömmande uppräkning av ändamålen. Den uppräkning som görs enligt förslaget avses att i förening med regleringen i 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204) tjäna som en ram för vad som är tillåtna behandlingar av personuppgifter.
Lagrådet kan inte finna att de föreslagna bestämmelserna sedda för sig eller lästa tillsammans med den allmänna regeln i 4 § om förhållandet till personuppgiftslagen ger klart uttryck för det synsätt som redovisas i motiven. Att bestämmelserna har getts en tillåtande innebörd genom valet av ordet ”får” och att lydelsen avviker från motsvarande reglering i andra registerlagar så till vida, att ordet ”bara” inte infogats före orden ”om det är nödvändigt ….” kan knappast anses som tillräckliga markeringar av den avsedda betydelsen.
Att föreslå en färdig lösning på hur utformningen skall ändras förutsätter att olika tänkbara ändamål som inte täcks in av den befintliga uppräkningen kan överblickas. Lagrådet anser sig inte ha den överblick som fordras och avstår därför från att försöka bidra med förslag till ändringar i detta hänseende. Allmänt kan sägas att det även såvitt avser det nu aktuella området är önskvärt att samtliga ändamål för vilka behandling skall vara tillåten framgår av lagen. Detta skulle också medföra viss förenkling av de onekligen komplicerade reglerna om i vilka fall behandling skall få ske.
6 §
Till de primära ändamål för vilka personuppgifter får behandlas hör enligt första stycket 2 tillgodoseende av det behov av underlag som krävs för att rättigheter eller skyldigheter i fråga om socialförsäkringsförmåner skall kunna bedömas eller fastställas och enligt första stycket 3 uppgiften att informera om socialförsäkringsförmåner. I dessa båda punkter nämns således egentliga socialförsäkringsförmåner men inte andra förmåner och ersättningar som enligt huvudbestämmelsen om lagens tillämpningsområde (1 § första stycket) också omfattas. Eftersom avsikten inte kan vara att här göra åtskillnad mellan olika slag av verksamheter avseende förmåner och ersättningar som omfattas av lagen bör de nämnda punkterna kompletteras, vilket förslagsvis kan ske genom att ordet ”socialförsäkringsförmåner” byts ut mot ”förmåner och ersättningar som nämns i 1 §”.
I första stycket 4 upptas ändamålet att handlägga ärenden. Detta kan uppfattas avse ärendehandläggning i viss avgränsad betydelse, nämligen sådan som avser bestämmande av förmåner och ersättningar som sägs i 1 §, i all synnerhet som tillsynsärenden nämns särskilt på andra ställen i lagen (8, 9 och 13 §§). I författningskommentaren framhålls emellertid att avsikten är att inbegripa inte endast ärenden om fastställande av förmåner utan även exempelvis tillsynsärenden. Enligt Lagrådets mening bör förtydligande ske i punkt 4 eller ändring göras på de ställen där tillsynsärenden omnämns så att ordet ärende används med en enhetlig innebörd i lagen.
7 §
Enligt paragrafens andra stycke får socialförsäkringens administration behandla personuppgifter för att tillhandahålla information utanför den egna myndigheten på grund av bl.a. sådan skyldighet att lämna ut uppgifter som följer av särskilda bestämmelser i lag eller annan författning (punkt 1).
I remissen anförs (avsnittt 6.7.2) att bestämmelsen avser sådana författningar som innebär att riksdagen eller regeringen specifikt tagit ställning till att vissa uppgifter skall lämnas ut från en myndighet till en annan. Kravet på ett specifikt ställningstagande uttrycks genom att det skall vara fråga om ”särskilda” bestämmelser. Härigenom klargörs enligt regeringen att bestämmelsen i punkten inte avser utlämnande med stöd av tryckfrihetsförordningen eller mer allmänt hållna föreskrifter om samarbete mellan myndigheterna eller om att uppgifter skall lämnas mellan myndigheterna, exempelvis 15 kap. 5 § sekretesslagen (1980:100). De författningar som avses omfattas av punkten är sådana s.k. sekretessbrytande regler som avses i 14 kap. 1 § sekretesslagen.
Lagrådet är inte berett att ansluta sig till att det valda uttrycket kan ges denna innebörd. Tryckfrihetsförordningen talar om ”varje medborgares rätt” att ta del av allmänna handlingar. Detta skulle möjligen inte uppfattas som en sådan ”särskild” bestämmelse som avses. Motivuttalandet framstår ändå som missvisande i den meningen att det skulle kunna uppfattas som att något utlämnande enligt tryckfrihetsförordningen av uppgifter inom socialförsäkringens administration inte skall få ske. Detta kan inte vara avsikten. Uttalandet ger därutöver – bl.a. genom hänvisningen till 14 kap. 1 § sekretesslagen – intryck av att bestämmelsen endast skulle ta sikte på utlämnande till andra myndigheter. Detta kan dock inte utläsas av lagtexten. Om bestämmelsen avses reglera endast utlämnande till andra myndigheter är tryckfrihetsförordningens bestämmelser över huvud taget inte aktuella, eftersom den endast handlar om enskildas rätt att ta del av allmänna handlingar. Om avsikten är den nu beskrivna, bör lagtexten förtydligas i denna del.
Bestämmelsen i 15 kap. 5 § sekretesslagen säger att en myndighet på begäran skall lämna annan myndighet uppgifter. Lagrådet är benäget att anse att en bestämmelse formulerad på det sättet faller in under den nu aktuella paragrafens begrepp ”skyldighet att lämna ut uppgifter som följer av särskilda bestämmelser”. Om avsikten är att utlämnande enligt 15 kap. 5 § inte skall få förekomma av uppgifter inom socialförsäk-
ringens administration är Lagrådet av uppfattningen att detta bör regleras uttryckligen.
Det sägs vidare i paragrafen att skyldigheten skall följa av särskilda bestämmelser i lag eller annan författning. Begreppet ”författning” inkluderar även föreskrifter på myndighetsnivå. Frågan är om avsikten är att sådan skyldighet skall kunna föreskrivas även av myndigheter under regeringen (jfr vad Lagrådet anför under 12 §). För att myndigheter skall få besluta föreskrifter krävs alltid bemyndiganden men dessa är ibland så vida att det inte kan uteslutas att en myndighet inom ramen för ett givet bemyndigande skulle kunna besluta föreskrifter av nu aktuellt slag. Lagrådet förordar att denna fråga övervägs ytterligare under det fortsatta beredningsarbetet.
8 §
Paragrafen innehåller bestämmelser om i vilken utsträckning sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen får behandlas. I första stycket föreskrivs att sådana uppgifter får behandlas, om uppgifterna har lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggningen av ett ärende. Bestämmelserna i andra stycket begränsar möjligheterna att behandla känsliga personuppgifter för andra ändamål som anges i 6 §. Dock görs i andra styckets andra mening undantag för tillsynsärenden; i sådana ärenden får känsliga personuppgifter behandlas, om uppgifterna har lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggningen av ett ärende.
Så som andra stycket är utformat har det blivit svårläst. Undantaget i andra meningen avser sådana uppgifter som avhandlas i paragrafens första stycke. Lagrådet förordar att undantaget får utgå och ersättas av en ny andra mening i första stycket med förslagsvis följande lydelse:
”Sådana uppgifter får behandlas även i ärenden som avser tillsyn.” Styckets tredje mening kan i så fall avslutas med orden ”…. för dessa ändamål”.
9 §
I paragrafen finns bestämmelser om behandling av sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen. Paragrafen är utformad på samma sätt som 8 §. Vad Lagrådet har anfört i anslutning till 8 § aktualiseras också beträffande 9 §. Lagrådet förordar således att andra styckets andra mening får utgå och ersättas av en ny andra mening i första stycket med förslagsvis följande lydelse:
”Sådana uppgifter får behandlas även i ärenden som avser tillsyn.” I paragrafen förekommer ordet ”socialförsäkringsdatabasen” utan någon närmare förklaring. En sådan lämnas först i 11 §. I anslutning till den paragrafen återkommer Lagrådet till frågan hur socialförsäkringsdatabasen lämpligen bör presenteras i lagen.
11 §
I paragrafens första stycke anges vad som utgör socialförsäkringsdatabasen. En databas med denna beteckning har emellertid i lagförslaget omnämnts redan i 9 och 10 §§ utan att ha definierats. Enligt Lagrådets uppfattning bör definitionen flyttas från förevarande paragraf och placeras in på lämpligt ställe tidigare i lagen. En lämplig plats skulle kunna vara i en särskild paragraf sist i lagens inledande avsnitt, vilket därvid fick rubriceras ”Lagens tillämpningsområde m.m.”. Lagrådet förordar vidare att rubriken närmast före 11 § ges lydelsen ”Behandling av personuppgifter i socialförsäkringsdatabasen”.
I den föreslagna definitionen nämns förutom uppgifter, som med hjälp av automatisk behandling används gemensamt i verksamhet som avses i 1 §, även ”handlingar” som används på samma sätt. Att såväl uppgifter som handlingar nämns förklaras i den allmänna motiveringen (avsnitt 6.9.1) främst med att det språkligt sett inte är naturligt eller tillfredsställande att använda sig enbart av begreppet uppgift när man vill täcka in även handlingar som kommit in eller upprättats i ett ärende, särskilt som sådana handlingar kan innehålla ett stort antal komplexa sammanställningar av uppgifter och vissa av handlingarna kommer att vara lagrade i ett fixerat skick så att de ursprungliga uppgifterna däri inte kan elimineras eller förvanskas.
Lagrådet konstaterar att den föreslagna parallella användningen av uppgifter och handlingar inte förekommer i de motsvarande definitioner på databaser som finns i registerlagar för andra verksamheter, såsom för skatteförvaltningen, kronofogdemyndigheterna, Tullverket och den arbetsmarknadspolitiska verksamheten. Den terminologi som används i dessa lagar svarar bättre mot den i bl.a. personuppgiftslagen och sekretesslagen och bör användas även här.
I det föreslagna andra stycket nämns personer om vilka uppgifter på annat sätt behövs för handläggning av ett ärende. Av samma skäl som anförts vid 6 § första stycket 4 kan det behövas en precisering av vilka ärendeslag som åsyftas med bestämmelsen. Lagrådet hänvisar till vad som anförts vid nämnda lagrum.
12 §
Regleringen i första stycket avses enligt författningskommentaren klargöra att personuppgifter som hör till de uppräknade kategorierna – dvs. utöver identifierings- och adressuppgifter en lång rad uppgifter som specificeras i 37 punkter – får behandlas i socialförsäkringsdatabasen, om det sker för ändamål som anges i 6 och 7 §§ (primära och sekundära ändamål). Det framhålls dock att avsikten inte är att endast de uppräknade typerna av uppgifter skall få behandlas; uppräkningen är således inte uttömmande.
På sätt som Lagrådet angett vid 6 och 7 §§ är det svårt att av en reglering med föreslagen utformning sluta sig till att uppräkningen – här dessutom av osedvanlig omfattning och detaljeringsgrad – inte skall vara uttömmande. Detta behöver klargöras genom ändrad utformning av bestämmelsen. Vad Lagrådet sagt vid 6 och 7 §§ om svårigheten för Lagrådet att lägga fram konkret förslag i frågan gäller även här. I anslutning
till att behovet av omformulering påtalas bör dock framhållas att det från rättssystematisk utgångspunkt är inkonsekvent och främmande att i en författning som kan sägas vara ramlagsbetonad foga in en så starkt detaljpräglad reglering (bl.a. innefattande hänvisningar till olika förordningsbestämmelser) som den nu berörda.
Enligt andra stycket första meningen skall ytterligare behandling av känsliga uppgifter vara tillåten om det anges i lag eller annan författning. I författningskommentaren anges att med författning avses lag eller förordning. Som Lagrådet påpekat i anslutning till 7 § ryms inom begreppet författning även myndighetsföreskrifter. Om avsikten är att endast riksdagen och regeringen skall kunna medge ytterligare behandling av känsliga uppgifter bör ordet ”författning” bytas ut mot ”förordning”.
Enligt andra stycket andra meningen meddelar regeringen eller den myndighet som regeringen bestämmer föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen samt närmare föreskrifter om vilka uppgifter som får behandlas.
Det har vid föredragningen upplysts att den första delen av meningen innebär ett reellt bemyndigande att ytterligare begränsa behandlingen av uppgifter i databasen medan den andra delen är en upplysning om att verkställighetsföreskrifter kan komma att meddelas såvitt avser behandling av uppgifter generellt.
De frågor som regleras i den nu aktuella lagen är i och för sig av den karaktären att de i sin helhet kan beslutas av regeringen. Några bemyndiganden för regeringen att besluta föreskrifter av nu aktuellt slag behövs således i och för sig inte. I den mån riksdagen har beslutat föreskrifter (jfr 8 kap. 14 § regeringsformen) hindrar det dock regeringen från att besluta mot lagen stridande föreskrifter (se 8 kap. 17 § regeringsformen). Om regeringen skall kunna föreskriva begränsningar i en av riksdagen beslutad lag, krävs således ett medgivande i lagen. Det finns därför inte av formella skäl anledning till erinran mot första ledet av bestämmelsen.
Såvitt gäller upplysningar i lag om att verkställighetsföreskrifter kommer att meddelas har Lagrådet i ett annat ärende (se prop. 2002/03:110 s. 594 f.) förordat en restriktiv användning av sådana upplysningar. De skäl som anfördes i det ärendet gör sig gällande även här. Till detta kommer att regleringen i detta fall också blir svårbegriplig eftersom både medgivandet att meddela föreskrifter och upplysningen handlar om vilka uppgifter som får behandlas. Lagrådet förordar att andra delen av meningen utgår.
13 §
I paragrafen finns bestämmelser om i vilken utsträckning handlingar som har kommit in i ett ärende eller har upprättats i ett ärende och som innehåller känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. får behandlas i socialförsäkringsdatabasen. Så som paragrafen har utformats har den kommit att innehålla regler om vilka uppgifter handlingar i ett ärende får innehålla. Sådana regler hör inte hemma i förevarande lag. Lagrådet förordar att paragrafen utformas så att den inte reglerar annat än frågan om behandling av uppgifter i handlingar i ett ärende (jfr vad Lag-
rådet anfört i anslutning till 11 §). Paragrafen kan då få förslagsvis följande lydelse:
”Uppgifter i en handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen även om de utgör känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204). Sådana uppgifter i en handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen, om uppgifterna är nödvändiga för ärendets handläggning. Det gäller även om ärendet avser tillsyn.”
För Lagrådet framstår det som oklart huruvida den sista meningen i paragrafen syftar på såväl uppgifter i inkomna handlingar som uppgifter i upprättade handlingar eller på enbart det sistnämnda slaget av uppgifter. Detta bör klargöras.
15 §
Även i denna bestämmelse talas om ”lag eller annan författning”. Lagrådet hänvisar till vad som har anförts därom under 7 §.
19 §
Vad Lagrådet anfört under 11 § om den parallella användningen av uppgifter och handlingar gäller även här. Orden ”eller handlingar” bör således utgå.
26 §
I paragrafen behandlas frågan om gallring. Avsikten är att bestämmelsen skall ta över arkivlagens bestämmelser om bevarande och gallring (se författningskommentaren). Det anförs i remissen att det med hänsyn till integritetsintresset är nödvändigt att ha en regel om gallring i den lagstiftning som avser den automatiserade behandlingen av personuppgifter inom socialförsäkringens administration (avsnitt 6.16).
Paragrafen har dock enligt Lagrådets uppfattning såväl till form som innehåll fått en mindre tillfredsställande utformning.
Till skillnad från bestämmelserna i den nuvarande lagen om socialförsäkringsregister och andra registerlagar som ansetts skola innehålla gallringsregler anges inte någon viss tid efter vilken uppgifterna skall gallras. Regeringen utvecklar i remissen skälen till att den inte anser en ordning med en fast tidsgräns möjlig och föreslår istället en regel av innebörd att en uppgift eller handling som behandlas automatiserat skall gallras när den inte längre är nödvändig med hänsyn till de primära ändamålen.
En bestämmelse som i sak endast slår fast att uppgifter skall gallras när de inte längre är nödvändiga för sitt ändamål framstår som föga upplysande om vad som avses gälla på området och tillför knappast något utöver regleringen i 9 § personuppgiftslagen. I remissen sägs också att en sådan regel måste kompletteras med en bestämmelse som erinrar om att regeringen eller den myndighet som regeringen bestämmer meddelar verkställighetsföreskrifter om gallring och en sådan erinran har tagits in i första stycket.
De skäl som Lagrådet anfört mot bestämmelser som endast är en erinran (se ovan under 12 §) gör sig gällande även här. Till detta kommer att bestämmelsen i detta fall lätt kan uppfattas som ett bemyndigande av innebörd att bestämmelser skall kunna meddelas om att gallring skall vara tillåten även av andra skäl än att uppgifterna inte längre är nödvändiga med hänsyn till de ändamål som föranlett dem, således ett reellt bemyndigande. Jämförd med bemyndigandet i andra stycket (se nedan) framstår då regleringen som närmast motstridig och i vart fall svårbegriplig.
Införandet av gallringsregler i den nu aktuella lagen innebär som redovisats ovan att arkivlagens gallrings- och bevarandebestämmelser inte blir tillämpliga. I remissen uttalas i denna del att en gallringsbestämmelse genom undantagsbestämmelser bör ge utrymme för ett bevarande av personuppgifter med hänsyn till rätten att ta del av allmänna handlingar och för historiska, statistiska eller vetenskapliga ändamål. Det har därför i andra stycket införts en bestämmelse om att regeringen eller den myndighet som regeringen bestämmer skall få föreskriva att handlingar eller uppgifter skall bevaras. Till skillnad från vad som gäller enligt arkivlagen innehåller dock bemyndigandet inte några preciseringar av för vilka skäl uppgifter skall bevaras (jfr t.ex. 19 § socialförsäkringsregisterlagen och 16 § lagen /2002:546/ om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten).
Lagrådet ställer sig mot bakgrund av vad som nu redovisats tvivlande till om de i och för sig något motstridiga syftena med den föreslagna regleringen blir bättre tillgodosedda med den föreslagna regleringen än om inga särskilda gallringsregler införs. Den tänkta huvudregeln om att gallring skall ske är så vag att det kan ifrågasättas om den tillför det integritetsintresse som åberopas som skäl för den något utöver vad som följer av personuppgiftslagen. Det blir regeringen eller den myndighet som regeringen bestämmer som kommer att ge bestämmelsen innehåll. Även de bevarandeintressen som återspeglas i arkivlagens regler avses bli tillgodosedda men de av riksdagen fastlagda principerna för detta sätts ur spel och ersätts av ett ”blankt” bemyndigande. Lagrådet anser mot denna bakgrund att en lämpligare lösning vore att inte ha några särskilda gallringsbestämmelser utan låta arkivlagens och personuppgiftslagens regler gälla (jfr t.ex. lagen /1998:543/ om hälsodataregister). Om den nu föreslagna lösningen inte godtas förordar Lagrådet i vart fall att andra meningen i första stycket utgår, alternativt utformas som ett medgivande att meddela ytterligare föreskrifter om gallring, och att bemyndigandet i andra stycket preciseras så att det framgår för vilka ändamål uppgifter skall få bevaras. Frågan bör övervägas ytterligare i den fortsatta beredningen.
Vad gäller uttrycket ”personuppgifter eller handlingar” hänvisas till vad Lagrådet anfört i anslutning till 11 §.
27 §
Paragrafen innehåller ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om avgifter.
I remissen anförs (avsnitt 6.17) att bestämmelser om att avgifter för merarbete och kostnader för att lämna ut uppgifter genom automatiserad behandling i och för sig kan beslutas av regeringen i förordning men att den här avsedda möjligheten ändå bör slås fast i lag. Vilka överväganden detta ställningstagande grundas på framgår dock inte av remissen (jfr Lagrådets yttrande i prop. 2000/01:33 s. 351).
Också Lagrådet är för sin del närmast av uppfattningen att det är fråga om en avgift som kan beslutas av regeringen utan lagstöd (jfr 4 § 9 avgiftsförordningen /1992:191/). Om det är fråga om en sådan avgift ser Lagrådet ingen anledning att den skall slås fast i lag. Det påpekas vidare i remissen att rätten att ta ut avgifter självklart inte får inskränka den enskildes rätt att enligt offentlighetsprincipen ta del av allmänna handlingar. Om det anses att en avgiftsbestämmelse skall finnas i lag bör det framgå av lagen att bestämmelsen inte innebär någon sådan begränsning (jfr 2 kap. 14 § lagen /2001:181/ om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet).
Socialdepartementet
Utdrag ur protokoll vid regeringssammanträde den 28 maj 2003
Närvarande: statsministern Persson, ordförande, och statsråden Winberg, Ulvskog, Lindh, Sahlin, Pagrotsky, Östros, Messing, Engqvist, Lövdén, Ringholm, Bodström, Karlsson J. O., Sommestad, Karlsson H., Nykvist, Lund, Nuder, Johansson, Björklund
Föredragande: statsrådet Engqvist
Regeringen beslutar proposition 2002/03:135 Behandling av personuppgifter inom socialförsäkringens administration