Regeringens proposition 2023/24:146

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 23 maj 2024

Ulf Kristersson

Anna Tenje (Socialdepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås en lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen (ISF). Lagen ska komplettera EU:s dataskyddsförordning och gälla vid behandling av personuppgifter i verksamhet vid ISF som avser systemtillsyn och effektivitetsgranskning. Personuppgifter ska få behandlas om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet samt för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Lagen innehåller flera olika skyddsåtgärder som avser att ge enskildas personliga integritet ett tillfredsställande skydd. Behandlingen av personuppgifter ska som huvudregel ske i projekt. Personuppgifter som samlas in för att behandlas i ett projekt får återanvändas i ett annat projekt än det som de samlats in för endast om behandlingen är nödvändig för att ISF helt eller delvis ska kunna upprepa eller följa upp det ursprungliga projektet. Personuppgifter som direkt kan hänföras till den registrerade ska som huvudregel separeras från övriga personuppgifter. Endast vissa kategorier av känsliga personuppgifter ska få ligga till grund för sökningar i syfte att få fram ett urval av personer. Dessutom innehåller lagen bestämmelser om bl.a. krav på den enskildes medgivande vid viss personuppgiftsbehandling och begränsningar av tillgången till personuppgifter.

Lagen föreslås träda i kraft den 1 januari 2025.

1

Prop. 2023/24:146 Innehållsförteckning

3

Regeringens förslag:

Riksdagen antar regeringens förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen.

4

personuppgifter vid Inspektionen för socialförsäkringen

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Förhållandet till annan dataskyddsreglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Uppgifter om avlidna personer

3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:

1.denna lag och föreskrifter som har meddelats i anslutning till lagen,

2.EU:s dataskyddsförordning, och

3.lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

Begränsning av rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar gäller dock när personuppgifterna samlas

13 § Innan personuppgifter får behandlas inom ramen för ett projekt ska Prop. 2023/24:146 Inspektionen för socialförsäkringen fastställa

1.syftet med projektet,

2.vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras i projektet, och

3.när projektet senast ska vara avslutat.

Det fastställda syftet får inte ändras.

Information om vad som har fastställts ska hållas tillgänglig på Inspektionen för socialförsäkringens webbplats.

Medgivande till behandling av personuppgifter

14 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas.

Om ett medgivande återkallas får behandlingen av personuppgifter dock fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering.

Begränsning av möjligheterna att identifiera den registrerade

15 § Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Personuppgifter som direkt kan hänföras till den registrerade får dock behandlas tillsammans med övriga personuppgifter, om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.

Det som sägs i första stycket hindrar inte att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.

Tillgång till personuppgifter

16 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsäkringen.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

1.Denna lag träder i kraft den 1 januari 2025.

2.Bestämmelserna i 12–14 §§ tillämpas inte på projekt som har inletts före ikraftträdandet.

7

Inom Socialdepartementet har promemorian En registerlag för Inspektionen för socialförsäkringen (Ds 2023:13) tagits fram. En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Socialdepartementet (S2023/01513).

I propositionen behandlas promemorians förslag.

Lagrådet

Regeringen beslutade den 4 april 2024 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Regeringen har i huvudsak följt Lagrådets förslag. Lagrådets synpunkter behandlas i avsnitt 7.14 och i författningskommentaren.

I förhållande till lagrådsremissen har dessutom vissa språkliga och redaktionella ändringar gjorts.

4 Inspektionen för socialförsäkringen

4.1 Myndighetens uppgifter

granskningar görs ofta på ett mer övergripande plan, exempelvis genom att ISF undersöker om en reform har fått den genomslagskraft som varit tänkt eller om en viss lagstiftning är relevant och anpassad till samhällsutvecklingen.

I effektivitetsgranskningarna ingår också att utvärdera om verksamheterna inom socialförsäkringsområdet utförs i enlighet med de mål som regering och riksdag har ställt upp i styrande dokument. Dessutom granskas om myndigheternas egna system för mål- och resultatstyrning skapar rätt förutsättningar för att nå uppsatta mål.

Vidare gör ISF granskningar av om de resurser som tillförs de myndigheter som administrerar socialförsäkringen används på ett kostnadseffektivt sätt. Granskningarna av administrativ effektivitet kan handla om att mäta effektiviteten i handläggningen av olika förmåner. Sådana mätningar kan göras genom att kostnader för handläggningen relateras till prestationer. Prestationer mäts genom både produktionsvolym, t.ex. antalet beslut, och handläggningens kvalitet. I granskningar av administrativ effektivitet ingår även att analysera tillsynsobjektens förutsättningar för att upprätthålla en god effektivitet, t.ex. om ärendehanteringen och beslutsstödet är organiserat och utformat på ett ändamålsenligt sätt.

Regeringens styrning påverkar tillsynsobjektens förutsättningar att bedriva en rättssäker och effektiv verksamhet. ISF:s granskningar av tillsynsobjekten kan därför även omfatta regeringens styrning.

I 3 a § instruktionen anges att ISF, i de fall det är nödvändigt, får bedriva den forskning som behövs för att myndigheten ska kunna fullgöra sina uppgifter enligt 1–3 §§. ISF kan således, under de nämnda förutsättningarna, använda forskning som metod för att utföra sin systemtillsyn eller effektivitetsgranskning.

ISF ska löpande redovisa resultatet av sin systemtillsyn och effektivitetsgranskning till regeringen (11 § instruktionen). Det sker normalt genom att myndigheten publicerar och lämnar över skriftliga rapporter till regeringen. Resultatredovisningar förekommer också i form av skrivelser till regeringen, olika typer av arbetsrapporter och vetenskapliga artiklar.

ISF har inte någon normerande roll eller några sanktionsmöjligheter i förhållande till de granskade verksamheterna. Inte heller har myndigheten någon klagomålshantering eller möjlighet att ingripa i enskilda ärenden.

ISF är inte en statistikansvarig myndighet och ansvarar därmed inte för framställning av officiell statistik enligt lagen (2001:99) om den officiella statistiken.

4.2Tillsyns- och granskningsområdet

ISF ska utöva systemtillsyn över och utföra effektivitetsgranskning av den verksamhet som bedrivs av Försäkringskassan, Pensionsmyndigheten i de delar som inte står under Finansinspektionens tillsyn och Skatteverket i de delar som avser beslut om pensionsgrundande inkomst (2 § instruktionen). Tillsynen och granskningen får också omfatta verksamheter som gränsar

9

Prop. 2023/24:146 till socialförsäkringsområdet (3 § instruktionen). Det handlar primärt om hur andra trygghetssystem eller verksamheter påverkar socialförsäkringen, men granskningen kan även avse det omvända förhållandet – socialförsäkringens påverkan på andra system eller verksamheter. Verksamheter som gränsar till socialförsäkringsområdet kan vara hälso- och sjukvården, som utfärdar läkarintyg för sjukskrivning, eller tjänstepensionsföretag. En annan viktig verksamhet som gränsar till socialförsäkringen är Arbetsförmedlingens verksamhet för att stödja personer som får eller har fått ersättning från sjukförsäkringen och som behöver hjälp att få eller byta arbete. ISF har också behov av att kunna undersöka hur samspelet mellan socialförsäkringen och arbetslöshetsförsäkringen fungerar för de grupper som rör sig mellan dessa försäkringar. Kommuner tillhandahåller stöd som kan påverka behovet av stöd till personer med funktionsnedsättning från socialförsäkringen, framför allt i form av insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade och enligt socialtjänstlagen (2001:453). Kommuner tillhandahåller också stöd till pensionärer.

Därutöver får tillsynen och granskningen även omfatta samverkansinsatser med anknytning till socialförsäkringsområdet (3 § instruktionen). Sådana samverkansinsatser kan vara samverkan mellan Försäkringskassan och Arbetsförmedlingen eller rehabiliteringsinsatser som finansieras av samordningsförbund. ISF:s tillsynsområde omfattar dock inte de delar som ingår i tillsynsområdet för Inspektionen för arbetslöshetsförsäkringen.

ISF gör även granskningar som inte avser en särskild verksamhet. När socialförsäkringsområdet granskas på ett mer övergripande plan, exempelvis om en viss reform har fått den genomslagskraft som varit avsedd, är det reformen som står i fokus och inte verksamheterna.

4.3Samverkan med andra tillsynsmyndigheter

ISF ska i sin systemtillsyn och effektivitetsgranskning samverka med de tillsynsmyndigheter som kan komma att beröras av myndighetens tillsyns- eller granskningsverksamhet (4 § instruktionen). Socialförsäkringsområdet gränsar till flera andra verksamhetsområden, t.ex. hälso- och sjukvård och arbetsmarknad. Det kan därför vara aktuellt att samverka med bl.a. Socialstyrelsen, Inspektionen för vård och omsorg och Inspektionen för arbetslöshetsförsäkringen när förhållanden på socialförsäkringsområdet och angränsade områden granskas samtidigt.

4.4 Verksamheten bedrivs huvudsakligen i projektform

myndigheten får ett regeringsuppdrag eller på egen hand har tagit fram en Prop. 2023/24:146 underlagspromemoria med en projektidé. För att ett projekt ska kunna

inledas utformar en arbetsgrupp en projektplan som innehåller bl.a. syfte och frågeställningar, nyttan med projektet, jämställdhets- och barnrättsperspektiv, juridiska frågor, avgränsningar, hur projektet ska genomföras och metod, beskrivning av hur personuppgifter ska behandlas, bemanning, kvalitetssäkring och tidsplan. Projektplanen föredras för ledningsgruppen, varvid generaldirektören fattar beslut om att ett projekt ska startas. Därefter kan arbetet inledas och projektgruppen kan börja att samla in personuppgifter och göra de analyser som behövs för granskningen.

En projektgrupp består av en projektledare som leder arbetet i projektet och ett visst antal projektmedlemmar med olika kompetenser. En projektansvarig chef följer arbetet i projektet och ger stöd, t.ex. när det gäller praktiska frågor, vägval i projektet och frågor som rör kvaliteten. Den projektansvariga chefen säkrar tillsammans med en annan kvalitetssäkrande chef samt ledningsgruppen att rapporten uppfyller de krav ISF har på sina rapporter. Chefsjuristen har ett övergripande ansvar för den rättsliga kvaliteten i rapporten. Därutöver har projektgruppen stöd av särskilt utsedda kvalitetssäkrare när det gäller sakfrågor och metodfrågor samt av ISF:s dataskyddsombud när det gäller frågor som rör behandling av personuppgifter. Resultatet och slutsatserna från tillsyn och granskningar publiceras i rapporter och skrivelser.

Arbetsmetoder

Inom ramen för ett projekt bedriver ISF ofta flera olika undersökningar. Undersökningarna genomförs i form av dokumentstudier och rättsutredningar, registerstudier, aktstudier samt intervju- och enkätstudier. Det förekommer att uppgifter bearbetas genom framställning av statistik och forskning. Olika metoder kan kombineras för att myndigheten ska kunna belysa en fråga ur flera perspektiv. Genom att kombinera kvalitativa metoder med kvantitativa metoder är det också möjligt att dra mer djupgående slutsatser.

Dokumentstudier

När ISF granskar tillsynsobjektens styrning genom att studera interna styrdokument och informationssystem görs det genom s.k. dokumentstudier. Sådan granskning kräver inte behandling av personuppgifter i någon större omfattning. Om dokumenten innehåller personuppgifter, handlar det normalt bara om namn och kontaktuppgifter till medarbetare hos tillsynsobjekten.

separat nyckel skapas därför i dessa fall mellan ärendeaktens löpnummer Prop. 2023/24:146 och den registrerades personnummer. När aktgranskningen är klar kan

nyckeln användas för att inhämta kompletterande uppgifter.

Intervju- och enkätstudier

ISF genomför ofta intervjustudier och ibland även enkätstudier. Intervjuerna genomförs framför allt med tjänstemän hos tillsynsobjekten eller i enstaka fall med allmänheten. En intervjustudie kan ge en djupare bild av exempelvis handläggningsprocesserna hos en myndighet. Utskick av enkäter kan göras till en riktad målgrupp.

ISF gör oftast en ljudinspelning av intervjuer och transkriberar sedan dessa. ISF behandlar inspelningar av intervjuer som personuppgifter trots att det inte alltid går att identifiera en fysisk person genom enbart rösten. Vid intervjuer med tjänstemän innehåller transkriberingen av en ljudinspelning sällan personuppgifter.

4.5Omvärldsbevakning och planering av verksamheten

En viktig del av ISF:s arbete är att bevaka utvecklingen inom socialförsäkringsområdet. Det kan handla om att läsa domar och beslut, nyhetsbrev, artiklar, publicerade rapporter, litteratur och liknande. Det kan också handla om att hämta in styrdokument och liknande handlingar från de myndigheter som granskas och samla sådant material i ett e-bibliotek. ISF får vidare in synpunkter på socialförsäkringen från allmänheten. Genom omvärldsbevakning kan myndigheten identifiera egna förslag till projekt.

Innan ett projekt inleds har ISF behov av att kunna planera verksamheten. Det kan handla om att utvärdera om det finns underlag för en viss undersökning och ta ställning till om det är meningsfullt att inleda en tillsyn eller granskning. Genom kartläggningar av socialförsäkringen kan ISF bl.a göra översikter av hur vissa förmåner används eller hur ersättningsnivåer utvecklats över tid. Syftet med kartläggningar är att bidra till att identifiera områden eller frågor som kan komma att bli föremål för systemtillsyn eller effektivitetsgranskning.

I praktiken är omvärldsbevakning och planering av verksamheten en simultan process. Omvärldsbevakning kan ge upphov till planering och planering kan ge anledning till omvärldsbevakning. Sådan verksamhet bedrivs inte i projektform.

5Gällande rätt

5.1 Europakonventionen

Prop. 2023/24:146 konventionen, har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rättighet annat än med stöd av lag och under förutsättning att det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

När det gäller kravet på lagreglering krävs bl.a. att den nationella författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar och de ska vara allmänt tillgängliga. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse som åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.

Europakonventionen gäller som lag i Sverige. Av regeringsformen, förkortad RF, framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen (2 kap. 19 §).

5.2EU:s dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, är direkt tillämplig i alla medlemsstater. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen.

Det materiella tillämpningsområdet för EU:s dataskyddsförordning omfattar sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Vissa undantag från tillämpningsområdet görs dock. Exempelvis ska behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten inte omfattas av förordningens bestämmelser (artikel 2.2 a). Enligt artikel 2.2 d gäller EU:s dataskyddsförordning inte heller för bl.a. sådan personuppgiftsbehandling som omfattas av tillämpningsområdet för Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet).

14

Prop. 2023/24:146 behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.

Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjuden. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Från huvudregeln att dessa särskilda kategorier av personuppgifter inte får behandlas finns flera undantag (artikel 9.2). Sådan behandling är bl.a. tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder måste ske under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs (artikel 10).

EU:s dataskyddsförordning föreskriver ett antal rättigheter för den registrerade och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande information från den personuppgiftsansvarige (artiklarna 12–14). Den registrerade kan också begära registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få felaktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artiklarna 16–18). Rätten till radering gäller dock inte för behandling som sker med stöd av grunderna i artikel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning). Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning (artikel 21). En ytterligare rättighet för den registrerade är att slippa bli föremål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22).

Vissa av de rättigheter och skyldigheter som föreskrivs i förordningen får begränsas i nationell rätt. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23.1, t.ex. en medlemsstats viktiga mål av generellt allmänt intresse.

16

Om EU:s dataskyddsförordning föreskriver att förtydliganden eller Prop. 2023/24:146 begränsningar av dess bestämmelser kan göras i medlemsstaternas

nationella rätt kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8). Regeringen har i propositionen Ny dataskyddslag gjort bedömningen att detta innebär att förordningen ger medlemsstaterna möjlighet att i lagar på nationell nivå föreskriva vissa anpassade bestämmelser (prop. 2017/18:105 s. 21–23). Principen om unionsrättens företräde innebär dock att bestämmelser i sådana författningar måste vara förenliga med EU:s dataskyddsförordning.

5.3Regeringsformen

I regeringsformens målsättningsstadgande i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och värdighet. Vidare anges i dess fjärde stycke att det allmänna bl.a. ska värna den enskildes privatliv och familjeliv. Grundläggande bestämmelser till skydd för den personliga integriteten som gäller i förhållandet mellan enskilda och staten finns i 2 kap. RF. Av 2 kap. 6 § andra stycket RF följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

5.4Dataskyddslagen

Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Inom ramen för det utrymme som EU:s dataskyddsförordning ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, särskilda kategorier av personuppgifter (som i nationell lagstiftning benämns känsliga personuppgifter), tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är, på samma sätt som den tidigare personuppgiftslagen var, subsidiär i förhållande till annan lag eller förordning. Det gör det möjligt att även fortsättningsvis ha från dataskyddslagen avvikande bestämmelser i sektorsspecifika registerförfattningar.

17

Sekretess gäller enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det. Regeringen har i 7 § offentlighets- och sekretessförordningen (2009:641) föreskrivit att sekretess gäller hos Inspektionen för socialförsäkringen (ISF) avseende undersökningar av rättstillämpning, handläggning och administration inom socialförsäkringsområdet och inom verksamheter med direkt anknytning till socialförsäkringen, undersökningar om effekter av förändringar inom socialförsäkringsområdet och om utnyttjandet av socialförsäkringen för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (24 kap. 8 § tredje stycket OSL).

Eftersom ISF är en tillsynsmyndighet gäller också tillsynssekretessen enligt 11 kap. 1 § OSL.

5.6Barnkonventionen

FN:s konvention om barnets rättigheter, här benämnd barnkonventionen, gäller genom lagen (2018:1197) om Förenta nationernas konvention om barnets rättigheter sedan 2020 som svensk lag. Barnkonventionen innehåller fyra grundprinciper som ska vara vägledande: barnets lika värde och rätt att inte diskrimineras (artikel 2), barnets bästa (artikel 3), barnets rätt till liv, överlevnad och utveckling (artikel 6) och barnets rätt att uttrycka sina åsikter och få dem beaktade (artikel 12).

Vid alla åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ, ska i första hand beaktas vad som bedöms vara barnets bästa (artikel 3.1). Konventionsstaterna åtar sig att tillförsäkra barnet sådant skydd och sådan omvårdnad som behövs för dess välfärd, med hänsyn tagen till de rättigheter och skyldigheter som tillkommer dess föräldrar, vårdnadshavare eller andra personer som har juridiskt ansvar för barnet, och ska för detta ändamål vidta alla lämpliga lagstiftningsåtgärder och administrativa åtgärder (artikel 3.2).

Inget barn får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende (artikel 16.1). Barnet har rätt till lagens skydd mot sådana ingripanden eller angrepp (artikel 16.2).

18

Regeringens förslag: En lag om behandling av personuppgifter vid

Inspektionen för socialförsäkringen ska införas.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot

det.

Skälen för regeringens förslag

Behovet av en registerförfattning har utretts tidigare

Inspektionen för socialförsäkringen (ISF) inrättades 2009. Redan i samband med detta pekade Utredningen för inrättandet av Inspektionen för socialförsäkringen tillsammans med myndigheten på behovet av en särskild registerförfattning för ISF:s verksamhet (S2009/4622 och S2009/5373).

I januari 2011 presenterade en arbetsgrupp vid Socialdepartementet promemorian Behandling av personuppgifter vid Inspektionen för socialförsäkringen, m.m. (Ds 2011:4). Promemorian remissbehandlades och mottog viss kritik från remissinstanserna. Enligt bl.a. ISF skulle förslagen i promemorian riskera att försämra ISF:s möjligheter att genomföra myndighetens uppdrag. Förslagen i promemorian har inte lagts till grund för lagstiftning.

I augusti 2013 beslutade regeringen att tillsätta en särskild utredare som fick i uppdrag att på nytt analysera behovet av en särskild lagreglering för behandling av personuppgifter för tillsyns- och granskningsverksamheten vid ISF (dir. 2013:83 och 2014:89). I betänkandet Inbyggd integritet inom Inspektionen för socialförsäkringen (SOU 2014:67) föreslogs en ny registerförfattning. Enligt den föreslagna lagen skulle ISF få behandla känsliga personuppgifter under förutsättning att dessa lämnats i ett tillsyns- eller granskningsärende eller annars var nödvändiga för handläggningen av ett sådant ärende. En integritetsskyddsfunktion som skulle ha till uppgift att tekniskt och administrativt skydda enskildas personliga integritet och upprätthålla en lämplig säkerhetsnivå för de personuppgifter som behandlas föreslogs också inrättas vid ISF. Betänkandet remissbehandlades. Flera remissinstanser ansåg att förslagen innebar en rimlig avvägning mellan å ena sidan kravet på en effektiv tillsyns- och granskningsverksamhet hos ISF och å andra sidan enskildas behov av skydd för den personliga integriteten. Integritetsskyddsmyndigheten (dåvarande Datainspektionen) avstyrkte dock förslaget till ny registerlag och ifrågasatte bl.a. lämpligheten i att ISF skulle kunna välja att tillämpa den föreslagna lagen eller lagen (2003:460) om etikprövning av forskning som avser människor vid behandling av känsliga personuppgifter. Datainspektionen ansåg också att de skyddsåtgärder som är av central betydelse för integritetsskyddet måste framgå av lagen för att förslaget skulle uppfylla kraven enligt regeringsformen och att det inte var tillräckligt att reglera ett krav på en integritetsskyddsfunktion. Även Vetenskapsrådet avstyrkte förslaget och ansåg att behovet av

skyddsåtgärder inte var tillgodosett med enbart en integritetsskydds-

19

Prop. 2023/24:146 dataskyddsförordning kan medlemsstaterna dessutom under vissa förutsättningar, och i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella reglerna begripliga, införliva delar av förordningen i nationell rätt. Vissa rättigheter och skyldigheter enligt dataskyddsförordningen får enligt artikel 23 begränsas i den nationella rätten under förutsättning att det sker med respekt för de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle.

Dataskyddslagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket gör det möjligt att ha avvikande bestämmelser i sektorsspecifika registerförfattningar.

Regleringen bör ske i lag

Som beskrivs i avsnitt 5.3 finns det i regeringsformen, förkortad RF, grundläggande bestämmelser till skydd för den personliga integriteten. Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket RF). Begreppet enskildas personliga förhållanden har samma innebörd som i sekretesslagstiftningen och avser alltså bl.a. namn och andra identifikationsuppgifter, adress, familjeförhållanden, hälsa, fotografisk bild, uppgift om anställning och en persons ekonomi (propositionen En reformerad grundlag [prop. 2009/10:80 s. 177]).

Vid bedömningen av om en åtgärd innebär kartläggning ska åtgärdens effekter snarare än det huvudsakliga syftet med åtgärden beaktas (prop. 2009/10:80 s. 180–182). Som framgår av avsnitt 4.4 behandlar ISF stora mängder uppgifter som rör enskildas personliga förhållanden inom sin tillsyns- och granskningsverksamhet. Uppgifterna kan avse enskilda i livets alla faser och röra både privatliv och arbetsliv. Det handlar om allt från olika demografiska och socioekonomiska uppgifter om ålder, kön, boende, civilstånd, yrke och utbildning till uppgifter om sysselsättning, löneinkomster, behov av ekonomiskt stöd och känsliga personuppgifter. Uppgifterna hämtas från flera olika myndigheter och organisationer och behandlingen berör både en stor del av Sveriges befolkning och människor i andra länder. Syftet är att skapa en bred bild av individerna för analysändamål. I dessa fall får behandlingen av personuppgifter anses innebära en kartläggning av enskildas personliga förhållanden enligt regeringsformen.

Vad som utgör ett betydande intrång avgörs utifrån bl.a. uppgifternas karaktär och omfattning samt ändamålet med behandlingen (prop. 2009/10:80 s. 183 och 184). Även om ISF:s verksamhet har ett kvalitetsfokus och myndigheten inte fattar beslut som får konsekvenser för enskilda, bör myndighetens personuppgiftsbehandling mot bakgrund av uppgifternas omfattning och behandlingens integritetskänsliga karaktär till övervägande del anses kunna utgöra ett betydande intrång i den mening som avses i regeringsformen. Personuppgiftsbehandlingen bedöms därmed utgöra ett sådant betydande integritetsintrång som avses i 2 kap.

24

6 § andra stycket RF. Behandlingen sker i de flesta fall utan samtycke från Prop. 2023/24:146 den enskilde.

Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning måste enligt 2 kap. 20 § RF göras genom lag. Integritetsskyddskommittén, som lämnade förslaget till grundlagsbestämmelsen i 2 kap. 6 § andra stycket RF, konstaterade att de från integritetsskyddssynpunkt viktigaste momenten i hanteringen handlar om hur uppgifter om enskilda får samlas in, ändamålet med behandlingen och i vilken utsträckning uppgifter på grund av uppgiftsskyldighet, som alltså bryter sekretess som gäller för uppgifterna, ska lämnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skäl (Skyddet för den personliga integriteten [SOU 2008:3 s. 272]). Sådana bestämmelser bör därmed meddelas i lag. Riksdagen och regeringen har tidigare också uttalat att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (propositionen om offentlighet, integritet och ADB [prop. 1990/91:60 s. 58] och utskottsbetänkandet Offentlighet, integritet och ADB [bet. 1990/91:KU11 s. 11]). Uttalandena har med åren kommit att tillämpas på såväl regleringen av regelrätta register som myndigheters behandling av personuppgifter i stort (propositionen Personuppgiftslag [prop. 1997/98:44 s. 41], utskottsbetänkandet Personuppgiftslag [bet. 1997/98:KU18 s. 43], propositionen Registrering av fastighetsrättsliga förhållanden, m.m. [prop. 1999/2000:39 s. 78] och prop. 2009/10:80 s. 183).

En särskild lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen

Det finns ett behov av att särskilt reglera behandlingen av personuppgifter vid ISF. Regleringen bör fastställa en ram för personuppgiftsbehandlingen och innehålla anpassade skyddsåtgärder som ger ISF möjlighet att behandla känsliga personuppgifter i sin tillsyns- och granskningsverksamhet. Samtidigt ska regleringen säkerställa ett tillfredsställande skydd för den personliga integriteten. Regleringen bör ske i lag.

På socialförsäkringsområdet samlas gällande lagstiftning i socialförsäkringsbalken, förkortad SFB. I socialförsäkringsbalken finns bl.a. regleringen av Försäkringskassans och Pensionsmyndighetens behandling av personuppgifter. Om även bestämmelser om ISF:s behandling av personuppgifter fördes in i socialförsäkringsbalken skulle det ge en bra överblick över hanteringen av de personuppgifter som lämnas inom socialförsäkringsområdet. ISF granskar dock även andra myndigheter, bl.a. Skatteverket och Arbetsförmedlingen, vars personuppgiftsbehandling regleras i andra lagar. ISF är inte heller en del av socialförsäkringens administration (jfr 2 kap. 2 § SFB). Med hänsyn till detta och för att markera att ISF är en fristående myndighet och inte en del av de verksamheter som myndigheten granskar, föreslår regeringen att regleringen inte ska ingå i socialförsäkringsbalken utan införas i en särskild lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen.

25

Regeringens förslag: Lagen ska gälla vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.

Lagen ska gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot

det.

Skälen för regeringens förslag

Lagen bör gälla i tillsyns- och granskningsverksamheten

Inspektionen för socialförsäkringen (ISF) ska enligt förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen, här benämnd instruktionen, genom systemtillsyn och effektivitetsgranskning värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet. Myndighetens uppgifter framgår av 1–4 §§ instruktionen och beskrivs i avsnitt 4. Enligt regeringen bör den nya lagens tillämpningsområde omfatta personuppgiftsbehandling som utförs med anledning av dessa uppgifter. Lagen bör därmed vara tillämplig vid behandling av personuppgifter i sådan verksamhet vid ISF som avser systemtillsyn och effektivitetsgranskning.

ISF behandlar också personuppgifter med anledning av myndighetsintern administration. Det handlar bl.a. om personal- och lokalfrågor, ekonomiadministration och hantering av inkomna skrivelser från enskilda som inte rör tillsyns- och granskningsverksamheten. Behandling av personuppgifter i den administrativa verksamheten har inte någon närmare koppling till fullgörandet av de uppgifter som myndigheten ska utföra enligt sin instruktion. Inte heller skiljer den sig nämnvärt från den behandling som utförs av andra myndigheter eller enskilda företag. ISF:s behandling av personuppgifter inom den administrativa verksamheten bör därför inte omfattas av lagen. I stället bör den allmänna dataskyddsregleringen även fortsättningsvis tillämpas inom den verksamheten.

Lagen bör gälla automatiserad behandling och behandling i register

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på

annan behandling än automatisk av personuppgifter som ingår i eller

26

Prop. 2023/24:146 specificeras genom nationell rätt (prop. 2017/18:105 s. 27). För att det ska bli tydligt för tillämparen hur de olika regleringarna förhåller sig till varandra, bör en bestämmelse med upplysning om att den föreslagna lagen kompletterar EU:s dataskyddsförordning tas in i lagen.

Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, kompletterar EU:s dataskyddsförordning på en generell nivå. Dataskyddslagen är subsidiär och gäller om inget annat följer av en annan lag eller förordning (1 kap. 6 §). Registerförfattningar innehåller ofta en upplysning om att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av den aktuella lagen (jfr propositionen Dataskydd inom Socialdepartementets verksamhetsområde

–en anpassning till EU:s dataskyddförordning [prop. 2017/18:171 s. 73]). Även den nu föreslagna lagen bör av tydlighetsskäl innehålla en sådan upplysning.

Regeringen gör bedömningen att det inte kommer att bli aktuellt att meddela föreskrifter med stöd av regeringens restkompetens (8 kap. 7 § första stycket 2 regeringsformen, förkortad RF). Det saknas därmed behov av en sådan upplysningsbestämmelse som Justitiekanslern avser. I likhet med bedömningen som görs i promemorian anser regeringen att det saknas behov av ett normgivningsbemyndigande. Däremot kan regeringen komma att meddela föreskrifter om verkställighet med stöd av 8 kap. 7 § första stycket 1 RF. Föreskrifter om verkställighet kan meddelas utan att en upplysningsbestämmelse införs i den nya lagen. Även sådana föreskrifter bör ha företräde framför dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, vilket bör framgå uttryckligen av den nya lagen.

Regeringens förslag: Rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning ska inte gälla vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar ska dock gälla när personuppgifterna samlas in direkt från den enskilde.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det. Sveriges advokatsamfund anser att det, givet mängden personuppgifter och deras karaktär, är olämpligt att de registrerade generellt fråntas sin rätt att invända mot behandlingen.

Skälen för regeringens förslag

Den registrerades rätt att göra invändningar

Den registrerade har enligt EU:s dataskyddsförordning rätt att göra invändningar mot sådan behandling av personuppgifter avseende honom eller henne som grundar sig på att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 21.1). Rätten att invända mot behandlingen av personuppgifter är begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall har den registrerade bara rätt att göra invändningar om behandlingen inte är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). All forskning som ISF utför bedöms vara en uppgift av allmänt intresse (se avsnitt 7.7). Den registrerade har således inte rätt att göra invändningar mot sådan behandling av personuppgifter som motiveras av ISF:s forskning.

När den registrerade invänder mot behandling av personuppgifter måste den personuppgiftsansvarige kunna visa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen (artikel 21.1). Om det saknas berättigade skäl för behandlingen som väger tyngre, har den registrerade rätt att få personuppgifterna raderade (artikel 17.1 c).

Rätten att göra invändningar bör begränsas

När ISF inhämtar personuppgifter från andra myndigheter, kodar den utlämnande myndigheten i de flesta fall uppgifterna genom att ersätta personuppgifter som direkt kan hänföras till den registrerade med ett löpnummer. När så sker behåller den utlämnande myndigheten vanligtvis också kodnyckeln. De personuppgifter som ISF behandlar saknar således ofta koppling till personnummer eller annan liknande identitetsbeteckning. För att hantera en invändning i fråga om sådana uppgifter skulle ISF i praktiken vara tvungen att försöka härleda uppgifter som är kopplade till löpnummer till en enskild person. En sådan ordning skulle i sig kunna innebära en integritetskränkning och är i de flesta fall inte heller möjlig.

Det finns inte heller någon skyldighet enligt EU:s dataskyddsförordning

30

Prop. 2023/24:146 anses både nödvändig och proportionerlig i enlighet med artikel 23.1 e i EU:s dataskyddsförordning.

Vid en eventuell begränsning enligt artikel 23.1 i EU:s dataskyddsförordning ska det, när så är relevant, finnas vissa specifika bestämmelser om bl.a. ändamålen med behandlingen eller kategorierna av behandling och lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling (artikel 23.2 i EU:s dataskyddsförordning). Förslaget till ny lag omfattar bestämmelser om bl.a. ändamål med behandlingen och ett flertal olika skyddsåtgärder. Denna reglering anger en förhållandevis snäv ram för personuppgiftsbehandlingen och minimerar risken för kränkning av den registrerades rättigheter och friheter. Den får därmed anses uppfylla de krav som uppställs i artikel 23.2 i EU:s dataskyddsförordning.

Regeringen bedömer sammanfattningsvis att rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning som huvudregel inte bör gälla vid sådan behandling av personuppgifter som är tillåten enligt den föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgifter som samlas in direkt från den enskilde

Vid behandling av personuppgifter som samlats in direkt från den enskilde, t.ex. genom enkät- eller intervjuförfaranden, väger skälen för ett undantag från rätten att göra invändningar inte lika tungt som när uppgifterna har samlats in från någon annan. En enskild som väljer att delta i en studie och lämna sina uppgifter till myndigheten bör så långt som möjligt ges inflytande över uppgifterna. Sådana personuppgifter som samlas in från den enskilde själv är dessutom ofta direkt hänförliga till den registrerade. Det innebär att det i större utsträckning är praktiskt möjligt att tillgodose rätten att göra invändningar. Direkt hänförliga personuppgifter bör i den mån det är möjligt också omfattas av ett starkare skydd än andra uppgifter.

I avsnitt 7.13 föreslås att personuppgifter som samlas in direkt från den enskilde endast ska få behandlas om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen. Ett medgivande ska kunna återkallas, varvid personuppgifter som omfattas av det återkallade medgivandet ska raderas. Samma skäl som gör sig gällande vid den bedömningen är relevanta här.

Rätten att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning bör enligt regeringen därför inte begränsas när det gäller sådana personuppgifter som samlas in direkt från den enskilde.

7.5Personuppgiftsansvar

Regeringens förslag: Inspektionen för socialförsäkringen ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.

Promemorians förslag överensstämmer med regeringens förslag.

32

Remissinstanserna tillstyrker förslaget eller har inget att invända mot Prop. 2023/24:146 det.

Skälen för regeringens förslag: Uttrycket personuppgiftsansvarig är centralt inom all dataskyddsreglering. Den personuppgiftsansvarige är skyldig att se till att behandling av personuppgifter sker i enlighet med gällande bestämmelser och enskilda ska alltid kunna vända sig till den personuppgiftsansvarige för att göra sina rättigheter gällande. Den personuppgiftsansvarige ska exempelvis ansvara för och kunna visa att de grundläggande principerna i artikel 5.1 i EU:s dataskyddsförordning efterlevs (artikel 5.2). Därutöver ska den personuppgiftsansvarige bl.a. genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning (artikel 24.1) och för att säkerställa en lämplig säkerhetsnivå (artikel 32.1).

Av definitionen i artikel 4.7 i EU:s dataskyddsförordning framgår att med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen eller medlen för behandlingen bestäms i unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Det är alltså tillåtet att i nationell rätt ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter.

Registerförfattningar innehåller regelmässigt en reglering av vem som är personuppgiftsansvarig. När ISF behandlar personuppgifter inom ramen för sin tillsyns- och granskningsverksamhet, finns det oftast inga oklarheter i fråga om personuppgiftsansvaret. En bestämmelse om personuppgiftsansvar bidrar dock till tydlighet för både myndigheten och de registrerade. Regeringen anser därför att det bör framgå av den nya lagen att ISF är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom lagens tillämpningsområde.

7.6Ändamål för behandling av personuppgifter

Prop. 2023/24:146 riksdagen eller regeringen har gett i uppdrag åt statliga myndigheter att utföra och sådan verksamhet som myndigheterna bedriver inom ramen för

för behandling av personuppgifter, för vilka ändamål personuppgifter får Prop. 2023/24:146 behandlas och åtgärder för att tillförsäkra en laglig och rättvis behandling.

Kravet på att grunden för de behandlingar som myndigheten behöver utföra ska vara rättsligt fastställd i enlighet med artikel 6.3 i EU:s dataskyddsförordning får därmed enligt regeringen anses uppfyllt genom befintlig reglering och den lag som nu föreslås.

När ändamål anges i en registerförfattning måste syftet med behandlingen av personuppgifter framgå redan av den rättsliga grunden när den handlar om rättsliga förpliktelser eller vara nödvändigt för att myndigheten ska kunna utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (jfr artikel 6.3 andra stycket). De ändamål som anges i den föreslagna lagen måste alltså vara nödvändiga för att ISF ska kunna utföra sitt uppdrag. Detta krav får anses uppfyllt så länge ändamålen knyts till ISF:s uppgifter enligt instruktionen och det inte finns någon diskrepans mellan ändamålen och de uppgifter som myndigheten förväntas utföra.

Slutligen ska den rättsliga grunden också uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Uppgifter av allmänt intresse som har fastställts i enlighet med svensk rätt uppfyller genomgående dessa krav (prop. 2017/18:105 s. 50). Kravet på proportionalitet kan också tillgodoses genom särskilt reglerade skyddsåtgärder (jfr avsnitt 8).

Sammantaget bedömer regeringen att den behandling av personuppgifter som Inspektionen för socialförsäkringen behöver utföra med anledning av sitt uppdrag har stöd i den rättsliga grunden i artikel 6.1 e i EU:s dataskyddsförordning.

7.6.2Primära ändamål

Regeringens förslag: Inspektionen för socialförsäkringen ska få behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet eller inom verksamheter som gränsar till socialförsäkringsområdet.

Lagen ska innehålla en upplysning om att myndigheten även får behandla personuppgifter för att framställa statistik eller utföra forskning, om det sker inom ramen för en undersökning.

Promemorians förslag överensstämmer i sak med regeringens förslag. Promemorians förslag har en något annorlunda redaktionell utformning.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Centrala studiestödsnämnden anser att ISF ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter enligt lag eller förordning. Myndigheten för vård- och omsorgsanalys föreslår att paragrafens andra stycke förtydligas genom att ordet ”även” läggs till. Sveriges advokatsamfund framhåller att ändamål ska vara tydliga, förutsebara och uttömmande. Umeå universitet framför att det i förtydligande syfte kan övervägas att i ändamålsparagrafen ange att övriga förutsättningar för behandlingen finns specificerade i lagen.

35

myndigheten ska kunna utföra sina uppgifter enligt lag eller förordning. Prop. 2023/24:146 ISF:s uppgifter regleras i myndighetens instruktion och är därmed

fastställda i förordning. Regeringen anser att det är tydligare att i den föreslagna lagen återge myndighetens uppgifter än att enbart hänvisa till lag och förordning.

ISF har ett brett uppdrag att utöva systemtillsyn och utföra effektivitetsgranskningar inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. Trots bredden handlar uppdraget alltid om att analysera förhållanden som anknyter till administrationen och tillämpningen av socialförsäkringen. Ändamålet bör därför uttrycka behovet av att behandla personuppgifter för att utföra undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. Eftersom ändamålet därmed får en rambetonad karaktär föreslår regeringen att ändamålsbestämmelsen kompletteras med ett krav på att ISF som huvudregel ska behandla personuppgifter i projekt, för vilka det ska beslutas om särskilda syften (avsnitt 7.11 och 7.12). Därutöver gäller kravet enligt EU:s dataskyddsförordning på att fastställa ändamål för varje enskild behandling. I och med det skapas flera nivåer av ändamål som i sista hand måste kunna motiveras utifrån myndighetens uppdrag.

Sammanfattningsvis anser regeringen att ISF ska få behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet.

Det bör upplysas om att personuppgifter får behandlas för statistik- och forskningsändamål

I 3 a § instruktionen anges att ISF, i de fall det är nödvändigt, får bedriva den forskning som behövs för att myndigheten ska kunna fullgöra sina uppgifter enligt 1–3 §§. I vissa projekt kan det således vara aktuellt att använda forskning som metod för att myndigheten ska kunna fullgöra sina uppgifter.

ISF har inte i uppgift att ta fram statistik men använder sig av statistiska metoder för insamling, bearbetning, redovisning och analys av data. Uppgifterna hämtas huvudsakligen från olika administrativa datakällor, bl.a. myndighetsregister. Tillsyn och granskningar syftar till att undersöka allmänna förhållanden och att analysera och följa upp viss verksamhet på ett generellt plan. Det förekommer alltså inte myndighetsutövning och inte heller någon annan handläggning eller beslutsfattande som rör enskilda personer eller organ. Resultatet av behandlingen av personuppgifter består inte heller av personuppgifter utan av avidentifierade och aggregerade personuppgifter. Stora delar av den analysverksamhet som ISF ägnar sig åt bör därmed kunna anses ske för statistiska ändamål (jfr propositionen om förenklad statistikreglering [prop. 1991/92:118 s. 12–14], propositionen Ändringar av statistiksekretessen [prop. 2013/14:162 s. 8 och 11] och SOU 2018:52 s. 140–142 och 253–256). Regeringen har också uttryckt att personuppgifter, med stöd av artikel 6.1 e i EU:s dataskyddsförordning, kan samlas in och i övrigt behandlas utan samtycke från de registrerade vid sådan statistikverksamhet som är nödvändig för att t.ex.

en myndighet ska kunna utföra sitt fastställda uppdrag, även om statistik

39

Prop. 2023/24:146 inte uttryckligen nämns i myndighetens uppdrag (prop. 2017/18:105 s. 122).

ISF behandlar personuppgifter för statistikändamål på motsvarande sätt som myndigheten använder forskning, dvs. som en metod i arbetet med systemtillsyn och effektivitetsgranskning. För att det ska bli tydligt att ISF får behandla personuppgifter för forsknings- och statistikändamål inom ramen för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet, bör det upplysas om detta i ändamålsbestämmelsen. Regeringen anser i likhet med Myndigheten för vård- och omsorgsanalys att paragrafens andra stycke bör omformuleras så att det klart framgår att personuppgifter även får behandlas för att framställa statistik och utföra forskning.

Samverkan med tillsynsmyndigheter

ISF ska enligt 4 § instruktionen i sin systemtillsyn och effektivitetsgranskning samverka med de tillsynsmyndigheter som kan komma att beröras av inspektionens tillsyns- eller granskningsverksamhet. ISF har hittills inte genomfört någon tillsyn eller granskning i samverkan med andra tillsynsmyndigheter. Om en tillsyn eller granskning skulle genomföras i sådan samverkan, skulle myndigheterna behöva förhålla sig till sina respektive uppdrag och behandla personuppgifter i den utsträckning det är nödvändigt med anledning av det egna uppdraget. Även vid eventuell samverkan skulle därför ISF:s behandling av personuppgifter i första hand ske för myndighetens egna primära ändamål, dvs. för att undersöka förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. Om samverkan med andra tillsynsmyndigheter har angetts som en förutsättning för den aktuella granskningen bör det anses nödvändigt att, utöver uppgifter i de granskade verksamheterna, behandla kontaktuppgifter till tjänstemän på de samverkande myndigheterna för det primära ändamålet. Om den samverkande myndigheten har behov av uppgifter, kan uppgifterna lämnas ut i den mån det är förenligt med de sekundära ändamålen (avsnitt 7.6.3) och gällande sekretesslagstiftning. Regeringen bedömer därmed att det inte finns behov av ett särskilt ändamål som avser samverkan med andra tillsynsmyndigheter.

eller inte. Bestämmelser som ger uttryck för finalitetsprincipen har införts Prop. 2023/24:146 av tydlighetsskäl och avser främst att klargöra att det är tillåtet att behandla

personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen (prop. 2018/19:151 s. 24, prop. 2019/20:106 s. 40 och propositionen En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten [prop. 2019/20:113 s. 23]). I den föreslagna lagen föreslås det primära ändamålet vara så brett att det täcker ISF:s kärnuppdrag och därmed lagens hela tillämpningsområde. Som en följd av detta bör det inte finnas anledning att behandla personuppgifter för andra ändamål än de som anges i lagen. Det behöver därför inte förtydligas att finalitetsprincipen gäller i förhållande till ändamålsbestämmelsen i den föreslagna 6 §.

Det breda primära ändamålet i lagen avses att specificeras genom att ISF ska ange dels syftet med varje projekt, dels ändamålet med varje enskild undersökning. Av finalitetsprincipen följer inte bara att det är möjligt att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen utan också att det är möjligt att behandla personuppgifter för andra ändamål än de specificerade ändamål som ISF själv fastställer vid insamlingstillfället. I avsnitt 7.11 föreslås att personuppgifter ska få behandlas i ett annat projekt än det som de samlats in för om behandlingen är nödvändig för att kunna helt eller delvis upprepa eller följa upp projektet. Behandling i båda projekten sker med stöd av samma ändamålsbestämmelse i den föreslagna lagen, men eftersom ISF fastställer ändamål för varje enskild undersökning är en förutsättning för behandling i ett annat projekt trots detta att behandlingen också är förenlig med finalitetsprincipen. Finalitetsprincipens tillämpning riskerar därför att bli otydlig om det, i enlighet med utformningen i andra registerförfattningar, endast ges uttryck för den i förhållande till lagens ändamålsbestämmelser. Härtill kommer att det för tillämparen kan bli missvisande om endast vissa bestämmelser i EU:s dataskyddsförordning återges i lagen när även övriga bestämmelser i förordningen gäller. Det bör enligt regeringen därför inte införas någon bestämmelse som ger uttryck för finalitetsprincipen i lagen.

7.7Behandling av känsliga personuppgifter

Regeringens förslag: Känsliga personuppgifter ska få behandlas med stöd av artikel 9.2 g eller 9.2 j i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det. Sveriges advokatsamfund anser att uttrycket känsliga personuppgifter bör förklaras i lagtexten genom en hänvisning till dataskyddslagen. Vetenskapsrådet anser att det är en brist att det inte framgår i vilken utsträckning som behandling av känsliga personuppgifter kommer att ske.

43

dataskyddsreglering på socialförsäkringsområdet är det inte är möjligt att Prop. 2023/24:146 förutse vilka uppgifter som kan behöva behandlas inom ramen för ett

ärende (prop. 2023/24:29 s. 52). Ärendeakterna kan därmed innehålla alla kategorier av känsliga personuppgifter. Det kan t.ex. finnas läkarintyg, som förutom uppgifter om hälsa kan innehålla uppgifter om både religiös övertygelse och testresultat som avslöjar genetiska uppgifter. Motsvarande gäller i viss mån också upprättade journalanteckningar. När ISF granskar ärendeakter och journalanteckningar finns det sällan behov av att analysera samtliga personuppgifter i akterna respektive journalanteckningarna. Oftast är det dock varken möjligt eller lämpligt för ISF att begära ut enbart de uppgifter som myndigheten behöver analysera. Det skulle i så fall innebära att den myndighet som är föremål för tillsyn måste gå igenom samtliga akter som ISF begär ut och maskera uppgifter som inte ska lämnas ut. Det skulle innebära en ny omfattande arbetsuppgift för de myndigheter som omfattas av ISF:s tillsynsuppdrag som inte framstår som proportionerlig i förhållande till den integritetsrisk den avser att reducera. Om den myndighet som är föremål för tillsyn skulle gå igenom samtliga akter och ta bort känsliga personuppgifter som ISF inte har behov av, skulle det i sig dessutom innebära ett intrång i den personliga integriteten. En mer omfattande genomgång som inkluderar bedömningar av vilka uppgifter ISF har behov av, riskerar också att göra ISF beroende av den andra myndighetens egna urval av uppgifter. Det bör därför vara möjligt för andra myndigheter att lämna ut, och för ISF att ta emot, materialet i sin helhet.

När ISF använder sig av enkät- och intervjuförfaranden, kan svaren innehålla viss överskottsinformation i form av känsliga personuppgifter som inte efterfrågas i den aktuella granskningen. Myndigheten bör, i enlighet med principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning, vidta åtgärder för att i den mån det är möjligt förhindra att fler personuppgifter än vad som behövs för granskningen samlas in. Det kan handla om att lämna tydlig information om vilka uppgifter myndigheten är intresserad av och att i intervjusituationer leda bort samtalet från oväsentlig information. Det är dock inte möjligt för ISF att vid enkät- och intervjuförfaranden helt förhindra behandling av personuppgifter som inte behöver analyseras inom ramen för det aktuella projektet.

Det finns fler exempel på situationer då ISF kan få in överskottsinformation som inte är relevant för en viss granskning, t.ex. när domar innehåller fler personuppgifter än de som myndigheten avser att analysera och när begärda handlingar omfattar annan information än den förväntade. Det som kännetecknar samtliga dessa situationer är att personuppgifter som ISF har behov av att analysera behandlas i nära anslutning till andra personuppgifter och att det inte är möjligt eller inte kan anses proportionerligt att separera uppgifterna från varandra.

Behandling av känsliga personuppgifter för ett viktigt allmänt intresse

Det är som huvudregel förbjudet att behandla känsliga personuppgifter (artikel 9.1 i EU:s dataskyddsförordning). Förbudet kompletteras dock med ett antal undantag, som anger när behandling av känsliga

personuppgifter trots allt är tillåten eller kan tillåtas (artikel 9.2). Några av

47

Prop. 2023/24:146 behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Behandling av känsliga personuppgifter för forskningsändamål

Känsliga personuppgifter får enligt artikel 9.2 j i EU:s dataskyddsförordning behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I likhet med vad som gäller vid behandling av personuppgifter för ett viktigt allmänt intresse ska behandlingen ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.

Uttrycket vetenskapliga eller historiska forskningsändamål är ett EU-rättsligt uttryck. Enligt skäl 159 i EU:s dataskyddsförordning bör uttrycket vetenskapliga forskningsändamål i förordningen ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Den behandling av personuppgifter som aktualiseras vid forskning inom ramen för ISF:s granskningar får anses ske för sådana forskningsändamål som avses i artikel 9.2 j i EU:s dataskyddsförordning.

ISF får enligt 3 a § instruktionen, i de fall det är nödvändigt, bedriva den forskning som behövs för att myndigheten ska kunna fullgöra vissa uppgifter enligt instruktionen. Att uppgiften framgår av instruktionen innebär att uppgiften kan förutsättas vara av allmänt intresse (prop. 2017/18:105 s. 56 och 57). Regeringen har också uttalat att presumtionen bör vara att uppgiften att forska är en uppgift av allmänt intresse (propositionen Behandling av personuppgifter för forskningsändamål [prop. 2017/18:298 s. 33]). ISF kan således behandla känsliga personuppgifter vid forskning med stöd av ett viktigt allmänt intresse. Eftersom lagen föreslås vara tillämplig vid forskning (avsnitt 7.1 och 7.8) anser regeringen dock att stödet för behandling av personuppgifter vid forskning bör uttryckas i lagen. Grunden för behandlingen av personuppgifter är fastställd i ISF:s instruktion och lagen (2003:460) om etikprövning av forskning som avser människor, här benämnd etikprövningslagen, som anger under vilka förutsättningar forskning får bedrivas. Lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen finns i form av krav på etikprövning och därutöver genom förslagen i avsnitt 7.10–7.15.

Regeringen föreslår därför att det införs en bestämmelse i lagen som anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen.

50

Som konstateras i avsnitt 7.6.2 kan ISF, trots att myndigheten inte är en statistikansvarig myndighet, samla in och behandla personuppgifter för statistiska ändamål med stöd av artikel 6.1 e i EU:s dataskyddsförordning (prop. 2017/18:105 s. 122). Känsliga personuppgifter får enligt 3 kap. 7 § dataskyddslagen behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Villkoret att samhällsintresset av statistikprojektet klart ska väga över risken för otillbörligt integritetsintrång utgör en sådan lämplig och särskild åtgärd som avses i artikel 9.2 j i EU:s dataskyddsförordning (prop. 2017/18:105 s. 124).

ISF kan, beroende på omständigheterna i det enskilda fallet, också behandla känsliga personuppgifter med stöd av andra undantag i artikel

9.2i EU:s dataskyddsförordning. Om giltigt samtycke (artikel 4.11) kan inhämtas, kan artikel 9.2 a utgöra stöd för behandlingen. I ett fåtal situationer, främst vid behandling av känsliga personuppgifter som offentliggjorts i nyhetsartiklar eller dylikt, kan undantaget för offentliggjorda uppgifter i artikel 9.2 e i EU:s dataskyddsförordning tillämpas. I fråga om undantaget för bl.a. förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system i artikel 9.2 h i EU:s dataskyddsförordning har regeringen uttalat att uttrycket social omsorg omfattar uppgifter som utförs inom socialtjänsten, men att det i avsaknad av praxis är svårt att närmare avgränsa innebörden av uttrycken (prop. 2017/18:105 s. 93). Enligt 3 kap. 5 § dataskyddslagen får känsliga personuppgifter behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för bl.a. förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system och under förutsättning att kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt. Kravet på tystnadsplikt är uppfyllt hos ISF när uppgifterna omfattas av sekretess enligt 24 kap. 8 § andra stycket OSL och 7 § OSF.

ISF kan således under vissa förutsättningar behandla känsliga personuppgifter med stöd av andra undantag än viktigt allmänt intresse och forskningsändamål.

7.8Etikprövning vid forskning

Regeringens förslag: Lagen ska innehålla en upplysning om att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden måste etikprövas.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det. Etikprövningsmyndigheten anser att det

51

Prop. 2023/24:146 behöver klargöras vilka projekt som inte kommer att etikprövas samt hur de projekten är tänkta att bedrivas. Etikprövningsmyndigheten förordar

att Etikprövningsmyndighetens villkor och den föreslagna lagens krav Prop. 2023/24:146 skulle kunna leda till oförenliga slutsatser om hur en studie får bedrivas

och vilket skydd som är nödvändigt.

Som en följd av att kraven enligt den föreslagna lagen gäller oavsett vilka villkor Etikprövningsmyndigheten ställer, kan ISF endast ansöka om etikprövning för forskning som omfattar sådana känsliga personuppgifter som får behandlas enligt den föreslagna lagen. Det måste således vara nödvändigt att behandla de känsliga personuppgifterna med hänsyn till det primära ändamålet enligt den föreslagna lagen. Lagens begränsningar för bl.a. sökningar måste också beaktas. Det finns därmed inte några andra skäl att göra en ansökan om etikprövning än för att kunna bedriva ett projekt som forskning.

För att det ska bli tydligt vad som gäller, föreslår regeringen att det i lagen införs en bestämmelse som upplyser om ordningen med obligatorisk etikprövning när det är fråga om forskning.

7.9Behandling av personuppgifter som rör lagöverträdelser

Regeringens bedömning: Möjligheterna att behandla uppgifter som rör lagöverträdelser bör inte begränsas.

Promemorians bedömning överensstämmer med regeringens bedömning.

Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning: Enligt artikel 10 i EU:s dataskyddsförordning får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av en myndighet eller då sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig och regeringen har bedömt att bestämmelsen i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet (prop. 2017/18:105 s. 99). EU:s dataskyddsförordning innehåller alltså inga begränsande regler för behandling av personuppgifter om lagöverträdelser om den personuppgiftsansvarige är en myndighet. I linje med detta anges i 3 kap. 8 § första stycket dataskyddslagen att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Det krävs därmed inga särskilda ställningstaganden för myndigheters behandling av personuppgifter som avser lagöverträdelser utöver de ställningstaganden som allmänt ska göras i fråga om laglig grund. Personuppgifter om lagöverträdelser är dock av integritetskänslig karaktär och behandling av sådana uppgifter anses därför som särskilt riskfylld. Av det skälet är behandling av uppgifter om lagöverträdelser

53

Prop. 2023/24:146 begränsningar i fråga om möjligheterna att behandla uppgifter om lagöverträdelser vid sökningar. Behovet av att göra sökningar som utgår från uppgifter om lagöverträdelser bör generellt vara mycket begränsat. I den mån det ändå förekommer är det inte möjligt att på förhand i lag på ett tydligt sätt avgränsa i vilka typer av undersökningar eller utvärderingar eller för vilka konkreta ändamål det finns sådana behov.

Även om det inte föreslås någon specifik sökbegränsning för uppgifter om lagöverträdelser säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretesslagstiftning samt de begränsningar och skyddsåtgärder i övrigt som föreslås i lagen.

Prop. 2023/24:146 projekt. På så sätt säkerställs också att uppgifterna är aktuella och korrekta utan att ISF måste ombesörja eventuell uppdatering och komplettering av uppgifterna.

När stora mängder personuppgifter samlas in är det viktigt att behandlingen begränsas och är förutsägbar. Det bör därför som utgångspunkt endast vara tillåtet att behandla de insamlade personuppgifterna inom ramen för det projekt som de samlats in för. På så sätt blir det tydligt både för vilket ändamål uppgifterna samlas in och hur länge uppgifterna kommer att behandlas (jfr avsnitt 7.16). Det begränsar också tillgången till personuppgifterna, både i fråga om antal personer och tid. Tillgång till personuppgifter som behandlas i ett projekt bör i huvudsak endast ges till personer som arbetar i det aktuella projektet under den tid projektet pågår (avsnitt 7.15). Dessutom begränsas myndighetens möjlighet att söka och bearbeta personuppgifter som finns i verksamheten till att avse sådana uppgifter som behandlas inom ramen för aktuellt projekt.

En begränsning av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begränsning av finalitetsprincipens tillämplighet. Begränsningen utgör en skyddsåtgärd som är tillåten att införa med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning.

I vissa fall kan det vara relevant att upprepa eller följa upp ett tidigare genomfört projekt. Tidigare underlag kan då behövas som utgångspunkt för arbetet eller för jämförande studier. Det kan således finnas behov av att behandla personuppgifter som samlats in inom ramen för det tidigare genomförda projektet. Eftersom personuppgifter som direkt kan hänföras till den registrerade som huvudregel ska separeras från övriga personuppgifter, är en eventuell återanvändning av uppgifter dock ofta beroende av tillgång till kodnyckel. I många fall har kodnyckeln skapats hos den myndighet som lämnat uppgifterna till ISF, t.ex. Försäkringskassan eller Statistiska centralbyrån (SCB). Dessa myndigheter gallrar nyckeln utifrån de regler som gäller för den egna myndigheten. När ISF skapar en kodnyckel, ska den raderas när det inte längre är tillåtet att bevara den enligt EU:s dataskyddsförordning (avsnitt 7.16). Även utan kodnyckel kan det dock vara värdefullt att jämföra registeruppgifter och tidigare resultat med uppgifter i en upprepande eller uppföljande granskning. Registeruppgifterna kan utgöra personuppgifter mot bakgrund av möjligheten att bakvägsidentifiera den registrerade.

Eftersom möjligheterna att koppla tidigare insamlade personuppgifter till nya uppgifter begränsas av både praktiska omständigheter och skyddsåtgärder, har personuppgifter sällan ett faktiskt användningsområde i ett annat projekt än det de samlats in för. Det får dock anses motiverat att myndigheten, i den utsträckning det ändå kan konstateras ett behov, kan vidarebehandla personuppgifter om det är nödvändigt för att upprepa eller följa upp ett tidigare projekt eller del av projekt. Att i sådana situationer kräva att myndigheten på nytt ska inhämta personuppgifter som den redan har samlat in i ett annat projekt skulle vara ineffektivt och onödigt betungande för såväl ISF som uppgiftslämnande myndigheter och enskilda. Eftersom avsikten är att ta tidigare resultat vidare i en kompletterande granskning, bör ändamålen för behandlingarna ligga relativt nära varandra. Vidarebehandlingen bör därmed vara förenlig med finalitetsprincipen (artikel 5.1 b i EU:s dataskyddsförordning).

60

När personuppgifter vidarebehandlas i ett nytt projekt blir samtliga Prop. 2023/24:146 skyddsåtgärder enligt den föreslagna lagen tillämpliga. Vidarebehandlade

personuppgifter ska alltså behandlas på samma sätt som personuppgifter som samlas in från externa aktörer till ett projekt.

Sammantaget anser regeringen att personuppgifter som samlats in inom ramen för ett projekt som huvudregel inte bör få behandlas i ett annat projekt. Personuppgifter bör dock få behandlas i ett annat projekt än det de har samlats in för om behandlingen är nödvändig för att ISF ska kunna helt eller delvis upprepa eller följa upp det tidigare projektet.

Undantag för omvärldsbevakning och planering av verksamheten

ISF utför omvärldsbevakning löpande och utan föregående planering eller förberedelse. Det kan handla om att myndighetens medarbetare läser domar, beslut, nyhetsbrev, artiklar, rapporter, litteratur och liknande. Sådant material kan också samlas i ett e-bibliotek. Syftet med omvärldsbevakning är att bevaka utvecklingen på de områden som ryms inom myndighetens uppdrag. Bevakningen är nödvändig för medarbetarnas kompetensutveckling och för att inhämta uppslag till nya granskningar. Myndigheten bör därför ha möjlighet att samla in och behandla sådant material löpande utan att det finns en koppling till ett specifikt projekt.

Planering av verksamheten äger rum innan myndigheten inleder ett projekt. Planeringen skapar förutsättningar för att arbete senare ska kunna ske i projektform. Det är därför inte möjligt att kräva att planering av verksamheten ska ske i projektform.

Viss del av den omvärldsbevakning och planering som ISF utför kommer inte att omfattas av lagens tillämpningsområde. Det gäller t.ex. när avidentifierad statistik används i stället för personuppgifter eller när omvärldsbevakning utförs genom att papperstidningar och annat tryckt material läses.

Behandling som undantas från projektkravet kommer även att undantas från övriga föreslagna skyddsåtgärder som är knutna till projektramen. Det medför en ökad risk för intrång i den personliga integriteten. Institutet för arbetsmarknads- och utbildningspolitisk utvärdering efterfrågar med anledning av detta en mer utförlig beskrivning av omfattning och karaktär i fråga om ISF:s arbete med omvärldsbevakning och planering av verksamheten. Regeringen vill framhålla att syftet med omvärldsbevakningen och planeringen av verksamheten är att ISF ska kunna inhämta kunskap och att få uppslag till granskningar. Det rör sig därför snarare om att göra stickprov än om att göra breda analyser. Därmed är det sällan nödvändigt för ISF att behandla några stora mängder personuppgifter för dessa ändamål. Enligt förslaget i avsnitt 7.14 ska dessutom personuppgifter som kan hänföras direkt till den registrerade som huvudregel separeras från övriga personuppgifter. Ofta bör det vara möjligt att använda avidentifierade uppgifter eller statistikuppgifter vid omvärldsbevakning och planering. Riskerna för den personliga integriteten bedöms heller inte vara så omfattande att behandling av personuppgifter i dessa fall bör kopplas till ett projekt.

Regeringen bedömer sammantaget att behandling av personuppgifter för omvärldsbevakning och planering av verksamheten bör undantas från

61

Prop. 2023/24:146 kravet på att all behandling av personuppgifter ska ske inom ramen för ett projekt.

Prop. 2023/24:146 Regeringen anser att projektets syfte, kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser samt tidsramarna för projektet bör ha fastställts innan personuppgifter behandlas i projektet. Utgångspunkten bör vara att det som fastställts när projektet inleds ska gälla under hela projektet, för att i möjligaste mån skapa förutsebarhet för den registrerade. Om förutsättningarna ändras under arbetets gång, bör myndigheten dock kunna fastställa fler och ändrade kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras samt justera tidsramen. Syftet för projektet bör, i enlighet med vad som angetts ovan, inte få ändras efter att det fastställts.

Information om projekt bör publiceras på myndighetens webbplats

Eftersom ISF hanterar stora mängder integritetskänsliga uppgifter är det viktigt att myndigheten är transparent med hur uppgifterna används. För att ge registrerade, allmänheten, tillsynsmyndigheten och aktörer som lämnar uppgifter till ISF möjlighet att ta del av information om de behandlingar av personuppgifter som myndigheten utför, bör det införas en skyldighet för ISF att informera om myndighetens projekt. Eftersom myndigheten ska fastställa varje projekts syfte, vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som ska analyseras inom ramen för projektet samt tidsramarna för projektet, finns information om detta tillgänglig hos myndigheten. Informationen bör enkelt kunna sammanställas för publicering.

Redan i dag publicerar ISF information om pågående projekt på sin webbplats. Den informationen avser främst projektens syfte, bakgrunden till olika projekt samt tidsplaner. Ur ett integritetsperspektiv är även information om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser relevant att ta del av. Det bör enligt regeringen därför införas ett krav i lagen på att ISF på sin webbplats ska hålla information tillgänglig om alla projekt som myndigheten bedriver. Informationen ska omfatta fastställt syfte med projektet, vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som ska analyseras inom ramen för projektet, och när projektet senast ska vara avslutat. Skyldigheten att hålla information tillgänglig avser att komplettera skyldigheten att lämna information enligt artikel 13 och 14 i EU:s dataskyddsförordning men inte att ersätta den.

7.13Medgivande till behandling av personuppgifter

Prop. 2023/24:146 Regeringen bedömer att det inte krävs någon reglering i den nya lagen som särskilt gäller personer med funktionsnedsättning.

7.14Begränsning av möjligheterna att identifiera den registrerade

Regeringens förslag: Personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Sådana personuppgifter ska dock få behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.

Kravet på att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter ska dock inte hindra att personuppgifter som inte direkt kan hänföras till den registrerade är försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det. Vetenskapsrådet anser att uttrycket pseudonymisering bör användas i lagen.

Skälen för regeringens förslag

Pseudonymisering och kryptering kan öka skyddsnivån

Behandling av personuppgifter som direkt kan hänföras till den registrerade är förenad med större integritetsrisker än behandling av personuppgifter som endast genom kompletterande uppgifter kan kopplas till den registrerade. Genom pseudonymisering eller kryptering av personuppgifterna är det därmed möjligt att minska riskerna för de registrerade och bidra till att säkerställa en tillräcklig skyddsnivå (skäl 28 och 83 i EU:s dataskyddsförordning). Både pseudonymisering och kryptering tillgodoser principen om uppgiftsminimering enligt artikel

5.1c i EU:s dataskyddsförordning samt bidrar till att uppfylla principen om integritet och konfidentialitet enligt artikel 5.1 f. Pseudonymisering och kryptering nämns också i artikel 32.1 i EU:s dataskyddsförordning som sådana tekniska och organisatoriska åtgärder som ska säkerställa en lämplig säkerhetsnivå vid behandling av personuppgifter. Därutöver minskar behovet av att behandla uppgifter om personnummer och samordningsnummer när pseudonymisering och kryptering används. Sådana uppgifter får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (artikel 87 i EU:s dataskyddsförordning och 3 kap. 10 § dataskyddslagen).

Pseudonymisering är enligt definitionen i artikel 4.5 i EU:s dataskyddsförordning behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och

68

Prop. 2023/24:146 registrerade med löpnummer, och hanteringen är därför beroende av den utlämnande myndighetens förmåga och bistånd. I vissa fall kan ISF också själv ha behov av att koppla ihop uppgifter från flera olika myndigheter och enskilda. Det kan då vara nödvändigt att hantera personnummer och samordningsnummer. Det är därför inte möjligt att kräva att ISF endast behandlar löpnummerbaserade uppgifter. För att i så stor utsträckning som möjligt förhindra behandling av personuppgifter som direkt kan hänföras till den registrerade, bör dock ISF separera sådana personuppgifter från övriga personuppgifter. Detta kan ske genom olika tekniska och organisatoriska åtgärder.

Enligt förslaget i avsnitt 7.15 ska tillgången till personuppgifter begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Om ett projekt inte omfattar akt-, enkät- eller intervjustudier, torde medarbetarnas behov av att ha tillgång till personuppgifter som direkt kan hänföras till den registrerade vara mycket litet. Genom att uppgifterna hålls separerade kan tillgången begränsas. Uppgifterna bör därför separeras så snart som möjligt när uppgifterna kommer in till myndigheten.

Det bör vara möjligt att använda en kodnyckel

Regeringen anser att det bör vara möjligt att i ett senare skede koppla de separerade personuppgifterna till varandra, t.ex. för att samköra uppgifter som kommer från olika källor, om det med hänsyn till ändamålet med behandlingen av uppgifterna kan konstateras ett behov av det. Personuppgifter som inte direkt kan hänföras till den registrerade bör därför få vara försedda med en beteckning som kan kopplas till den enskilde. En sådan beteckning kan t.ex. vara ett löpnummer. Genom kompletterande uppgifter i form av en kodnyckel, som beskriver relationen mellan t.ex. personnummer och löpnummer, är det möjligt att koppla uppgifterna till varandra. Innan uppgifter som direkt kan hänföras till den registrerade separeras från övriga personuppgifter, bör myndigheten således få koda uppgifterna och skapa en kodnyckel.

Användningen av löpnummer eller andra beteckningar utgör, genom att löpnumret kan kopplas till en viss person, således ett undantag från huvudregeln om att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Enligt Lagrådet framstår denna innebörd inte som helt klar i den föreslagna 15 §. Regeringen anser i likhet med Lagrådet att bestämmelsen bör förtydligas och föreslår därför att 15 § i huvudsak utformas enligt Lagrådets förslag. Regeringen bedömer dock att det av bestämmelsen bör framgå att det är till personnummer eller motsvarande identitetsbeteckning som en beteckning kan kopplas. Regeringen föreslår därför ett sådant tillägg till Lagrådets förslag. Det bör särskilt noteras att en kodnyckel består av personuppgifter som direkt kan hänföras till den registrerade. Myndigheten bör således hålla kodnyckeln med direkt hänförliga personuppgifter skild från övriga personuppgifter. Tillgången till kodnyckeln begränsas genom förslaget i avsnitt 7.15.

70

Prop. 2023/24:146 Möjligheten till undantag bör bedömas i förhållande till varje enskild behandling. Även om det bedöms medföra en oproportionerlig arbetsinsats att separera personuppgifter i ärendeakter bör exempelvis inte all behandling av personuppgifter som ingår i akter omfattas av undantaget. När personuppgifter som ingår i ärendeakter registreras i särskilda analysverktyg, använder ISF redan i dag löpnummer i stället för personuppgifter som direkt kan hänföras till den registrerade. I det fallet kan det således inte anses medföra en oproportionerlig ansträngning att separera personuppgifter som direkt kan hänföras till den registrerade från övriga personuppgifter. När granskningen är slutförd bör kopplingen till ärendeakten tas bort varvid resultatet från aktgranskningen kan baseras helt på löpnummer.

Det bör enligt regeringen således införas ett undantag till den föreslagna huvudregeln om att personuppgifter som direkt kan hänföras till den registrerade ska förvaras separat från övriga personuppgifter. Undantaget bör ha innebörden att uppgifterna får behandlas tillsammans om en separering skulle medföra en oproportionerlig ansträngning eller motverka syftet med behandlingen.

Framför allt ska dessa åtgärder säkerställa att personuppgifter i Prop. 2023/24:146 normalfallet inte utan den enskildes medverkan görs tillgängliga för ett

obegränsat antal fysiska personer. Enligt artikel 32 i EU:s dataskyddsförordning har den personuppgiftsansvarige vidare en skyldighet att se till att en lämplig säkerhetsnivå för behandlingen av personuppgifter upprätthålls. Detta ska ske bl.a. genom lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i detta avseende återfinns även i de allmänna principer för personuppgiftsbehandling som framgår av artikel 5.1 f.

Det följer således direkt av EU:s dataskyddsförordning att den personuppgiftsansvarige är skyldig att på olika sätt begränsa tillgången till personuppgifter. Mer specifika krav på att vidta åtgärder kan fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör (jfr prop. 2017/18:171 s. 138).

Tillgången till personuppgifter bör begränsas

ISF behandlar en stor mängd personuppgifter, varav många är känsliga personuppgifter eller i övrigt integritetskänsliga uppgifter. Vem som har rätt att ta del av uppgifterna och hur uppgifterna sprids är omständigheter som påverkar risken för intrång i den personliga integriteten. Det är därför viktigt att motverka spridning av uppgifterna. För att minska risken för obefogade intrång i den personliga integriteten vid ISF:s behandling av personuppgifter bör det därför införas en bestämmelse som begränsar den krets av personer som får ha tillgång till personuppgifter.

Tillgången till personuppgifter kan begränsas på olika sätt. Det kan handla om både tekniska och organisatoriska åtgärder. Vilka åtgärder som är lämpligast beror bl.a. på vilka tekniska möjligheter myndigheten har och hur myndighetens organisation ser ut. Nya it-system ger ofta ökade möjligheter att skräddarsy och begränsa olika roller i systemen. Ju mer information det finns i ett it-system, desto större krav ställs på behörighetstilldelningen och rutinerna för behörighetsstyrning. Det framstår därför inte som ändamålsenligt att reglera vilka konkreta åtgärder som ska vidtas för att begränsa tillgången.

ISF behandlar personuppgifter för att kunna utföra sitt uppdrag att utöva systemtillsyn och utföra effektivitetsgranskning. I förlängningen utförs uppdraget av myndighetens medarbetare, som följaktligen behöver ha tillgång till personuppgifter för att kunna utföra sitt arbete. Den enskilde medarbetaren bör dock inte ha tillgång till fler personuppgifter än vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter.

I bl.a. 1 kap. 11 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten, 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 114 kap. 13 § SFB anges att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Detta får anses vara en rimlig och naturlig avvägning mellan effektivitet och integritet. Regeringen bedömer att samma begränsning bör gälla för ISF.

En behovsbaserad tillgång till personuppgifter förutsätter att myndig-

heten aktivt tar ställning till vilket informationsbehov ett tjänsteåliggande

73

Prop. 2023/24:146 integriteten. Av samma skäl som regeringen tidigare valt att inte införa gallringsbestämmelser i lagar som kompletterar EU:s dataskyddsförordning bör det inte heller i den föreslagna lagen införas en bestämmelse om gallring.

Uttryckliga tidsgränser för när personuppgifter ska upphöra att behandlas kan göra det mer tydligt för såväl den registrerade som den berörda myndigheten att överblicka hur länge personuppgifter får behandlas. I avsnitt 7.6.2 och 7.12 föreslås dock att lagens ändamål ska anges på en rambetonad nivå och att myndigheten själv ska fastställa syfte respektive ändamål för projekt och enskilda undersökningar. Det blir därför upp till myndigheten att konkretisera ändamålet för varje behandling inom ramen för det i lagen föreslagna ändamålet. Så länge ändamålet med behandlingen inte har konkretiserats, är det inte möjligt att avgöra hur länge det är nödvändigt att behandla personuppgifter med hänsyn till ändamålet. Detta måste avgöras från fall till fall med hänsyn till vilka uppgifter och vilket projekt det handlar om. Det kan därför inte anses ändamålsenligt att föreslå mer konkreta tidsgränser än sådana som bygger på principen om lagringsminimering i artikel 5.1 e i EU:s dataskyddsförordning. Eftersom det följer direkt av EU:s dataskyddsförordning att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen anser regeringen att det också saknas anledning att, så som Pensionsmyndigheten föreslår, införa en sådan bestämmelse i lagen.

8Samlad integritets- och proportionalitetsanalys

8.1Krav på proportionalitet

Regeringens bedömning: Den personuppgiftsbehandling som möjliggörs av den föreslagna lagen utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europeiska unionens stadga om de grundläggande rättigheterna. Förslaget är förenligt med kravet på proportionalitet i EU:s dataskyddsförordning.

Promemorians bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser, bl.a. Integritetsskyddsmyndigheten och Riksdagens ombudsmän, instämmer i bedömningen eller har inget att invända mot den. Myndigheten för delaktighet framhåller att det finns risk för icke informerade medgivanden från enskilda med nedsatt beslutsförmåga eller kognitiv funktionsnedsättning. Vetenskapsrådet anser att effekten av kravet på medgivande förtas om personuppgifterna till övervägande del inhämtas från andra källor. Sveriges advokatsamfund

76

efterfrågar en analys av säkerhetsfrågor och lyfter fram risken för att Prop. 2023/24:146 personuppgifter, till följd av otydliga begränsningar, kommer att

behandlas i konflikt med grundlagsskyddet i 2 kap. 6 § regeringsformen.

Skälen för regeringens bedömning

Några utgångspunkter vid bedömningen av hur förslaget påverkar den personliga integriteten

I avsnitt 6 konstateras att den behandling av personuppgifter som Inspektionen för socialförsäkringen (ISF) behöver utföra, och som möjliggörs genom den föreslagna lagen, i vissa fall kan innebära ett betydande intrång i den enskildes personliga integritet. I flera av de tidigare avsnitten beskrivs hur de föreslagna bestämmelserna bedöms bidra till att skydda den personliga integriteten (se t.ex. avsnitt 7.10–7.15). Även de behov som ligger till grund för förslagen redovisas, inbegripet bl.a. en bedömning av att ISF utför en uppgift av allmänt intresse. Det kan i sammanhanget nämnas att inskränkningar i skyddet för den personliga integriteten tidigare har godtagits bl.a. när syftet har varit att ge analysmyndigheter möjlighet att behandla sådana personuppgifter som behövs i deras verksamheter (se t.ex. propositionen Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering [prop. 2011/12:176 s. 62] och propositionen Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap [prop. 2018/19:151 s. 31]).

I detta avsnitt ges en bredare och mer samlad bedömning av integritets- och proportionalitetsaspekter av lagförslaget.

Respekten för individens självbestämmande och integritet är grundläggande i en demokrati. Någon enhetlig definition av begreppet personlig integritet finns inte. Regeringen har dock i propositionen En reformerad grundlag, med anledning av utvidgningen av integritetsskyddet i regeringsformen, uttalat att en rimlig utgångspunkt för bedömningen av behovet av ett utökat skydd för den personliga integriteten är den enskildes intresse av att skydda information om sina personliga förhållanden (prop. 2009/10:80 s. 175). Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar (propositionen Översyn av personuppgiftslagen [prop. 2005/06:173 s. 15]). Även rådande samhällsvärderingar kan ha viss påverkan på vilken reglering och begränsning av behandlingen av personuppgifter som är nödvändig för att skydda den personliga integriteten (propositionen Utbetalningsmyndigheten [prop. 2022/23:34 s. 162]).

Det behöver göras en proportionalitetsbedömning

I avsnitt 6 görs bedömningen att behandlingen av personuppgifter inom ISF:s tillsyns- och granskningsverksamhet utgör ett sådant betydande

intrång i den personliga integriteten som omfattas av skyddet enligt 2 kap.

77

Prop. 2023/24:146 6 § andra stycket regeringsformen, förkortad RF. Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En begränsning, som måste ske genom lag (2 kap. 20 § RF), får dock göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den (2 kap. 21 § RF). Vid en begränsning ska det därför göras en proportionalitetsbedömning där integritetsriskerna med personuppgiftsbehandlingen vägs mot de fördelar som behandlingen kan leda till. En behandling är bara tillåten om fördelarna med den står i rimlig proportion till nackdelarna. I detta ingår att bedöma om behandlingen av personuppgifterna är nödvändig utifrån det avsedda ändamålet med behandlingen och om det finns alternativ som är mindre integritetskänsliga.

Även EU:s dataskyddsförordning förutsätter en proportionalitetsbedömning vid behandling av personuppgifter. Den nationella rätt som fastställer grunden för personuppgiftsbehandlingen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning). Behandling av känsliga personuppgifter är tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g i EU:s dataskyddsförordning).

Behandling av personuppgifter berör vidare rätten till respekt för privatlivet enligt artikel 8.1 i den europiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, här benämnd Europakonventionen. Enligt denna artikel har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen gäller som svensk lag (lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Enligt 2 kap. 19 § RF får inte lag eller annan föreskrift meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Enligt artikel 8.2 i Europakonventionen får rätten till skydd för privatlivet inte inskränkas annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

I artiklarna 3, 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02), här benämnd EU:s rättighetsstadga, slås det fast att var och en har rätt till fysisk och mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel

52.3i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha

långtgående skydd. I EU:s rättighetsstadga är utgångspunkten att en Prop. 2023/24:146 inskränkning av rättigheter och friheter enligt stadgan endast får göras i

lag och måste vara förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan. Begränsningar får med beaktande av proportionalitetsprincipen endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1).

För att det ska vara motiverat att införa de möjligheter till behandling av personuppgifter som föreslås måste alltså behovet av behandlingen väga tyngre än den enskildes intresse av skydd för den personliga integriteten. För att en proportionalitetsbedömning ska kunna göras behöver riskerna för intrång i den personliga integriteten kartläggas. Genom att införa skyddsåtgärder som begränsar den tillåtna behandlingen kan behovet av behandling balanseras mot intresset av integritetsskydd.

Omfattande behandling av personuppgifter från andra myndigheter medför risker

Inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet behandlas stora mängder personuppgifter. Det rör sig bl.a. om känsliga personuppgifter, framför allt om hälsa, men även om enskildas ekonomiska förutsättningar och levnadsomständigheter. Behandling av känsliga personuppgifter är förenad med särskilda integritetsrisker. Även behandling av andra personuppgifter kan medföra risker. Den föreslagna lagen ger vissa möjligheter till sammanställning och systematisering. När stora mängder personuppgifter samlas på ett sådant sätt att informationen enkelt kan sammanställas och systematiseras, ges möjlighet till kontroll över och kartläggning av individer. Även personuppgifter som normalt uppfattas som relativt harmlösa eller är av mindre känslig karaktär kan tillsammans skapa en integritetskänslig sammanställning av uppgifter om en person.

De personuppgifter som ISF behandlar kommer huvudsakligen från andra myndigheter och organisationer. Behandlingen av personuppgifter sker därmed för ett annat ändamål än det som de ursprungligen samlades in för. Det innebär i sig en integritetsrisk eftersom den registrerade inte alltid kan förväntas förutse behandlingen och därmed kan ha svårt att bedöma risker med behandlingen. Det kan också vara svårt för den registrerade att behålla kontrollen över sina uppgifter. När den enskilde uppsöker vård för att få ett intyg som krävs vid ansökan om sjukpenning, kan det exempelvis vara svårt att förutse att ISF kan komma att använda uppgiften om diagnos vid en granskning av Försäkringskassans verksamhet. När personuppgifter delas mellan flera myndigheter, får dessutom fler personuppgiftsansvariga och enskilda användare åtkomst till uppgifterna. En stor spridning av personuppgifter utgör i sig, särskilt när det rör sig om känsliga personuppgifter, en integritetsrisk. Ju fler personer som kan ta del av uppgifterna desto större blir riskerna för otillåten och kränkande hantering. Det finns också en risk att myndighetens personal eller användare av it-systemen kan ta del av mer information än vad de behöver för att kunna utföra sina arbetsuppgifter, vilket också ökar risken för

otillåten behandling, obehörigt röjande och andra former av missbruk.

79

Prop. 2023/24:146 Behandling av personnummer och andra personuppgifter som direkt kan hänföras till den enskilde kan utgöra en integritetsrisk eftersom det möjliggör samkörning av uppgifter.

Grupper med behov av särskilt skydd

Det finns särskilt stora risker för personer med skyddade personuppgifter och personer som i övrigt är utsatta för våld eller förtryck. Spridning av uppgifter när det gäller sådana personer kan få förödande konsekvenser. Barns personuppgifter förtjänar också särskilt skydd, eftersom barn kan vara mindre medvetna om risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter (skäl 38 i EU:s dataskyddsförordning). Barns personuppgifter kan behandlas i undersökningar som rör t.ex. barnbidrag och föräldrapenning.

Även personer med vissa kognitiva funktionsnedsättningar, bl.a. psykiskt sjuka personer och äldre personer, anses särskilt sårbara (jfr Artikel 29-gruppens riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, 2017, s. 11 och 12). Eftersom ISF:s uppdrag avser hela socialförsäkringsområdet kan det, beroende på projekt, bli aktuellt att behandla uppgifter om sådana personer, t.ex. i undersökningar av utvecklingen av sjukskrivningar med psykiatriska diagnoser och undersökningar som avser pensioner.

Risk för personuppgiftsincidenter

Det finns risk för att myndigheten genom en personuppgiftsincident förlorar kontrollen över uppgifterna. Vid förlorad kontroll över uppgifterna skulle de kunna komma i utomståendes händer och användas för exempelvis negativ särbehandling, övervakning, kartläggning av enskildas personliga förhållanden eller för att utsätta de registrerade för fara eller kränkningar. Vid förlorad kontroll över uppgifterna skulle hälsouppgifter exempelvis kunna vidareförmedlas till någon som använder dem för att selektera bort personer med vissa hälsotillstånd i anställningsprocesser eller liknande. Uppgifter om etniskt ursprung skulle kunna vidareförmedlas till någon som har ett intresse av att kartlägga och förfölja ett visst lands medborgare eller en viss etnisk grupp. Likaså kan vissa ha ett intresse av att förfölja personer med en viss sexuell läggning eller en viss religiös övertygelse.

Risker vid intervjuer och enkäter

Vid insamling av vissa typer av personuppgifter direkt från den registrerade, t.ex. genom enkäter eller intervjuer, uppstår vissa särskilda risker. Av 2 kap. 2 § RF följer ett skydd för de s.k. negativa opinionsfriheterna, vilket bl.a. innebär att myndigheter aldrig får tvinga någon att ge till känna sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Det är frivilligt att lämna uppgifter till ISF, vilket myndigheten också är skyldig att informera om enligt artikel 13.1 e i EU:s dataskyddsförordning, men det finns ändå en risk för att enskilda kan uppleva insamlingen av vissa uppgifter som kränkande.

80

Prop. 2023/24:146 som medverkar i en intervju- eller enkätundersökning eller på annat sätt lämnar uppgifter till myndigheten normalt inte befinna sig i någon beroendeställning till myndigheten. Medgivanden bör därmed som utgångspunkt kunna lämnas helt frivilligt. Personer som av olika skäl har nedsatt beslutsförmåga eller kognitiva funktionsnedsättningar kan dock inte alltid lämna ett uttryckligt medgivande. Även barn kan ha svårt att lämna ett uttryckligt medgivande, beroende på bl.a. barnets ålder och mognad och behandlingens art. Ett sådant medgivande utgör dock, som en integritetshöjande åtgärd, en förutsättning för personuppgiftsbehandling när uppgifter samlas in direkt från den enskilde, t.ex. vid enkät- eller intervjustudier. Det är myndighetens uppgift att se till att medgivandet lämnas frivilligt och informerat (se avsnitt 7.13), vilket bl.a. innebär att myndigheten måste anpassa sin information om behandlingen och om innebörden av ett medgivande utifrån den enskildes förutsättningar att ta till sig informationen. Mot bakgrund av detta bedömer regeringen, till skillnad från Myndigheten för delaktighet, att risken är låg att ett medgivande inte är frivilligt eller informerat, även om den enskilde har nedsatt beslutsförmåga eller en kognitiv funktionsnedsättning. Trots att personuppgifter, som Vetenskapsrådet påpekar, även hämtas från andra källor, medför skyddsåtgärden sammantaget ett gott skydd i de fall de inhämtas direkt från den registrerade.

Behandling av personuppgifter som direkt kan hänföras till den registrerade för med sig större integritetsrisker än behandling av personuppgifter som kan kopplas till den registrerade endast med hjälp av kompletterande uppgifter (kodnyckel). Att förhindra behandling av personuppgifter som direkt kan hänföras till den registrerade är således en effektiv skyddsåtgärd. Eftersom ISF till stor del men inte helt kan utföra sitt uppdrag utan behandling av personuppgifter som direkt kan hänföras till den registrerade är det inte möjligt att helt förbjuda sådan behandling. I stället föreslås att sådana personuppgifter som huvudregel ska separeras från övriga personuppgifter. Genom separeringen möjliggörs en begränsning av behandlingen, både när det gäller generell användning av uppgifterna och i fråga om åtkomst till uppgifterna och bevarande. Ofta kan en kodnyckel raderas innan övriga uppgifter upphör att behandlas.

Genom förslag om begränsad tillgång till personuppgifter säkerställs ett aktivt arbete med behörighetsstyrning. Endast den begränsade krets av medarbetare som arbetar i ett visst projekt bör normalt få ta del av de personuppgifter som behandlas i projektet. Om det finns kompletterande uppgifter som möjliggör identifiering, bör så få personer som möjligt tilldelas behörighet att ta del av dessa. Ett krav på att åtkomsten regelbundet ska kontrolleras och följas upp avser att skapa förutsättningar för tidig upptäckt av och möjlighet att förebygga missbruk av behörigheter, intrång och andra säkerhetsrisker.

ISF har tidigare bedrivit projekt som innefattar behandling av känsliga personuppgifter som forskningsprojekt. All behandling av känsliga personuppgifter har därmed föregåtts av en etikprövning, vilket har tillgodosett skydd för uppgifterna. De föreslagna skyddsåtgärderna bedöms ge ett minst lika gott skydd som en etikprövning. För forskningsprojekt föreslås dessutom att både registerlagen och kravet på etikprövning ska gälla, vilket innebär ett utökat skydd.

82

personuppgifter i stora volymer. Det är ur ett effektivitetsperspektiv inte Prop. 2023/24:146 möjligt – och inte heller befogat – att göra sådana analyser manuellt. För

att myndigheten ska kunna utföra sitt uppdrag krävs således användning av digitala verktyg och en automatiserad behandling av personuppgifter. Det bedöms inte finnas några alternativ som är mindre integritetskänsliga. Automatiserad behandling av personuppgifter får därmed anses vara nödvändig för att ISF ska kunna undersöka förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet.

Sammantaget kan det konstateras att ISF har ett stort behov av att behandla personuppgifter. Uppgiften att värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet syftar till att leda till förbättringar som ska vara till nytta för både enskilda och samhället. Den nya reglering som nu föreslås syftar till att skapa en balans mellan ISF:s behov av ändamålsenliga och effektiva arbetsformer och ett starkt skydd för enskildas personliga integritet. Till skillnad från Sveriges advokatsamfund, anser regeringen att de föreslagna begränsningarna i lagen inte är otydliga. Som redogjorts för ovan föreslås ett flertal åtgärder för att minska risker med behandlingen och skydda den personliga integriteten. Föreslagna åtgärder bedöms kraftigt minska risken för integritetsintrång. Det kan också noteras att Integritetsskyddsmyndigheten anser att det i promemorian gjorts en gedigen integritetsanalys och tillstyrker förslaget om en registerlag. Vid en avvägning mellan det allmänintresse som ligger till grund för ISF:s verksamhet och intresset av att upprätthålla skyddet för den personliga integriteten får intrånget anses vara motiverat och proportionerligt. Sammantagna överväger fördelarna med att kunna behandla personuppgifter i verksamheten nackdelarna. Därmed bedömer regeringen att den personuppgiftsbehandling som möjliggörs av den föreslagna lagen utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europeiska unionens stadga om de grundläggande rättigheterna. Regeringen bedömer också att förslaget är förenligt med kravet på proportionalitet i EU:s dataskyddsförordning.

ISF ska göra konsekvensbedömningar

Inspektionen för socialförsäkringen ska, när det är nödvändigt, göra en konsekvensbedömning avseende dataskyddet och en framställan om förhandssamråd till Integritetsskyddsmyndigheten (artiklarna 35 och 36 i EU:s dataskyddsförordning). De överväganden som redovisas här är alltså inte avsedda att utgöra en sådan konsekvensbedömning som ersätter kravet på en konsekvensbedömning avseende dataskydd enligt EU:s dataskyddsförordning. Det är ytterst upp till myndigheten att besluta om de närmare förutsättningarna för behandlingen av personuppgifter, t.ex. när det gäller vilken teknik och vilka säkerhetslösningar som ska användas.

85

Regeringens förslag: Lagen ska träda i kraft den 1 januari 2025. Bestämmelserna om behandling av personuppgifter i projekt och

medgivande till behandling av personuppgifter ska inte tillämpas på projekt som har inletts före ikraftträdandet.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det.

Skälen för regeringens förslag: Den föreslagna lagen bör träda i kraft så snart som möjligt för att tillgodose ISF:s behov av att behandla personuppgifter för att därigenom kunna utföra sitt uppdrag på ett ändamålsenligt sätt. Den 1 januari 2025 bedöms vara den tidigaste tidpunkten det kan ske.

ISF bedöms redan i dag uppfylla merparten av de krav som ställs i den föreslagna lagen. Vissa krav ska dock uppfyllas innan personuppgifter behandlas i projekt. Dessa krav kan inte förutsättas vara uppfyllda för projekt som har inletts innan lagen träder i kraft. På motsvarande sätt kan det inte förutsättas att den enskilde alltid har lämnat sitt uttryckliga medgivande till behandlingen när personuppgifter har samlats in direkt från den enskilde. För att ISF inte ska tvingas upphöra med pågående behandlingar i förtid, bör bestämmelserna om behandling av personuppgifter i projekt och medgivande till behandling av personuppgifter i 12–14 §§ inte tillämpas på projekt som har inletts före ikraftträdandet.

registrerade. Myndigheten tillämpar också behörighetsstyrning för Prop. 2023/24:146 åtkomst till personuppgifter. För att det ska vara möjligt att regelbundet

kontrollera och följa upp åtkomsten till personuppgifter kan det krävas viss anpassning av myndighetens it-system och arbetssätt. Det finns dock redan i dag krav på intern styrning och kontroll vid myndigheter och på att personuppgiftsansvariga ska säkerställa och kunna visa att principerna om integritet och konfidentialitet uppfylls (4 § 4 myndighetsförordningen [2007:515] och artikel 5.1 f och 5.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning). Förslagen ställer inte heller några krav på hur kontrollen och uppföljningen ska utformas. Eventuella kostnader för sådana anpassningar som krävs med anledning av den föreslagna lagen bedöms därmed vara begränsade och rymmas inom befintliga anslag.

Det kan initialt komma att krävas viss utbildning för de medarbetare vid myndigheten som ska tillämpa de nya reglerna. Nya interna styrdokument kan också behöva tas fram och implementeras. Eventuella kostnader för utbildning och styrande dokument får dock anses ingå i myndighetens ordinarie uppgifter och bedöms rymmas inom befintliga anslag.

Förslagen kan underlätta den prövning som andra myndigheter måste göra innan de överlämnar underlag till ISF. I övrigt bedöms förslagen inte få några ekonomiska konsekvenser för andra statliga myndigheter, kommuner, regioner, företag eller andra enskilda.

Regeringen bedömer sammanfattningsvis att förslagen inte medför några kostnadsmässiga eller andra ekonomiska konsekvenser.

10.2Konsekvenser för den personliga integriteten

Utgångspunkten för förslagen är att de ska utgöra en lämplig avvägning mellan skyddet för den enskildes personliga integritet och kravet på effektiv och ändamålsenlig tillsyns- och granskningsverksamhet hos ISF. Förslagen ger ISF rättsligt stöd för att behandla stora mängder personuppgifter, varav en del är känsliga personuppgifter, även när det innebär ett betydande intrång i den personliga integriteten. Genom föreslagna krav på skyddsåtgärder och befintlig reglering om sekretess säkerställs dock ett långsiktigt och hållbart integritetsskydd. De skyddsåtgärder som föreslås kommer att gälla vid sådan behandling av personuppgifter som myndigheten kan utföra redan i dag med stöd av den generella dataskyddslagstiftningen. För sådan behandling medför således förslagen ett bättre skydd för den personliga integriteten än vad som gäller i dag. Även för den ytterligare behandling som möjliggörs genom förslagen bedöms ett gott skydd för den personliga integriteten uppnås. Sammantaget bedömer regeringen att förslagen tillgodoser ISF:s behov av personuppgiftsbehandling samtidigt som hänsyn tas till behovet av ett starkt och likvärdigt integritetsskydd.

För en mer utförlig integritetsanalys hänvisas till avsnitt 8.

87

Förslagen bedöms inte få några konsekvenser för den kommunala självstyrelsen. Förslagen bedöms inte heller få några konsekvenser för sysselsättning och offentlig service i olika delar av landet eller för små eller stora företag.

Förslagen skapar förutsättningar för tillsyn och granskning av arbetet med att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. Det kan i sin tur leda till ökad kunskap om arbetet mot felaktiga utbetalningar och bidragsbrott, vilket i förlängningen kan bidra till att arbetet utvecklas. Brottsligheten och det brottsförebyggande arbetet förväntas i övrigt inte påverkas av förslagen.

Författningsförslagen är könsneutralt utformade och förväntas inte få några negativa konsekvenser för jämställdheten mellan kvinnor och män. Förslagen bedöms inte heller få några negativa konsekvenser för möjligheten att nå de integrationspolitiska målen. Med förslagen bedöms ISF få goda möjligheter att genomföra analyser på jämställdhets- och integrationsområdena, vilket bör ge goda förutsättningar för välgrundade beslut inom dessa politikområden med åtföljande positiva konsekvenser för integrationen och jämställdheten mellan kvinnor och män.

ISF kan i vissa fall behandla personuppgifter om barn. Enligt FN:s konvention om barnets rättigheter får barn inte utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende (artikel 16.1). Vid alla åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ, ska i första hand beaktas vad som bedöms vara barnets bästa (artikel 3.1). I skäl 38 i EU:s dataskyddsförordning anges att barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Regeringen bedömer att de begränsningar och skyddsåtgärder som föreslås gälla när ISF behandlar personuppgifter inom ramen för den föreslagna lagen, i kombination med det skydd som följer av övrig dataskydds- och sekretessreglering, tillgodoser barns behov av skydd mot integritetsintrång. Lagförslaget kan också bidra till en förbättrad tillsyn och granskning av sådana förhållanden inom socialförsäkringsområdet som berör barn.

Det föreslås inte någon reglering som går utöver vad som är tillåtet enligt EU:s dataskyddsförordning. I respektive avsnitt har det gjorts en bedömning av vilken nationell reglering som är möjlig att införa med beaktande av EU:s dataskyddsförordning som är direkt tillämplig i medlemsstaterna. Även i övrigt bedöms förslagen vara förenliga med EU- rätten.

88

Förslaget till lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i sådan verksamhet vid Inspektionen för socialförsäkringen som avser systemtillsyn och effektivitetsgranskning.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 7.1.

Av första stycket framgår att lagen gäller vid behandling av personuppgifter i sådan verksamhet som avser systemtillsyn och effektivitetsgranskning hos Inspektionen för socialförsäkringen (ISF). Definitioner av uttrycken behandling och personuppgifter finns i artikel 4 i EU:s dataskyddsförordning. Tillämpningsområdet motsvarar ISF:s uppdrag enligt 1–4 §§ förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen, här benämnd instruktionen. Behandling av personuppgifter i övrig verksamhet vid myndigheten, t.ex. ekonomi- och personaladministration, faller utanför lagens tillämpningsområde.

I andra stycket begränsas lagens tillämpningsområde till att avse helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Av artikel 2.1 i EU:s dataskyddsförordning framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Ett register är enligt definitionen i artikel 4.6 i EU:s dataskyddsförordning en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Den föreslagna lagens tillämpningsområde motsvarar således i denna del helt dataskyddsförordningens tillämpningsområde. Det innebär att manuell behandling av personuppgifter som inte ingår eller kommer att ingå i ett register faller utanför lagens tillämpningsområde. Exempelvis faller en helt manuell hantering av ärendeakter utanför lagens tillämpningsområde.

Förhållandet till annan dataskyddsreglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som

89

Prop. 2023/24:146 har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen anger lagens förhållande till annan dataskyddsreglering. Övervägandena finns i avsnitt 7.2.

Första stycket upplyser om att lagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig men förutsätter och tillåter i vissa avseenden nationella bestämmelser som kompletterar förordningen.

Av andra stycket framgår lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen. Dataskyddslagen, som kompletterar EU:s dataskyddsförordning på nationell generell nivå, är subsidiär i förhållande till denna lag. Bestämmelsen innebär att om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen, gäller dataskyddslagen.

Uppgifter om avlidna personer

3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:

1.denna lag och föreskrifter som har meddelats i anslutning till lagen,

2.EU:s dataskyddsförordning, och

3.lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

I paragrafen anges vilken reglering som gäller vid behandling av uppgifter om avlidna personer. Övervägandena finns i avsnitt 7.3.

EU:s dataskyddsförordning och dataskyddslagen gäller inte för uppgifter om avlidna personer. Genom bestämmelsen utvidgas således lagens tillämpningsområde i förhållande till EU:s dataskyddsförordning.

Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt är inte tillämpliga på avlidna personer. Någon möjlighet för efterlevande eller andra att överta rättigheter som tillkom den avlidne när denne var i livet finns inte heller. Det innebär exempelvis att bestämmelser om rätten att göra invändningar, rätten till information, rätten till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna. Däremot gäller bl.a. de krav för behandling av uppgifter och de principer som följer av artikel 5 i EU:s dataskyddsförordning.

En människa är död, dvs. avliden, när hjärnans samtliga funktioner totalt och oåterkalleligt har fallit bort (1 § lagen [1987:269] om kriterier för bestämmande av människans död).

Begränsning av rätten att göra invändningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rätten att göra invändningar gäller dock när personuppgifterna samlas in direkt från den enskilde.

90

I paragrafen begränsas rätten att göra invändningar enligt EU:s Prop. 2023/24:146 dataskyddsförordning (artikel 21.1). Övervägandena finns i avsnitt 7.4.

Paragrafens första stycke är utformat som ett undantag från artikel 21.1 i EU:s dataskyddsförordning. Av artikel 21.1 följer att den registrerade har rätt att när som helst invända mot myndigheters behandling av personuppgifter avseende honom eller henne som grundar sig på sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e). Undantaget är en sådan begränsning i den nationella rätten av den registrerades rättigheter som är tillåten enligt artikel 23 i EU:s dataskyddsförordning. Hänvisningen till EU:s dataskyddsförordning är dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse.

Andra stycket innebär att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller när uppgifterna samlas in direkt från den enskilde, exempelvis vid insamling av personuppgifter i intervju- eller enkätundersökningar.

Personuppgiftsansvar

5 § Inspektionen för socialförsäkringen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Paragrafen reglerar ISF:s personuppgiftsansvar. Övervägandena finns i avsnitt 7.5.

Paragrafen anger att ISF är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. I artikel 4.7 i EU:s dataskyddsförordning finns definitionen av personuppgiftsansvarig.

Ändamål för behandling av personuppgifter

6 § Inspektionen för socialförsäkringen får behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet eller inom verksamheter som gränsar till socialförsäkringsområdet.

Inom ramen för sådana undersökningar får personuppgifter behandlas även för att framställa statistik eller utföra forskning.

I paragrafen anges för vilka primära ändamål personuppgifter får behandlas inom lagens tillämpningsområde. Övervägandena finns i avsnitt 7.6.2.

Av första stycket framgår att personuppgifter får behandlas om det är nödvändigt för att undersöka förhållanden inom socialförsäkringsområdet eller inom verksamheter som gränsar till socialförsäkringsområdet. Ändamålet återspeglar myndighetens behov av att samla in, systematisera, bearbeta och analysera personuppgifter för att utföra sitt uppdrag enligt 1– 4 §§ instruktionen. Ändamålet är brett formulerat och ISF måste därför normalt precisera ändamålet för varje undersökning för att leva upp till kravet på särskilda, uttryckligt angivna och berättigade ändamål i artikel

5.1b i EU:s dataskyddsförordning. Ändamålet preciseras också genom det syfte som enligt 13 § ska fastställas för alla projekt. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Regeringen har i propositionen Ny dataskyddslag uttalat att

Prop. 2023/24:146 (prop. 2017/18:105 s. 189). Om behandlingen av personuppgifter tillför relevant information till en undersökning och undersökningen inte kan utföras lika effektivt utan uppgifterna, får behandlingen anses nödvändig. Även sådana uppgifter som visar sig utgöra överskottsinformation i förhållande till vad myndigheten behöver analysera får anses nödvändiga att behandla, om uppgifter som är nödvändiga att analysera annars inte kan samlas in av myndigheten. Exempelvis får det anses nödvändigt att behandla samtliga personuppgifter i en ärendeakt som samlats in för en aktstudie, även om samtliga personuppgifter inte behöver analyseras i studien. Det får också anses nödvändigt att behandla samtliga personuppgifter i ett enkätsvar, även i de fall samtliga personuppgifter inte är relevanta för ändamålet med enkäten. Vad som är nödvändigt med hänsyn till ändamålet med behandlingen måste dock avgöras i varje enskilt fall. Vid en sådan prövning ska de grundläggande principerna om uppgiftsminimering och lagringsminimering i artikel 5.1 c och e i EU:s dataskyddsförordning beaktas. Kravet på nödvändighet innebär att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117).

I paragrafens andra stycke finns en upplysning om att personuppgifter även får behandlas för att framställa statistik eller utföra forskning inom ramen för en sådan undersökning som avses i första stycket. ISF har inget statistikuppdrag och får endast bedriva den forskning som är nödvändig för att myndigheten ska kunna fullgöra sina uppgifter enligt 1–4 §§ instruktionen. Myndigheten får således inte behandla personuppgifter för statistik eller forskning som självständiga ändamål. Däremot får myndigheten ta fram statistik och utföra forskning som en del i den behandling som sker för de ändamål som anges i första stycket.

7 § Personuppgifter som behandlas enligt 6 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Paragrafen anger för vilka sekundära ändamål ISF får behandla personuppgifter inom lagens tillämpningsområde. Övervägandena finns i avsnitt 7.6.3.

Personuppgifter som behandlas för primära ändamål får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Med detta avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter utlämnande. Det kan t.ex. röra sig om en uttrycklig uppgiftsskyldighet (10 kap. 28 § offentlighets- och sekretesslagen [2009:400], förkortad OSL) eller uppgiftslämnande som sker i syfte att fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen (2017:900) eller som följer av skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL).

92

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 g eller 9.2 j i förordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Paragrafen anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 g eller j i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen. Övervägandena finns i avsnitt 7.7.

Känsliga personuppgifter är sådana särskilda kategorier av uppgifter som räknas upp i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Hänvisningen till EU:s dataskyddsförordning är dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse.

Behandling av känsliga personuppgifter för de ändamål som anges i 6 och 7 §§ sker för ett viktigt allmänt intresse och för vetenskapliga forskningsändamål i enlighet med artikel 9.2 g och j i EU:s dataskyddsförordning. Känsliga personuppgifter får därmed behandlas under förutsättning att det är nödvändigt med hänsyn till ändamålet med behandlingen. Med uttrycket ändamålet med behandlingen avses behandling som utförs både med stöd av den primära och den sekundära ändamålsbestämmelsen. Nödvändighetsrekvisitet har samma innebörd som i 6 § (jfr prop. 2017/18:105 s. 75 och 76). En bedömning av om kravet på nödvändighet är uppfyllt måste göras i varje enskilt fall. Av 2 § andra stycket följer att denna lag har företräde framför lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. I den lagen saknas dock bestämmelser om forskning.

9 § Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (uppgifter om lagöverträdelser) måste etikprövas.

Paragrafen upplyser om att viss forskning måste etikprövas enligt lagen (2003:460) om etikprövning av forskning som avser människor. Övervägandena finns i avsnitt 7.8.

Kravet på etikprövning gäller forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 § lagen om etikprövning av forskning som avser människor).

Uttrycket uppgifter om lagöverträdelser har getts en något bredare innebörd än den som finns i artikel 10 i EU:s dataskyddsförordning, som inte omfattar friande domar i brottmål och administrativa frihetsberövanden (jfr prop. 2017/18:298 s. 99).

93

personuppgifter som har samlats in för att behandlas i ett projekt inte får Prop. 2023/24:146 behandlas i ett annat projekt. Vad som avses med projekt framgår av 11 §.

Begränsningen av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begränsning av finalitetsprincipens tillämplighet (artikel 5.1 b i EU:s dataskyddsförordning).

I andra stycket görs undantag från förbudet att behandla personuppgifter i ett annat projekt än det som uppgifterna samlats in för. Personuppgifter får, trots det som anges i första stycket, behandlas inom ramen för ett annat projekt om behandlingen är nödvändig för att ISF helt eller delvis ska kunna upprepa eller följa upp ett tidigare projekt. Ett exempel på en uppföljning är att resultat som genereras inom ramen för ett projekt jämförs med resultat från ett tidigare projekt. Eftersom avsikten är att ta tidigare resultat vidare i en kompletterande granskning bör ändamålen för behandlingarna oftast ligga relativt nära varandra. Vidarebehandlingen får i dessa fall ske med stöd av finalitetsprincipen enligt artikel 5.1 b i EU:s dataskyddsförordning.

I tredje stycket görs undantag från kravet att behandla personuppgifter inom ramen för ett projekt. Personuppgifter som behandlas för omvärldsbevakning eller planering av ISF:s verksamhet behöver inte behandlas inom ramen för ett projekt och kan därmed också vidarebehandlas med stöd av finalitetsprincipen. Syftet med omvärldsbevakning och planering av verksamheten är att inhämta kunskap och att få uppslag till granskningar. Omvärldsbevakning sker löpande och utan föregående planering eller förberedelse. Det kan handla om att medarbetarna på myndigheten läser domar, beslut, nyhetsbrev, artiklar, rapporter, litteratur eller att sådant material samlas i ett e-bibliotek. Planering av verksamheten äger rum innan myndigheten inleder ett projekt och skapar förutsättningar för fortsatt arbete i projektform. Genom att behandling av personuppgifter för omvärldsbevakning och planering av verksamheten undantas från kravet på behandling i projekt, undantas behandlingen också från övriga föreslagna skyddsåtgärder som är knutna till projektramen.

13 § Innan personuppgifter får behandlas inom ramen för ett projekt ska Inspektionen för socialförsäkringen fastställa

1.syftet med projektet,

2.vilka kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras i projektet, och

3.när projektet senast ska vara avslutat.

Det fastställda syftet får inte ändras.

Information om vad som har fastställts ska hållas tillgänglig på Inspektionen för socialförsäkringens webbplats.

I paragrafen regleras vissa ramar som ska fastställas för de projekt som personuppgifter ska behandlas i. Övervägandena finns i avsnitt 7.12.

I första stycket anges vilka ramar som ska fastställas innan personuppgifter behandlas. Först och främst ska syftet med projektet fastställas. Syftet anger målbilden för projektet och utgör den yttersta ramen för möjliga ändamål för behandlingen av personuppgifter i projektet. Därutöver ska de kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser som ska analyseras i projektet fastställas.

95

Prop. 2023/24:146 Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Vad som avses med uppgifter om lagöverträdelser i denna lag framgår av 9 § som anknyter till den uppräkning av personuppgifter om lagöverträdelser som finns i 3 § 2 lagen om etikprövning av forskning som avser människor. Med analysera uppgifterna avses att myndigheten bearbetar, systematiserar, strukturerar och utifrån en analysmodell eller liknande använder uppgifterna i syfte att se samband, göra jämförelser och dra slutsatser. Slutligen ska även tidpunkten för när projektet senast ska vara avslutat fastställas.

Projektramarna ska fastställas innan personuppgifter behandlas, dvs. innan projektet inleds eller innan en tillåten ändring vidtas.

Enligt andra stycket får ett fastställt syfte inte ändras. Det innebär att ett projekt bör avslutas om syftet med projektet inte längre är relevant. Övriga ramar kan vid behov justeras medan projektet pågår.

Information om vad som har fastställts ska enligt tredje stycket hållas tillgänglig på ISF:s webbplats. Kravet på att hålla information tillgänglig påverkar inte informationskraven enligt artiklarna 13 och 14 i EU:s dataskyddsförordning.

Medgivande till behandling av personuppgifter

14 § Om personuppgifter samlas in direkt från den enskilde, får de behandlas endast om den enskilde har lämnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rätt att när som helst återkalla ett lämnat medgivande. Personuppgifter som omfattas av ett återkallat medgivande ska raderas.

Om ett medgivande återkallas får behandlingen av personuppgifter dock fortsätta om Inspektionen för socialförsäkringen inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen får också fortsätta om personuppgifterna finns i

Prop. 2023/24:146 motsvarande identitetsbeteckning. Det innebär att personuppgifter i myndighetens analysmaterial kan vara försedda med löpnummer, som behåller kopplingen till den registrerade.

Tillgång till personuppgifter

16 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsäkringen.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Paragrafen reglerar tillgången till personuppgifter hos ISF. Övervägandena finns i avsnitt 7.15.

Av första stycket framgår att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid ISF. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning eller uppdragstagare. Myndigheten ska aktivt ta ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och tilldela den behörighet som behövs utifrån det. Tillgången kan begränsas genom tekniska och organisatoriska åtgärder (jfr artikel 32 i EU:s dataskyddsförordning). Begränsningen avser tillgången till personuppgifter inom den verksamhet som omfattas av lagens tillämpningsområde.

Enligt andra stycket ska myndigheten regelbundet kontrollera och följa upp åtkomsten till personuppgifter. Det är upp till myndigheten att närmare bestämma formerna för kontrollen och uppföljningen. Den kan exempelvis ske genom uppföljning av loggar. Kontroll och uppföljning ska genomföras regelbundet, dvs. systematiskt och återkommande, och inte endast om myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 1 januari 2025.

2.Bestämmelserna i 12–14 §§ tillämpas inte på projekt som har inletts före ikraftträdandet.

Övervägandena finns i avsnitt 9.

Lagen träder enligt punkt 1 i kraft den 1 januari 2025.

Av punkt 2 framgår att bestämmelserna om behandling av personuppgifter i projekt enligt 12 och 13 §§ samt bestämmelsen om medgivande till behandling av personuppgifter enligt 14 § inte ska tillämpas på projekt som har inletts före ikraftträdandet. För sådana projekt ska dock övriga bestämmelser i lagen tillämpas.

98