Följande ledamöter har deltagit i beslutet: Jessica Rosencrantz (M), Tony Haddou (V), Ludvig Aspling (SD), Anders Ygeman (S), Sanne Lennström (S), Clara Aranda (SD), Ulrika Heindorff (M), Åsa Eriksson (S), Daniel Persson (SD), Ola Möller (S), Nima Gholam Ali Pour (SD), Mats Berglund (MP), Mauricio Rojas (L), Caroline Högström (M), Camilla Rinaldo Miller (KD), Jonny Cato (C) och Lena Bäckelin (S).

Redogörelse för ärendet

Ärendet och dess beredning

I betänkandet behandlar utskottet regeringens proposition 2023/24:29 En ny dataskyddsreglering på socialförsäkringsområdet.

Försäkringskassan och Pensionsmyndigheten lämnade i december 2020 en hemställan till Socialdepartementet om ändringar i 114 kap. socialförsäkringsbalken och förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration (S2020/09443). Hemställan har remissbehandlats.

Regeringens förslag till riksdagsbeslut återges i bilaga 1. Regeringens lagförslag finns i bilaga 2.

Lagrådet har granskat lagförslaget och lämnat det utan invändning.

Inga motioner har väckts med anledning av förslaget.

Utskottets överväganden

En ny dataskyddsreglering på socialförsäkringsområdet

Utskottets förslag i korthet

Riksdagen antar regeringens lagförslag om en ny dataskyddsreglering på socialförsäkringsområdet.

Gällande ordning

EU:s dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd EU:s dataskyddsförordning, är direkt tillämplig i alla medlemsstater. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter samtidigt som det fria flödet av personuppgifter inom unionen främjas.

Regeringsformen

I regeringsformens målsättningsstadgande i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och värdighet. Vidare anges i dess fjärde stycke att det allmänna bl.a. ska värna den enskildes privatliv och familjeliv. Grundläggande bestämmelser till skydd för den personliga integriteten som gäller i förhållandet mellan enskilda och staten finns i 2 kap. RF. Av 2 kap. 6 § andra stycket RF följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

Dataskyddslagen

Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Inom ramen för det utrymme som EU:s dataskyddsförordning ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, särskilda kategorier av personuppgifter (som i nationell lagstiftning benämns känsliga personuppgifter), tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är, på samma sätt som den tidigare personuppgiftslagen var, subsidiär i förhållande till annan lag eller förordning. Det gör det möjligt att ha bestämmelser som avviker från dataskyddslagen i sektorsspecifika registerförfattningar.

114 kap. socialförsäkringsbalken

Bestämmelserna i 114 kap. socialförsäkringsbalken (SFB) kompletterar EU:s dataskyddsförordning. Ändamålsbestämmelserna i kapitlet anger en ram för tillåten behandling av personuppgifter och säkerställer på så sätt att personuppgiftsbehandlingen är förenlig med EU:s dataskyddsförordning. De olika skyddsåtgärderna i kapitlet begränsar behandlingen ytterligare. Den behandling av personuppgifter som med dessa begränsningar är tillåten enligt 114 kap. SFB utgör ett undantag från det grundlagsreglerade kravet på skydd för den personliga integriteten (jfr 2 kap. 6, 20 och 21 §§ RF).

Sekretess i Försäkringskassans och Pensionsmyndighetens verksamheter

Sekretess gäller hos Försäkringskassan och Pensionsmyndigheten för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs, och uppgiften förekommer i ett ärende (28 kap. 1 § offentlighets- och sekretesslagen [2009:400], förkortad OSL). Sekretess gäller också hos Försäkringskassan och Pensionsmyndigheten för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs (28 kap. 3 § OSL). I 21 kap. OSL regleras ett generellt sekretesskydd som gäller personuppgifter hos alla myndigheter. För uppgifter som rör en enskilds hälsa eller sexualliv gäller sekretess om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs (21 kap. 1 § OSL). Bestämmelsen gäller inte om det finns en annan bestämmelse som ger starkare skydd för uppgifterna (7 kap. 3 § och 11 kap. 8 § OSL). Sekretess gäller också för personuppgifter som efter ett utlämnande kan antas komma att behandlas i strid med bl.a. EU:s dataskyddsförordning eller dataskyddslagen (21 kap. 7 § OSL).

Propositionen

En ny dataskyddsreglering på socialförsäkringsområdet

Regeringen lämnar i propositionen förslag till en ny dataskyddsreglering på socialförsäkringsområdet. Regeringen anser att Försäkringskassan och Pensionsmyndigheten behöver få förutsättningar att utnyttja de möjligheter som digitaliseringen ger för att administrera socialförsäkringen, fatta materiellt korrekta beslut samt säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott. Myndigheterna behöver också ges rättsliga förutsättningar att vid behov utveckla e-tjänster och it-lösningar som ökar tillgängligheten och effektiviteten. Förslagen syftar till att skapa en teknikneutral lagstiftning som möjliggör en digitaliserad och effektiv verksamhet och som värnar den personliga integriteten. Eftersom förslagen berör flertalet bestämmelser i 114 kap. socialförsäkringsbalken föreslår regeringen att kapitlet upphävs och ersätts med ett nytt kapitel med samma nummer och namn som tidigare.

Lagförslag som regeringen lämnar i propositionen

Ändamål för kontrollåtgärder

Regeringen anser att det finns behov av ett uttryckligt lagstöd för att ge Försäkringskassan och Pensionsmyndigheten möjligheter att behandla personuppgifter för att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. I dag är det oklart om myndigheterna har ett tydligt stöd i 114 kap. SFB för en sådan behandling. Det gäller behandling av personuppgifter som sker i anslutning till att uppgifter lämnas till och från myndigheterna med stöd av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen, lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet och andra skyldigheter att lämna uppgifter i syfte att förhindra felaktiga utbetalningar och motverka bidragsbrott. Det är också oklart i vilken utsträckning som myndigheterna får sammanställa och bevara de personuppgifter som de brottsförebyggande myndigheterna behöver med anledning av en polisanmälan vid ett misstänkt bidragsbrott (6 § bidragsbrottslagen [2007:612]). Vidare är det oklart i vilken utsträckning myndigheterna kan bevara eventuell återkoppling eller domar med anledning av gjorda polisanmälningar. Regeringen föreslår därför att de ändamål för vilka Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter utvidgas så att myndigheterna får möjlighet att behandla personuppgifter om det är nödvändigt för kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Ändamålet för kontrollåtgärder ska således tillämpas när personuppgifter behandlas vid sidan av, inför eller efter ärendehandläggningen. Ett ändamål för kontrollåtgärder ger enligt regeringen även myndigheterna stöd för att utveckla nya och effektivare metoder för kontroll av utbetalningar, t.ex. maskinella riskbaserade analyser och urval. Dataanalyser och urval har enligt flera rapporter visat en stor potential i arbetet med att identifiera felaktigheter. Regeringen föreslår också att Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter om det är nödvändigt för att framställa statistik i fråga om sådan verksamhet som avser kontrollåtgärder. Sådan uppföljning är nära knuten till den ursprungliga behandlingen och utgör en förutsättning för att myndigheterna ska kunna utveckla sin verksamhet.

Behandling av uppgifter om lagöverträdelser

Regeringen anser att det finns behov av och grund för att tillåta behandling av uppgifter om lagöverträdelser. Försäkringskassan och Pensionsmyndigheten har över tid fått ett utökat behov av att behandla uppgifter om lagöverträdelser som en följd av arbetet med att säkerställa att felaktiga utbetalningar inte görs och att motverka bidragsbrott. EU:s dataskyddsförordning innehåller inte heller några begränsande regler i dessa fall. Den nuvarande begränsningen av sådan behandling bör därför tas bort.

Känsliga personuppgifter

Regeringen föreslår att känsliga personuppgifter ska få behandlas om uppgifterna lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende samt om det är nödvändigt för att fullgöra visst uppgiftslämnande.

Känsliga personuppgifter om hälsa ska därutöver få behandlas bl.a. om det är nödvändigt och det krävs för bedömningar av rättigheter och skyldigheter i fråga om förmåner och ersättningar. Under förutsättning att uppgifter behandlas eller har behandlats för att tillgodose behovet av underlag för att bedöma eller fastställa rättigheter eller skyldigheter, för att informera om förmåner och ersättningar eller för att handlägga ärenden föreslås att Försäkringskassan och Pensionsmyndigheten även ska få behandla känsliga personuppgifter om hälsa om det är nödvändigt för att bl.a. vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott eller för att framställa statistik.

Regeringen anser också att det finns anledning att i viss utsträckning tillåta vidarebehandling av känsliga personuppgifter om hälsa för olika tillkommande ändamål under förutsättning att de inte är oförenliga med de ändamål som uttryckligen anges i lag. Regeringen föreslår därför att Försäkringskassan och Pensionsmyndigheten ska få behandla uppgifter om hälsa om det är absolut nödvändigt med stöd av den s.k. finalitetsprincipen. Det avser att markera att behandlingen ska ske med restriktivitet och att behovet av att behandla personuppgifter ska prövas noga i det enskilda ärendet.

Sökbegränsningar

Regeringen föreslår att Försäkringskassan och Pensionsmyndigheten ska få göra sökningar för att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa, om uppgiften avser förmån eller ersättning eller om urvalet ska användas för att vidta åtgärder i handläggningen, planera, följa upp eller utvärdera handläggningen eller vidta kontrollåtgärder. Försäkringskassan och Pensionsmyndigheten har enligt regeringen behov av att söka i och strukturera informationen utifrån de förmånsslag respektive ersättningar de administrerar. Huvudsakligen rör det uppgifter om hälsa.

Informationsutbyte mellan myndigheter

Regeringen anser att informationsutbytet mellan myndigheter bör underlättas. Försäkringskassan och Pensionsmyndigheten behöver få lämna ut personuppgifter digitalt, så länge det inte strider mot bestämmelser om sekretess och krav på säkerhet. Regeringen föreslår därför att de särskilda begränsningar som gäller i dag för utlämnande av personuppgifter på medium för automatiserad behandling (annat elektroniskt utlämnande av personuppgifter än genom direktåtkomst) tas bort.

Övrigt

Regeringen föreslår att uttrycket socialförsäkringsdatabasen tas bort. I stället bör det uttryckligen anges i de enskilda bestämmelserna vilken verksamhet som avses.

Regeringen föreslår också att bestämmelser ska införas som i sak motsvarar gällande bestämmelser om ändamål och olika skyddsåtgärder. Bland annat överförs bestämmelserna om personuppgiftsansvar, primära och sekundära ändamål, behandling av känsliga personuppgifter, direktåtkomst till personuppgifter, avgifter, tystnadsplikt samt gallring.

Ikraftträdande

Lagändringarna föreslås träda i kraft den 15 februari 2024.

Utskottets ställningstagande

Det har inte väckts någon motion med anledning av propositionen. Utskottet anser att riksdagen av de skäl som anförts i propositionen bör anta regeringens lagförslag. Därmed tillstyrker utskottet propositionen.

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2023/24:29 En ny dataskyddsreglering på socialförsäkringsområdet:

Riksdagen antar regeringens förslag till lag om ändring i socialförsäkringsbalken.

Bilaga 2

Regeringens lagförslag