Till statsrådet och chefen för

Socialdepartementet

Regeringen beslutade den 4 september 1997 att tillkalla en särskild utredare för att utarbeta ett förslag till särskild författningsreglering för behandlingen av personuppgifter inom socialtjänsten.

Till särskild utredare förordnades den 9 januari 1998 lagmannen Sigurd Heuman.

Som experter har medverkat (fr.o.m. den 2 april 1998) avdelningsdirektören Ellinor Englund, Socialstyrelsen, f.d. universitetslektorn Jan Evers, arkivrådet Per Jansson, Riksarkivet, departementssekreteraren Gunilla Malmborg, Socialdepartementet, kammarrättsassessorn Bo Nordelius, Socialdepartementet, förbundsjuristen Lena Sandström, Svenska kommunförbundet samt chefsjuristen Sören Öman, Statens institutionsstyrelse.

Sekreterare åt utredningen har varit hovrättsassessorn Lars Henriksson (fr.o.m. den 1 april 1998).

Utredningen har antagit namnet Socialdatautredningen (S 1997:15). Utredningen får härmed överlämna sitt betänkande Behandling av

personuppgifter inom socialtjänsten (SOU 1999:109).

Till betänkandet fogas ett särskilt yttrande av Ellinor Englund och Lena Sandström.

Utredningsuppdraget är härmed slutfört.

Malmö i september 1999

Sigurd Heuman

/Lars Henriksson

Innehåll

1.Förslag till lag om behandling av personuppgifter inom

2.Förslag till lag om ändring i socialtjänstlagen (1980:620)24

2.3Lagen (1990:52) med särskilda bestämmelser om vård

2.4Vissa andra uppgifter som enligt lag eller förordning

2.5Viss annan verksamhet som i 7 kap. 4 § sekretesslagen

3.2Socialtjänstkommitténs redogörelse för den dåvarande

3.4Statens institutionsstyrelses behandling av personupp-

3.5Avslutande synpunkter på den nuvarande och framtida

6.3När personuppgifter får behandlas och ändamålen med

6.4Vilka kategorier av personuppgifter bör få behandlas?... 163

6.8Utlämnade av personuppgifter på medium för automati-

6.11Säkerheten vid behandling och tillsynsmyndighetens

8.1Förslaget till lag om behandling av personuppgifter inom

8.2Förslaget till lag om ändring i socialtjänstlagen

Sammanfattning

Inledning

Utredningens förslag innebär att socialtjänstens behandling av personuppgifter författningsregleras och anpassas till bestämmelserna i personuppgiftslagen (1998:204). Förslaget utgår från personuppgiftslagens tillämpningsområde, begrepp och terminologi och bestämmelserna har utformats så att de anger de undantag och preciseringar i förhållande till personuppgiftslagen som är motiverade. Lagen föreslås få namnet lag om behandling av personuppgifter inom socialtjänsten (avsnitten 6.1.1– 6.1.4).

Utredningens förslag innebär vidare vissa ändringar i socialtjänstlagen (1980:620).

Syftet med den föreslagna lagstiftningen är inte att utvidga socialtjänstens nuvarande möjligheter att registrera uppgifter om medborgarna. Huruvida personuppgifter i det enskilda fallet skall samlas in eller lämnas ut avgörs av annan lagstiftning och inte av person uppgiftslagen eller av den föreslagna lagstiftningen. Avsikten med utredningens förslag är bl.a. att anpassa de regler som styr förutsättningarna för när personuppgifter får behandlas inom socialtjänsten så att de inte hindrar att personuppgifter får behandlas när så krävs för att socialtjänsten skall kunna fullgöra sina arbetsuppgifter.

Förslaget till lag om behandling av personuppgifter inom socialtjänsten

Lagens tillämpningsområde, m.m.

Den föreslagna lagen skall tillämpas vid behandling av person uppgifter inom socialtjänsten.

Personuppgiftslagen är generellt t illämplig på behandling av personuppgifter och anger de begränsningar i fråga om att behandla personuppgifter som kan anses nödvändiga för att skydda den personliga integriteten. Att personuppgiftslagen är generell innebär att lagen är

tillämplig vid behandling av person uppgifter inom socialtjänsten, om inte särskilda bestämmelser meddelas som avviker från personuppgiftslagens. Den föreslagna lagen innehåller sådana bestämmelser. Om inget annat följer av den föreslagna lagen, tillämpas emellertid personuppgiftslagen vid behandling av personuppgifter inom socialtjänsten.

Begreppet socialtjänst definieras i lagen (avsnitt 6.2.1). Med socialtjänst förstås i detta sammanhang

1.verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård av unga och av missbrukare utan samtycke,

2.verksamhet som i annat fall enligt lag handhas av socialnämnd,

3.verksamhet som bedrivs av Statens institutionsstyrelse,

4.verksamhet hos kommunal invandrarbyrå,

5.handläggning av ärenden om bistånd som lämnas av socialnämnd åt asylsökande och andra utlänningar,

6.handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar,

7.handläggning av ärenden om tillstånd till parkering för rörelsehindrade,

8.verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade, samt

9.tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamhet som avses i 1–8.

Den nämnda uppräkningen av verksamheter m.m. som innefattas i begreppet socialtjänst är uttömmande. Utanför lagens tillämpningsområde kommer därmed att falla t.ex. färdtjänstverksamhet samt förskoleverksamhet m.m., vilka verksamheter regleras av lagen (1997:735) om riksfärdtjänst och lagen (1997:736) om färdtjänst respektive skollagen (1985:1100). Det bör dock framhållas att sådan verksamhet och annan verksamhet som inte omfattas av denna lag eller av annan särlagstiftning omfattas av personuppgiftslagen. Konsekvensen av att man låter en verksamhet falla utanför den föreslagna lagens tillämpningsområde blir alltså inte att behandlingen av person uppgifter i den verksamheten förblir oreglerad. Huruvida de personuppgifter som har samlats in med stöd av denna lag får behandlas för t.ex. sådan verksamhet som nu nämnts, dvs. utanför socialtjänsten, får således avgöras efter en tillämpning av person uppgiftslagen. Frågan om uppgifterna får lämnas ut måste naturligtvis också prövas enligt sekretesslagen (1980:100).

SOU 1999:109 Sammanfattning 11

Enligt förslaget är lagen tillämplig oavsett vilket subjekt som behandlar personuppgifter, under förutsättning att det är fråga om socialtjänst i lagens mening. Det innebär att inte bara myndigheter utan även enskilda

behandling av personuppgifter som är helt eller delvis automatiserad utan även för annan behandling, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är t illgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. för manuell behandling av personregister (avsnitt 6.2.2). Det föreslås inte några särskilda bestämmelser för den automatiserade behandlingen av personuppgifter.

Lagen är dock inte tillämplig vid behandling av person uppgifter för forsknings- och statistikändamål (avsnitt 6.2.3). Behandling för sådana ändamål regleras av bestämmelserna i personuppgiftslagen och av eventuell annan särlagstiftning på området. Det bör dock påpekas att det inte är något som hindrar att de uppgifter som samlats in för att m yndigheter och andra skall kunna utföra sina arbetsuppgifter inom socialtjänsten, dvs. med stöd av den föreslagna lagen, även används för forsknings- och statistikändamål. Av 9 § andra stycket personuppgiftslagen följer nämligen att behandling för historiska, statistiska och vetenskapliga ändamål inte skall anses oförenlig med de ändamål för vilka uppgifterna

ursprungligen samlades in. Huruvida behandlingen av personuppgifterna, t.ex. själva utlämnandet, är t illåten i det enskilda fallet får emellertid avgöras av bestämmelserna i person uppgiftslagen och sekretesslagen. I 19 § tredje stycket personuppgiftslagen finns en allmän bestämmelse i ämnet. I den mån det, som t.ex. i 64 § socialtjänstlagen, finns särskilda föreskrifter i lag eller förordning om utlämnande av uppgifter för forskningsändamål, gäller dessa bestämmelser före personuppgiftslagens regler (2 § personuppgiftslagen).

När personuppgifter får behandlas och ändamålen med

behandlingen av personuppgifter

Bestämningen av ändamål för behandlingen av personuppgifter anses vara av central betydelse från integritetssynpunkt. Utredningen har därför noga övervägt om det skulle vara möjligt att direkt i lagen uttömmande ange för vilka ändamål personuppgifter skall få behandlas inom socialtjänsten. Utredningen har emellertid av skäl som redovisas utförligt i avsnitt 6.3 ansett att det inte är möjligt att föreslå en sådan lösning.

Utredningen har i stället stannat för en modell som innebär att det överlåts på de personuppgiftsansvariga i respektive verksamhet att – inom en i lagen angiven ram – ange de ändamål för vilka personuppgifter skall få behandlas inom socialtjänsten. En sådan modell framstår – menar utredningen – som den bästa inte bara när det gäller skyddet för den enskildes personliga integritet utan även när det gäller verksamheten inom socialtjänsten.

Utredningens förslag innebär således att det i lagen föreskrivs att personuppgifter, förutom med den registrerades samtycke, får behandlas bara om behandlingen är nödvändig för att en arbets uppgift inom socialtjänsten skall kunna utföras. Lagen hindrar dock inte att personuppgifter lämnas ut, om det följer av lag eller förordning. I lagen regleras inte för vilka ändamål personuppgifter skall få behandlas inom socialtjänsten. Det ankommer således på de personuppgiftsansvariga i respektive verksamhet att med beaktande av 9 § första stycket c personuppgiftslagen – dvs. bestämmelsen att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål – ange för vilka ändamål personuppgifter behandlas. Endast ändamål som

är nödvändiga för att en arbets uppgift inom socialtjänsten skall kunna utföras kan därvid vara berättigade.

Vilka kategorier av personuppgifter bör få behandlas?

Föreskrifterna i 9 § första stycket e och f personuppgiftslagen – att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen – och viss annan lagstiftning, t.ex. socialtjänstlagens bestämmelser om dokumentation, innebär viktiga begränsningar av vilka personuppgifter som får behandlas. Det s kydd som dessa föreskrifter ger för den personliga integriteten är menar utredningen tillräckligt. I den föreslagna lagen finns det därför inte några särskilda begränsningar beträffande vilka kategorier av personuppgifter som får behandlas inom socialtjänsten (avsnitt 6.4). Samtliga kategorier av personuppgifter kommer således i och för sig att få behandlas inom socialtjänsten, även bl.a. känsliga personuppgifter i personuppgiftslagens mening.

Utredningen framhåller att det inte råder något tvivel om att det från integritetssynpunkt skulle vara en fördel om det i lagtexten på ett konkret sätt kunde anges vilka personuppgifter som får behandlas inom socialtjänsten. Utredningen har emellertid bedömt det som i praktiken omöjligt att göra så. Det beror på den mycket omfattande och mångskift-

ande verksamhet som lagstiftningen skall omfatta och socialtjänstens behov av att behandla ett synnerligen stort antal olika personuppgifter, som när det gäller graden av integritetskänslighet varierar i stor utsträckning. En reglering skulle nämligen – menar utredningen – antingen innebära stora risker för att socialtjänstarbetet försvårades eller

– om listan över vilka uppgifter som fick behandlas gjordes mycket omfattande – knappast medföra några vinster från integritetssynpunkt.

Personuppgiftsansvaret

I den föreslagna lagen anges inte vem som skall vara personuppgiftsansvarig för de behandlingar av personuppgifter som utförs inom socialtjänsten (avsnitt 6.5). Frågan om vem som är personuppgiftsansvarig för en viss behandling av personuppgifter enligt lagen om behandling av personuppgifter inom socialtjänsten får i stället a vgöras efter en tillämpning av bestämmelserna i person uppgiftslagen. Någon särskild regel om detta behövs inte i den föreslagna lagen.

Sökbegrepp

Med sökbegrepp förstås bokstäver eller siffror med vars hjälp man kan söka fram lagrad information. Frågan om sökbegränsningar har behandlats i avsnitt 6.6.

De sekretessbestämmelser som gäller för personuppgifter inom socialtjänsten (bl.a. 7 kap. 4 § sekretesslagen 1980:100 och 51 § andra stycket socialtjänstlagen) innebär ett mycket starkt skydd för uppgifterna, inte bara i förhållande till verksamhet utanför socialtjänsten, utan även mellan myndigheter på socialtjänstens område samt inom en och samma myndighet. Möjligheterna att söka information begränsas emellertid inte endast av sekretessbestämmelser, utan även av personuppgiftslagens bestämmelse (9 § första stycket d) om att redan insamlade personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna ursprungligen samlades in. Vidare innebär bestämmelsen i 59 § socialtjänstlagen om förbud mot att i s.k. sammanställningsregister hos socialnämnd ta in uppgifter om ömtåliga personliga förhållanden ytterligare begränsningar av sökmöjligheterna. Dessa bestämmelser innebär ett tillräckligt integritetsskydd. I lagen föreslås därför inte någon särskild begränsning i möjligheten att med olika sökbegrepp hämta information som finns inom socialtjänsten.

Utredningen framhåller dock att det vid denna bedömning förutsätts att den personuppgiftsansvarige utformar de tekniska systemen så att i princip endast behöriga personer kan göra sökningar samt att det finns behörighetskontrollsystem och att det i efterhand går att fastställa vilka personer som har tagit del av information (loggning). Den enskilde handläggarens sökmöjligheter torde kunna begränsas mycket kraftigt (jfr bl.a. 51 § andra stycket socialtjänstlagen). Den personkrets som arbetar med uppföljning, utvärdering, kvalitetssäkring, forskning och framställning av statistik – och som naturligtvis är beroende av att kunna söka information i en helt annan omfattning än en enskild handläggare – torde i de flesta fall kunna begränsas till ett minimum.

Samkörning

Enligt utredningen saknas det anledning att i den föreslagna lagen ha en särskild bestämmelse som tillåter eller förbjuder att de person uppgifter som finns inom socialtjänsten samkörs (avsnitt 6.7). Personuppgiftslagens bestämmelser (9 § första stycket d, e och f) – att personuppgifter får behandlas för andra ändamål än de för vilka uppgifterna ursprungligen samlades in bara om de nya ändamålen inte är oförenliga med de ursprungliga ändamålen, att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler uppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen – innebär ett tillräckligt integritetsskydd för den enskilde. I praktiken begränsar dessa bestämmelser möjligheterna till samkörning på ett sätt som är godtagbart från integritetssynpunkt samtidigt som de innebär att personuppgifter kan samköras när det är ändamålsenligt och lämpligt. Även 59 § socialtjänstlagen och bestämmelserna i sekretesslagen kan hindra att personuppgifter samkörs.

Utlämnande av personuppgifter på medium för automatiserad

behandling

I den föreslagna lagen behövs ingen regel som tillåter att person uppgifter inom socialtjänsten får lämnas ut på medium för automatiserad behandling (avsnitt 6.8). Personuppgifter får lämnas ut på vilket medium som helst om behandlingen – utlämnandet – inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in. Detta följer direkt av personuppgiftslagen. Det finns inte heller tillräcklig anledning

att förbjuda att personuppgifter lämnas ut på ett sådant medium. Sekretesslagen eller andra bestämmelser kan dock hindra att uppgifterna över huvud taget får lämnas ut.

Direktåtkomst

Den som har direktåtkomst till information som behandlas automatiserat kan, när han eller hon vill, ta del av informationen på en bildskärm. Åtkomsten kan avse all information som finns eller endast en del av denna. Direktåtkomst ger inte i sig möjlighet att påverka informationsinnehållet. Frågan om direktåtkomst har behandlats i avsnitt 6.9.

De sekretessbestämmelser som gäller vid behandling av personuppgifter inom socialtjänsten (bl.a. 7 kap. 4 § sekretesslagen och 51 § andra stycket socialtjänstlagen) innebär, oavsett om det är fråga att lämna ut uppgifter på papper eller om det rör sig om direktåtkomst, ett mycket starkt skydd för person uppgifterna. Vidare innebär personuppgiftslagens regler om att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, att de

personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen, samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket d, e och f), ett ytterligare skydd för personuppgifterna. Även detta gäller oavsett på vilket medium uppgifterna tas fram. Det finns inget behov av att härutöver föreslå en regel som innebär begränsningar av åtkomsten till personuppgifter som behandlas automatiserat inom socialtjänsten.

Utredningen framhåller att en förutsättning för att en lösning som den föreslagna skall ge ett tillräckligt integritetsskydd är att den person uppgiftsansvarige begränsar den krets av personer som har direktåtkomst till information – vilket redan med hänsyn till gällande sekretessregler är nödvändigt – och att det finns system för behörighetskontroll. Utredningen har vid sin bedömning också utgått från att så blir fallet och att de tekniska systemen utformas så att det i efterhand går att fastställa vilka personer som har tagit del av information.

Information

Personuppgiftslagens bestämmelser om den personuppgiftsansvariges informationsplikt skall gälla även när personuppgifter behandlas inom socialtjänsten (avsnitt 6.10). Några särskilda bestämmelser om information behövs inte i den föreslagna lagen. I betänkandet gör utredningen en bedömning av hur personuppgiftslagens bestämmelser om information kan komma att tillämpas inom socialtjänsten.

Säkerheten vid behandling och tillsynsmyndighetens befogenheter

Personuppgiftslagens bestämmelser om säkerheten vid behandling och tillsynsmyndighetens befogenheter skall gälla också när person uppgifter behandlas inom socialtjänsten (avsnitt 6.11). Några särskilda bestämmelser därutöver behövs inte i den föreslagna lagen. Datainspektionen skall vara tillsynsmyndighet även enligt den föreslagna lagen.

I betänkandet erinrar dock utredningen om att de uppgifter som finns och kommer att finnas inom socialtjänsten mycket ofta kommer att vara av integritetskänslig natur. Utredningen understryker därför betydelsen av att det bedrivs ett aktivt arbete i syfte att vidmakthålla en hög säkerhetsnivå. Det kan också, framhåller utredningen, förväntas att Datainspektionen med stöd av 13 § personuppgiftsförordningen (1998:1191) kommer att meddela närmare föreskrifter om de säkerhetsåtgärder som behövs.

Anmälan till tillsynsmyndigheten, m.m.

Enligt 36 § första stycket personuppgiftslagen gäller att behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten (Datainspektionen) innan en sådan behandling eller serie av sådana behandlingar med samma eller liknande ändamål genomförs.

Emellertid innebär bestämmelsen i 3 § 3 personuppgiftsförordningen att den anmälningsskyldighet som följer av 36 § första stycket personuppgiftslagen inte gäller för behandling av personuppgifter som regleras genom särskilda föreskrifter i lag eller förordning. Denna undantagsbestämmelse från anmälningsskyldigheten bör – menar utredningen – gälla också när personuppgifter behandlas med stöd av lagen om behandling av personuppgifter inom socialtjänsten (avsnitt 6.12). När

Personuppgiftslagens bestämmelse (42 §) om att den personuppgiftsansvarige till var och en som begär det skall lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten, skall däremot gälla även vid behandling av personuppgifter inom socialtjänsten (avsnitt 6.12).

Bevarande och gallring

Det finns inget behov av bestämmelser i fråga om bevarande och gallring som avviker från regleringen härav i andra författningar (avsnitt 6.13). Detta innebär att bevarande och gallring skall ske med beaktande av reglerna i personuppgiftslagen och socialtjänstlagen. En bestämmelse härom tas in i lagen.

Sekretess

I den föreslagna lagen tas inte in någon särskild reglering av sekretessfrågor som avviker från gällande lagstiftning (avsnitt 6.14). I lagtexten införs dock en uttrycklig erinran om de sekretessregler som skall beaktas vid behandling av personuppgifter inom socialtjänsten.

Rättelse och skadestånd

De bestämmelser om rättelse och skadestånd som finns i personuppgiftslagen skall gälla även behandlingar som utförts i strid med lagen om behandling av personuppgifter inom socialtjänsten (avsnitten 6.15 och 6.16). En föreskrift som anger detta förhållande tas in i den sistnämnda lagen

Överklagande

Utredningen föreslår inga särskilda regler om överklagande av den personuppgiftsansvariges beslut i olika frågor (avsnitt 6.17). Frågan om en sådan överklaganderätt bör finnas är av principiellt slag och bör därför övervägas i ett annat sammanhang.

Det är, menar utredningen, ingen lämplig ordning att riksdagen i varje enskilt fall i olika specialförfattningar om behandling av personuppgifter, skall ta ställning till om vissa beslut som den personuppgiftsansvarige fattar bör kunna överklagas. Den bästa lösningen är att riksdagen i ett sammanhang – lämpligen i ett lagstiftningsärende rörande personuppgiftslagen – får ta ställning till om en sådan överklaganderätt bör finnas.

Ikraftträdande- och övergångsbestämmelser

Lagen om behandling av personuppgifter föreslås träda i kraft den 1 juli 2000 (avsnitt 7.2).

Som inledningsvis nämndes bygger lagen om behandling av personuppgifter inom socialtjänsten på personuppgiftslagen och skall t illämpas sida vid sida med den. Mot denna bakgrund bör, menar utredningen, den föreslagna lagens övergångsreglering och personuppgiftslagens i princip överensstämma.

Utredningen föreslår därför i fråga om automatiserad behandling av personuppgifter, en övergångsbestämmelse som innebär att lagen – liksom personuppgiftslagen – skall t illämpas först den 1 oktober 2001 på sådana automatiserade behandlingar som har påbörjats före den 24 oktober 1998. Detsamma bör – liksom enligt personuppgiftslagen – gälla beträffande automatiserad behandling som utförs för ett visst ändamål, om behandling för ändamålet har påbörjats före den 24 oktober 1998.

Lagen om behandling av personuppgifter inom socialtjänsten kommer således att gälla för de automatiserade behandlingar som pågår den 1 juli 2000 och som har påbörjats efter den 24 oktober 1998. Den 1 oktober 2001 kommer denna lag – liksom personuppgiftslagen – i princip att gälla fullt ut för all automatiserad behandling av personuppgifter, oavsett när den har påbörjats.

När det sedan gäller manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998, anser utredningen att den föreslagna lagen bör träda i kraft först den 1 oktober 2007. För sådan manuell behandling av personuppgifter inom socialtjänsten kommer således endast personuppgiftslagen att gälla till och med den 30 september 2007. När det gäller manuell behandling som påbörjats efter den 24 oktober 1998 gäller däremot såväl personuppgiftslagens bestämmelser som lagen om behandling av personuppgifter inom socialtjänsten redan den 1 juli 2000.

Förslaget till lag om ändring i socialtjänstlagen

Utredningens förslag innebär vidare att det i socialtjänstlagen tas in en ny bestämmelse, 59 a §, som innebär att förbudet i 59 § första stycket samma lag mot att i s.k. sammanställningsregister hos socialnämnden anteckna uppgifter om ömtåliga personliga förhållanden inte skall hindra att personuppgifter behandlas hos socialnämnden för uppföljning, utvärdering, kvalitetssäkring, forskning och framställning av statistik (avsnitt 6.1.5).

Vidare föreslås en ändring i 61 § socialtjänstlagen, som innebär att det i den paragrafen tas in en hänvisning inte bara till personuppgiftslagen utan även till lagen om behandling av personuppgifter inom socialtjänsten (avsnitt 8.2).

Även ändringarna i socialtjänstlagen föreslås träda i kraft den 1 juli 2000 (avsnitt 7.2). Beträffande 61 § socialtjänstlagen föreslås en viss övergångsreglering.

Författningsförslag

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av person uppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är t illgängliga för sökning eller sammanställning enligt särskilda kriterier.

2 § Lagen tillämpas inte vid behandling av person uppgifter för forsknings- och statistikändamål.

3 § Med socialtjänst förstås i denna lag

1.verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård av unga och av missbrukare utan samtycke,

2.verksamhet som i annat fall enligt lag handhas av socialnämnd,

3.verksamhet som bedrivs av Statens institutionsstyrelse,

4.verksamhet hos kommunal invandrarbyrå,

5.handläggning av ärenden om bistånd som lämnas av socialnämnd åt asylsökande och andra utlänningar,

6.handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar,

7.handläggning av ärenden om tillstånd till parkering för rörelsehindrade,

8.verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade, samt

9.tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamhet som avses i 1–8.

Förhållandet till personuppgiftslagen, m.m.

4 § Om inget annat följer av denna lag, tillämpas person uppgiftslagen (1998:204) vid behandling av personuppgifter inom socialtjänsten.

5 § I socialtjänstlagen (1980:620) finns särskilda bestämmelser om register m.m. hos socialnämnden.

När personuppgifter får behandlas

6 § Personuppgifter får, förutom med den registrerades samtycke, behandlas bara om behandlingen är nödvändig för att en arbets uppgift inom socialtjänsten skall kunna utföras.

Lagen hindrar dock inte att personuppgifter lämnas ut om det följer av lag eller förordning.

Ändamålen med behandlingen

7 § Det ankommer på den personuppgiftsansvarige att, inom den ram som anges i 6 § och med beaktande av 9 § första stycket c personuppgiftslagen (1998:204), bestämma för vilka ändamål personuppgifter får behandlas.

Känsliga personuppgifter, m.m.

8 § En tillåten behandling av person uppgifter enligt 6 § innebär

1.att även uppgifter om pers onnummer och sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får behandlas,

2.att även andra än myndigheter får behandla person uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, samt

3.att personuppgifter får föras över till tredje land.

Av 9 § första stycket e och f personuppgiftslagen följer att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen.

Bevarande och gallring

9 § Utöver vad som följer av personuppgiftslagen (1998:204) finns särskilda bestämmelser om bevarande och gallring i socialtjänstlagen (1980:620).

Sekretess

10 § För utlämnande av personuppgifter som finns inom socialtjänsten gäller de begränsningar som följer av sekretesslagen (1980:100), socialtjänstlagen (1980:620) och lagen (1993:387) om stöd och service till vissa funktionshindrade.

Rättelse och skadestånd

11 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna lag.

__________

1.Denna lag träder i kraft den 1 juli 2000.

2.I fråga om automatiserad behandling av personuppgifter, som påbörjats före den 24 oktober 1998 och sådan behandling som utförs för ett visst ändamål, om behandling för ändamålet påbörjats före den 24

oktober 1998, skall lagen tillämpas först den 1 oktober 2001.

3. I fråga om manuell behandling av personuppgifter, som påbörjats före den 24 oktober 1998 och sådan behandling som utförs för ett visst ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998, skall lagen tillämpas först den 1 oktober 2007.

1 Utredningsuppdraget

Utredningens direktiv (dir. 1997:108) innebär ett uppdrag att utarbeta ett förslag till särskild författningsreglering för behandlingen av personuppgifter inom socialtjänsten. Enligt direktiven är syftet att garantera ett fullgott och för detta särskilda område specialanpassat integritetsskydd vid i första hand automatisk databehandling (ADB).

Direktiven i sin helhet framgår av bilaga.

För att informera sig om den behandling av personuppgifter som f.n. pågår inom socialtjänsten och för att inhämta synpunkter i olika avseenden, har utredningen besökt Socialstyrelsen, Statens institutionsstyrelse och Stockholms kommun. Utredningen har också tagit del av ett antal tillstånd från Datainspektionen, som rör personregister inom socialtjänsten. Utredningen har vidare haft överläggningar med företrädare för Datainspektionen.

Samråd har på sekretariatsnivå under arbetets gång skett med Narkotikakommissionen (S 1998:04).

Utredningen har genom Sveriges ambassad i Köpenhamn, Helsingfors, Oslo respektive Reykjavik, inhämtat material om relevant lagstiftning i de övriga nordiska länderna. I Danmark, Island och Norge har ännu inte antagits någon lagstiftning som är anpassad till Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om s kydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. I Danmark finns emellertid ett förslag till lov om behandling af personoplysninger, som sedan oktober 1998 är föremål för behandling i Folketinget. I Norge har den 25 juni 1999 till Stortinget överlämnats en proposition (Ot prp nr 92, 1998-99) om lov om behandling av personopplysninger (personopplysningsloven). I Island pågår arbete med att anpassa gällande datalagstiftning till EG-direktivet. Finland har däremot sedan den 1 juni 1999 en ny personuppgiftslag (nr 523/99), som är anpassad till EG-direktivet. Såvitt utredningen har kunnat utröna finns det i de övriga nordiska länderna ingen nu gällande specialreglering av behandling av personuppgifter inom socialtjänsten och någon sådan lagstiftning synes inte heller vara aktuell. Utredningen har mot denna bakgrund gjort bedömningen att det inte är meningsfullt att lämna någon redogörelse för lagstiftningen i de övriga nordiska länderna.

BAKGRUND

2 Begreppet socialtjänst

2.1Inledning

Utredningen har i uppdrag att utarbeta ett förslag till särskild författningsreglering för behandlingen av personuppgifter inom socialtjänsten. Med socialtjänsten avses i detta sammanhang enligt direktiven verksamhet enligt socialtjänstlagen och anslutande lagar, inklusive sådan verksamhet som bedrivs av enskilda. I direktiven sägs dock att utredningen har frihet i fråga om den närmare avgränsningen av vad som bör omfattas av förslaget och att utredningen inte heller är förhindrad att låta förslaget omfatta något som formellt ligger utanför socialtjänsten, om det finns ett naturligt samband och det i övrigt är motiverat. I det sammanhanget nämns i direktiven prop. 1996/97:115 Mer t illgänglig kollektivtrafik, vilken proposition innehåller förslag till förändringar i fråga om färdtjänstverksamheten, som innebär att denna samhällsservice till funktionshindrade inte längre skall räknas som hörande till socialtjänsten. Propositionen har sedermera lett till lagstiftning. Den 1 januari 1998 ersattes socialtjänstlagens bestämmelser om färdtjänst och den särskilda lagen om riksfärdtjänst av en ny lag (1997:736) om färdtjänst respektive en ny lag (1997:735) om riksfärdtjänst (prop. 1996/97:115, bet. 1997/98:TU3, rskr. 1997/98:10). Innebörden av den ändrade regleringen kan i korthet sägas vara bl.a. att färdtjänst skall betraktas i första hand som en transportform i stället för en form av bistånd. Utredningen återkommer till bl.a. färdtjänsten i det följande.

Den första fråga som utredningen har att ta ställning till är alltså vilken verksamhet som skall omfattas av författningsregleringen. Det kan mot denna bakgrund vara värdefullt att översiktligt försöka närmare beskriva vad som avses med "verksamhet enligt socialtjänstlagen och an-

slutande lagar" samt att ta upp och redovisa även annan verksamhet som kan anses ha ett nära samband med socialtjänsten.

I avsnitt 2.2 lämnas en redogörelse för socialtjänstlagen ( 1980:620). Därefter berörs i avsnitt 2.3 den särskilda lagstiftningen om vård av unga och av missbrukare utan samtycke samt den nya brottspåföljden sluten ungdomsvård. I avsnitt 2.4 behandlas vissa andra uppgifter som enligt lag eller förordning åvilar socialnämnd. I avsnitt 2.5 tas upp viss annan verksamhet som i 7 kap. 4 § sekretesslagen (1980:100) förstås som, räknas till eller jämställs med socialtjänst. Slutligen tas i avsnitt 2.6 upp exempel på annan verksamhet som kan anses ha ett nära samband med socialtjänsten.

2.2Socialtjänstlagen (1980:620)

Socialtjänstlagen (1980:620) är att betrakta som en i huvudsak målinriktad ramlag. Den innehåller grundläggande värderingar och principer för socialtjänstens verksamhet. De grundläggande principerna och socialtjänstens mål uttrycks i lagens första paragraf, den s.k. portalparagrafen. Där sägs att samhällets socialtjänst skall på demokratins och solidaritetens grund främja människornas ekonomiska och sociala trygghet, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet. Socialtjänsten skall under hänsynstagande till människans ansvar för sin och andras sociala situation inriktas på att frigöra och utveckla enskildas och gruppers egna resurser. Verksamheten skall bygga på respekt för människornas självbestämmanderätt och integritet samt skall när åtgärder rör barn särskilt beaktas vad hänsynen till barnets bästa kräver.

I 2 § anges kommunens ansvar för socialtjänsten inom sitt område. Kommunen har det yttersta ansvaret för att de som vistas i kommunen får det stöd och den hjälp som de behöver (3 §).

Kommunens uppgifter inom socialtjänsten fullgörs av den eller de nämnder som kommunfullmäktige bestämmer (4 §). Tidigare gällde att inom varje kommun skulle finnas en nämnd, socialnämnden, för att fullgöra kommunens uppgifter inom socialtjänsten. I socialtjänstlagen och i flera andra lagar och förordningar finns föreskrifter om socialnämnden. Av 4 § andra stycket socialtjänstlagen framgår att vad som sägs om socialnämnd i lag eller annan författning skall gälla den eller de nämnder som kommunen inrättar för att fullgöra kommunens uppgifter inom socialtjänsten.

Kommunen får sluta avtal med någon annan om att utföra kommunens uppgifter inom socialtjänsten. Genom ett sådant avtal får en kommun även tillhandahålla tjänster åt en annan kommun. Det yttersta ansvaret för kommunens uppgifter inom socialtjänsten kan emellertid inte

SOU 1999:109 Begreppet socialtjänst 29

överlåtas på annan (prop. 1992/93:43 s. 21). Inte heller får uppgifter som innefattar myndighetsutövning – t.ex. beslut om olika former av bistånd och stödåtgärder inom individ- och familjeomsorgen, tvångsåtgärder enligt lagen om vård av unga eller enligt lagen om vård av missbrukare – överlämnas till ett bolag, en förening, en samfällighet, en stiftelse eller en enskild individ (4 § tredje stycket). Beslutsfattande i sådana frågor kan sålunda inte läggas ut på entreprenad. Detsamma gäller socialnämndernas uppgifter enligt föräldrabalken i samband med fastställande av faderskap och underhållsbidrag till vissa barn (a. prop. a. s.)

Socialtjänstens uppgifter och omfattningen av dessa framgår av 5 §. Där anges i första stycket att det till socialnämndens uppgifter hör bl.a. att medverka i samhällsplaneringen, informera om socialtjänsten i kommunen, genom uppsökande verksamhet och på annat sätt främja förutsättningarna för goda levnadsförhållanden, svara för omsorg och service, upplysningar, råd, stöd och vård, e konomisk hjälp och annat bistånd till familjer och enskilda som behöver det. I 5 § andra stycket sägs att socialnämnden genom stöd och avlösning bör underlätta för dem som vårdar närstående som är långvarigt sjuka eller äldre eller som har funktionshinder.

Lagen innehåller vidare särskilda avsnitt om åtgärder mot missbruk samt omsorger om barn och ungdom, äldre människor och människor med funktionshinder. Reglerna i dessa avsnitt, till vilka utredningen återkommer i det följande, innehåller också målpreciseringar.

I 6 b–6 f §§ regleras rätten till bistånd . Enligt 6 § har den som inte själv kan tillgodose sina behov eller kan få dem tillgodosedda på annat

villkor som anges i 6 b–6 f §§. Med annat bistånd avses hjälp i hemmet samt särskilt boende för service och omvårdnad för äldre eller bostad med särskild service för funktionshindrade (6 f §). Fram till den 1 januari 1998 kunde sådant bistånd ges även i form av färdtjänst (se avsnitt 2.6.1). Socialnämnden får vidare enligt 6 g §, om det finns skäl för det, ge bistånd i annan form eller utöver vad som följer av 6 b § (försörjningsstöd) eller 6 f § (annat bistånd). Sådant bistånd kan vara ett komplement till försörjningsstödet eller avse olika former av stöd samt vård- och behandlingsinsatser.

I 7–10 §§ finns allmänna riktlinjer för socialnämndens verksamhet . Bland dessa riktlinjer kan särskilt nämnas att socialnämnden genom hemtjänst, dagverksamheter eller annan liknande social tjänst bör underlätta för den enskilde att bo hemma och att ha kontakt med andra (10 § första stycket).

I 11 § finns bestämmelser om åtgärder mot missbruk . Enligt 11 § första stycket skall socialnämnden arbeta för att förebygga och motverka

30 Begreppet socialtjänst SOU 1999:109

missbruk av alkohol och andra beroendeframkallande medel. I samma paragrafs tredje stycke sägs att socialnämnden skall aktivt sörja för att den enskilde missbrukaren får den hjälp och den vård som han behöver för att komma ifrån missbruket. Nämnden skall i samförstånd med den enskilde planera hjälpen och vården och noga bevaka att planen fullföljs.

Kan vård inom socialtjänsten inte ges en missbrukare i samförstånd med honom enligt bestämmelserna i socialtjänstlagen, får vård beredas missbrukaren utan samtycke med stöd av bestämmelserna i lagen (1988:870) om vård av missbrukare i vissa fall (se avsnitt 2.3.3).

De grundläggande bestämmelserna om omsorger om barn och ungdom finns i 12 §. Där föreskrivs att socialnämnden skall verka för att barn och ungdom växer upp under trygga och goda förhållanden. Socialnämnden skall bl.a. samarbeta nära med hemmen och rikta särskild uppmärksamhet mot utvecklingen hos de barn och u ngdomar som visat tecken till en ogynnsam utveckling. Barn och ungdom skall beredas det skydd och stöd som de behöver och, om hänsynen till den unges bästa motiverar det, skall socialnämnden sörja för vård och fostran utanför det egna hemmet.

I prop. 1996/97:124 Ändring i socialtjänstlagen uttalade regeringen (s. 91) att det bland de i 10–12 §§ uppräknade insatserna ingick sådana insatser som kunde sägas utgöra grunden för det sociala arbetet med barn, ungdomar, familjer, vuxna missbrukare och enskilda personer med psykosociala problem såsom det vid den dåvarande tidpunkten bedrevs inom socialtjänsten. Enligt vad regeringen uttalade kunde detta bl.a. innefatta att lämna upplysningar till den enskilde, hänvisa till eller förmedla kontakt med andra samhällsorgan, motivationsarbete, all slags öppenvårdsinsatser samt vård utanför hemmet i form av placering i familjehem eller i hem för vård eller boende.

En annan uppgift som åvilar socialnämnden i dess omsorg om barn och ungdom är att tillgodose även det särskilda behov av stöd och hjälp som kan finnas sedan ett mål eller ärende om vårdnad, boende, umgänge eller adoption har avgjorts (12 §). Vidare skall kommunen enligt 12 a § erbjuda samarbetssamtal för att hjälpa föräldrar att bli eniga i frågor rörande vårdnad, boende och umgänge. Kommunen skall även sörja för att föräldrar får hjälp att träffa avtal enligt 6 kap. 6 § (avtal om vårdnad), 14 a § andra stycket (avtal om boende), eller 15 a § andra stycket föräldrabalken (avtal om umgänge) Enligt samma bestämmelse skall kommunen sörja för att familjerådgivning, dvs. samtal med syfte att bearbeta samlevnadskonflikter i parförhållanden och familjer, genom kommunens försorg eller annars genom lämplig rådgivare kan erbjudas dem som begär det. Utredningen återkommer i avsnitt 2.4 till socialnämndens uppgifter inom området för fam iljerätt.

SOU 1999:109 Begreppet socialtjänst 31

Socialtjänstlagen innehåller vidare ett avsnitt med särskilda regler till skydd för underåriga som vistas i ett annat hem än det egna ( 25–32 §§) och en bestämmelse om anmälan om misshandel m.m. mot underåriga (71 §).

Kan inte insatser inom socialtjänsten för barn och ungdom göras i samförstånd med den unge och hans vårdnadshavare enligt bestämmelserna i socialtjänstlagen, kan den som är under 18 år (under 20 år i vissa fall) – utan samtycke – beredas vård med stöd av lagen (1990:52) med särskilda bestämmelser om vård av unga (se avsnitt 2.3.2).

I 19–20 a §§ finns särskilda bestämmelser om omsorger om äldre människor . I 19 § anges socialnämndens skyldighet att verka för att äldre människor får möjlighet att leva och bo självständigt och under trygga förhållanden och med respekt för deras självbestämmande och integritet.

Enligt 20 § första stycket skall socialnämnden verka för att äldre människor får goda bostäder och ge dem som behöver det stöd och hjälp

i hemmet och annan lättåtkomlig service. I paragrafens andra stycke anges kommunens skyldighet att inrätta särskilda boendeformer för service och omvårdnad för äldre människor med behov av särskilt stöd. Med särskilda boendeformer avses bl.a. servicebostäder, gruppboenden och lokala sjukhem.

Kommunens skyldighet att planera sina insatser för äldre anges i 20 a § andra stycket. Där föreskrivs att kommunen i planeringen skall samverka med landstinget samt andra samhällsorgan och organisationer.

I 21 § slås fast kommunernas ansvar för människor med funktionshinder. Där sägs att socialnämnden skall verka för att människor som av fysiska, psykiska eller andra skäl möter betydande svårigheter i sin livsföring får möjlighet att delta i samhällets gemenskap och att leva som andra. Socialnämnden skall vidare medverka till att den enskilde får en meningsfull sysselsättning och att han får bo på ett sätt som är anpassat efter hans behov av särskilt stöd. Slutligen skall enligt bestämmelsen kommunen inrätta bostäder med särskild service för dem som till följd av sådana svårigheter behöver ett sådant boende.

Personer med funktionshinder kan förutom enligt socialtjänstlagen erhålla stöd och hjälp enligt lagen (1993:387) om stöd och service till vissa funktionshindrade (se avsnitt 2.5.5).

I 71 a § finns en bestämmelse om anmälan om missförhållanden i omsorger om äldre eller funktionshindrade.

I den mån den enskildes vårdbehov inte kan tillgodoses genom insatser i öppna former kan det – under förutsättning att den enskilde lämnar sitt samtycke – bli fråga om placering utanför det egna hemmet. Det kan ske i antingen familjehem eller hem för vård eller boende. För vård i sådana hem finns bestämmelser i 22 och 24 §§ som är gemensamma för barn och vuxna.

32 Begreppet socialtjänst SOU 1999:109

I socialtjänstlagen finns också en rad bestämmelser som innebär uppgiftsskyldighet för socialnämnden (63–66 §§).

Sammanfattningsvis kan sålunda sägas att verksamheten enligt socialtjänstlagen är mångfacetterad och består inte bara i handläggning av ett ärende utan även av rent faktiskt handlande. Som framgått kan verksamheten utgöras av bl.a. rådgivning, stödsamtal, hemtjänst, kontaktverksamhet, vård och behandling antingen i öppenvård eller vid institutioner såsom behandlingshem, inackorderingshem och särskilda bostäder för äldre och funktionshindrade.

Slutligen kan nämnas att det är Socialstyrelsen som har tillsyn över socialtjänsten i riket (67 §) och att det ankommer på styrelsen att följa och vidareutveckla socialtjänsten. Den regionala tillsynen över socialtjänsten i länet handhas av länsstyrelsen (68 §).

2.3Lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall samt verkställighet av sluten ungdomsvård

2.3.1Inledning

Som tidigare har nämnts kan enligt lagen (1990:52) med särskilda bestämmelser om vård av unga och lagen (1988:870) om vård av missbrukare i vissa fall vård beredas den enskilde utan att han har samtyckt till det. Det saknas anledning att i detta sammanhang redovisa förutsättningarna för att sådan tvångsvård skall kunna beredas den enskilde eller att gå in närmare på de båda författningarna. Däremot finns det skäl att översiktligt beröra vissa av de bestämmelser som gäller beträffande vården.

2.3.2Lagen (1990:52) med särskilda bestämmelser om vård av unga

Inledningsvis kan nämnas att beslut om vård med stöd av lagen (1990:52) med särskilda bestämmelser om vård av unga (LVU) meddelas av länsrätten efter ansökan av socialnämnden (4 §).

För vårdens innehåll och utformning gäller – förutom föreskrifterna i LVU – bestämmelserna i socialtjänstlagen (10 § andra stycket).

Socialnämndens vårdansvar är fastslaget i 22 § socialtjänstlagen. Där sägs att socialnämnden skall sörja för att den som behöver vårdas i ett annat hem än det egna tas emot i ett familjehem eller i ett hem för vård eller boende.

Socialnämnden bestämmer hur vården enligt LVU av den unge skall ordnas och var han skall vistas under vårdtiden (11 §). Socialnämnden skall i första hand placera den unge antingen hos en annan familj än den egna eller på någon lämplig institution. Nämnden får dock medge att den unge vistas i sitt eget hem, om detta kan antas vara bäst ägnat att främja vården av honom. Vården skall dock alltid inledas utanför den unges eget hem.

Enligt 12 § skall det finnas särskilda ungdomshem för vård av unga som på grund av missbruk av beroendeframkallande medel, brottslig verksamhet eller något annat socialt nedbrytande beteende behöver särskilt noggrann tillsyn. Behovet av sådana hem skall enligt 23 a § socialtjänstlagen tillgodoses av staten. Statens institutionsstyrelse är central förvaltningsmyndighet för dessa hem och styrelsen leder och har tillsyn över verksamheten vid hemmen. Staten kan dock om det finns särskilda skäl för det genom avtal uppdra åt ett landsting eller en kommun att inrätta och driva sådana hem.

Om socialnämnden har beslutat att den unge skall vistas i ett särskilt ungdomshem, skall Statens institutionsstyrelse anvisa plats i ett sådant hem.

Enligt 13 § skall socialnämnden noga följa vården av den som får vård med stöd av LVU.

2.3.3Lagen (1988:870) om vård av missbrukare i vissa fall

Enligt lagen (1988:870) om vård av missbrukare i vissa fall (LVM) är det socialnämnd som tar initiativ till beredande av vård med stöd av lagen. För tvångsvårdens innehåll och utformning gäller bestämmelserna i socialtjänstlagen, om inte något annat anges i LVM (2 § andra stycket).

Tvångsvård lämnas genom hem som är särskilt avsedda att lämna vård enligt LVM (LVM-hem). Ett sådant hem skall ha en styrelse som utses av Statens institutionsstyrelse (22 §).

För missbrukare som behöver stå under särskilt noggrann tillsyn skall det finnas LVM-hem som är anpassade för sådan tillsyn (23 §). Enligt 23 a § socialtjänstlagen skall behovet av sådana hem som avses i 22 och 23 §§ LVM tillgodoses av staten. Statens institutionsstyrelse är central förvaltningsmyndighet för även dessa hem. Styrelsen leder och har tillsyn över verksamheten vid hemmen. Staten kan dock om det finns särskilda skäl för det genom avtal uppdra åt ett landsting eller en kommun att inrätta och driva sådana hem.

Enligt 25 § skall Statens institutionsstyrelse efter anmälan av socialnämnden anvisa plats i ett LVM-hem.

I 26 § sägs att den som förestår vården vid ett LVM-hem skall fortlöpande hålla socialnämnden underrättad om hur vården framskrider och samråda med nämnden i alla frågor av vikt.

2.3.4Sluten ungdomsvård

Den 1 januari 1999 infördes en ny frihetsberövande påföljd för unga lagöverträdare, sluten ungdomsvård (31 kap. 1 a § brottsbalken). Verkställigheten av denna påföljd, som regleras i lagen (1998:603) om verkställighet av sluten ungdomsvård, skall ske vid sådana särskilda ungdomshem som avses i 12 § lagen (1990:52) med särskilda bestämmelser om vård av unga. Statens institutionsstyrelse ansvarar för verkställigheten av påföljden.

2.4Vissa andra uppgifter som enligt lag eller förordning åvilar socialnämnd

Socialnämndens (eller den nämnd som kommunen utser att fullgöra kommunens uppgifter inom socialtjänsten, 4 § andra stycket socialtjänstlagen 1980:620) arbetsuppgifter är – som för övrigt framgått redan av det föregående – inte uttömmande reglerade i socialtjänstlagen.

Socialtjänstens uppgifter på det fam iljerättsliga området regleras t.ex. inte endast i socialtjänstlagen utan även i föräldrabalken. I föräldrabalken finns regler om socialnämnds medverkan vid fastställande av faderskap och underhållsbidrag till barn, om medverkan i frågor om vårdnad, boende och umgänge samt om medverkan i samband med adoptioner. Socialnämnden har vidare vissa uppgifter vid handräckning

(1981:750) att socialnämnden, om nämnden får veta att någon åtgärd behöver vidtas i fråga om vårdnad eller förmynderskap för en underårig, skall göra framställning eller ansökan om det hos den domstol till vilken ärendet hör. Detsamma gäller om nämnden i förekommande fall bedömer att en underårig är i behov av målsägandebiträde.

Enligt 42 § andra stycket socialtjänstförordningen skall socialnämnden till överförmyndaren anmäla om nämnden finner att god man eller förvaltare enligt föräldrabalken bör förordnas för någon, att någon inte längre bör ha förvaltare, eller att det föreligger sådana förhållanden som talar för att en förälder inte kommer att förvalta sitt underåriga barns egendom på ett betryggande sätt.

Socialnämnden skall dessutom enligt ett antal olika författningar till myndigheter och domstolar inkomma med yttranden när så begärs, t.ex. enligt lagen (1964:167) med särskilda bestämmelser om unga la göverträdare, namnlagen (1982:670) och körkortsförordningen (1998:980).

I 11 § första stycket lagen med särskilda bestämmelser om unga lagöverträdare föreskrivs att åklagaren under vissa förutsättningar – innan han fattar beslut i åtalsfrågan beträffande den som misstänks för att ha begått brott innan han har fyllt 18 år – skall inhämta yttrande från socialnämnden i den kommun som enligt socialtjänstlagen har ansvaret för den unge. Ett sådant yttrande är också en förutsättning för att domstolen som påföljd för brottet skall kunna överlämna den unge till vård inom socialtjänsten och – om det inte finns särskilda skäl – för att den som inte har fyllt 21 år skall kunna dömas till fängelse i mer än tre månader (28 §).

Ett yttrande enligt 11 § första stycket skall innehålla en redogörelse för vilka åtgärder som nämnden tidigare har vidtagit i fråga om den unge samt en plan för de åtgärder som nämnden avser att vidta, varvid arten, omfattningen och varaktigheten av åtgärderna skall framgå. Yttrandet skall, om åklagaren begär det eller nämnden finner det nödvändigt, även innehålla en redogörelse för den unges personliga utveckling och hans levnadsomständigheter i övrigt (11 § andra stycket).

I 11 § tredje stycket föreskrivs att nämnden även utan samband med yttrande skall lämna åklagaren de upplysningar som denne begär i fråga om den unge.

Enligt 45 § namnlagen (1982:670) ankommer det på socialnämnd att yttra sig till domstol i vissa ärenden om barns namnbyte. I sådana ärenden skall socialnämnden, om det inte är olämpligt, söka klarlägga barnets inställning och redovisa den för rätten.

36 Begreppet socialtjänst SOU 1999:109

Enligt 7 kap. 2 § körkortslagen (1998:488) prövar länsstyrelsen ärenden om bl.a. körkortsingripande. Enligt 5 kap. 2 § första stycket körkortsförordningen (1998:980) skall länsstyrelsen, om det finns anledning anta att en körkortshavare inte uppfyller de förutsättningar som gäller för att inneha körkort, skyndsamt utreda dennes lämplighet. I ett sådant ärende får länsstyrelsen höra bl.a. socialnämnd, om nämndens yttrande har betydelse för ärendet (5 kap. 2 § andra stycket körkortsförordningen).

Vidare finns i en rad författningar bestämmelser som innebär uppgiftsskyldighet för socialnämnden (socialtjänsten). I det följande redovisas en del av dessa författningar.

I 6 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. sägs att socialnämnden på begäran av rätten, åklagaren eller frivårdsmyndigheten skall lämna upplysningar om den misstänkte och föreslå de åtgärder som nämnden anser behövs för att främja hans anpassning i samhället. Enligt 8 § är socialtjänsten skyldig att lämna ut sådana uppgifter om en misstänkt som be hövs för ett läkarintyg enligt 7 § samma lag.

I 14 § lagen (1991:1137) om rättspsykiatrisk unders ökning sägs att socialtjänsten bl.a. är skyldig att lämna ut sådana uppgifter om den misstänkte som behövs för en rättspsykiatrisk undersökning.

Enligt 3 och 5 §§ förordningen (1994:1763) med särskilda bestämmelser om unga lagöverträdare gäller att socialnämnden är skyldig att besvara vissa förfrågningar från åklagaren som rör vilken vård inom socialtjänsten som har anordnats för en ung lagöverträdare.

Av 43 § lagen (1991:1128) om psykiatrisk tvångsvård och 24 § lagen (1991:1129) om rättspsykiatrisk vård framgår att socialtjänsten skall lämna ut uppgifter om en patient, om det be hövs för att chefsöverläkare, sakkunnig eller Socialstyrelsen skall kunna fullgöra sina åligganden enligt nämnda lagar.

Enligt 11 kap. 6 § utlänningslagen (1989:529) skall socialnämnden på begäran av regeringen, Utlänningsnämnden, Statens invandrarverk, eller en polismyndighet lämna ut uppgifter om en utlännings personliga förhållanden, om uppgifterna be hövs i ett ärende om uppehållst illstånd eller för verkställighet av ett beslut om avvisning eller utvisning.

När socialnämnd första gången vidtar åtgärd i ett ärende om socialtjänst som angår en utlänning, skall nämnden enligt 6 kap. 2 § 3 utlänningsförordningen (1989:547), utom i vissa särskilda undantagsfall, underrätta polismyndigheten härom.

I 14 a § lagen (1950:382) om svenskt medborgarskap föreskrivs att socialnämnden på begäran av regeringen, Utlänningsnämnden, Statens invandrarverk eller en polismyndighet skall lämna ut uppgifter om en

utlännings personliga förhållanden, om uppgifterna be hövs i ett ärende om svenskt medborgarskap.

2.5Viss annan verksamhet som i 7 kap. 4 § sekretesslagen (1980:100) förstås som, räknas till eller jämställs med socialtjänst

2.5.1Inledning

I 7 kap. 4 § sekretesslagen (1980:100), som innehåller bestämmelser om sekretess på socialtjänstens område, anges i tredje stycket vad som avses med socialtjänst. Där sägs att med socialtjänst förstås verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård av unga och av missbrukare utan samtycke samt verksamhet som i annat fall enligt lag handhas av socialnämnd eller av Statens institutionsstyrelse. Till socialtjänst räknas enligt bestämmelsen också verksamhet hos annan myndighet som innefattar omprövning av socialnämnds beslut eller särskild tillsyn över nämndens verksamhet samt verksamhet hos kommunal invandrarbyrå. Med socialtjänst jämställs vidare verksamhet rörande ärenden om bistånd åt asylsökande och andra utlänningar, ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar, ärenden om tillstånd till parkering för rörelsehindrade, ärenden om allmän omvårdnad hos nämnd med uppgift att bedriva patientnämndsverksamhet samt verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade.

I det följande berörs en del av de verksamheter som nu har nämnts.

2.5.2Statens institutionsstyrelses verksamhet

Som nyss nämndes förstås i 7 kap. 4 § tredje stycket sekretesslagen med socialtjänst verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård av unga och av missbrukare utan samtycke samt verksamhet som i annat fall enligt lag handhas av socialnämnd eller av Statens institutionsstyrelse.

I det följande redovisas inte bara Statens institutionsstyrelses lagreglerade verksamhet utan även annan verksamhet som styrelsen bedriver.

Statens institutionsstyrelse är, som tidigare har nämnts, central förvaltningsmyndighet för sådana hem som avses i 12 § lagen ( 1990:52) med särskilda bestämmelser om vård av unga (särskilda ungdomshem)

samt 22 och 23 §§ lagen (1988:870) om vård av missbrukare i vissa fall (LVM-hem).

Enligt förordningen (1996:610) med instruktion för Statens institutionsstyrelse skall styrelsen (2 §) särskilt svara för 1. planering, ledning och drift av samt tillsyn över de särskilda ungdomshemmen och LVM- hemmen, 2. anvisning av platser till hemmen, 3. ekonomisk styrning, resultatuppföljning och kontroll, 4. metodutveckling, forskning och utvecklingsarbete. Vidare får styrelsen enligt förordningen (3 §) mot avgift utföra uppdrag åt kommuner i samband med avgiftning av missbrukare, utslussning, eftervård eller andra insatser enligt socialtjänstlagen (1980:620) som anknyter till verksamheten vid särskilda ungdomshem och LVM-hem.

Av 11 § socialtjänstförordningen (1981:750) följer att Statens institutionsstyrelse i vissa fall kan bedriva även hälso- och sjukvård. Styrelsen kan också bedriva skolverksamhet. Detta följer av 12 § socialtjänstförordningen, 10 kap. 2 § skollagen (1985:1100) och förordningen (1983:28) om undervisning av barn och ungdomar som vistas vid särskilda ungdomshem.

Som redovisats i avsnitt 2.3.4 ansvarar Statens institutionsstyrelse även för verkställigheten av den, den 1 januari 1999, införda nya frihetsberövande påföljden för unga lagöverträdare, sluten ungdomsvård.

2.5.3Verksamhet hos kommunal invandrarbyrå

En invandrarbyrå är en frivillig kommunal serviceinrättning med uppgift att dels hjälpa invandrare till rätta i samhället, dels informera olika kommunala förvaltningar och kommuninvånare om invandrarnas bakgrund, språk och kultur. År 1992 fanns invandrarbyrå i ca 120 kommuner. Ofta svarar invandrarbyrån för kommunens tolkförmedling. (Kommunal uppslagsbok, Svenska kommunförbundet, 1992).

I de kommuner som inte har en särskild invandrarbyrå, handläggs även frågor som rör invandrare inom ramen för socialtjänsten. T.ex. kan nämnas att Malmö stad tidigare hade en särskild invandrarnämnd med tillhörande förvaltning, i vilken handlades alla ärenden enligt socialtjänstlagen som rörde individ- och familjeomsorgen, lagen om vård av missbrukare i vissa fall och lagen om vård av unga, som avsåg invandrare. Därutöver, dvs. utanför socialtjänsten, handlade förvaltningen ärenden enligt lagen (1994:137) om mottagande av asylsökande, m.fl., lagen (1992:1068) om introduktionsersättning för flyktingar och vissa andra utlänningar samt ansvarade för svenskundervisning för invandrare (13 kap. skollagen). Denna förvaltning svarade även för kommunens samlade tolkförmedling samt handlade ansökningar om statsbidrag på området

och beredde avtal om flyktingmottagande. Sedan den 1 januari 1998 hanteras i Malmö samtliga dessa frågor integrerat i den ordinarie verksamheten i de olika stadsdelsnämnder som numera finns i kommunen.

2.5.4Bistånd m.m. åt flyktingar och vissa andra utlänningar

Enligt lagen (1992:1068) om introduktionsersättning för flyktingar och vissa andra utlänningar får en kommun under en introduktionsperiod – i stället för socialbidrag – bevilja introduktionsersättning för flyktingar och vissa andra utlänningar som har tagits emot i kommunen inom ramen för det kommunala flyktingmottagandet. Det är således kommunen som skall besluta om systemet med introduktionsersättning skall införas. Kommunen fastställer nivån på introduktionsersättningen. Ett villkor för att introduktionsersättning skall få beviljas är att flyktingen förbinder sig att följa en introduktionsplan som fastställts av kommunen efter samråd med den enskilde flyktingen.

I lagen (1994:137) om mottagande av asylsökande m.fl. finns bestämmelser om sysselsättning för och bistånd till vissa utlänningar. Det är Statens invandrarverk som har huvudansvaret för mottagandet av utlänningarna och verket svarar för att bistånd lämnas enligt bestämmelserna i lagen. Den som omfattas av lagen har inte rätt till bistånd enligt 6 § socialtjänstlagen för förmåner av motsvarande karaktär.

Det är Statens invandrarverk som skall besluta om och betala ut ekonomiskt bistånd till asylsökande. Invandrarverket får uppdra åt någon annan att svara för själva utbetalningen. Beträffande vissa av utlänningarna – de som har ansökt om uppehållst illstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas – skall dock bistånd beslutas och betalas ut av socialnämnden i den kommun där utlänningen vistas.

2.5.5Stöd och service till vissa funktionshindrade

Lagen (1993:387) om stöd och service till vissa funktionshindrade innehåller bestämmelser om insatser för särskilt stöd och särskild service åt personer med utvecklingsstörning, autism eller autismliknande tillstånd, med betydande och bestående begåvningsmässigt funktionshinder efter hjärnskada i vuxen ålder föranledd av yttre våld eller kroppslig sjukdom, eller med andra varaktiga fysiska eller psykiska funktionshinder som uppenbart inte beror på normalt åldrande, om de är stora och förorsakar

40 Begreppet socialtjänst SOU 1999:109

betydande svårigheter i den dagliga livsföringen och därmed ett omfattande behov av stöd eller service (1 §).

Lagen, som till sin karaktär är en s.k. rättighetslag, innebär inte någon inskränkning i de rättigheter som den enskilde kan ha enligt någon annan lag, t.ex. enligt socialtjänstlagen (4 §).

Insatserna för särskilt stöd och service är (9 §) 1) rådgivning och annat personligt stöd som ställer krav på särskild kunskap om problem och livsbetingelser för människor med stora och varaktiga funktionshinder, 2) biträde av personlig assistent eller ekonomiskt stöd till skäliga kostnader för sådan assistans, till den del behovet inte täcks av beviljade assistanstimmar enligt lagen (1993:389) om assistansersättning, 3) ledsagarservice, 4) biträde av kontaktperson, 5) avlösarservice i hemmet, 6) korttidsvistelse utanför det egna hemmet, 7) korttidstillsyn för skolungdom över 12 år utanför det egna hemmet i anslutning till skoldagen samt under lov, 8) boende i familjehem eller bostad med särskild service för barn eller ungdomar som behöver bo utanför föräldrahemmet, 9) bostad med särskild service för vuxna eller annan särskilt anpassad bostad för vuxna, 10) daglig verksamhet för personer i yrkesverksam ålder som saknar förvärvsarbete och inte utbildar sig.

Varje kommun är ansvarig för samtliga nu angivna stödformer med ett undantag (2 §). Undantaget gäller insatsen "rådgivning och annat personligt stöd" (9 § 1), som faller under landstingets ansvarsområde. Ledningen av landstingets eller kommunens verksamhet enligt lagen skall utövas av en eller flera nämnder som fullmäktige utser (22 §). Enligt 17 § får dock ett landsting eller en kommun med bibehållet ansvar sluta avtal med någon annan om att tillhandahålla insatser enligt lagen.

När det gäller insatsen personlig assistans (9 § 2) bör särskilt framhållas kommunernas grundläggande ansvar. Kommunerna – som har ett basansvar för stöd- och serviceinsatser – skall finansiera beviljad assistansersättning för de första 20 assistanstimmarna per vecka för alla som beviljats assistansersättning. Om behovet av personlig assistans överstiger 20 timmar per vecka skall emellertid staten enligt lagen (1993:389) om assistansersättning bekosta de timmar som överstiger 20. Frågor om assistansersättning administreras av de allmänna försäkringskassorna. Kommunerna debiteras för de första 20 timmarna per vecka. Rätten till insatser enligt 9 § 2 upphör när den insatsberättigade har fyllt 65 år.

I 23 och 24 §§ finns bestämmelser om enskild verksamhet, som i huvudsak överensstämmer med motsvarande bestämmelser i socialtjänstlagen.

Socialstyrelsen har den centrala tillsynen över verksamhet enligt lagen (25 §). Styrelsen skall därvid följa, stödja och utvärdera verksamheten samt informera om den och stimulera till vidareutveckling. Tillsyn

över verksamheten inom ett län ankommer på länsstyrelsen, som har rätt att inspektera verksamheten (26 §).

2.5.6Ärenden om parkeringstillstånd för rörelsehindrade

I lagen (1957:259) om rätt för kommun att ta ut avgift för vissa upplåtelser av offentlig plats, m.m. och i vägtrafikkungörelsen ( 1972:603) finns bestämmelser bl.a. om att rörelsehindrade av kommunen får befrias från skyldighet att erlägga parkeringsavgift och att kommunen när det gäller rörelsehindrade får besluta om undantag från bestämmelser som avser stannande och parkering.

Ansökningar om parkeringstillstånd för rörelsehindrade prövas av en kommunal nämnd – som regel av en annan nämnd än socialnämnden. I sådana ärenden infordras regelmässigt läkarintyg när ansökan om tillstånd görs första gången. Läkarintygen kan vara mycket detaljerade och det förekommer att de ursprungligen varit avsedda för ansökan om olika typer av bidrag eller andra förmåner.

2.6Annan verksamhet som kan anses ha ett nära samband med socialtjänsten

2.6.1Färdtjänst

Som förut har nämnts kunde färdtjänst tidigare utgå antingen som bistånd enligt 6 § socialtjänstlagen eller som service enligt 10 § samma lag. Den s.k. riksfärdtjänsten var dock särskilt reglerad i lagen (1993:963) om kommunal riksfärdtjänst. Den 1 januari 1998 ersattes emellertid socialtjänstlagens bestämmelser om färdtjänst och den särskilda lagen om riksfärdtjänst av en ny lag (1997:736) om färdtjänst respektive en ny lag (1997:735) om riksfärdtjänst (prop. 1996/97:115, bet. 1997/98:TU3, rskr. 1997/98:10). Enligt de båda författningarnas övergångsbestämmelser (SFS 1999:338 och 339) gäller äldre bestämmelser respektive den gamla lagen före ikraftträdandet. Dock skall lagen om färdtjänst respektive lagen om riksfärdtjänst från och med den 1 januari 2000 tillämpas på tillstånd som har meddelats före ikraftträdandet, dvs. före den 1 januari 1998. Innebörden av den ändrade regleringen kan i korthet sägas vara bl.a. att färdtjänst skall betraktas i första hand som en transportform i stället för en form av bistånd.

Enligt 3 § ansvarar varje kommun, såvitt gäller kommuninvånarna, för att färdtjänst anordnas inom kommunen och, om det finns särskilda skäl, mellan kommunen och en annan kommun. En kommun får för sina kommuninvånare anordna färdtjänst också i eller mellan andra kommuner.

Kommunens uppgifter enligt lagen om färdtjänst fullgörs av den eller de nämnder som kommunfullmäktige bestämmer (4 §). Kommunen får, efter överenskommelse med landstinget, om det hör till de länstrafikansvariga, överlåta sina uppgifter enligt lagen till trafikhuvudmannen i länet. Uppgifterna får överlåtas även om trafikhuvudmannen är ett aktiebolag.

Färdtjänst får anlitas av den som efter ansökan har fått tillstånd till det (6 §). Frågor om tillstånd prövas av kommunen där den sökande är folkbokförd eller, om kommunens uppgifter enligt lagen om färdtjänst överlåtits till trafikhuvudmannen i länet, av trafikhuvudmannen (tillståndsgivaren). Innan en trafikhuvudman prövar en ansökan skall den kommun där den sökande är folkbokförd höras.

Tillstånd till färdtjänst skall meddelas för dem som på grund av funktionshinder, som inte endast är tillfälligt, har väsentliga svårigheter att förflytta sig på egen hand eller att resa med allmänna kommunikationsmedel (7 §).

För resor med färdtjänst får tillståndsgivaren ta ut en avgift enligt grunder som bestäms i lagen (10 §). Avgifterna skall vara skäliga och får inte överstiga tillståndsgivarens självkostnader.

Genom lagen om riksfärdtjänst finns ytterligare möjligheter för svårt funktionshindrade att få ersättning för vissa resor.

Enligt 1 § skall en kommun på de villkor som anges i lagen om riksfärdtjänst lämna ersättning för reskostnader för personer som till följd av ett stort och varaktigt funktionshinder måste resa på ett särskilt kostsamt sätt.

Kommunens uppgifter enligt lagen om riksfärdtjänst fullgörs av den eller de nämnder som kommunfullmäktige bestämmer (3 §). Liksom enligt lagen om färdtjänst får kommunens uppgifter, efter överenskommelse med landstinget, om det hör till de länstrafikansvariga, överlåtas till trafikhuvudmannen i länet. Uppgifterna får överlåtas även om trafikhuvudmannen är ett aktiebolag.

2.6.2Förskoleverksamhet m.m.

I socialtjänstlagen (1980:620) fanns tidigare bestämmelser om förskoleverksamhet och skolbarnsomsorg (13–18 §§). Dessa bestämmelser har emellertid inarbetats i skollagen (1985:1100) där de samlats i 2 a kap. (förskoleverksamhet och skolbarnsomsorg) och 2 b kap. (förskoleklassen). Lagändringen trädde i kraft den 1 januari 1998 (SFS 1997:1212), vid vilken tidpunkt 13–18 §§ i socialtjänstlagen upphörde att gälla (SFS 1997:1229). Genom att bestämmelserna om barnomsorg och förskoleklass inarbetats i skollagen är dessa verksamheter inte längre en del av socialtjänsten. Därmed har Socialstyrelsens och länsstyrelsernas ansvar för verksamheten upphört och Statens skolverk har blivit ansvarig myndighet.

Numera jämställs inte längre i 7 kap. 4 § sekretesslagen (1980:100) denna verksamhet med socialtjänst, vilket tidigare var fallet. Bestämmelser om sekretess i förskoleverksamheten finns i 7 kap. 38 § sekretesslagen. Sekretessen i förskoleklassen regleras i 7 kap. 9 § samma lag.

3Socialtjänstens behandling av personuppgifter

3.1Inledning

Som framgått av avsnitt 2 är socialtjänst en synnerligen mångskiftande och omfattande verksamhet. I förevarande avsnitt skall utredningen försöka beskriva i vilken utsträckning personuppgifter i dag behandlas inom socialtjänsten för att verksamheten inom det området skall kunna utföras. I ett första avsnitt (avsnitt 3.2) redovisas som en bakgrund vad Socialtjänstkommittén, i slutbetänkandet Dokumentation och socialtjänstregister (SOU 1995:86), uttalade om den dåvarande anvä ndningen av personregister inom socialtjänstens verksamhetsområden. Vid ett besök hos Socialstyrelsen har utredningen tagit del av ett antal tillstånd från Datainspektionen, som rör kommunernas personregister inom socialtjänsten. Dessa tillstånd, som redovisas i avsnitt 3.3 ger, menar utredningen, en ganska bra bild av i vilka sammanhang och i vilken omfattning personuppgifter behöver behandlas inom socialtjänsten. I det avsnittet tas också upp vad utredningen inhämtat vid ett besök hos socialtjänsten i Stockholms stad. I avsnitt 3.4 redovisas vad som framkom vid ett besök hos Statens institutionsstyrelse, där utredningen fick en genomgång av vilka personregister som används i styrelsens verksamhet. I avsnitt 3.5 lämnar utredningen några avslutande synpunkter på den nuvarande behandlingen av personuppgifter inom socialtjänsten och gör även en bedömning av vad den närmaste framtiden kan tänkas innebära på det området.

3.2Socialtjänstkommitténs redogörelse för den dåvarande användningen av personregister inom socialtjänstens verksamhetsområden

I slutbetänkandet Dokumentation och socialtjänstregister (SOU 1995:86) lämnade Socialtjänstkommittén en redogörelse för den dåvarande användningen av personregister inom socialtjänstens verksamhets-

46 Socialtjänstens behandling av personuppgifter SOU 1999:109

områden. Det kan, menar utredningen, även om redogörelsen nu är fyra år gammal, vara värdefullt att i detta sammanhang ta del av vad som därvid framkom. Enligt vad som sagts utredningen är nämligen denna redogörelse fortfarande i huvudsak aktuell. I det följande redovisas vad Socialtjänstkommittén uttalade (betänkandet s. 44–47).

Kommunernas personregister inom socialtjänsten

Personregistren används i första hand som stöd för handläggningen av de uppgifter där socialtjänsten har en utredningsskyldighet och som stöd för de beslut som utredningen mynnar ut i. Även under verkställighetsfasen används personregister som administrativt stöd vid handläggningen av arbetsplaner, genomförandet av olika insatser, hanteringen av färdtjänst/riksfärdtjänst, utbetalningar av ekonomiskt bistånd, hanteringen av egenavgifter inom barn- och äldreomsorg m.m. Därutöver används personregistren – om än i mindre omfattning – som underlag för tillsyn, uppföljning och utvärdering av socialtjänstens verksamhet. Registren underlättar också rapporteringen av uppgifter till Socialstyrelsen som underlag för den officiella statistiken.

I de ADB-system som byggts upp i kommunerna lagras som regel individrelaterade person-, ärende-, beslut- och verkställighetsuppgifter inom socialtjänsten. På personnivå finns t.ex. folkbokföringsuppgifter, uppgifter om familjesammansättning, inkomster m.m. På ärendenivå finns uppgifter om ärendetyp, öppnandedatum, avslutandedatum, handläggare, tjänstenummer, administrativt område m.m. På beslutsnivå finns t.ex. uppgifter om beslutstyp, beslutsdatum, datum för framställan, beslutsfattare, giltighetstid, insatstyp samt hela beslutsunderlaget i form av ärendeblad. På verkställighetsnivå finns uppgifter om arbetsplan, placering, utbetalningar av ekonomiskt bistånd m.m. I ADB-systemen kan också enkla ordbehandlingsmöjligheter förekomma som en del av systemet. Dessa används främst för ärendeanteckningar som är knutna till den enskilde.

I det följande ges en närmare beskrivning områdesvis av socialtjänstens personregister. Ärenderegistren beskrivs dock först för hela socialtjänsten.

Ärenderegister

Ärenderegistren är ofta sådana att de systemtekniskt är en direkt förutsättning för att uppgifter skall kunna registreras i andra s.k. delsystem. Detta gäller framför allt individ- och familjeomsorgssamt

äldreomsorgsverksamheterna, där merparten av handläggningen rör ärenden enligt socialtjänstlagen. Ärenderegistren, eller akt- och ärenderegistren som de också benämns, är nära kopplade till de beslutsregister som finns inom de olika verksamhetsgrenarna. Att ett ärende öppnats innebär som regel också att socialtjänsten fattat beslut om utredning enligt 10 kap. 1 § socialtjänstlagen (1996:000). Ärenderegistren är s.k. sammanställningsregister enligt 11 kap. 1 § socialtjänstlagen genom att det är möjligt att lista personer/ärenden efter den ärendeindelning som gjorts i systemen. Registren innehåller känsliga uppgifter i flera avseenden. Dels kan själva förekomsten i registren uppfattas som integritetskänslig av den enskilde, dels innebär ärendeuppdelningen oftast att det klart framgår att enskild person t.ex. uppbär socialbidrag eller är föremål för utredning av något slag.

Barnomsorg

I personregistren inom barnomsorgen finns uppgifter om barn som står i kö till eller är placerade i kommunens eller en av kommunen subventionerad barnomsorg. Vidare förs register över barnens föräldrar och deras inkomster. Uppgifterna används för att få ett så effektivt platsutnyttjande som möjligt, för att hantera beräkning och debitering av avgifter samt för uppföljning och statistik. Kommuner som har en inkomstrelaterad taxa hämtar i många fall uppgifter om sjukpenninggrundande inkomst från socialförsäkringssystemet för att användas som jämförelse vid kontroll av de inkomstuppgifter som föräldrarna lämnat.

I barnomsorgsregistren lagras vissa ömtåliga uppgifter som t.ex. anledningen till barnomsorg, nödvändiga insatser, önskemål, bakgrund till avgiftsbeslut, uppsägning av barnomsorgsplats och olika kategoriindelningar. De ömtåliga uppgifterna lagras inte primärt för att kunna sammanställas utan betraktas mer som "aktmaterial". Det är dock i många fall möjligt att genom listuttag eller presentation i olika sökbilder redovisa dessa uppgifter samlade för mer än en person. Det är även möjligt att använda en del av uppgifterna som sökbegrepp vid sådana sammanställningar.

Vård och omsorg för äldre och personer med funktionshinder

I personregistren inom detta verksamhetsområde finns uppgifter om äldre och funktionshindrade (och deras anhöriga) som fått eller ansökt om bistånd enligt socialtjänstlagen i form av hemtjänst, serviceboende,

färdtjänst m.m. eller om riksfärdtjänst enligt lagen (1993:963) om kommunal riksfärdtjänst samt om funktionshindrade (och deras anhöriga) enligt lagen om stöd och service till vissa funktionshindrade i form av ledsagarservice, kontaktperson, avlösarservice, korttidsvistelse utom hemmet, personlig assistent etc.

Vidare förekommer det att de kommuner som använder en inkomstberoende taxa hämtar uppgifter från Riksförsäkringsverket och/eller Riksskatteverket för avgiftsberäkning. Uppgifterna lagras av samma skäl som beträffande barnomsorgen, dvs. för att underlätta administrationen och få ett så effektivt resursutnyttjande som möjligt, men också för att hantera beräkning och debitering av avgifter m.m.

Det kan förekomma både känsliga och ömtåliga uppgifter i dessa personregister. För att kunna ge en så adekvat omvårdnad som möjligt behöver uppgifter lagras om t.ex. den enskildes behov av rehabilitering, dagsjukvård och hjälp med hygien m.m.

Individ- och familjeomsorg

Personregistren omfattar här uppgifter om bl.a. socialbidragsberäkningar, beslut om ekonomiskt bistånd, andra beslut enligt socialtjänstlagen i form av t.ex. kontaktperson, placeringar i familjehem eller i hem för vård eller boende, beslut inom familjerätten i form av fastställande av faderskap, underhållsbidrag m.m., beslut om flyktingersättning, asylbidrag m.m. Vidare lagras uppgifter om olika betalningar som är kopplade till ärendehandläggningen.

Registren inom individ- och familjeomsorgen innehåller känsliga uppgifter i flera olika avseenden. Socialbidragsberäkningar omfattar t.ex. detaljerade uppgifter om bidragsaktuella hushålls inkomster och utgifter. Dessa uppgifter betraktas dock i allmänhet mer som ett aktmaterial. Uppgifterna kan sålunda inte sammanställas så att mer än ett hushåll åt gången kan identifieras. Dock används avidentifierade sammanställningar av uppgifter för statistik och verksamhetsuppföljning.

Vid registrering av beslut om socialbidrag använder ett stort antal kommuner också särskilda orsakskoder eller bakgrundsvariabler som en form av "märkning" av de beslut man fattar. Syftet med märkningen är att kunna följa orsakerna bakom i första hand socialbidragsutvecklingen. Användningen av orsakskoder kan alltså ses som ett första steg i tillskapandet av ett uppföljnings- och utvärderingsinstrument för socialtjänstens individuellt inriktade insatser. Flera kommuner är i färd med att utveckla modeller för en mer förfinad uppföljning, eftersom kraven på redovisning av olika insatsers effekter ständigt ökar.

De ekonomiska transaktioner som registreras inom individ- och familjeomsorgen kan t.ex. avse institutionskostnader, socialbidrag eller kostnader i samband med en placering. Transaktionerna utgör också underlag för den ekonomiska redovisningen och överförs därför regelbundet till kommunens ekonomisystem.

Till individ- och familjeomsorgens personregister inhämtas också i stor utsträckning uppgifter från Riksförsäkringsverket om utbetalade ersättningar, bidrag och pensioner. Denna överföring sker ofta dagligen. Uppgifterna används för kontroll i samband med utredning om rätt till socialbidrag och sparas under högst tre månader.

Statens institutionsstyrelses personregister

Statens institutionsstyrelses personregister håller för närvarande på att byggas upp. Registret kommer i första hand att användas i samband med placeringar vid Statens institutionsstyrelses institutioner. Registret skall också användas för fakturering till kommunerna och för framställning av avidentifierad statistik.

Personregistret kommer att föras vid Statens institutionsstyrelses huvudkontor. De olika institutionerna skall via ADB få tillgång till de uppgifter som berör den egna institutionens verksamhet. Endast aktuella placeringar blir tillgängliga för hemmen.

Såväl känsliga som ömtåliga uppgifter kommer att finnas i registret, som kommer att innehålla följande. Personnummer, namn, intagningsorsak, bakgrundsfaktorer, medborgarskap, differentieringsgrunder, val av institution, utskrivningsorsak, placeringsdatum, lagrum, intagningsdatum, vistelse före, utskrivningsdatum, § 27 placeringar (avvikelser, tillfällig frånvaro, flyttning mellan avdelningar) och utskrivning. Det kommer också att finnas ett fritextfält där anteckningar om ärendets gång skall föras av den person som placerar den enskilde (samtal med socialsekreteraren osv.) liksom om de avtal som sluts mellan den enskilde och Statens institutionsstyrelse samt mellan kommunerna och Staten institutionsstyrelse.

3.3Kommunernas behandling av personuppgifter

För att få en uppfattning om för vilka ändamål inom socialtjänsten som kommunerna behandlar personuppgifter och vad det rör sig om för uppgifter, har utredningen vid ett besök på Socialstyrelsen tagit del av ett antal tillståndsbeslut från Datainspektionen. Enligt uppgift lär dessa

50 Socialtjänstens behandling av personuppgifter SOU 1999:109

beslut vara representativa för de tillstånd enligt datalagen ( 1973:289) som förekommer inom kommunerna när det gäller ändamål som avser socialtjänst och annan närliggande verksamhet. I det följande redovisas vissa av dessa tillståndsbeslut. Man bör ha i åtanke att inte alla personregister var tillståndspliktiga enligt datalagen och att det således bör finnas många register för vilka kommunerna endast har licens. Vidare behövdes inte tillstånd – trots att det är fråga om känsliga personuppgifter – för personregister som m yndigheter inom socialtjänsten inrättar och för, som innehåller uppgifter om att någon fått e konomisk hjälp eller vård inom socialtjänsten (2 a § andra stycket 3 datalagen).

I förevarande avsnitt redovisas också vad som framkom vid ett besök hos socialtjänsten i Stockholms stad.

Ett av tillstånden har meddelats en socialnämnd. Enligt beslutet skall ändamålet med registret vara administration av ärenden inom individ- och familjeomsorgen, inklusive förande av ärendeblad, journalanteckningar, beslut om ekonomiskt bistånd till flyktingar, normberäkningar (den beräkning som görs för att fastställa socialbidrag) samt administration av nämndens verksamhet vad avser lagen (1993:387) om stöd och service till vissa funktionshindrade (LSS). I Datainspektionens beslut sägs att registret får innehålla det slag av uppgifter och bearbetas på det sätt som angetts i ansökan under förutsättning att personregistret därmed inte kommer att föras i strid med 59 § socialtjänstlagen och Socialstyrelsens föreskrifter SOSFS (S) 1981:126 om personregister inom socialtjänsten. Av ansökan framgår att de uppgifter som behandlas rör ekonomiskt bistånd, insatser för barn och ungdom samt vuxna med stöd av socialtjänstlagen, lagen (1990:52) med särskilda bestämmelser om vård av unga och lagen (1988:870) om vård av missbrukare i vissa fall. Andra uppgifter som behandlas är uppgifter rörande faderskap, underhållsbidrag, adoptioner, samarbetssamtal samt vårdnads- och umgängesärenden. När det gäller flyktingar behandlas uppgifter om ankomst till kommunen och uppgifter om ekonomiskt bistånd. Vid registreringen används en mängd olika ärende-, orsaks- och beslutskoder. Vidare behandlas automatiserat journalanteckningar, normberäkningar samt uppgifter rörande handlä ggning enligt LSS. Beslutet innehåller även föreskrifter om information, gallring och ADB- säkerhet. Den registeransvarige skall informera de registrerade och, i förekommande fall, vårdnadshavare, god man eller förvaltare, om förekomsten av registret, dess innehåll samt om rätten att erhålla utdrag ur registret enligt 10 § datalagen. Personuppgifter i registret skall gallras när de inte längre behövs med hänsyn till ändamålet med registret och senast vid den tidpunkt som anges i 60 § socialtjänstlagen. Från denna gallringsregel görs emellertid följande undantag. Personuppgifter som avses i 62 § första stycket socialtjänstlagen och personuppgifter som

enligt 62 § andra stycket samma lag och 51 § socialtjänstförordningen (1981:750) skall undantas från gallring av hänsyn till forskningens behov. Uppgifterna får dock bevaras på ADB-medium endast under förutsättning att de överlämnas till kommunal arkivmyndighet.

Föreskrifterna om ADB-säkerhet innehåller bestämmelser om åtkomstskydd, behörighetskontroll, loggning, datakommunikation, utplåning samt reparation och service.

Ett annat beslut har meddelats en socialnämnd och innebär att nämnden får föra ett personregister, som får användas för administration av nämndens ärenden inom familjeomsorgen. I Datainspektionens beslut sägs att registret får innehålla det slag av uppgifter och bearbetas på det sätt som angetts i ansökan, under förutsättning att personregistret därmed inte kommer att föras i strid med 59 § socialtjänstlagen och Socialstyrelsens föreskrifter om personregister inom socialtjänsten. Av ansökan framgår att de som skall registreras är de som söker bistånd. Följande uppgifter skall därvid registreras. Pers onnummer (behövs för uppföljning och kontroll av utbetalning av ekonomiskt bistånd, eftersom annat identitetsbegrepp inte finns hos myndigheten), namn, adress, telefonnummer, orsakskoder (23 olika poster, t.ex. arbetslös utan bidrag, väntar inkomst-ej förskott, saknar barnomsorg, hög boendekostnad, flykting, vård och stöd) samt ändamål- och aktivitetskoder (21 olika poster, t.ex. normutfyllnad, matpengar, kläder, hemutrustning, skulder). Av ansökan framgår vidare att från personregistret skall tas fram statistik där enskilda personer inte avslöjas och listor för kontroll och rättning av uppgifter i samband med statistikproduktionen. Även andra slag av utdata än statistik skall enligt ansökan tas fram från personregistret. Det rör sig om dels utanordningar på papper till den registrerade, dels socialregister på bildskärm, där mottagaren är en handläggare. Tillståndet innehåller vidare föreskrifter om information, gallring och ADB-säkerhet.

Ytterligare ett av de tillstånd som utredningen har tagit del av har som registerändamål att underlätta administrationen av socialtjänstens individ- och familjeomsorg samt att utgöra underlag för framställning av statistik som inte avslöjar enskilda personers identitet. Liksom de båda tidigare redovisade registren sägs i beslutet att registret får innehålla det slag av uppgifter och bearbetas på det sätt som angetts i ansökan under förutsättning att personregistret därmed inte kommer att föras i strid med 59 § socialtjänstlagen och Socialstyrelsens föreskrifter om personregister inom socialtjänsten. Av ansökan framgår att syftet med registret är att på ett enkelt sätt administrera klientarbetet, t.ex. med att bevaka omprövningstiden, bevaka akuta ärenden, hålla reda på vilken handläggare som har vilket ärende, få sammanställningar över handläggarnas ärendebelastning, mäta produktionen och ge aktuell information till

arbetsledningen om arbetsläget. Själva registret förvaras i en centraldator och uppdatering/bearbetning sker på arbetsplatser knutna till centraldatorn via nätverk. I registret registreras klienter vid socialkontoret. Följande uppgifter registreras. Personnummer, namn, adress, civilstånd, nationalitet och samhörigs personnummer. Dessa uppgifter – som registreras i vad man kallar befolkningsregistret – hämtas från länsskattemyndigheten, den registrerade eller anmälare. Därutöver registreras uppgifter om fam iljemedlemmar, telefon, uppehållst illstånd, övrig ekonomisk information av betydelse för ärendet (sökande och medsökande), bank-/postgirokonto, handläggares uttag av akt samt förmedlingskod. Nu nämnda uppgifter – som registreras i ett klientregister – hämtas in från den registrerade och från handläggaren. Ytterligare uppgifter som registreras är uppgifter om klienternas ärende. Det rör sig om uppgifter om i nkommandedatum, öppnande-, besluts-, omprövnings och avslutandedatum, orsak (anges med koder), övrigt (anges med koder), huvudinsats och övriga insatser (anges med koder), timmar, institution, handläggare (två stycken), beslutshandläggare, bekräftelse utsänd, beslut insänt, delegationslista, kommentarer och utredningstext. Vidare registreras uppgifter om utbetalningar; utbetalningsdag, ändamål, orsak, utbetalningssätt, postgironummer, mottagare, utbetalare, belopp, återbetalning, ärendekoppling och antal dagar. Av ansökan framgår att följande bearbetning sker. Statistik och listor över inkomna ärenden samt fattade beslut om insatser tas fram och sammanställs i rapporter för att underlätta arbetsledning och det administrativa arbetet samt utförs socialbidragberäkningar och genereras betalningsunderlag. Bearbetning på individnivå avslutas då ärendet avslutas. Från registret tas som utdata fram statistik där enskild person inte avslöjas, listor för kontroll och rättning av person uppgift i samband med statistikproduktion, utskrifter med uppgifter från de olika registren (varje registerpost sammanfattas med mellan en och tre rader), beslutsmeddelande, ärendeblad (beskrivning av ärendet, arbetsplan och beslut), utbetalningsunderlag och kontoutdrag vid förmedlingsärenden. Slutligen kan nämnas att beslutet innehåller sedvanliga föreskrifter om information, gallring och ADB-säkerhet.

Ett av tillstånden har meddelats en socialnämnd, med föreskriften att ändamålet med registret skall vara att administrera nämndens verksamhet inom äldreomsorgen, fakturering av avgifter, uppföljning av patient- och vårdtagarutveckling samt framställning av avidentifierad statistik. Även i detta beslut sägs att registret får innehålla det slag av uppgifter och bearbetas på det sätt som angetts i ansökan under förutsättning att personregistret därmed inte kommer att föras i strid med 59 § socialtjänstlagen och Socialstyrelsens föreskrifter om personregister inom socialtjänsten. I ansökan anges att mottagare av hemtjänst,

trygghetslarm, matdistribution, hemsjukvård och hjälpmedel samt vårdpersonal inom äldreomsorgen i kommunen kommer att registreras i registret. Av ansökan framgår vidare att det är en hel mängd olika uppgifter som skall registeras. Det rör sig om namn, kön, personnummer (krävs med hänsyn till vikten av en säker identifiering), postadress, telefon, närmast anhörig, god man, bank, medborgarskap, ansökan om bistånd, anledning till ansökan, utredning av aktuell ansökan, färdtjänstutredningar, arbetsplan (åtgärder som skall genomföras av vårdpersonal), förslag till beslut/beslut om vårdinsatser/särskild boendeform, fortlöpande anteckningar i aktuellt ärende, schemaläggning vårdbehov, patientjournal med omvårdnadsdokumentation enligt patientjournallagen, omvårdnadsplan, läkemedelslistor, läkemedelsordination, hjälpmedelshantering, hjälpmedelsutprovning/ordination, intyg, delegerade arbetsuppgifter, hemsjukvårdsinsatser, besöksfrekvens, vårdtid, dagjournaler, matlistor, remisser, fallskador och besöksplanering. Dessa uppgifter hämtas in från den hjälpbe hövande, läkare, distriktssköterska, anhörig, arbetsterapeut, sjukgymnast, sjuksköterska, heminstruktör, kurator och handläggare. Andra uppgifter som registreras är e konomiska utredningar, avgiftsregistrering, avgiftsreduceringar, beräkning av avgift, hämtning av inkomst uppgifter på registrerade vårdtagare från Riksskatteverket. Vidare registreras vissa uppgifter om vårdpersonal; personnummer, namn, adress, telefon, utbildning, sysselsättningsgrad, schemaläggning och timredovisning, inrapportering frånvaro, inkomstuppgifter samt arbetsskador och tillbud. Dessa uppgifter hämtas in från den anställde och från arbetsledaren. Av ansökan framgår även att från personregistret skall tas fram statistik där enskilda personer inte avslöjas samt listor för kontroll och rättning av uppgifter i samband med statistikproduktionen. Andra slag av utdata än statistik skall enligt ansökan tas fram från personregistret (på papper eller bildskärm). Det rör sig om bl.a. ärendeblad och biståndsbeslut, arbetsplaner, beslut om god man, journalhandlingar, omvårdnadsplan, debiteringsunderlag, intyg, läkemedelslistor och personalregister med inkomst uppgift. Mottagare av dessa uppgifter kan vara handläggare, den registrerade, vårdpersonal, patientjournal, m.fl. Även detta beslut innehåller sedvanliga bestämmelser om information, gallring och ADB-säkerhet.

Ett tillstånd har meddelats en kommunal omsorgsnämnd och ändamålet med registret anges i beslutet vara administration och övrig textframställning i ärenden och beträffande åtgärder vidtagna i enlighet med lagen (1993:387) om stöd och service till vissa funktionshindrade samt administration av ersättning enligt lagen (1993:389) om assistansersättning. När det gäller registerinnehållet har det begränsats på samma sätt som de övriga redovisade registren, dvs. registret får innehålla det slag av uppgifter och bearbetas på det sätt som angetts i

54 Socialtjänstens behandling av personuppgifter SOU 1999:109

ansökan under förutsättning att personregistret därmed inte kommer att föras i strid med 59 § socialtjänstlagen och Socialstyrelsens föreskrifter om personregister inom socialtjänsten. Av ansökan framgår att personer som skall registreras är sådana som söker bistånd eller är föremål för utredning/myndighetsutövning inom socialtjänsten. De uppgifter som skall registreras är enligt ansökan personnummer, adress, familjesituation, inkomst och hjälpbehov. Uppgifterna hämtas in vid samtal med den hjälpbehövande och från Riksskatteverket. Utdata som tas fram från personregistret är statistik där enskilda personer inte avslöjas, listor för kontroll och rättning av uppgifter i samband med statistikproduktionen, bevakningslistor, den utredning som utförts samt yttrande till annan myndighet. I Datainspektionens beslut finns föreskrifter om information, gallring och ADB-säkerhet.

Ett annat tillstånd har meddelats en kommunal äldre- och handikappnämnd. Ändamålet med registret skall vara administration av Äldre- och handikappnämndens verksamhet som omfattas av lagen (1993:387) om stöd och service till vissa funktionshindrade (LSS) samt framställning av avidentifierad statistik. Liksom övriga register har registerinnehållet i beslutet begränsats på så sätt att registret får innehålla det slag av uppgifter och bearbetas på det sätt som angetts i ansökan under förutsättning att personregistret därmed inte kommer att föras i strid med 59 § socialtjänstlagen och Socialstyrelsens föreskrifter om personregister inom socialtjänsten. Av ansökan framgår att LSS personkrets skall registreras i registret. Följande uppgifter registreras. Namn och personnummer (personnummer behövs för en säker identifiering och för uppkoppling mot Riksskatteverket och Riksförsäkringsverket för debitering), adressuppgifter och telef onnummer, folkbokföring, personkretstillhörighet (LSS), anhörigas/ställföreträdares namn, adress och telefonnummer, pågående LSS-insatser, sökta LSS-insatser, vårddagavgifter (extern plats), LASS-uppgifter (försäkringskassans beslut om assistansersättning) och beslut. Dessa uppgifter hämtas in från bl.a. den registrerade/ställföreträdaren, och från överförda akter. Utdata som tas fram från personregistret är statistik där enskilda personer inte avslöjas, listor för kontroll och rättning av uppgifter i samband med statistikproduktionen, ärendeblad med beslut, egen statistik och fakturaunderlag. Vidare finns i Datainspektionens beslut föreskrifter om information, gallring och ADB-säkerhet.

Ett tillstånd att inrätta och föra personregister har meddelats en stadsdelsnämnd. Ändamålet med registret skall vara administration av vårdbehov samt att ge underlag för akut behandling av social och medicinsk karaktär avseende de personer inom äldre- och handikappomsorgen som fått trygghetslarm. Även detta personregisters registerinnehåll har begränsats på så sätt att registret får innehålla det slag av

uppgifter och bearbetas på det sätt som angetts i ansökan under förutsättning att personregistret därmed inte kommer att föras i strid med 59 § socialtjänstlagen och Socialstyrelsens föreskrifter om personregister inom socialtjänsten. Av ansökan framgår att de personer som registreras i registret är sådana som ansökt om och beviljats bistånd enligt 6 § socialtjänstlagen i form av trygghetslarm. Följande uppgifter registreras. Namn, personnummer, adress, telefonnummer, kortfattade sociala och medicinska uppgifter, nyckeluppgifter och portkoder, statistikuppgifter, ansvarig handläggare, larmkoder samt orsaks- och åtgärdskoder. Dessa uppgifter hämtas in från ansvarig handläggare inom äldreomsorgen. Utdata som tas fram från personregistret är sammanställningar av larm, orsaks- och åtgärdskoder per larmkod (medium är blankett och mottagare är ansvarig inom äldreomsorgen), listor på tid, larm, orsak samt åtgärd per handläggare samt larmkoder (medium är datalista och mottagare är ansvarig handläggare som underlag för debitering) och sammanställning av vem som åtgärdat larm samt tidpunkt och åtgärd (medium är terminal och uppgifterna distribueras inte utanför verksamheten). Också detta tillstånd innehåller sedvanliga föreskrifter om information, gallring och ADB-säkerhet.

Ytterligare ett tillstånd som utredningen har tagit del av är ett tillstånd som Datainspektionen meddelat en kommunstyrelse. Ändamålet med registret är att utgöra underlag för visst beslutsstöd vad avser förebyggande och hantering av våldssituationer vid gr uppboende [enligt lagen 1993:387 om stöd och service till vissa funktionshindrade, LSS] inom kommunen. Enligt beslutet får registret endast innehålla de uppgifter som angetts i ansökan inom ramen för vad Socialstyrelsen anfört i ett yttrande i ärendet. I detta yttrande anför Socialstyrelsen bl.a. följande.

Det föreligger ingen journalföringsplikt enligt LSS. Dokumentation enligt LSS kompliceras av att den görs på olika arbetsplatser som distriktskontor, bostad med särskild service, daglig verksamhet och korttidshem. Viss basdokumentation måste finnas tillgänglig för personalen på varje enskild arbetsplats. Föreståndaren skall leda verksamheten och föra de anteckningar som behövs om dem som får insatser enligt LSS. Det är också föreståndarens ansvar att bedöma hur mycket dokumentation som behöver finnas på arbetsplatsen. Den bör begränsas med hänsyn till den enskildes integritet, men kan å andra sidan i vissa delar vara nödvändig av medicinska skäl. Fakta om sjukdomar, medicinering och individuell planering bör finnas. Tillfälliga anteckningar bör förstöras.

Enligt Socialstyrelsens uppfattning skall anteckningar i det aktuella personregistret föras med samma restriktivitet som gäller för manuella anteckningar. Det är även viktigt att det klart framgår att det är före-

ståndaren som bedömer vilka anteckningar som skall införas. Informationsmängden skall med hänsyn till den enskildes integritet vara begränsad. Anteckningarna skall förstöras när de inte längre behövs. Ett utbyte av information om enskilda personer på gruppboende får inte ske mellan olika gruppboenden.

I registret får registreras boende i gruppbostad inom kommunen. Endast förnamn antecknas om respektive person och således finns där inga fullständiga namn. Inte heller registreras personnummer. Som ett exempel på information som kan behöva registreras anges i ansökan följande. Personlig information om Ola, 27 år. Tycker om; hundar och katter och att lyssna till musik på bandspelaren. Kända våldssituationer; han får inte träffa sina föräldrar, någon av hans egna saker har gått sönder, han får inte åka till arbetet på grund av att arbetsledaren är sjuk. Viktigt; han behöver tid på sig inför nya aktiviteter, han tål inte parfymerade disk- och tvättmedel. Kommunikationsförmåga; har vissa svårigheter. Tidsuppfattning; har stora svårigheter. Förståelse för orsak och verkan; har stora svårigheter. Kroppsuppfattning; har vissa svårigheter. Känslig för förändringar; mycket. – Utdata tas ut på papper och används endast internt. I Datainspektionens beslut finns föreskrifter om information och ADB-säkerhet. Föreskriften om information innebär att den registeransvarige på lämpligt sätt skall underrätta de registrerade eller, om detta inte låter sig göra, närmaste anhörig om förekomsten av registret och dess ändamål. Beslutet innehåller emellertid inte någon särskild föreskrift om gallring. I beslutet erinras endast om reglerna för bevarande och gallring av personuppgifter i 12 § första stycket datalagen.

Vid utredningens besök hos socialtjänsten i Stockholms stad redovisades exempel på vilka olika typer av handlingar som kan finnas i socialtjänstens manuella personakter. Utredningen kunde konstatera att det inom socialtjänsten används ett mycket stort antal olika blanketter. På nästan samtliga blanketter finns integritetskänsliga uppgifter, uppgifter som är helt nödvändiga för att socialtjänsten skall kunna utföra sitt arbete, t.ex. yttra sig, fatta beslut, osv.

Personuppgifter finns inte bara i personakterna, utan sådana uppgifter, t.ex., anmälningar enligt lagen (1976:511) om omhändertagande av berusade personer m.m., kan – om den omhändertagne inte har en personakt – finnas förvarade i pärmar i kronologisk ordning. En sådan anmälan, som inte föranleder någon åtgärd, sätts in i en pärm. Först efter kanske två eller tre anmälningar läggs en personakt upp. Vidare samlas vissa domar på äktenskapsskillnad i pärmar. Där förvaras de en viss tid och – om inget ärende initieras – kastas sedan. Andra personuppgifter

som kan förvaras utanför personakterna är meddelande om obetalda hyror och elräkningar samt polisanmälningar om t.ex. snatteri.

Tanken är att all information om en viss person skall finnas i en personakt. I denna personakt kan sedan finnas s.k. inneliggare. Av flera olika skäl kan emellertid uppgifterna vara spridda på flera olika håll.

T.ex. kan personen i fråga vårdas på ett behandlingshem och det som där antecknas om vederbörande ingår inte i personakten. Har personen flyttat kan han ha flera olika personakter.

På en stadsdelsförvaltning är den praktiska verksamheten uppdelad på olika områden och på olika socialsekreterare. Det kan t.ex. finnas en särskild sektion för handikappade, en för bistånd för äldre, en för försörjningsstöd för vuxna, en för barn- och familjerättsliga frågor, osv. Därför arbetar man mycket med s.k. inneliggare.

Utvecklingen går emellertid snabbt mot att mer och mer information läggs in i datorer. Ord- och textbehandlingsprogram används i allt större utsträckning.

Inom Stockholms stad har det utvecklats ett datasystem, det s.k. paraplysystemet, som kommer att vara obligatoriskt för samtliga stadsdelar. Det skall omfatta individ- och familjeomsorgen samt äldre- och handikappomsorgen. Systemet skall ersätta gamla automatiserade system och den manuella hanteringen. Det skall finnas en personakt/person. Viss pappershantering kommer att förekomma även fortsättningsvis, så länge man inte accepterar elektroniska signaturer blir det nödvändigt att ta ut beslut m.m. på papper. Det kommer att finnas ca 2 500 användare i Stockholms stad. I systemet finns mallar och blanketter som är gemensamma för hela staden. Systemet innehåller ärendehantering, funktioner för registrering av personer, dokumenthantering samt behörighetsadministration.

3.4Statens institutionsstyrelses behandling av personuppgifter

Vid utredningens besök hos Statens institutionsstyrelse framkom bl.a. följande.

Statens institutionsstyrelse (SiS) är central förvaltningsmyndighet för sådana hem som avses i 12 § lagen (1990:52) med särskilda bestämmelser om vård av unga (särskilda ungdomshem) samt 22 och 23 §§ lagen (1988:870) om vård av missbrukare i vissa fall (LVM-hem). Enligt förordningen (1996:610) med instruktion för Statens institutionsstyrelse skall styrelsen (2 §) särskilt svara för 1. planering, ledning och drift av samt tillsyn över de särskilda ungdomshemmen och LVM-

avgift utföra uppdrag åt kommuner i samband med avgiftning av missbrukare, utslussning, eftervård eller andra insatser enligt socialtjänstlagen (1980:620) som a nknyter till verksamheten vid särskilda ungdomshem och LVM-hem.

SiS har Datainspektionens tillstånd enligt datalagen att föra ett antal olika datoriserade personregister. Det rör sig om dels administrativa datasystem, dels datasystem för forskningsändamål. I det följande redovisas först de båda viktigaste administrativa datasystemen, nämligen ”Klient- och institutionsadministrativt register (KIA)” samt det register som utgör SiS diarium. Därvid berörs bl.a. vilka personuppgifter som behandlas i systemen och varför SiS behöver behandla dessa uppgifter. Därefter beskrivs SiS forskningsregister, ”Dokumentationssystem inom missbruksvården och ungdomsvården”.

Klient- och institutionsadministrativt register (KIA)

Enligt Datainspektionens beslut skall ändamålet med personregistret ”Klient- och institutionsadministrativt register” (KIA) vara dels att utgöra ett hjälpmedel vid institutionsplaceringar inom Statens institutionsstyrelsens verksamhetsområde, dels att utgöra ett hjälpmedel för administration och dokumentation enligt socialtjänstlagen av vård, behandling och behandlingsresultat för klienter på Statens institutionsstyrelses institutioner, dels administration av debiteringar, dels framställning av statistik som inte avslöjar enskilda personers identitet. Registret utgör – helt eller delvis – akt och journal, inklusive dagboksblad (klientdiarium), för klienter som vårdas vid SiS institutioner.

Registret får innehålla det slag av uppgifter som behövs för att tillgodose ändamålet med registret. I det ursprungliga tillståndet (från år 1995) var emellertid registerinnehållet begränsat till vissa slags uppgifter, vilka framgick av SiS ansökan; pers onnummer, namn, intagningsorsak, bakgrundsfaktorer, medborgarskap, differentieringsgrunder, val av institution, utskrivningsorsak, placeringsdatum, lagrum, intagningsdatum, vistelse före, utskrivningsdatum, § 27 placeringar (avvikningar, tillfällig frånvaro, flyttning mellan avdelningar), utskriven till, fritextfält med anteckningar om ärendets gång och de avtal som sluts mellan klienten och SiS respektive kommunerna och SiS, kommunens önskemål, bästa plats, problembild och tidigare insatser. När registerändamålen på ansökan av SiS (år 1997) utvidgades till att avse även dokumentation och journalföring enligt socialtjänstlagen vid

SOU 1999:109 Socialtjänstens behandling av personuppgifter 59

institutionerna, fann Datainspektionen inte anledning att begränsa innehållet i registret. Inspektionen erinrade dock om att samtliga uppgifter som registreras skall vara relevanta med hänsyn till registrets ändamål för varje klient och får inte strida mot 59 § socialtjänstlagen. I sin ansökan om utvidgning av tillståndet framhöll SiS att följande uppgifter skulle tillkomma. Identifieringsuppgifter (uppgifter om särskilda kännetecken avseende såväl fysik som beteende) avseende klienter, för att möjliggöra en säker identifiering av dem som är föremål för vård och som underlag för en eventuell efterlysning, uppgifter om a nhöriga (namn, adress, telefonnummer och anknytning till klienten), vilka uppgifter behövs för bl.a. vården och behandlingen, uppgifter om kommun/socialnämnd, inklusive kontaktperson, uppgifterna behövs bl.a. eftersom vården och behandlingen skall utformas i samråd med kommunen och för fakturering samt uppgifter om behandlingsinsatser och behandlingens gång i övrigt inklusive beslut rörande vården och behandlingen samt behandlingsresultat. De sistnämnda uppgifterna avsåg i huvudsak de uppgifter som skulle komma att antecknas i klientakten och journalen.

I klientakten antecknas helt enkelt de uppgifter som är av betydelse för vården och behandlingen av klienten. Akter och journaler i den verksamhet som avser hälso- och sjukvård som förekommer vid institutionerna förs emellertid separat och ingår inte i datasystemet.

I registret finns uppgifter om klienter vårdade vid SiS institutioner och personer för vilka en kommun ansökt om sådan vård, anhöriga till dessa personkategorier, kontaktpersoner vid kommuner som ansöker om vård samt personal vid SiS som har behörighet att använda systemet eller som deltar vid fattandet av registrerade beslut. Sedan den 1 januari 1999 finns behov även av att registrera vissa uppgifter om en målsägande, eftersom denne enligt lagen (1998:603) om verkstä llighet av sluten ungdomsvård i vissa fall skall underrättas om vid vilket ungdomshem den dömde befinner sig samt om han förflyttas, vistas utanför det särskilda ungdomshemmet eller rymmer.

KIA förs vid SiS huvudkontor i Stockholm. I centraldatorn där finns uppgifter om samtliga institutioner och man kan vid huvudkontoret också se alla ärenden, dock att man inte kan läsa uppgifter i aktiva journaler. Med hjälp av KIA sker placering på en institution. Detta görs under kontorstid på huvudkontoret och under övrig tid utförs denna arbetsuppgift av den institution som har jour. I samband med placeringen läggs upp en akt. I den läggs in bl.a. ärendeuppgifter, lagstöd för placeringen samt kan vissa viktigare noteringar göras. Informationen skickas krypterad till den aktuella institutionen. Inskrivning sker vid respektive institution. Under behandlingens gång antecknas sedan i klientakten på institutionen allt det som är av betydelse

för vården och behandlingen. All datakommunikation som sker via teleledningarna är krypterad. Respektive institution har endast tillgång till de uppgifter som berör den egna institutionen och endast behörig vårdpersonal har direkt tillgång till klientakten. Dock att den institution som för tillfället har jour har tillgång till all den information som finns i centraldatorn på SiS huvudkontor. När klienten skrivs ut avslutas ärendet och akten arkiveras centralt på huvudkontoret. På respektive institution behåller man dock en kopia av akten. När en klient flyttar från en institution till en annan behåller institutionen sina uppgifter i akten, som dock spärras, och det material som bedöms vara relevant för den fortsatta vården och behandlingen förs över till den nya institutionen.

På SiS uppgav man vid samtal med utredningen att placering i dag huvudsakligen sker med hjälp av KIA och att journalföring på de flesta ställen sker elektroniskt. Fortfarande finns en hel del material på papper.

Datainspektionens beslut om KIA innehåller vidare följande föreskrifter.

•Den registeransvarige skall informera de registrerade klinterna – eller i förekommande fall berörd vårdnadshavare eller annan som ansvarar för underårig – samt de registrerade anhöriga om dels förekomsten av registret och att Statens institutionsstyrelse är registeransvarig även för den registrering som sker på institutionerna, dels registrets ändamål och huvudsakliga innehåll, dels registrerads rätt enligt 10 § datalagen att få utdrag ur registret.

•Endast personal som är engagerad i vården av en klient eller som annars i sitt arbete måste ha tillgång till dokumentation om klienten, får ha åtkomst till journalanteckningar och liknande uppgifter beträffande denne. Åtkomsten skall vara begränsad till vad sådan personal behöver för att kunna fullgöra sitt arbete.

•Personuppgifter i registret skall gallras när de inte längre be hövs med hänsyn till personregistrets ändamål och senast vid den tidpunkt som anges i 60 § socialtjänstlagen, med följande undantag. Personuppgifter som avses i 62 § första stycket samma lag och personuppgifter som enligt 62 § andra stycket socialtjänstlagen och 51 § socialtjänstförordningen (1981:750) skall undantas från gallring av hänsyn till forskningens behov. Uppgifterna får dock bevaras på ADB-medium endast under förutsättning att de överlämnas till en arkivfunktion.

Vidare finns i Datainspektionens beslut särskilda föreskrifter om säkerhet, som rör åtkomstskydd, säkerhetskopia, behörighetskontroll, loggning, datakommunikation, utplåning samt reparation och service.

Statens institutionsstyrelse diarium

Statens institutionsstyrelse har vidare Datainspektionens tillstånd att föra sitt diarium med hjälp av ADB. Ändamålet med registret är enligt beslutet att utgöra SiS diarium. Registret får innehålla det slag av uppgifter som framgår av 15 kap. 2 § första stycket sekretesslagen (1980:100). Av beslutet framgår att SiS har uppgett att uppgifter som kan omfattas av sekretess skall särskiljas i registret så att endast personal som är behörig att se uppgifterna skall ha åtkomst till dem.

I beslutet finns sedvanliga föreskrifter om ADB-säkerhet.

Dokumentationssystem inom missbruksvården och ungdomsvården

SiS har även Datainspektionens tillstånd att föra personregistret ”Dokumentationssystem inom missbruksvården och ungdomsvården”.

Enligt tillståndet skall ändamålet med registret vara att utgöra underlag för statistiska bearbetningar och vetenskaplig analys av data rörande klientsammansättning, behandlingsinsatser och behandlingsresultat inom missbruksvård och ungdomsvård, såväl avseende Statens institutionsstyrelses klienter som klienter inom DOK-projektet i övrigt. (DOK är ett system för dokumentation av vård och behandling riktad till personer med alkohol- och drogproblem.)

Registret får innehålla personuppgifter, personnummer, uppgifter om intagningsform, myndighetsbeslut, uppgifter om behandlingsinsatser, sociodemografiska uppgifter, uppgifter om missbrukskarriär samt uppgifter om hälsa och kriminalitet.

I övrigt gäller enligt beslutet följande föreskrifter för registret.

•Innan uppgifter inhämtas till registret skall den som kan komma att registreras samt eventuell vårdnadshavare till barn under arton år skriftligen informeras om den registeransvariga myndighetens namn och adress, registrets ändamål och innehåll, vilka personuppgifter som skall bearbetas med ADB, i förekommande fall vilka uppgifter som skall inhämtas från andra källor än den registrerade och vilka dessa källor i så fall är, hur länge myndigheten planerar att föra registret, att registret kan komma att bevaras hos riksarkivet, sekretesskyddets innebörd och omfattning, registrerades rätt att enligt 10 § datalagen få utdrag ur registret samt att registreringen är frivillig. Uppgifter till registret får dock hämtas in från KIA före det att klienten lämnats sitt samtycke, men skall snarast raderas om klienten motsätter sig registreringen.

•Den registeransvarige skall se till att enskilda inte avslöjas i statistiska redovisningar eller i andra vetenskapliga rapporter.

•Den registeransvarige skall senast fem år efter behandlingstidens utgång för den registrerade antingen avidentifiera personregistret eller överlämna det till Riksarkivet för förvaring där.

Vidare innehåller Datainspektionens beslut vissa säkerhetsföreskrifter. Inom SiS har det – i nära samarbetet med Institutet för kunskaps-

utveckling inom missbrukarvården (IKM) – utvecklats särskilda, standardiserade formulär för insamling av uppgifter till registret, främst vid intervjuer med klienterna. Dessa formulär – en uppsättning för ungdomsvården och en uppsättning för missbrukarvården – fylls i på institutionerna och uppgifterna matas där in i ett särskilt utvecklat datorprogram. Dessa uppgifter förs sedan över på en diskett och skickas

– i krypterad form – till SiS huvudkontor i Stockholm för vidare bearbetning och analys. På SiS Forsknings- och utvecklingsenhet dekrypteras informationen och läggs in i ett datorprogram. Disketten med krypterad information sparas på forsknings- och utvecklingsenheten. På institutionen sparas de ifyllda formulär som har använts vid intervjutillfällena och läggs in i respektive klientakt. Den intervju som används inom ungdomsvården (ADAD) är uppdelad i nio olika områden; fysisk hälsa, skola, arbete, fritid och vänner, familj, psykisk hälsa, brottslighet, alkohol och narkotika. Det skall sägas att en stor del av uppgifterna är s ynnerligen integritetskänsliga.

Som framgått av det föregående är det enligt tillståndet en förutsättning för att uppgifterna skall få behandlas med hjälp av ADB att den unge, och i de fall den unge är under arton år, dennes vårdnadshavare, inte motsätter sig det. Det kan nämnas att SiS inte kräver ett uttryckligt samtycke från vårdnadshavaren. Hör inte vårdnadshavaren av sig inom en viss angiven tid utgår man från att denne inte har några invändningar mot att uppgifterna behandlas.

Till registret hämtas in även information från socialtjänsten och från andra register, t.ex. KIA, folkbokföringsregistret, sjukförsäkringsregister, krininalvårdsregister och kommunernas socialregister.

3.5Avslutande synpunkter på den nuvarande och framtida behandlingen av personuppgifter inom socialtjänsten

Det är svårt att ha en generell uppfattning om i vilken utsträckning personuppgifter i dag behandlas automatiserat i kommunerna för social-

tjänständamål. Förmodligen har kommunerna kommit olika långt när det gäller användning av ADB. Det finns säkert kommuner som för praktiskt taget all sin socialtjänstinformation datoriserat, t.o.m. klientakter, medan andra kommuner i mycket liten utsträckning använder sig av ADB för socialtjänständamål och fortfarande hanterar denna information manuellt.

Det är emellertid viktigt att framhålla att även viss manuell behandling av personuppgifter omfattas av personuppgiftslagens (1998:204) tillämpningsområde, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är t illgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. i ett register. Personuppgiftslagen har därmed ett bredare t illämpningsområde än datalagen (1973:289), som endast gällde personregister som inrättades eller fördes med hjälp av ADB.

År 1995 gjorde Socialtjänstkommittén i sitt slutbetänkande Dokumentation och socialtjänstregister (SOU 1995:86 s. 43) bedömningen att de flesta kommuner i landet vid den dåvarande tidpunkten använde sig av ADB för åtminstone något av socialtjänstens verksamhetsområden. Det är troligt att denna utveckling har fortsatt och att ADB i dag används i en än större utsträckning än som var fallet år 1995. Utvecklingen inom informationstekniken har nämligen fortsatt och fortsätter i en hög takt. Tekniken blir bara kraftfullare, enklare att hantera och billigare. Som framgår av utredningens direktiv är det för övrigt regeringens uppfattning att modern informationsteknik bör – på samma sätt som i övrigt inom offentlig och privat förvaltning – användas inom socialtjänsten för att höja effektiviteten och kvaliteten i arbetet. Det gäller, menar regeringen, inte bara arbetet i enskilda ärenden utan också i hög grad möjligheten att uppfylla ökade krav i fråga om att följa, analysera och utveckla verksamheten, dvs. dokumentation samt framställning av olika sammanställningar och statistik.

4Den nuvarande rättsliga regleringen till skydd för den personliga integriteten

4.1Inledning

I utredningens direktiv sägs att det i socialtjänsten – på samma sätt som i övrigt i offentlig och privat förvaltning – bör utnyttjas modern informationsteknik för att höja effektiviteten och kvaliteten i arbetet. I direktiven framhålls dock att modern informationsteknik – samtidigt som den ger stora möjligheter – också kan innebära särskilda risker från integritetssynpunkt. Därvid påpekas att verksamheten inom socialtjänsten nödvändiggör en omfattande hantering av känsliga person uppgifter.

Som tidigare har nämnts har utredningen i uppdrag att utarbeta ett förslag till författningsreglering för behandlingen av personuppgifter inom socialtjänsten. Syftet är enligt direktiven att garantera ett fullgott och för detta särskilda område specialanpassat integritetsskydd vid i första hand automatisk databehandling (ADB). I utredningens uppdrag ligger att söka de lösningar för integritetsskyddet som minst försvårar ett effektivt och rationellt utnyttjande av den moderna tekniken.

I avsnitt 4 skall – sedan några inledande ord sagts om personlig integritet (avsnitt 4.2) – redovisas de viktigare bestämmelser som kan vara av intresse när det gäller behandling av personuppgifter inom socialtjänsten. Vissa av bestämmelserna tar explicit sikte på socialtjänsten medan andra mer allmänt avser skyddet för den personliga integriteten. Först tas den nationella regleringen upp. I avsnitten 4.3.1 och 4.3.2 behandlas grundlagarna. Därefter redogörs för vissa bestämmelser i sekretesslagen (avsnitt 4.3.3). I avsnitt 4.3.4 redovisas de regler i socialtjänstlagen som rör dokumentation (50, 51 och 52 §§), register (59 och 61 §§), gallring (60 och 62 §§) och under vilka förutsättningar uppgifter ur bl.a. personregister får lämnas till andra myndigheter ( 63–66 §§). Dessa bestämmelser i socialtjänstlagen syftar bl.a. till att värna den enskildes rättssäkerhet och personliga integritet. Sedan behandlas i avsnitt 4.3.5 datalagen (1973:289) och i avsnitt 4.3.6 personuppgiftslagen (1998:204). I avsnitt 4.3.7 berörs även den på senare år alltmer vanliga tekniken att med särskilda registerförfattningar komplettera eller ersätta vissa delar av per-

sonuppgiftslagen, tidigare datalagen. I avsnitt 4.3.8 redogörs i korthet för vissa av arkivlagens (1990:782) bestämmelser. Slutligen behandlas i avsnitt 4.4 internationella konventioner, rekommendationer och direktiv på området.

4.2Personlig integritet

Det saknas anledning att i detta sammanhang fördjupa sig i själva begreppet personlig integritet. Innebörden av detta begrepp har nämligen vid upprepade tillfällen diskuterats i utrednings- och lagstiftningssammanhang utan att man kunnat nå fram till en enhetlig definition av begreppet. Det kan dock vara intressant att nämna något om de resonemang som har förts.

I direktiven till Datalagsutredningen (dir. 1989:26) framhöll departementschefen att uttrycket personlig integritet som föremål för det skydd datalagen skall ge flera gånger hade behandlats i syfte att precisera vad som menades med det, men att denna definitionsfråga åter borde tas upp till behandling. På motsvarande sätt borde Datalagsutredningen, fortsatte departementschefen, undersöka om det närmare gick att beskriva vad som skall anses vara otillbörligt intrång i den personliga integriteten. Datalagsutredningen konstaterade i sitt slutbetänkande En ny datalag (SOU 1993:10) att en allmän uppfattning om begreppet personlig integritet och integritetsskyddet, såväl i Sverige som utomlands, torde vara att det innefattar en rätt för den enskilde att själv bestämma vilka uppgifter om sig själv och sina personliga förhållanden som han eller hon skall lämna ifrån sig och hur dessa uppgifter skall användas och spridas (s. 159). Datalagsutredningen menade dock att det inte var mö jligt att definiera begreppet "otillbörligt intrång i den personliga integriteten", eftersom det är beroende av en vägning av motstående intressen (s. 161). Be- greppet personlig integritet har därefter behandlats av bl.a. Datalagskommittén i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39). Datalagskommittén införskaffade en särskild utredning om begreppet (Behandling av personuppgifter och personlig integritet. En etisk analys; av biträdande professorn Göran Collste, publicerad som bilaga 4 till betänkandet). Slutligen kan nämnas att regeringen i prop. 1997/98:108 Hälsodata- och vårdregister förde ett resonemang om personlig integritet som det kan vara av intresse att här återge. Regeringen uttalade bl.a. följande (s. 26 ff.).

Personlig integritet är – även om begreppet inte kan ges någon mer objektivt bestämbar innebörd – ett honnörsbegrepp. Det anses allmänt att det är viktigt att skydda den enskildes integritet och förhindra olika former av

intrång däri. Innebörden av begreppen personlig integritet och intrång är dock olika för olika människor i olika situationer.

Någon entydig förklaring till begreppet är inte möjlig att ge. En ofta använd beskrivning av integritetsskyddet innebär att man skall skydda den enskildes rätt att bli lämnad i fred. Andra försök att beskriva vad som menas med personlig integritet tar fasta på rätten till ensamhet, till förtrolig samvaro inom familjen, en rätt till anonymitet och distans till andra individer. Ett annat sätt att beskriva begreppet är att den enskilde skall kunna kontrollera spridningen av uppgifter eller ha en rätt att själv bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra.

Ett skydd mot otillbörligt intrång är nödvändigt för att den enskilde skall uppnå en viss frihet att styra och kontrollera sitt eget liv. Den enskilde kan dock inte resa krav på en helt fredad sfär. Den personliga integriteten kan inte vara absolut i den mening att regler till skydd därför skall gälla och tillämpas undantagslöst eller oavsett motstående intressen. Ett visst mått av intrång måste accepteras. I stället får man bygga upp ett skydd mot sådant som bedöms utgöra ett otillbörligt intrång.

Vad som upplevs som en integritetskränkning av en person behöver inte upplevas som en sådan av en annan person. Det är därför svårt att generalisera. Några omständigheter kan dock mera allmänt sägas påverka den enskildes uppfattning om risk för integritetsintrång. Stora mängder uppgifter, förekomsten av många olika register och den möjlighet till samkörning som det ger är sådana exempel. Vidare om de uppgifter som behandlas belyser den enskildes avvikelser från gängse normer, särskilt i kombination med om tilltron till att uppgifterna hålls hemliga sviktar.

Svårigheter att uppnå rättelse och användning av personnummer är ytterligare omständigheter som ofta oroar den enskilde.

I samma proposition (s. 27) gjorde regeringen ett uttalande rörande avvägning av integritetsskyddet. Därvid uttalades följande.

I begreppet personlig integritet kan man lägga in två delkomponenter. För det första att den enskilde bör tillförsäkras en sfär som skyddas mot otillbörligt intrång från myndigheter och andra som kan uppfattas som utomstående och för det andra att den enskilde bör ha rätt och möjlighet att själv vara med och bestämma i vilka sammanhang uppgifter om honom får utnyttjas och hur det i så fall skall ske. I båda fallen måste dock den enskilde tåla vissa ingrepp, framför allt från samhällets sida, när andra intressen, som av samhället bedöms som totalt sett viktigare, kräver det. Ingrepp får dock inte vara alltför långtgående, alltför besvärande eller betungande i förhållande till de syften som intrånget skall tjäna. Varje gång det blir aktuellt att utnyttja uppgifter om en enskilds personliga förhållan-

den måste således en avvägning göras mellan den enskildes rätt till personlig integritet och det allmännas behov av information.

Regeringen berörde i prop. 1998/99:72 Rättspsykiatriskt forskningsregister på nytt begreppet personlig integritet (s. 20). Därvid förde regeringen i princip samma resonemang som i den nyss redovisade propositionen om hälsodata- och vårdregister.

4.3Nationell reglering

4.3.1Regeringsformen

Det grundläggande skyddet för den personliga integriteten finns i regeringsformen. I 1 kap. 2 § tredje stycket regeringsformen anges bl.a. att det allmänna skall värna den enskildes privatliv och familjeliv. En särskild bestämmelse om den personliga integriteten och automatisk databehandling finns i 2 kap. 3 § andra stycket regeringsformen. Där anges att varje medborgare skall i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Den närmare reglering som åsyftas i lagrummet återfinns sedan den 24 oktober 1998 i personuppgiftslagen (1998:204), se avsnitt 4.3.6. Tidigare fanns regleringen i datalagen (1973:289), se avsnitt 4.3.5. Vidare finns i dag inom flera områden särskilda registerförfattningar, vilka innebär en specialreglering i förhållande till personuppgiftslagen i syfte att komplettera eller ersätta vissa delar av den, se avsnitt 4.3.7.

4.3.2Tryckfrihetsförordningen

När frågor om den enskildes integritet diskuteras är offentlighetsprincipen ofta av intresse. Offentlighetsprincipen kan beskrivas som den grundsats enligt vilken samhällsorganens verksamhet skall bedrivas under allmän insyn och kontroll. Offentlighetsprincipen kan förenklat sägas fylla tre huvudändamål. Den utgör en garanti för rättssäkerheten, effektivitet i förvaltningen och effektivitet i folkstyret.

Offentlighetsprincipen är av intresse utifrån många synvinklar. Även om syftet är att garantera offentlighet, kan principen också stärka integritetsskyddet. Genom offentlighet ges nämligen möjlighet till insyn och kontroll. Det är också ett sätt att minska risken för att uppgifter blir ofullständiga eller felaktiga.

Tryckfrihetsförordningen slår fast den kanske viktigaste beståndsdelen av offentlighetsprincipen. I 2 kap. 1 § föreskrivs att varje svensk medborgare till främjande av ett fritt meningsutbyte och en allsidig upplysning skall ha rätt att ta del av allmänna handlingar.

Med handling förstås, enligt 2 kap. 3 §, framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Den viktigaste formen av upptagning torde numera vara upptagning för automatisk databehandling. Vad som avses med begreppet upptagning berördes närmare i prop. 1975/76:160 om nya grundlagsbestämmelser angående allmänna handlingars offentlighet. Departementschefen uttalade bl.a. följande (s. 89 f.).

I 1973 års proposition förklarade jag att med upptagning borde avses själva informationsinnehållet, dvs. den uppgift som har fixerats på det tekniska mediet. Jag utgår även nu från detta begrepp. Jag vill emellertid lägga några synpunkter på frågan om när det föreligger en eller flera upptagningar. En utgångspunkt för resonemanget är att i fråga om konventionella handlingar den fysiska databäraren – pappersarket, boken – på ett för det mesta självfallet sätt avgränsar vad som är en handling i förhållande till en annan. Beträffande upptagningar för ADB saknas i betydande omfattning motsvarande hållpunkter för en avgränsning. Ett datamedium eller ett dataregister – ordet fattat i teknisk bemärkelse – kan innehålla en överväldigande stor mängd data. Det vore orimligt att endast tillsammans se dessa data som en upptagning. Å andra sidan kan en uppgift för att bli begriplig eller i vart fall för att tillgodose det aktuella informationsintresset behöva hämtas från skilda fysiska databärare eller från skilda dataregister. Att alltid beteckna varje uppgift för sig som en upptagning svarar därför knappast heller mot realiteterna. Jag anser att man i stället bör fästa starkare avseende vid det som från offentlighetssynpunkt är det intressanta, nämligen rätten att ta del av viss information i myndigheternas besittning. Från denna synpunkt spelar det en underordnad roll om önskade data utgör ett urval ur en större datamängd, en sammanställning av data från skilda register eller ett resultat av annan bearbetning. Varje konstellation av sakligt sammanhängande uppgifter bör enligt min mening ses som en upptagning för sig.

Med ADB-upptagning avses sålunda en sammanställning av uppgifter som har ett sakligt sammanhang. Upptagningen kan alltså bestå av ett visst urval av den information som finns på exempelvis en hårddisk eller en diskett och inte av själva den hårddisk eller diskett där informationen förvaras. En sådan upptagning är alltså inte på samma sätt som en pappershandling knuten till ett bestämt föremål. Begreppet upptagning har i

stället knutits närmare till informationsinnehållet än till bäraren av uppgiften.

En handling är allmän, om den förvaras hos en myndighet och den enligt särskilda regler som gäller om det är att anse som inkommen till eller upprättad hos m yndigheten. En upptagning anses förvarad hos en myndighet om den är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Syftet med denna reglering är att den enskilde inte skall kunna påverka området för insyn med stöd av offentlighetsprincipen genom att själv bidra med datorkapacitet (prop. 1990/91:60 s. 74). Med begreppet "tekniskt hjälpmedel som myndigheten själv utnyttjar" avses enligt förarbetena datorkraft (a. prop. a. s.). I förarbetena sägs vidare att begreppet innefattar även de tekniska hjälpmedel som finns hos en servicebyrå som myndigheten anlitar eller hos en sido-, över- eller underordnad myndighet, liksom den utrustning som på annat liknande sätt står till myndighetens förfogande. Det ansågs inte nödvändigt att i lagtexten särskilt markera att en enskild inte har rätt att ställa datorprogram till förfogande.

Som tidigare nämnts utgör varje tänkbar konstellation av sakligt sammanhängande uppgifter en upptagning, dvs. en handling i tryckfrihetsförordningens mening. Den mycket stora mängd uppgifter som kan finnas på ett tekniskt medium kan ofta, teoretiskt sett, ställas samman till ett oändligt stort antal upptagningar, i princip lika många som det finns sammanställningsmöjligheter, även om myndigheten för sin verksamhet endast använder en mindre del av dessa. Man brukar därför tala om att ADB-systemen innehåller potentiella handlingar.

För att en sådan sammanställning – handling – skall anses förvarad hos myndigheten och således vara allmän krävs, som berörts i det föregående, att den är faktiskt tillgänglig för myndigheten. Vad som avses med begreppet tillgänglig utvecklades i förarbetena (prop. 1975/76: 160 s. 90 f.).

Ett visst urval eller en viss sammanställning av data får anses utgöra en för myndigheten tillgänglig upptagning, om urvalet eller sammanställningen kan tas fram genom rutinbetonade åtgärder från myndighetens sida, men endast då. Krävs däremot en mera kvalificerad, konstruktiv insats i form av t.ex. nyskrivning av datorprogram, kan den upptagning som skulle bli resultatet av bearbetningen inte anses tillgänglig för myndigheten i grundlagens mening. Huruvida de åtgärder som kan komma i fråga skall betecknas som programmering saknar i och för sig betydelse. Det angivna synsättet torde leda till att en myndighet blir skyldig att tillhandagå med nytt datorprogram endast om sådant kan upprättas inom myn-

digheten genom en enkel arbetsinsats och utan nämnvärda kostnader eller andra komplikationer.

Vad som avses med rutinbetonade åtgärder har varit uppe till bedömning i rättspraxis vid ett antal olika tillfällen. I Regeringsrättens årsbok (RÅ) 1988 ref. 84 hade en person hos Statistiska centralbyrån begärt att få vissa statistiska uppgifter från en unders ökning om levnadsförhållanden. Statistiska centralbyrån uppgav att ett framtagande av de begärda uppgifterna skulle kräva dels en utredningsinsats på omkring två timmar, dels specialprogrammering av ett befintligt datorprogram samt efterkontroll. Regeringsrätten konstaterade att de begärda uppgifterna kunde tas fram endast genom en bearbetning av vissa ADB-registrerade uppgifter med begagnande av ett för ändamålet särskilt framställt program. Regeringsrätten ansåg att en sådan bearbetning fick anses gå utöver sådana rutinbetonade åtgärder för visst urval eller viss sammanställning av data som en myndighet är skyldig att vidta för att tillgodose kraven på offentlighet. De begärda uppgifterna kunde därför inte anses vara t illgängliga för Statistiska centralbyrån på sådant sätt att de utgjorde allmänna handlingar enligt tryckfrihetsförordningen.

För att en upptagning som ingår i ett personregister – dvs. register, företeckning eller andra anteckningar som kan innehålla uppgift som avser enskild person som kan hänföras till denne – skall anses förvarad hos en myndighet krävs, utöver att myndigheten har den faktiska möjligheten att överföra upptagningen i läsbar eller annan form som är mö jlig att uppfatta, att myndigheten har rättslig befogenhet att göra överföringen. Om myndigheten saknar en sådan befogenhet, anses upptagningen inte förvarad hos myndigheten och är således inte allmän handling. En begränsning av den rättsliga befogenheten att göra en upptagning t illgänglig i läsbar form kan t.ex. följa av författningsbestämmelser.

I flera av de särskilda registerförfattningar som finns har införts rättsliga begränsningar i rätten att göra överföringar. T.ex. finns i 18 § socialförsäkringsregisterlagen (1997:934) regler om vilka sökbegrepp som får användas i ett socialförsäkringsregister.

Det är emellertid , som tidigare har nämnts, inte tillräckligt att en handling är förvarad hos en myndighet för att den skall vara allmän. Dessutom krävs att den är antingen inkommen till myndigheten eller upprättad där.

En teknisk upptagning anses ha kommit in till en myndighet när någon utomstående, som kan vara en enskild, ett företag eller annan myndighet, har gjort den tillgänglig för myndigheten i sådan form att den kan läsas, avlyssnas eller uppfattas på något annat sätt (2 kap. 6 § tryckfrihetsförordningen). En ADB-upptagning kan t.ex. bli t illgänglig för myndigheten om den sänds till myndigheten på diskett eller om den överförs

på elektronisk väg. Om upptagningen däremot har gjorts t illgänglig av någon tjänsteman hos myndigheten är den, om förutsättningarna enligt 2 kap. 7 § tryckfrihetsförordningen är uppfyllda, att anse som upprättad inom myndigheten.

När en handling skall anses upprättad hos en myndighet regleras alltså i 2 kap. 7 § tryckfrihetsförordningen. Någon särskild regel för tekniska upptagningar finns inte utan samma regel gäller både för handlingar i traditionell mening och för ADB-upptagningar. En handling är att anse som upprättad hos en m yndighet när den har expedierats. Om handlingen inte expedieras, anses den upprättad när det ärende den hör till är slutbehandlat hos myndigheten. Hör handlingen inte till något visst ärende, anses den upprättad när den har justerats eller färdigställts på annat sätt.

För vissa typer av handlingar gäller särskilda regler om när de skall anses vara upprättade. Diarier, journaler och liknande handlingar, där anteckningar görs fortlöpande anses upprättade i och med att de är färdigställda att användas. Domar och beslut med tillhörande protokoll är upprättade, då domarna eller besluten avkunnas eller expedieras. Andra protokoll och liknande handlingar är i regel upprättade, när m yndigheten har justerat dem eller färdigställt dem på annat sätt. Utkast, koncept och minnesanteckningar är inte allmänna handlingar, om de inte tas om hand för arkivering (2 kap. 9 § tryckfrihetsförordningen). Med minnesanteckningar förstås promemorior och uppteckningar eller upptagningar som har kommit till endast för ärendets föredragning eller beredning under förutsättning att de inte tillför ärendet några nya sakuppgifter. Avsikten med denna regel är att skapa arbetsro för m yndigheterna.

Som nämnts tidigare tar ingen av de regler som anger när en handling är att anse som upprättad sikte särskilt på ADB-upptagningar. I Data- och offentlighetskommitténs slutbetänkande Integritetsskydd i informationssamhället 5 (SOU 1988:64 s. 37) gavs emellertid några exempel på vad reglerna kan innebära i olika situationer.

ADB-upptagningar som ingår i register som förs fortlöpande och där uppgifter kontinuerligt förs in och ändras får anses upprättade, när registren tas i bruk. Sådana register har i allmänhet en obestämd livslängd. Många stora ADB-system inom den offentliga sektorn är av denna typ och innehåller alltså allmänna handlingar.

Kommittén fortsatte (a. s.).

Ett ADB-register kan också ha en mera begränsad användning och relativt kort livslängd. Om ett sådant register har upprättats för att lösa en till tiden klart avgränsad uppgift eller för handläggningen av ett särskilt ärende

SOU 1999:109 Den nuvarande rättsliga regleringen... 73

hos en myndighet, blir en ADB-upptagning som ingår i registret normalt en allmän handling först när ärendet har slutbehandlats. Tillhör ADB- upptagningen inte något särskilt ärende, anses den upprättad, när den färdigställts och fått sin slutliga form.

Ibland inrättas ett ADB-register enbart som ett hjälpmedel vid ett visst ärendes föredragning eller beredning. Det kan röra sig om en sammanställning av material i ärendet eller av intressanta rättsfall. Registret utgör i sådana fall ett osjälvständigt led i ärendets handläggning och betraktas som ett slags minnesanteckning. En ADB-upptagning som ingår i registret och som inte expedieras blir att anse som allmän handling först i det fall, då den omhändertas för arkivering. Detsamma gäller upptagning som utgör utkast e.d. till en myndighets beslut, skrivelse eller liknande handling.

Offentlighetsprincipen är emellertid inte undantagslös. Av hänsyn till allmänna och enskilda intressen gäller en rad undantag som är tillkomna efter en avvägning mellan motstående intressen. Dessa inskränkningar i offentlighetsprincipen bestäms till väsentlig del av integritetssynpunkter. I 2 kap. 2 § tryckfrihetsförordningen anges att rätten att ta del av allmänna handlingar får begränsas bl.a. om det är påkallat med hänsyn till skyddet för enskilds personliga eller ekonomiska förhållanden (sjätte punkten). Sådana begränsningar skall anges i lag. Närmare bestämmelser om inskränkningar i offentlighetsprincipen finns framför allt i sekretesslagen. Mera härom i avsnitt 4.3.3.

Allmän handling som får lämnas ut skall på begäran genast eller så snart det är möjligt på stället utan avgift tillhandahållas den, som önskar ta del av den, så att handlingen kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 12 § tryckfrihetsförordningen). En ADB-upptagning kan göras tillgänglig på en bildskärm eller genom en utskrift. Myndigheten är dock inte skyldig att på stället tillhandahålla en sådan allmän handling, om betydande hinder möter eller sökanden utan beaktansvärd olägenhet kan ta del av upptagningen hos en närbelägen m yndighet.

Den som önskar ta del av en allmän handling har också rätt att mot fastställd avgift få en avskrift eller en kopia av den allmänna handlingen. ADB-upptagningar är m yndigheten emellertid inte skyldig att lämna ut i annan form än genom en utskrift (2 kap. 13 § tryckfrihetsförordningen).

4.3.3Sekretesslagen (1980:100)

Sekretesslagen (1980:100) innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Lagen innebär alltså bl.a. inskränkningar i den offentlighetsprincip som slås fast i tryckfrihetsförordningen. Sekretessen innebär ett förbud att röja en uppgift oberoende av hur detta sker. Sekretessen gäller både mot enskilda och mot andra myndigheter men också i förhållandet mellan olika verksamhetsgrenar inom samma myndighet om de är att betrakta som självständiga i förhållande till varandra.

Sekretessbestämmelserna kan något förenklat sägas vara uppb yggda så att de anger sekretessens föremål, räckvidd och styrka. Sekretessens styrka anges genom skaderekvisit. För vissa uppgifter gäller ett s.k. omvänt skaderekvisit, dvs. uppgiften kan lämnas ut endast om det står klart att utlämnandet inte medför men för den uppgiften rör eller skada för de intressen sekretessen skall skydda. Sekretess är i dessa fall huvudregel. I andra fall gäller ett s.k. rakt skaderekvisit, dvs. sekretess föreligger endast om det kan antas att ett röjande av uppgiften medför men för den uppgiften rör eller skada för de intressen den skall s kydda. Offentlighet är i dessa fall huvudregel. Slutligen gäller i vissa fall s.k. absolut sekretess, vilket innebär att uppgiften aldrig får röjas.

Sekretess på socialtjänstens område regleras i 7 kap. 4 § sekretesslagen. Huvudregeln är att sekretess med ett omvänt skaderekvisit gäller för uppgifter om enskilds personliga förhållanden. Beslut om omhändertagande, beslut om vård utan samtycke och beslut om sluten ungdomsvård är emellertid alltid offentliga. Vidare får utan hinder av sekretessen uppgift lämnas till enskild som uppnått m yndig ålder om förhållanden av betydelse för att denne skall få vetskap om vilka hans biologiska föräldrar är.

Inom kommunal familjerådgivning (12 a § andra och tredje styckena socialtjänstlagen) gäller absolut sekretess för uppgift som enskild lämnat i förtroende eller som inhämtats i samband med rådgivningen (se dock 71 § socialtjänstlagen). Vilken sekretess som gäller vid s.k. samarbetssamtal (12 a § första stycket socialtjänstlagen) är beroende av samtalets karaktär. Har samtalet karaktär av familjerådgivning, gäller den strängare familjerådgivningssekretessen. I andra fall gäller den s.k. socialtjänst-

sekretessen (Regner, Eliason och Heuman; Sekretesslagen En kommentar, s. 7:26).

I 7 kap. 4 § tredje stycket sekretesslagen ges en närmare beskrivning av socialtjänstsekretessens omfång. Enligt detta stycke förstås med socialtjänst först och främst den verksamhet som avses i socialtjänstlagen. I Regners m.fl. kommentar till sekretesslagen (a. a. s. 7:27) sägs att verksamheten inte behöver bestå i handläggning av ett ärende utan kan utgö-

SOU 1999:109 Den nuvarande rättsliga regleringen... 75

ras av rent faktisk verksamhet och att sekretessen sålunda omfattar bl.a. handlingar och uppgifter i övrigt som gäller uppsökande verksamhet, social hemhjälp, kontaktverksamhet, vård och behandling vid kommunernas och landstingens institutioner såsom barn- eller ungdomshem, behandlingshem, inackorderingshem och särskilt boende för äldre samt över huvud taget social service och socialt bistånd som lämnas av socialnämnd. Den kommunala hälso- och sjukvården hör i sekretesshänseende till samma verksamhetsområde som den kommunala socialtjänsten (prop. 1990/91:14 s. 84–86 och prop. 1990/91:111 s. 15). Vidare skall enligt tredje stycket till socialtjänsten räknas verksamhet enligt den särskilda lagstiftning om vård av unga och av missbrukare utan samtycke, dvs. lagen (1990:52) med särskilda bestämmelser om vård av unga respektive lagen (1988:870) om vård av missbrukare i vissa fall. Med socialtjänst förstås också verksamhet som i annat fall enligt lag handhas av socialnämnd eller av Statens institutionsstyrelse.

Till socialtjänst räknas enligt bestämmelsen i tredje stycket också verksamhet hos annan myndighet som innefattar omprövning av socialnämnds beslut eller särskild tillsyn över nämndens verksamhet samt verksamhet hos kommunal invandrarbyrå. Vidare jämställs med socialtjänst verkamhet rörande ärenden om bistånd åt asylsökande och andra utlänningar, ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar, ärenden om tillstånd till parkering för rörelsehindrade, ärenden om allmän omvårdnad hos nämnd med uppgift att bedriva patientnämndsverksamhet samt verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade.

Enligt 7 kap. 16 § gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen.

I 9 kap. 4 § sekretesslagen regleras den s.k. statistiksekretessen. Sekretess gäller i sådan verksamhet hos myndighet som avser framställning av statistik samt, i den utsträckning regeringen föreskriver det, i annan därmed jämförbar undersökning som utförs av myndighet, för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Sekretessen är enligt huvudregeln absolut men det finns fem undantag för vilka det gäller ett omvänt skaderekvisit. Till undantagen hänförs bl.a. uppgifter som be hövs för forsknings- och statistikändamål och uppgift som inte är direkt hänförlig till den enskilde.

I 14 kap. finns föreskrifter om vissa begränsningar i sekretessen.

4.3.4Socialtjänstlagen (1980:620)

Dokumentation inom socialtjänsten

I 50, 51 och 52 §§ socialtjänstlagen (1980:620) finns bestämmelser om dokumentation inom socialtjänsten. Dessa bestämmelser infördes, enligt vad regeringen uttalade i prop. 1996/97:124 (s. 149 f.), främst i förtydligande syfte och som ett komplement till förvaltningslagens regler. Do- kumentationsreglerna är vidare generellt tillämpliga på sådan enskilt bedriven verksamhet inom socialtjänsten som står under länsstyrelsens tillsyn (70 a § socialtjänstlagen).

I 51 § första stycket socialtjänstlagen finns den grundläggande bestämmelsen om dokumentationsskyldighet. Enligt första meningen i det stycket skall handläggning av ärenden som rör enskilda samt genomförande av beslut om stödinsatser, vård och behandling dokumenteras. En- ligt förarbetena (a. prop. s. 151 f. och 181) avses med handlä ggning av ärenden alla åtgärder från det att ett ärende anhängiggörs – genom ansö-

kan eller på något annat sätt, t.ex. på initiativ av myndigheten själv – till dess att det avslutas genom beslut. Verksamhet som rådgivning och information samt vissa öppna verksamheter omfattas inte av dokumentationsskyldigheten. Däremot omfattas socialnämndens arbete med att avge yttranden till andra myndigheter, t.ex. i brottmål beträffande bl.a. ungdomar, av dokumentationsskyldigheten. Som framgått skall vidare dokumentation ske av sådant rent faktiskt handlande som utgör genomförande av beslut om stödinsatser, vård och behandling.

I 51 § första stycket socialtjänstlagen regleras vidare generellt vilken information dokumentationen skall lämna. Enligt bestämmelsen skall dokumentationen utvisa beslut och åtgärder som vidtas i ärendet samt faktiska omständigheter och händelser av betydelse. Det är, framhåller regeringen i förarbetena (a. prop. s. 181), av primärt intresse för den enskilde att få en korrekt handläggning av ärendet och i förekommande fall en insats av god kvalitet. Dokumentationen skall kunna användas av socialtjänstens personal som ett arbetsinstrument för den individuella planeringen, för handläggningen av ärendet, för genomförandet och för uppföljning av ärendehandlä ggningen och insatsen. Uppgifterna utnyttjas enligt regeringen också i flera andra för socialtjänsten viktiga sammanhang, t.ex. som underlag för kvalitetssäkring, forskning och framställning av statistik. I förarbetena (a. prop. s. 152 f. och 181 f.) framhåller regeringen att dokumentationen – för att fylla sin huvud uppgift – skall innehålla tillräcklig, väsentlig och korrekt information. Det sägs vidare att vad som utgör tillräcklig och väsentlig information kan variera starkt mellan olika verksamheter och ärendetyper inom socialtjänsten samt att endast de uppgifter som har betydelse med hänsyn till verksamhetens art

och det enskilda fallet behöver dokumenteras. Enligt regeringen bör dokumentationen innehålla uppgift om vem som har gjort en viss anteckning och när anteckningen gjordes. Att sådana uppgifter finns är, menade regeringen, väsentlig såväl under ett ärendes handläggning och under genomförandefasen som därefter för olika slag av uppföljning och kontroll.

Av 52 § socialtjänstlagen följer att dokumentationen skall utformas med respekt för den enskildes integritet samt att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom. I bestämmelsen föreskrivs vidare att det skall antecknas om den enskilde anser att någon uppgift i dokumentationen är oriktig.

Regeringen underströk i förarbetena (a. prop. s. 153) att det är väsentligt att dokumentationen blir både objektiv och saklig samt anförde bl.a. följande.

En kritik som har framförts mot socialtjänstens dokumentation är att den ibland innehåller subjektiva omdömen om den enskilde vilka kan uppfattas som nedsättande. Anteckningar skall präglas av respekt för den enskilde. Utgångspunkten är att uppgifterna skall bygga på ett korrekt underlag och inte vara av nedsättande karaktär.

Ibland kan det dock vara nödvändigt att dokumentera värderingar om den enskilde. Uppgifterna kan vara av betydelse även om de kanske inte uppfattas så av den enskilde. Vad som är integritetskränkande kan uppfattas på olika sätt av olika personer. Ett krav för att värderande omdömen etc. skall få förekomma bör vara att de grundas på ett korrekt underlag och att de är av verklig betydelse för saken. Det skall också klart framgå av dokumentationen när den enskilde har en annan uppfattning om vad som sagts eller noterats. Däremot skall den enskilde inte kunna styra hur dokumentationen utformas.

Uppgifter om tredje person bör undvikas så långt det är möjligt. Det skulle dock vara att gå för långt att helt förbjuda detta. En god vård och behandling kan förutsätta att den enskildes situation ses i sitt sammanhang, vilket gör det nästan ofrånkomligt att även beröra anhöriga till honom. En betydande återhållsamhet bör dock iakttas när det gäller uppgifter om andra personer än den som är aktuell i ärendet.

Vidare föreskrivs i 50 § andra stycket att vad som har kommit fram vid utredning som har betydelse för ett ärendes avgörande skall tillvaratas på ett betryggande sätt, och i 51 § andra stycket sägs att handlingar som rör enskildas personliga förhållanden skall förvaras så att den som är obehörig inte får tillgång till dem (s.k. inre sekretess).

Ytterligare regler om dokumentation finns i socialtjänstförordningen (1981:750) och i förordningen (1998:641) om verkstä llighet av sluten

ungdomsvård. I 14 § socialtjänstförordningen föreskrivs att för varje klient vid hem för vård eller boende skall föras journal enligt Socialstyrelsens närmare föreskrifter. Enligt 6 § förordningen om verkställighet av sluten ungdomsvård skall journal föras för den som undergår sluten ungdomsvård.

Register

Som framgått av avsnitt 3 finns i dag hos socialnämnden personuppgifter om de enskilda klienterna i socialnämndens protokoll och i bilagor till dessa, i olika sammanställningsregister som kan föras manuellt eller med hjälp av ADB, och – framför allt – i personakterna. Dessa personakter innehåller en mängd uppgifter om klienten och hans a nhöriga. Som regel innehåller akten löpande anteckningar från samtal som förts med den enskilde i samband med planerade eller genomförda insatser. Dessutom finns det i personakterna handlingar av skiftande natur. Där förvaras utredningar och kopior av beslut i tidigare ärenden, kopior av yttranden till andra myndigheter, inkomna anmälningar och rapporter, läkarintyg, skriftväxling med andra sociala myndigheter m.m. Som sökregister till personakterna finns ofta ett slag- eller sökregister som är upplagt på namn och personnummer. Ett sådant sökregister – som numera oftast torde föras med hjälp av ADB – med därtill hörande personakter bildar ett personregister (prop. 1979/80:1 Del A s. 435). Det blir vidare alltmera vanligt att även personakterna förs med hjälp av ADB, s.k. elektroniska akter.

Enligt 59 § första stycket socialtjänstlagen får i sådana personregister hos socialnämnden som utgör sammanställningar av uppgifter inte tas in uppgifter om ömtåliga personliga förhållanden. Denna bestämmelse gäller inte innehållet i de personakter som ingår i socialnämndernas personregister utan endast sådana register i mer inskränkt bemärkelse som utgör sammanställning av uppgifterna (prop. 1979/80:1 Del A s. 568 f.). I förarbetena uttalas (a. prop. s. 439) att ”uppgifter i sådana register är tillgängliga på ett mer omedelbart sätt än som är fallet med personakter. De lämnar upplysningar om den enskilde klienten utan att samtidigt kunna ge en fullständig och objektiv beskrivning av hans förhållanden. Re- gistren framstår därför som särskilt känsliga från integritetssynpunkt. Därtill kommer att de är mer lättillgängliga och används av ett långt större antal tjänstemän vid socialförvaltningen än som är fallet med den enskilda personakten.” Enligt förarbetena hör hit framför allt de databaserade personregistren men även alla former av manuella register såsom t.ex. kortregister över utbetalningar, bevakningsregister av olika slag, servicekort etc. I de register som avses i bestämmelsen får inte tas in

integritetskänsliga uppgifter rörande t.ex. sju kdom, arbetsförmåga, missbruk, kriminalitet. Om sådana anteckningar behöver göras, blir det nödvändigt att lägga upp en personakt. I registret får sedan göras hänvisning till personakten.

Enligt 59 § andra stycket socialtjänstlagen får dock socialnämnden i personregister av angivet slag ta in uppgifter om åtgärder som har beslutats inom socialtjänsten och som innebär myndighetsutövning samt den bestämmelse på vilken ett beslut om en sådan åtgärd grundas. Ett exempel på detta är beslut i ärenden om bistånd enligt 6 § socialtjänstlagen.

Register av förevarande slag är således – förutom nyss nämnda undantag – begränsat till sådana uppgifter som normalt är offentliga t.ex. namn, adress, civilstånd, födelsedatum, yrke, etc. Orsaken till ett fattat beslut eller annan uppgift som kan innefatta värdering av klientens förhållanden får däremot aldrig antecknas i ett sådant register (a. prop. s. 439 f. och s. 569).

Ytterligare föreskrifter om personregister har i enlighet med 59 § tredje stycket socialtjänstlagen och 50 § socialtjänstförordningen (1981:750) meddelats av Socialstyrelsen, SOSFS 1981:26.

Slutligen kan nämnas att det i 61 § socialtjänstlagen erinras om att det i personuppgiftslagen (1998:204) finns bestämmelser i fråga om automatiserad och viss manuell behandling av personuppgifter.

Gallring

Enligt 60 § socialtjänstlagen gäller som huvudregel att anteckningar och andra uppgifter i en personakt som tillhör socialnämndens personregister skall gallras fem år efter det att sista anteckningen gjordes i akten. Från denna gallringsregel undantas handlingar i faderskapsärenden, adoptionsärenden och i ärenden om placering av barn (62 § första stycket).

Därutöver undantas från gallring vissa handlingar av hänsyn till forskningens behov (62 § andra stycket).

Utredningen återkommer i avsnitt 6.13 till bl.a. socialtjänstlagens bestämmelser om bevarande och gallring.

Uppgifts- och underrättelseskyldighet

I 63–66 §§ socialtjänstlagen finns vissa bestämmelser om uppgifts- och underrättelseskyldighet för socialnämnd. Bl.a. skall socialnämnden, enligt vad regeringen närmare föreskriver, ur personregister lämna ut uppgifter till Socialstyrelsen för angelägna statistiska ändamål (63 §). Såda-

na närmare föreskrifter har meddelats i förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter. Vidare skall socialnämnden lämna ut uppgifter ur personregister till statliga myndigheter, när detta begärs för forskningsändamål och det kan ske utan risk för att den enskilde eller någon honom närstående lider men.

4.3.5Datalagen (1973:289)

Den 24 oktober 1998 upphörde datalagen (1973:289) att gälla och ersattes av personuppgiftslagen (1998:204), som genomför Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om s kydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. En re dogörelse för huvuddragen i detta direktiv och för personuppgiftslagen lämnas i avsnitt 4.4.1 respektive avsnitt 4.3.6. Eftersom datalagen i enlighet med övergångsbestämmelserna till personuppgiftslagen fortsätter att i vissa fall gälla ytterligare en tid in på 2000-talet, finns det anledning att redovisa regelsystemet i datalagen.

De grundläggande reglerna om inrättandet och förandet av personregister med hjälp av automatisk databehandling fanns tidigare i datalagen (1973:289, omtryckt 1992:446). Kompletterande bestämmelser om bl.a. licensanmälan, tillståndsansökan, handläggningen hos Datainspektionen, verkställighetsföreskrifter och bistånd till personer som är registrerade utomlands fanns i dataförordningen (1982:480, omtryckt 1989:254).

Datalagen inleds med en definition av begreppen personuppgift, personregister, registrerad och registeransvarig (1 §).

Med personuppgift avses upplysning som avser enskild person. Det kan vara upplysningar om namn, personnummer, födelsedatum, nationalitet, utbildning, familj och anställningsförhållanden. Även andra typer av upplysningar av mindre personlig karaktär räknas som personuppgifter. Enligt lagmotiven (prop. 1973:33 s. 117) avses även uppgifter om en persons bostadsförhållanden, banktillgodohavanden, fastighets- eller bilinnehav och upplysningar i övrigt om en persons e konomiska ställning.

Med personregister förstås register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgifter som kan hänföras till den som avses med uppgifterna. Endast register som förs med hjälp av ADB omfattas således av datalagen. Register som förs med hjälp av annan teknik än ADB faller utanför lagens tillämpningsområde.

Med registrerad avses en enskild person beträffande vilken det förekommer en personuppgift i ett personregister.

Registeransvarig är den för vars verksamhet registret förs, om han förfogar över registret. Såväl fysiska som juridiska personer och myndigheter kan vara registeransvariga.

Enligt 2 § datalagen får personregister inrättas, varmed enligt fjärde stycket förstås även insamling av uppgifter som skall ingå i registret, och föras endast av den som har anmält sig hos Datainspektionen och fått licens. Datainspektionen granskar inte anmälan i sak utan ger endast den registeransvarige ett bevis (licens) om att anmälan har gjorts samt ett särskilt licensnummer (10 § dataförordningen). En licens berättigar den registeransvarige att föra ett eller flera personregister. Licens behövs inte för personregister som en enskild person inrättar eller för uteslutande för personligt bruk (2 § tredje stycket).

Den som fått licens skall betala en årlig avgift till Datainspektionen. Inspektionen får, om det finns särskilda skäl, sätta ned eller efterskänka avgiften.

Med hjälp av ADB för Datainspektionen ett register över licensanmälningar, licensregistret (3 § dataförordningen). Licensregistret får Datainspektionen använda för sin tillsyns- och informationsverksamhet samt som underlag för uppbörd av licensavgifter.

För vissa typer av register med känsliga uppgifter krävs utöver licens även ett särskilt tillstånd från Datainspektionen (2 § andra stycket). Så- dant tillstånd behövs i regel för att inrätta och föra register som innehåller

a)i sig känsliga personuppgifter, t.ex. uppgift om att någon misstänks för eller har dömts för brott, uppgift om att någon varit föremål för tvångsingripande enligt lagen (1990:52) med särskilda bestämmelser om vård av unga eller enligt lagen (1988:870) om

vård av missbrukare i vissa fall, uppgift om att någon fått e konomisk hjälp eller vård inom socialtjänsten, uppgift om nå gons sjukdom, hälsotillstånd, sexualliv, politiska uppfattning eller ras,

b)omdömen eller andra värderande upplysningar om den registrerade,

c)uppgifter om personer som saknar sådan a nknytning till den registeransvarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande samt

d)personuppgifter som hämtas in från något annat personregister (s.k. samkörning), om inte registreringen av uppgifterna eller utlämnandet av dessa sker med stöd av författning, Datainspektionens beslut eller den registrerades medgivande.

Tillstånd behövs inte för personregister som någon inrättar eller för uteslutande för personligt bruk (2 § tredje stycket). Tillstånd behövs inte

82 Den nuvarande rättsliga regleringen... SOU 1999:109

heller för register vars inrättande beslutats av riksdagen eller regeringen (s.k. statsmaktsregister) eller för register som har tagits emot för förvaring av en arkivmyndighet (2 a § första stycket 1 och 3). För sådana personregister som ofta förekommer inom en viss verksamhet för ett visst ändamål kan det meddelas särskilda föreskrifter (19 §). Följer den registeransvarige sådana föreskrifter, behövs inte något tillstånd (2 a § första stycket 2).

Sammanslutningar får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning, religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sammanslutningen (2 a § andra stycket 1).

Myndigheter inom hälso- och sjukvården får utan tillstånd för vård- eller behandlingsändamål inrätta och föra personregister som innehåller uppgifter om nå gons sjukdom eller hälsotillstånd i övrigt (2 a § andra stycket 2).

Likaså får myndigheter inom socialtjänsten utan tillstånd inrätta och föra personregister som innehåller uppgifter om att någon fått e konomisk hjälp eller vård inom socialtjänsten (2 a § andra stycket 3). Enligt förarbetena avses sådana kommunala register, vilka som ett led i en myndighets normala verksamhet innehåller uppgift om social omsorg. De uppgifter som får registreras är sådana som behövs för de verksamheter som regleras av socialtjänstlagen, lagen om vård av missbrukare och lagen med särskilda bestämmelser om vård av unga. Enligt Datainspektionens praxis innebär detta att det endast är uppgift om beslut om e konomisk hjälp eller vård samt den paragraf som beslutet grundar sig på som får registreras. Skall andra känsliga uppgifter registreras blir registret t illståndspliktigt. Detsamma gäller om registret skall användas för annat än administrativt ändamål.

Läkare och tandläkare får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om nå gons sjukdom eller hälsotillstånd i övrigt som de har fått reda på i sin yrkesverksamhet (2 a § andra stycket 4).

Arbetsgivare får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om arbetstagares sju kdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att arbetsgivaren skall kunna avgöra om han eller hon skall påbörja en rehabiliteringsutredning enligt 22 kap. 3 § andra stycket lagen (1962:381) om allmän försäkring (2 a § andra stycket 5).

Vid sin tillståndsprövning skall Datainspektionen ta ställning till om det finns anledning anta att registreringen medför ett otillbörligt intrång i den registrerades personliga integritet. Om så anses vara fallet, skall tillstånd inte meddelas. Vid denna prövning skall inspektionen särskilt beakta arten och mängden av de person uppgifter som skall ingå i registret,

SOU 1999:109 Den nuvarande rättsliga regleringen... 83

hur och från vem uppgifterna skall hämtas in, vilken inställning de som kan komma att registreras har eller kan antas ha till saken samt att inte andra uppgifter eller andra personer registreras än som står i överensstämmelse med ändamålet med registret (3 §).

Särskilda skäl krävs för att tillstånd skall kunna meddelas för inrättande och förande av personregister som omfattar andra än medlemmar, anställda eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning (3 a §).

Det krävs synnerliga skäl för att andra än myndigheter som enligt lag eller annan författning har att föra förteckning över sådana uppgifter skall kunna få tillstånd att inrätta och föra personregister som innehåller vissa angivna typer av känsliga uppgifter, såsom exempelvis uppgift om att någon misstänks eller har dömts för brott eller varit föremål för vissa tvångsingripanden (4 § första stycket).

Tillstånd att inrätta och föra personregister som i övrigt innehåller uppgifter om nå gons sjukdom, hälsotillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen får bara om det finns särskilda skäl meddelas någon annan än en myndighet som enligt lag eller annan författning har att föra en förteckning över sådana uppgifter. Särskilda skäl krävs även för registrering av uppgifter om nå gons ras eller politiska uppfattning eller religiösa övertygelse (4 § andra och tredje styckena).

När Datainspektionen meddelar tillstånd att inrätta och föra personregister, skall inspektionen samtidigt meddela föreskrift om ändamålet med registret. Föreligger särskilda skäl får tillståndet begränsas till viss tid (5 §). Vid tillståndsgivningen skall inspektionen även meddela vissa andra föreskrifter, om det behövs för att förebygga risk för otillbörligt intrång i personlig integritet (6 §). Dessa föreskrifter kan avse bl.a. inhämtande av uppgifter för personregistret, vilka personuppgifter som får ingå i registret, de bearbetningar av personuppgifterna i registret som får göras med ADB, utlämnande, bevaring och gallring. Sådana föreskrifter skall Datainspektionen också meddela i fråga om statsmaktsregister. Det gäller dock endast om registret skall innehålla sådana uppgifter att t illstånd hade krävts om det inte hade varit ett statsmaktsregister och föreskrifter i ämnet inte har meddelats av riksdagen eller regeringen (6 a §).

Den registeransvarige är skyldig att föra personregistret så att inte otillbörligt intrång i de registrerades personliga integritet uppkommer. Särskilt i 7 § anges närmare vad som skall iakttas för att nå upp till vad som brukar kallas "god registersed". Särskilt skall iakttas bl.a. att registret förs för ett bestämt ändamål och att inte andra uppgifter registreras än som står i överensstämmelse med registrets ändamål. Den registeransvarige är också skyldig att förteckna de personregister som han

84 Den nuvarande rättsliga regleringen... SOU 1999:109

eller hon är ansvarig för (7 a §). Förteckningen skall vara aktuell och hållas tillgänglig för Datainspektionen.

I datalagen finns också särskilda bestämmelser om ADB- användningen som är avsedda att garantera att person uppgifter är riktiga och fullständiga. Dessa bestämmelser, som återfinns i 8 och 9 §§, behandlar bl.a. rättelse av oriktiga och missvisande uppgifter.

En central bestämmelse är vidare 10 §. Den ger den enskilde en rätt till insyn i personregister. Där föreskrivs att den registeransvarige på skriftlig begäran av den enskilde skall underrätta denne om innehållet i registret, såvitt gäller honom eller henne. Ett sådant registerutdrag, ett s.k. § 10-utdrag, har den enskilde rätt att kostnadsfritt få en gång per år.

Enligt 11 § får personuppgift som ingår i personregister inte lämnas ut, om det finns anledning anta att uppgiften skall användas för automatisk databehandling i strid med lagen. Paragrafen gäller för andra registeransvariga än myndigheter. För myndigheter finns motsvarande bestämmelse i 7 kap. 16 § sekretesslagen (se avsnitt 4.3.3).

I datalagen finns vidare allmänna bestämmelser om gallring av personuppgifter och om vad som skall iakttas då en registeransvarig upphör att föra ett personregister för vilket Datainspektionen har meddelat tillstånd (12 §).

Vissa bestämmelser om tystnadsplikt finns i 13 §. I det allmännas verksamhet gäller dock, i stället för denna bestämmelse, reglerna i sekretesslagen.

I 14 § fanns en särskild bestämmelse om dokumentationsskyldighet som avser att göra det möjligt att i efterhand fastställa vilka uppgifter i en ADB-upptagning som har legat till grund för a vgörandet av ett mål eller ärende hos en myndighet. Sådana ADB- upptagningar skall tillföras handlingarna i målet eller ärendet i för ögat läsbar form. Undantag gäller bara om det finns särskilda skäl. Bestämmelsen finns numera i 15 kap. 14 § sekretesslagen (1980:100).

Datainspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i den registrerades personliga integritet (15–18 §§).

Inspektionen har möjlighet att meddela villkor eller, om rättelse inte kan åstadkommas på annat sätt, förbjuda förandet av personregister eller återkalla meddelade tillstånd (18 §).

Datainspektionens beslut enligt datalagen kan överklagas till länsrätten i Stockholm eller, när en statlig myndighet är registeransvarig, regeringen. Justitiekanslern får föra talan för att ta till vara allmänna intressen. (25 §.)

Bestämmelser om straff och skadestånd finns i 20, 21 och 23 §§. Ett personregister kan förklaras förverkat, om det inrättas eller förs utan nödvändig licens eller tillstånd (22 §).

I datalagen reglerades även det statliga person- och adressregistret (SPAR), 26–28 §§. Sedan den 24 oktober 1998 regleras dock detta register i lagen (1998:527) om det statliga personadressregistret.

4.3.6Personuppgiftslagen (1998:204)

Personuppgiftslagen (prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180, SFS 1998:204), som trädde i kraft den 24 oktober 1998, har ersatt den tidigare datalagen. Lagen innebär ett genomförande i svensk lagstiftning av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

Regeringen har i personuppgiftsförordningen (1998:1191) gett kompletterande föreskrifter beträffande sådan behandling av personuppgifter som omfattas av personuppgiftslagen. Vidare har Datainspektionen meddelat föreskrifter om, dels skyldigheten att anmäla behandlingar av personuppgifter till inspektionen (DIFS 1998:2), dels undantag från förbudet för andra än myndigheter att behandla person uppgifter om lagöverträdelser m.m. (DIFS 1998:3).

Personuppgiftslagens tillämpningsområde

Personuppgiftslagen omfattar all behandling av personuppgifter som är helt eller delvis automatiserad (5 § första stycket). Lagen gäller även för manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. i ett register (5 § andra stycket). Personuppgiftslagen har därmed ett bredare tillämpningsområde än datalagen, som endast gäller personregister som inrättades eller fördes med hjälp av ADB.

Till skillnad från EG-direktivet omfattar person uppgiftslagen även sådan behandling av personuppgifter som sker inom ramen för verksamheter som inte omfattas av gemenskapsrätten, t.ex. statens verksamhet på straffrättens område eller verksamhet som rör allmän säkerhet eller försvar. I likhet med datalagen är alltså personuppgiftslagen generellt tillämplig. Dock gäller att om det i annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen de bestämmelserna skall gälla (2 §). De särregler som kan vara nödvändiga på vissa områden förutsätts få sin plats i särskilda registerförfattningar, som helt eller

delvis tar över den generella regleringen i personuppgiftslagen (a. prop. s. 40 f.).

Personuppgiftslagen gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Detta innebär enligt förarbetena (a. prop. s. 54) t.ex. att enskilda för rent privat bruk kan föra en elektronisk dagbok eller registrera sina grannar eller släktingar. Vidare görs i lagen i förtydligande syfte ett undantag för all sådan behandling av personuppgifter som skyddas av tryckfrihetsförordningen och yttrandefrihetsgrundlagen (7 § första stycket). Vidsträckta undantag från lagens regler gäller även i fråga om sådan behandling som annars utförs uteslutande för journalistiska ändamål eller för konstnärligt eller litterärt skapande (7 § andra stycket). Lagen innehåller också en bestämmelse – även den enligt regeringen i förtydligande syfte, eftersom personuppgiftslagens bestämmelser inte kan ta över bestämmelser i grundlag – som anger att personuppgiftslagen inte skall tillämpas, om en sådan tillämpning skulle inskränka myndigheternas skyldighet att lämna ut uppgifter enligt 2 kap. tryckfrihetsförordningen (8 § första stycket).

Definitioner

Genom personuppgiftslagen utmönstras en rad begrepp som använts i datalagen, t.ex. personregister och i stället införs en rad nya begrepp, vilka definieras i 3 §. Med behandling (av personuppgifter) avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning , inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. I lagen används även andra begrepp, till vilka utredningen återkommer i det följande.

Grundläggande krav på behandling av personuppgifter

I 9 § läggs det fast vissa grundläggande krav på behandlingen av personuppgifter. Den personuppgiftsansvarige skall se till att a) personuppgifter behandlas bara om det är lagligt, b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen, g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella, h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och i) personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

För behandlingen av personuppgifter för historiska, statistiska eller vetenskapliga ändamål gäller vissa särregler. Enligt 9 § andra och tredje styckena gäller att behandling för sådana ändamål inte skall anses oförenlig med de ändamål för vilka uppgifterna samlades in och att personuppgifter insamlade för sådana ändamål får bevaras under en längre tid än vad som sägs i punkten i) ovan. Dock gäller att uppgifterna inte får bevaras under en längre tid än som behövs för dessa ändamål. I fjärde stycket sägs att personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Den sistnämnda bestämmelsen gäller dock inte för en myndighets användning av person uppgifter i allmänna handlingar (8 § andra stycket sista meningen). Myndigheterna får alltså trots bestämmelsen i 9 § fjärde stycket använda information i allmänna handlingar för att vidta åtgärder beträffande enskilda. Övriga bestämmelser i personuppgiftslagen skall däremot följas när en myndighet på detta sätt återanvänder personuppgifter, t.ex. bestämmelsen i 9 § första stycket d om att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (a. prop. s.120).

När behandling av personuppgifter är tillåten

Lagens 10 § innehåller en uttömmande uppräkning av de fall då personuppgifter får behandlas. Om känsliga personuppgifter, uppgifter om lagöverträdelser m.m. eller personnummer skall behandlas, måste behandlingen dessutom vara tillåten i enlighet med 13–22 §§. Innebär behandlingen att personuppgifter överförs till tredje land, dvs. till stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet, måste också 33–35 §§ följas.

Enligt 10 § är behandling av personuppgifter t illåten endast om den registrerade, dvs. den som en personuppgift avser, har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att

a)ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,

b)den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,

c)vitala intressen för den registrerade skall kunna skyddas,

d)en arbetsuppgift av allmänt intresse skall kunna utföras,

e)den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

f)ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Med samtycke avses enligt 3 § varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Med begreppet tredje man avses i personuppgiftslagen någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, dvs. den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt, personuppgiftsbiträdet , varmed förstås den som behandlar personuppgifter för den personuppgiftsansvariges räkning, och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter.

Enligt 11 § får personuppgifter inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personupp-

giftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

I 12 § finns bestämmelser om återkallelse av samtycke m.m. Enligt första stycket har den registrerade – i de fall då behandling av personuppgifter bara är t illåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § – rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. Behandlingen av redan insamlade uppgifter får däremot trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade samtycket, men uppgifterna får således inte t.ex. uppdateras eller kompletteras (a. prop. s. 123). I andra stycket sägs att en registrerad utöver vad som följer av första stycket och 11 § inte har rätt att motsätta sig sådan behandling av personuppgifter som är t illåten enligt person uppgiftslagen.

Förbud mot behandling av känsliga personuppgifter

För behandlingen av känsliga personuppgifter gäller särskilt restriktiva regler. I 13 § finns ett principiellt förbud mot att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, eller som rör hälsa eller sexualliv. Uppgifter av den angivna arten betecknas i lagen som känsliga personuppgifter (13 § andra stycket). Det är att notera att en del av det som enligt datalagen omfattas av särskilda regler – t.ex. uppgifter om att någon misstänks eller dömts för brott, att någon avtjänat straff eller undergått annan påföljd för brott, att någon varit föremål

för tvångsingripanden enligt viss lagstiftning, att någon fått ekonomisk hjälp eller vård inom socialtjänsten, att någon varit föremål för åtgärd enligt utlänningslagen eller uppgifter om någon som utgör omdöme eller annan värderande upplysning – inte omfattas av bestämmelserna om känsliga uppgifter i personuppgiftslagen.

I förarbetena (a. prop. s. 68) uttalar regeringen att den gjort bedömningen att det skulle vara oförenligt med EG-direktivet att utvidga området för direktivets bestämmelser om känsliga uppgifter till att omfatta allt det som regleras av särskilda regler enligt datalagen. Att göra så skulle, menade regeringen, hindra det fria flödet av sådana uppgifter inom EU. Regeringen framhåller att denna bedömning – som även Datalagskommittén gjorde – inte verkar ha ifrågasatts av någon remissinstans.

Undantag från förbudet mot behandling av känsliga personuppgifter

Förbudet i 13 § mot behandling av känsliga personuppgifter är emellertid inte undantagslöst (14 §). I 15–19 §§ regleras under vilka omständigheter en behandling av känsliga uppgifter trots förbudet är t illåten.

Enligt 15 § får känsliga personuppgifter behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.

Vidare får enligt 16 § känsliga personuppgifter behandlas om behandlingen är nödvändig för att a) den person uppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.

Uppgifter som behandlas med stöd av a) får lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utlämnandet.

Vidare får ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det. Detta framgår av 17 §.

För hälso- och sjukvårdsändamål får, enligt 18 §, känsliga personuppgifter behandlas, om behandlingen är nödvändig för a) förebyggande hälso- och sjukvård, b) medicinska diagnoser, c) vård eller behandling, eller d) administration av hälso- och sjukvård. Vidare får den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt alltid behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som inte är verksam inom hälso- och sjukvårdsområdet men är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvården.

I 19 § regleras när känsliga personuppgifter – utan samtycke från den registrerade – får behandlas för forsknings- och statistikändamål. I förarbetena (prop. 1997/98:44 s. 127) sägs att med forskning i första hand avses den verksamhet som bedrivs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletablerade forskningsinstitut. Även sådana epidemiologiska undersökningar som utförs vetenskapligt omfattas. Släktforskning faller utanför, liksom annan forskning eller utredningsverksamhet av mera privat natur. Det måste finnas ett samhällsintresse av att forskningen bedrivs, och den måste vara vetenskaplig i

någon mening. Med statistik avses numeriska sammanställningar av elementära observationer som kan hänföras till händelser, flöden eller tillstånd och verksamhet för att göra sådana sammanställningar.

Enligt 19 § första stycket får känsliga personuppgifter behandlas för forsknings- och statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingår klart överväger den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Med statistikprojekt avses enligt förarbetena (a. prop. s. 127) även sådan statistikframställning som sker återkommande, t.ex. årligen, dvs. vad som brukar kallas en statistikprodukt.

Det är i första hand den personuppgiftsansvarige som har att på eget ansvar göra denna avvägning. Om behandlingen inom ett aktuellt projekt godkänts av en forskningsetisk kommitté, behöver dock den person uppgiftsansvarige inte göra någon egen avvägning. Då skall nämligen, enligt 19 § andra stycket, förutsättningarna enligt avvägningsnormen anses uppfyllda.

Enligt 19 § tredje stycket får personuppgifter lämnas ut för att användas i sådana projekt som avses i första stycket, om inte något annat följer av regler om sekretess och tystnadsplikt. Bestämmelsen för med sig att den forskare eller statistiker som i enlighet med bestämmelsen hämtar in personuppgifter från något annat håll än de registrerade inte automatiskt behöver informera de registrerade om sin behandling (jfr 24 § andra stycket).

I 20 § finns ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om ytterligare undantag från förbudet i 13 § mot behandling av känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. Några generella sådana föreskrifter har ännu inte utfärdats. Däremot kan nämnas bl.a. att regeringen i Rättsinformationsförordningen (1999:175) har föreskrivit om visst undantag från förbudet att behandla personuppgifter som avslöjar politiska åsikter (22 §).

Enligt 21 § är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Som exempel på administrativa frihetsberövanden nämns i förarbetena (a. prop. s. 76) tvångsingripanden enligt lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, lagen (1967:940) angående omsorger om vissa psykiskt utvecklingsstörda och utlänningslagen (1989:529).

92 Den nuvarande rättsliga regleringen... SOU 1999:109

Regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter om undantag från förbudet i 21 § (21 § tredje stycket). Vidare får regeringen eller, om regeringen så bestämmer, tillsynsmyndigheten i enskilda fall besluta om undantag från förbudet. Som exempel på fall där det kan vara befogat med undantag nämns i förarbetena (a. prop. s. 75 f.) den behandling av uppgifter om t.ex. brottmålsdomar som privata vård- och behandlingshem kan behöva utföra för att vårda och behandla den dömde på ett effektivt sätt.

Datainspektionen har med stöd av regeringens bemyndigande (8 § personuppgiftsförordningen, 1998:1191) meddelat föreskrifter om un-

Behandling av personnummer

Uppgifter om personnummer får som huvudregel behandlas endast om samtycke lämnats (22 §). Sådana uppgifter får dock behandlas även när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl.

Information till den registrerade

I 23–27 §§ finns bestämmelser om information till den registrerade. Enligt 23 § skall den personuppgiftsansvarige i samband med att

uppgifter om en person samlas in från personen själv, självmant lämna den registrerade information om behandlingen av uppgifterna.

När uppgifterna samlas in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras (24 §). Är uppgifterna avsedda att lämnas ut till tredje man, be höver informationen dock inte ges förrän uppgifterna lämnas ut för första gången. In- formation enligt 24 § behöver dock inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet i en lag eller någon annan författning (24 § andra stycket).

Enligt samma lagrum behöver information inte heller lämnas om detta visar sig omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.

I 25 § anges vilken information som skall lämnas självmant. Informationen enligt 23 eller 24 § skall omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen, och all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

Enligt 26 § är den personuppgiftsansvarige skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen, och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. I 26 § andra stycket finns det bestämmelser dels om den registrerades ansökan om information, dels om vid vilken tidpunkt efter ansökan som den personuppgiftsansvarige skall lämna informationen. I 26 § tredje stycket finns vissa undantagsbestämmelser beträffande personuppgifter i löpande text. Med mottagare avses (3 §) den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

I 27 § finns en bestämmelse om undantag från informationsskyldigheten enligt 23–26 §§ vid sekretess och tystnadsplikt. I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den registrerade.

Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om bl.a. vilken information som skall lämnas till registrerade och hur lämnandet av information skall gå till (50 § e).

Regeringen har i 13 § 5 personuppgiftsförordningen bem yndigat Datainspektionen att meddela föreskrifter om vilken information som skall lämnas till registrerade och hur informationen skall lämnas. Några generella sådana föreskrifter har emellertid ännu inte utfärdats.

Rättelse

Enligt 28 § skall den personuppgiftsansvarige på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har meddelats med stöd av lagen. Det föreskrivs också skyldighet att under vissa förutsättningar underrätta tredje man som fått del av sådana uppgifter, om den vidtagna åtgärden. Med blockering (av personuppgifter) avses en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen (3 §).

Automatiserade beslut

I 29 § finns bestämmelser om automatiserade beslut, dvs. beslut som har rättsliga följder eller annars har märkbara verkningar för en fysisk person och som grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen. Som exempel på sådana uppgifter nämns i förarbetena (a. prop. s. 88) arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. Enligt bestämmelsens första stycke skall den som berörs av ett sådant beslut ha möjlighet att på begäran få beslutet omprövat av någon person. I andra stycket sägs att var och en som varit föremål för ett automatiserat beslut har rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet. Informationsskyldigheten avser således bara vad som styrt behandlingen, dvs. den tekniska processen, och inte t.ex. närmare information om bankers regler eller gränsvärden för kreditgivning (a. prop. s. 135).

Säkerheten vid behandling och överförande av personuppgifter till tredje land

I 30–32 §§ finns bestämmelser om säkerheten vid behandling och i 33– 35 §§ regleras överföring av personuppgifter till tredje land.

Den som arbetar med personuppgifter får bara behandla dessa i enlighet med instruktioner från den personuppgiftsansvarige (30 §). Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet i sådana frågor, skall dessa dock gälla.

SOU 1999:109 Den nuvarande rättsliga regleringen... 95

Enligt 31 § skall den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de person uppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade uppgifterna är.

Enligt 50 § b får regeringen eller m yndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandlingen av personuppgifter. Regeringen har i personuppgiftsförordningen (13 §) bem yndigat Datainspektionen att meddela sådana föreskrifter. Några generella sådana föreskrifter har emellertid ännu inte utfärdats.

I 33 § finns ett förbud mot överföring av personuppgifter till tredje land. Detta förbud är emellertid inte undantagslöst. I 34 § personuppgiftslagen finns en uppräkning av i vilka fall det är t illåtet att föra över personuppgifter till tredje land. Bl.a. får så ske om den registrerade har lämnat sitt samtycke till överföringen. Vidare kan ytterligare undantag från förbudet göras med stöd av 35 §. Enligt den bestämmelsen får regeringen eller den myndighet som regeringen bestämmer (Datainspektionen, 11 § personuppgiftsförordningen) bl.a. meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter.

I bl.a. förordningen (1995:1386) med instruktion för Patent- och registreringsverket och i Rättsinformationsförordningen (1999:175) finns särskilda bestämmelser som tillåter att person uppgifter får lämnas ut till tredje land.

I en lagrådsremiss den 17 juni 1999 föreslår regeringen att personuppgiftslagens bestämmelse om förbud mot överföring av personuppgifter till tredje land ändras. Enligt förslaget skall överföring av personuppgifter till tredje land inte längre vara förbjuden, om det tredje landet har en adekvat skyddsnivå för skyddet av person uppgifter.

Anmälan till tillsynsmyndigheten

Enligt personuppgiftslagen är tillsynsmyndigheten den myndighet som regeringen utser för att utöva tillsyn. Enligt 2 § person uppgiftsförordningen är Datainspektionen tillsynsmyndighet enligt person uppgiftslagen.

Något tillståndsförfarande – motsvarande det som finns i datalagen – förekommer inte i personuppgiftslagen. Däremot föreskrivs i 36 § att

96 Den nuvarande rättsliga regleringen... SOU 1999:109

behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling genomförs. Regeringen eller den myndighet som regeringen bestämmer (Datainspektionen, 6 § personuppgiftsförordningen) får dock meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. I personuppgiftsförordningen har regeringen (3–5 §§) föreskrivit om undantag från anmälningsskyldigheten enligt personuppgiftslagen. Bl.a. gäller anmälningsskyldigheten inte för behandling av personuppgifter som regleras genom särskilda föreskrifter i lag eller förordning (3 § 3).

Vidare behöver anmälan inte göras, om den person uppgiftsansvarige till tillsynsmyndigheten har anmält att ett person uppgiftsombud har utsetts och vem denne är (37 §). Även entledigande av ett personuppgiftsombud skall anmälas till tillsynsmyndigheten. Om det på grund av entledigande inte längre finns något anmält personuppgiftsombud, måste den personuppgiftsansvarige enligt 36 § anmäla de behandlingar som påbörjas därefter.

I förarbetena (a. prop. s. 140) sägs att ett personuppgiftsombud kan vara en anställd hos den personuppgiftsansvarige, men att ombudet då måste ges en sådan ställning att befogenheterna som personuppgiftsombud kan utövas på ett självständigt sätt i förhållande till arbetsgivaren.

Ett anlitat personuppgiftsbiträde eller någon anställd hos biträdet kan utses till personuppgiftsombud under förutsättning att den utsedde ges förutsättningar att utöva sitt uppdrag självständigt. Däremot kan en personuppgiftsansvarig inte utse sig själv till personuppgiftsombud. I personuppgiftsombudets självständiga ställning ligger vidare att personuppgiftsombudet skall ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter.

Enligt 38 § skall personuppgiftsombudet ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för honom eller henne. Har ombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall ombudet anmäla förhållandet till tillsynsmyndigheten. Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamheter om hur de bestämmelser som gäller för behandlingen skall tillämpas.

Vidare skall personuppgiftsombudet föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits

(39 §) samt skall ombudet hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga (40 §).

I 41 § föreskrivs om obligatorisk anmälan av särskilt integritetskänsliga behandlingar. Enligt bestämmelsen får regeringen meddela föreskrifter om att sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten tre veckor i förväg. Sådana föreskrifter finns bl.a. i 9 § personuppgiftsförordningen och i 2 § förordningen (1999:105) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar. Om regeringen har meddelat sådana föreskrifter gäller inte undantaget från anmälningsskyldigheten enligt 37 §, dvs. att anmälan inte behöver göras om det finns ett personuppgiftsombud.

Upplysningar till allmänheten om behandlingar som inte anmälts

Enligt 42 § skall den personuppgiftsansvarige till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Den person uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter om vilka säkerhetsåtgärder som har vidtagits. En personuppgiftsansvarig som inte är myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter.

Tillsynsmyndighetens befogenheter

I 32 och 43–47 §§ finns bestämmelser om t illsynsmyndighetens befogenheter.

I 32 § sägs att tillsynsmyndigheten i enskilda fall får besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta.

Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen (43 §).

Om myndigheten därvid inte kan få tillräckligt underlag för att konstatera att behandlingen är laglig, får myndigheten vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på annat sätt än genom att lagra dem (44 §). Detsamma gäller om det konstaterats att personuppgifter behandlas eller kan komma att behandlas på ett olagligt

sätt och det inte går att åstadkomma rättelse på något annat sätt eller om saken är brådskande (45 §). Om saken är brådskande, får tillsynsmyndigheten också meddela ett tillfälligt beslut om vite innan den personuppgiftsansvarige fått t illfälle att yttra sig (46 §). Det tillfälliga beslutet skall då omprövas när yttrandetiden gått ut.

Enligt 47 § får tillsynsmyndigheten hos länsrätt ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas.

Överklagande

Tillsynsmyndighetens beslut enligt personuppgiftslagen om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Myndigheten får dock bestämma att beslutet skall gälla även om det överklagas (51 §). Prövningstillstånd krävs vid överklagande till kammarrätt.

Skadestånd

I 48 § föreskrivs att den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen vid behandling av personuppgifter har orsakat. Ersättningsskyldigheten kan dock i den utsträckning det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Straff

I 49 § finns straffbestämmelser. Den som uppsåtligen eller av oaktsamhet lämnar osanna uppgifter i information eller anmälan enligt lagen, i strid med lagens bestämmelser behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. eller för över person uppgifter till tredje land eller låter bli att göra en anmälan om behandling till tillsynsmyndigheten straffas med böter eller fängelse i högst sex månader. Om brottet är grovt får dömas till fängelse i högst två år.

I den tidigare nämnda lagrådsremissen den 17 juni 1999 föreslår regeringen också viss ändring av personuppgiftslagens straffbestämmelser. Enligt förslaget skall ansvar för en gärning inte dömas ut i ringa fall.

SOU 1999:109 Den nuvarande rättsliga regleringen... 99

Närmare föreskrifter

Som framgått av det föregående får regeringen eller den myndighet som regeringen bestämmer enligt 50 § meddela närmare föreskrifter om bl.a. i vilka fall behandling av personuppgifter är t illåten, vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter, och i vilka fall användning av person uppgifter är t illåten.

Ikraftträdande- och övergångsbestämmelser

Personuppgiftslagen har, som tidigare har nämnts, trätt i kraft den 24 oktober 1998, då datalagen upphört att gälla. Enligt personuppgiftslagens övergångsbestämmelser skall för sådana behandlingar som påbörjats vid den tidpunkten personuppgiftslagen tillämpas först den 1 oktober 2001. Detsamma gäller behandling av nya personuppgifter om behandling för ändamålet påbörjats vid ikraftträdandet. Vissa bestämmelser i personuppgiftslagen tillämpas inte på påbörjad manuell behandling av personuppgifter förrän den 1 oktober 2007. Dessa bestämmelser tillämpas inte heller på pågående lagring av person uppgifter för historisk forskning förrän uppgifterna börjar behandlas på något annat sätt.

4.3.7Registerförfattningar

Särskilda registerförfattningar har på senare år blivit alltmer vanliga. En registerförfattning innebär en specialreglering i förhållande till personuppgiftslagen i syfte att komplettera den eller i vissa delar ersätta den. En särskild författning anses under vissa förutsättningar innebära en bättre garanti för utformning av integritetsskyddet i särskilt känsliga register. Sådan särskild författningsreglering av personregister har skett utifrån det principiella ställningstagandet att personregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör vara reglerade i lag (prop. 1990/91:60 s. 56 ff. och bet. 1990/91:KU11 s. 11).

Registerförfattningar finns i dag inom flera områden och omfattar bl.a. behandling av personuppgifter om totalförsvarspliktiga, skatteregister, hälsodata- och vårdregister, socialförsäkringsregister och polisregister.

Angående behovet av registerförfattningar se avsnitt 6.1.1. Där redovisas Pliktregisterutredningens i betänkandet Behandling av personuppgifter om totalförsvarspliktiga (SOU 1997:101) s. 103 f., Datalagskommitténs i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39) s. 208 ff. och regeringens i prop. 1997/98:44 Personuppgiftslag (s. 40 f), resonemang i frågan.

4.3.8Arkivlagen (1990:782)

Arkivlagen (1990:782) innehåller bestämmelser om m yndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna. Enligt 3 § bildas en myndighets arkiv enbart av de allmänna handlingarna från myndighetens verksamhet samt av sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen (vissa minnesanteckningar och utkast eller koncept) och som myndigheten beslutar skall tas om hand för arkivering.

Handlingar får enligt 10 § arkivlagen gallras. Vid gallringen skall dock beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår skall kunna tillgodose de ändamål som anges i 3 § arkivlagen, nämligen att tillgodose rätten att ta del av allmänna handlingar, rättskipningens och förvaltningens behov av information samt forskningens behov. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser.

Utredningen återkommer i avsnitt 6.13 till bl.a. arkivlagens bestämmelser om bevarande och gallring.

4.4Internationell reglering

4.4.1EG:s dataskyddsdirektiv

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter ålägger EU:s medlemsstater att inom tre år genom lagstiftning eller på annat sätt ge föreskrifter av det innehåll som framgår av direktivet. Som framgått av avsnitt 4.3.6 gäller i Sverige sedan den 24 oktober 1998 personuppgiftslagen, vars bestämmelser i huvudsak följer direktivets text och disposition.

Dataskyddsdirektivet innebär inte att man skall anta en gemensam personuppgiftslag för hela EU. Ett direktiv är endast bindande i fråga om det resultat som skall uppnås och överlämnar åt medlemsländerna att själva välja form och metod för detta. Direktivet utgör endast den ram inom vilken medlemsländerna skall införliva de principer som fastställts i direktivet.

Det förekommer att ett EG-direktiv är ett s.k. minimidirektiv, dvs. att det innehåller endast minimibestämmelser. Medlemsstaterna måste då kunna garantera att minimiskyddet enligt EG-direktivet alltid uppfylls men det är tillåtet att upprätthålla eller införa regler som innebär ett starkare skydd för de aktuella intressena. Är det inte fråga om ett sådant

minimidirektiv måste medlemsstaterna kunna garantera att varken strängare eller mildare nationella bestämmelser gäller än vad som följer av EG-direktivet.

Enligt rådande uppfattning är EG:s datas kyddsdirektiv inte ett minimidirektiv (se bl.a. SOU 1997:39 s. 109 ff. och prop. 1997/98:44 s. 34). I stället kan man, som regeringen uttalar i prop. 1997/98:108 s. 34, säga att direktivet är av både minimi- och maximikaraktär. Det är alltså inte tillåtet att föreskriva – eller behålla – ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än som följer av direktivet. Däremot får medlemsstaterna inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. I artikel 1.2 finns en uttrycklig bestämmelse som säger att medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna med hänvisning till den enskildes integritetsskydd sådant det framgår av direktivet. Som framgått av avsnitt 4.3.6 har regeringen t.ex. ansett att det skulle vara oförenligt med EG-direktivet att i personuppgiftslagen ha en annan definition av känsliga personuppgifter än den som finns i EG-direktivet (prop. 1997/98:44 s. 68). Att göra så skulle, menade regeringen, hindra det fria flödet av sådana uppgifter inom Europeiska unionen och därmed strida mot direktivet.

Det finns två syften med direktivet (artikel 1). Det ena syftet är att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. Det andra syftet är att skapa förutsättningar för ett fritt flöde av personuppgifter mellan medlemsstaterna.

Artikel 2 innehåller definitioner av bl.a. personuppgifter och behandling av personuppgifter. Med personuppgifter – som ges en vid definition

– avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Med sådan förstås person som kan identifieras direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet. Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (artikel 2 b).

102 Den nuvarande rättsliga regleringen... SOU 1999:109

Registerbegreppet används i EG-direktivet beträffande manuell behandling av personuppgifter. I övrigt används inte det begreppet utan det talas i stället om behandling av personuppgifter för bestämda ändamål.

Huvudregeln är att direktivet gäller endast för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg (artikel 3). Men direktivet gäller också för manuell behandling av personuppgifter, om uppgifterna ingår i eller kommer att ingå i ett register. Direktivet är inte tillämpligt på sådan verksamhet som faller utanför gemenskapsrätten.

Registeransvarig är enligt direktivet den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När ändamålen och medlen för behandlingen bestäms av nationella lagar och andra författningar eller av gemenskapsrätten kan emellertid den registeransvarige eller de särskilda kriterierna för att utse denne, anges i nationell rätt eller i gemenskapsrätten.

De principer som medlemsländerna skall ta in i sin lagstiftning är enligt artikel 6 att personuppgifter skall a) behandlas korrekt och lagligt, b) samlas in för särskilda, uttryckligt angivna och berättigade ändamål.

Senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Dock skall behandling för historiska, statistiska eller vetenskapliga ändamål inte anses oförenlig med ursprungliga ändamål, om lämpliga skyddsåtgärder beslutas. Person uppgifterna skall c) vara adekvata, relevanta och inte överflödiga i förhållande till de ändamål för vilka de samlas in och behandlas, d) vara riktiga och, om nödvändigt, aktuella. Oriktiga uppgifter eller ofullständiga uppgifter skall utplånas eller rättas. Personuppgifterna skall e) inte förvaras på ett sätt som gör det möjligt att under längre tid än som är nödvändigt för de ändamål för vilka uppgifterna behandlas identifiera enskilda. Lämpliga s kyddsåtgärder skall vidtas för personuppgifter som lagras för historisk, statistisk eller vetenskaplig användning under längre perioder.

Enligt direktivet är behandling av personuppgifter t illåten endast under vissa förutsättningar. De generella bestämmelserna härom finns i artikel 7, medan artikel 8 innehåller bestämmelser för s.k. känsliga personuppgifter. Enligt artikel 7 är behandling av personuppgifter t illåten om a) den registrerade givit sitt otvetydiga samtycke eller behandlingen är nödvändig för b) att fullgöra ett avtal i vilket den registrerade är part eller för att på den registrerades begäran vidta åtgärder inför detta avtal,

c) att uppfylla en rättslig förpliktelse som åvilar den registeransvarige, d) att skydda intressen som är av grundläggande betydelse för den registrerade, e) att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning av den registeransvarige eller av tredje man till vil-

SOU 1999:109 Den nuvarande rättsliga regleringen... 103

ken personuppgifterna lämnas ut eller, f) ändamål som rör berättigade intressen hos den registeransvarige eller hos den tredje man till vilken uppgifterna lämnas ut, utom då den registrerades intressen tar över. Med begreppet tredje man avses i direktivet någon annan än den registrerade, den registeransvarige, den som behandlar personuppgifter för den registeransvariges räkning (registerföraren) eller de personer som under den registeransvariges eller registerförarens direkta ansvar har befogenhet att behandla uppgifterna.

I artikel 8.1 föreskrivs som huvudregel förbud mot behandling av känsliga uppgifter. Med sådana uppgifter avses uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexua lliv.

I artikel 8.2 anges emellertid ett antal undantag från huvudregeln, bl.a. om den registrerade har gett sitt samtycke till behandlingen. Huvudregeln gäller inte heller när behandlingen är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam inom området eller är underkastad tystnadsplikt (artikel 8.3).

Om lämpliga skyddsåtgärder vidtas, får genom nationell lagstiftning beslutas om andra undantag från huvudregeln i artikel 8.1 om det krävs av hänsyn till ett viktigt allmänt intresse (artikel 8.4).

Direktivet innehåller inte något förbud avseende behandling av uppgifter om brott. I artikel 8.5 föreskrivs dock att uppgifter om la göverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock, enligt vad som vidare anges i artikel 8.5, föras endast under kontroll av en myndighet.

Direktivet innehåller också bestämmelser om bl.a. rätt för den registrerade att motsätta sig uppgiftsbehandling i vissa fall, begränsningar vad gäller möjligheterna att grunda för den enskilde betydelsefulla beslut enbart på en automatisk databehandling av uppgifter som avser dennes personliga egenskaper, information till den registrerade, den enskildes rätt till insyn och rättelse samt om datasäkerhet, sekretess och gallring.

För vissa fall ges möjligheter att göra avsteg från vad som föreskrivs

i direktivet. I artikel 13.1 ges sålunda medlemsstaterna möjligheter att genom lagstiftning begränsa omfattningen av de skyldigheter och rättigheter som följer av artiklarna 6.1 (principer för de behandlade personuppgifternas kvalitet), 10 (information vid insamling av uppgifter från den registrerade), 11.1 (information när uppgifterna inte har samlats in

vissa särskilt angivna ändamål, bl.a. förebyggande, undersökning eller avslöjande av brott.

Artikel 18 innehåller bestämmelser som ålägger medlemsstaterna att föreskriva att den registeransvarige eller dennes företrädare skall underrätta tillsynsmyndigheten före genomförandet av en behandling som helt eller delvis genomförs på automatisk väg eller en serie sådana behandlingar som har samma eller närbesläktade ändamål. För vissa fall finns det möjligheter till undantag och förenklingar av anmälningsproceduren (artikel 18.2–4).

Enligt artikel 20 är medlemsstaterna skyldiga att bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter samt att säkerställa att sådana behandlingar kontrolleras innan de påbörjas. Sådana förhandskontroller skall utföras av tillsynsmyndigheten men kan också utföras som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd, vilken definierar behandlingens art och anger lämpliga skyddsåtgärder (artikel 20.3).

Direktivet innehåller även bestämmelser rörande överföring av personuppgifter till länder utanför den Europeiska gemenskapen. Enligt huvudregeln skall medlemsländerna föreskriva att en överföring av sådana uppgifter, som är under behandling eller är avsedda att behandlas efter överföring till tredje land, får ske endast om ifrågavarande tredje land säkerställer en adekvat skyddsnivå (artikel 25.1).

Medlemsstaterna skall enligt artikel 22 föreskriva att var och en har rätt att föra talan inför domstol om kränkningar av sådana rättigheter som skyddas av den nationella lagstiftning som är tillämplig på behandlingen i fråga. Enligt artikel 23 skall även föreskrivas att var och en, som lidit skada till följd av en otillåten behandling eller någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av direktivet, har rätt till ersättning av den registeransvarige för den skada han lidit.

Som inledningsvis nämndes har genom personuppgiftslagen i svensk rätt införlivats de principer och riktlinjer som direktivet innehåller. Personuppgiftslagen behandlas ovan i avsnitt 4.3.6.

4.4.2Europarådets dataskyddskonvention

Europarådets ministerkommitté antog år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter (SÖ 1982:50), den s.k. dataskyddskonventionen. Konventionen trädde i kraft den 1 oktober 1985 och har ratificerats av ett antal länder, bl.a. Sverige. Syftet med konventionen är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter (artikel 1). Utgångspunkten är att vissa av den enskildes rättigheter kan

behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter.

Med personuppgifter avses i detta sammanhang all information som kan hänföras till en identifierad eller identifierbar person. Till automatisk databehandling hänförs i konventionen såväl lagring av uppgifter som utförandet av logisk eller aritmetisk behandling av dessa samt ändring, utplåning, återvinning eller spridning av uppgifterna.

Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet (artikel 3). Därutöver finns vissa möjligheter att göra undantag från några av de enskilda bestämmelserna (artikel 9). Reservationer mot bestämmelserna i övrigt får inte göras (artikel 25). Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11).

I konventionens centrala bestämmelser (artiklarna 4–11) ställs vissa grundläggande principer för dataskydd upp. De innebär bl.a. följande. Personuppgifter som skall undergå automatisk databehandling skall inhämtas och behandlas på ett korrekt sätt. De skall lagras och behandlas på ett korrekt sätt. De skall lagras för särskilt angivna och lagliga ändamål. Uppgifterna skall vidare vara relevanta för dessa ändamål och får inte användas på ett sådant sätt som är oförenligt med dem (artikel 5). Vissa kategorier av personuppgifter får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd. Detta gäller i fråga om uppgifter om ras, politisk åskådning, religiös tro och annan övertygelse, hälsa, sexualliv samt brottmålsdomar (artikel 6). Lämpliga säkerhetsåtgärder skall vidtas för att skydda person uppgifter mot oavsiktlig eller otillåten förstörelse (artikel 7). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få rättelse till stånd om personuppgifter

har behandlats i strid med nationell lagstiftning som syftar till att förverkliga de i artiklarna 5 och 6 fastlagda principerna.

Undantag får enligt konventionen göras i fråga om kraven på personuppgifternas beskaffenhet, förutsättningarna för behandling av känsliga uppgifter och vissa andra föreskrivna s kyddsåtgärder. För sådana avvikelser krävs dock dels att de har stöd i nationell lagstiftning, dels att de är nödvändiga i ett demokratiskt samhälle för att skydda statens säkerhet eller dylikt eller för att skydda den registrerades eller andra personers fri- och rättigheter.

4.4.3Europarådets rekommendationer om dataskydd

Europarådet har antagit ett flertal rekommendationer om dataskydd inom olika områden. Dessa rekommendationer är i och för sig inte bindande för medlemsländerna men genom att anta en rekommendation utan reservation anses medlemslandet i princip åtagit sig att följa den och försöka anpassa sin nationella lagstiftning till rekommendationens innehåll. Av intresse för utredningens arbete torde vara endast rekommendationen om skydd för person uppgifter som används för forskning och statistik, No. R (83) 10.

Rekommendationen om skydd för personuppgifter som används för forskning och statistik, No. R (83) 10

Sverige har utan reservation anslutit sig till rekommendationen som antogs år 1983. Syftet med rekommendationen är att t illgodose såväl forskningens behov som skyddet för den enskildes integritet. Rekommendationen är tillämplig på person uppgifter som uteslutande används för vetenskaplig forskning och statistik, såväl inom den allmänna som inom den enskilda sektorn och oberoende av om uppgifterna förs med hjälp av ADB eller manuellt.

Respekten för den personliga integriteten skall garanteras i varje projekt som använder personuppgifter. Är det mö jligt skall projekten utföras med anonyma uppgifter. Vidare får personuppgifter som erhå llits för forskning och statistik inte användas för någon annat ändamål än dessa. Personuppgifter som med den enskildes samtycke samlats in för ett särskilt projekt får inte utan den enskildes samtycke användas i samband med något annat ändamål.

SOU 1999:109 Den nuvarande rättsliga regleringen... 107

Personuppgifter som används för forskning och statistik får inte publiceras i identifierbar form, såvida inte de berörda lämnat sitt samtycke och det sker i enlighet med skyddsbestämmelser i inhemsk lag.

Så långt det är möjligt skall det i varje projekt anges om person uppgift skall förstöras, avidentifieras eller bevaras när projektet är avslutat och i så fall under vilka former som uppgifterna skall bevaras.

I Europarådet har en ny rekommendation till skydd för person uppgifter som samlas in och behandlas för statistik förhandlats fram. Denna förväntas ersätta den nuvarande rekommendationen.

4.4.4OECD:s riktlinjer

Inom Organisationen för ekonomiskt samarbete och utveckling (OECD) har en expertgrupp utarbetat vissa riktlinjer i i fråga om integritetsskyddet och persondataflödet över gränserna. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsstaternas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och därmed åtagit sig att följa denna.

Riktlinjerna innehåller bl.a. en särskild avdelning som behandlar grundläggande principer rörande skyddet för den personliga integriteten på det nationella planet. I mångt och mycket överensstämmer riktlinjerna

i dessa hänseenden med vad som anges i EG:s dataskyddsdirektiv och Europarådets dataskyddskonvention. Riktlinjerna är emellertid mindre detaljerade och uppställer i vissa hänseenden också lägre krav än dessa.

5Socialtjänstkommitténs förslag om författningsreglering av socialtjänstens personregister, m.m.

5.1Inledning

Frågan om författningsreglering av socialtjänstens personregister behandlades av Socialtjänstkommittén i slutbetänkandet Dokumentation och Socialtjänstregister (SOU 1995:86). I betänkandet föreslogs dels att bestämmelser om dokumentation i socialtjänsten skulle införas, dels en lagreglering av socialtjänstens personregister. Bestämmelserna föreslogs intagna i en särskild lag, lag om dokumentation och socialtjänstregister m.m. Av de båda förslagen var det emellertid endast förslaget om dokumentationsskyldighet som ledde till lagstiftning, och då i form av ändringar i socialtjänstlagen (1980:620) (prop. 1996/97:124, bet. 1996/97:SoU18, rskr. 1996/97:264, SFS 1997:313). Lagändringarna trädde i kraft den 1 januari 1998.

I det följande (avsnitt 5.3) redovisas Socialtjänstkommitténs förslag om författningsreglering av socialtjänstens personregister. Eftersom utgångspunkten vid kommitténs överväganden beträffande vilka uppgifter som borde få finnas i dessa personregister var de bestämmelser som föreslogs gälla för dokumentation inom socialtjänsten m.m., lämnas i ett inledande avsnitt (avsnitt 5.2) en redogörelse för detta förslag och för de lagändringar som det föranledde. I avsnitt 5.4 redovisas remissynpunkterna på Socialtjänstkommitténs förslag om författningsreglering av socialtjänstens personregister och i avsnitt 5.5 redovisas regeringens överväganden. Utredningen återkommer i avsnitt 6 till Socialtjänstkommitténs förslag och till de remissynpunkter som framfördes.

5.2Nya lagbestämmelser om dokumentation i socialtjänsten

Socialtjänstkommittén föreslog att nya generella och mycket utförliga bestämmelser om dokumentation i socialtjänsten skulle införas genom en särskild lag, lag om dokumentation och socialtjänstregister m.m., och att

110 Socialtjänstkommitténs förslag om författningsreglering... SOU 1999:109

reglerna skulle göras tillämpliga också på sådan enskilt bedriven verksamhet som står under länsstyrelsens tillsyn. Bestämmelserna föreslogs samlade i lagens första kapitel, 1 kap. Dokumentation inom socialtjänsten m.m.

Förslaget ledde till lagstiftning i så måtto att vissa ytterligare bestämmelser om dokumentation infördes i socialtjänstlagen (50 och 51 §§), enligt regeringen (prop. 1996/97:124 s. 149 f.) främst i förtydligande syfte och som ett komplement till förvaltningslagens regler. Dokumentationsreglerna gjordes vidare generellt tillämpliga på sådan enskilt bedriven verksamhet inom socialtjänsten som står under länsstyrelsens tillsyn (70 a § socialtjänstlagen).

Utan att närmare gå in på kommitténs förslag om dokumentationsskyldighet kan sägas att förslaget i huvudsak överensstämde med regeringens men att det var än mer detaljerat, bl.a. när det gällde dokumentationsskyldighetens omfattning och kraven på dokumentationen.

I 51 § första stycket socialtjänstlagen finns den grundläggande bestämmelsen om dokumentationsskyldighet. Enligt första meningen i det stycket skall handläggning av ärenden som rör enskilda samt genomförande av beslut om stödinsatser, vård och behandling dokumenteras. En- ligt förarbetena (a. prop. s. 151 f. och 181) avses med handlä ggning av ärenden alla åtgärder från det att ett ärende anhängiggörs – genom en ansökan eller på något annat sätt, t.ex. på initiativ av myndigheten själv

– till dess att det avslutas genom beslut. Verksamhet som rådgivning och information samt vissa öppna verksamheter omfattas inte av dokumentationsskyldigheten. Däremot omfattas socialnämndens arbete med att avge yttranden till andra myndigheter, t.ex. i brottmål beträffande bl.a. ungdomar, av dokumentationsskyldigheten. Som framgått skall vidare dokumentation ske av sådant rent faktiskt handlande som utgör genomförande av beslut om stödinsatser, vård och behandling.

I 51 § första stycket socialtjänstlagen regleras vidare generellt vilken information dokumentationen skall lämna. Enligt bestämmelsen skall dokumentationen utvisa beslut och åtgärder som vidtas i ärendet samt faktiska omständigheter och händelser av betydelse. Det är, framhåller regeringen i förarbetena (a. prop. s. 181), av primärt intresse för den enskilde att få en korrekt handläggning av ärendet och i förekommande fall en insats av god kvalitet. Dokumentationen skall kunna användas av socialtjänstens personal som ett arbetsinstrument för den individuella planeringen, för handläggningen av ärendet, för genomförandet och för uppföljning av ärendehandlä ggningen och insatsen. Uppgifterna utnyttjas enligt regeringen också i flera andra för socialtjänsten viktiga sammanhang, t.ex. som underlag för kvalitetssäkring, forskning och framställning av statistik. I förarbetena (a. prop. s. 152 f. och 181 f.) framhåller regeringen att dokumentationen – för att fylla sin huvud uppgift – skall

innehålla tillräcklig, väsentlig och korrekt information. Det sägs vidare att vad som utgör tillräcklig och väsentlig information kan variera starkt mellan olika verksamheter och ärendetyper inom socialtjänsten samt att endast de uppgifter som har betydelse med hänsyn till verksamhetens art och det enskilda fallet behöver dokumenteras. Enligt regeringen bör dokumentationen innehålla uppgift om vem som har gjort en viss anteckning och när anteckningen gjordes. Att sådana uppgifter finns är, menade regeringen, väsentligt såväl under ett ärendes handläggning och under genomförandefasen som därefter för olika slag av uppföljning och kontroll.

Av 52 § socialtjänstlagen följer att dokumentationen skall utformas med respekt för den enskildes integritet samt att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom. I bestämmelsen föreskrivs vidare att det skall antecknas om den enskilde anser att någon uppgift i dokumentationen är oriktig.

5.3Förslaget om socialtjänstregister

5.3.1Bakgrund

Socialtjänstkommittén konstaterade att de flesta kommuner i landet vid den dåvarande tidpunkten använde sig av personregister som förs med stöd av automatisk databehandling (ADB) för åtminstone något av socialtjänstens verksamhetsområden. Enligt kommittén var syftet med ADB- användningen främst att underlätta olika administrativa rutiner. Kommunerna måste ha möjlighet att bevaka och följa upp ärenden inom socialtjänsten. Kommittén menade att, även om det i första hand är administrativa rutiner inom socialtjänstens verksamhetsområden som har datoriserats, nya och effektiva ADB-stöd under senare år hade utvecklats också inom service-, vård- och behandlingsområdena. Socialtjänstkommittén framhöll att personregistrering med stöd av ADB i flertalet av landets kommuner således var en förutsättning för att kommunerna skulle kunna fullgöra sitt ansvar enligt socialtjänsten. Enligt kommittén använde även Statens institutionsstyrelse och ett fåtal privata utövare ADB-baserade personregister som stöd för sin verksamhet.

I betänkandet lämnade Socialtjänstkommittén en beskrivning av socialtjänstens personregister (s. 44 ff.). Beskrivningen gällde verksamhet enligt socialtjänstlagen (1996:000), lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:70) om vård av missbrukare i vissa fall, lagen (1993:387) om stöd och service till vissa funktionshindrade, ärenden om tillstånd till riksfärdtjänsten, verksamhet inom familjerätten som bedrivs i kommunerna enligt föräldrabalken samt ärenden om

112 Socialtjänstkommitténs förslag om författningsreglering... SOU 1999:109

bistånd åt asylsökande m.fl. och om introduktionsersättning för flyktingar och vissa andra utlänningar. Beskrivningen har redovisats i avsnitt 3.2.

5.3.2Kommitténs förslag

Socialtjänstkommittén ansåg att de från integritetssynpunkt viktiga gränserna för registrering av personuppgifter på socialtjänstens område borde anges i lag. Vid kommitténs överväganden beträffande vilka uppgifter som borde få finnas i dessa personregister (socialtjänstregister) var utgångspunkten de bestämmelser som föreslogs gälla för dokumentation inom socialtjänsten m.m. Regleringen föreslogs bli införd i samma lag som dokumentationsbestämmelserna, dvs. i den föreslagna lagen om dokumentation och socialtjänstregister m.m. Enligt förslaget skulle lagregleringen av socialtjänstregistren omfatta bestämmelser om registerändamål, registerinnehåll, sambearbetning, registeransvar, direktåtkomst till registrerade uppgifter, sökbegrepp, utlämnande av uppgifter på ADB- medium, informationsskyldighet samt gallring. Flera av bestämmelserna avsågs bli kompletterade i ett antal till lagen anslutande förordningar. De register som skulle komma att föras med stöd av den föreslagna lagen skulle vara s.k. statsmaktsregister, som inte krävde tillstånd av Datainspektionen (betänkandet s. 144). Kommittén erinrade dock om att Datainspektionen skulle ha kvar sin befogenhet enligt datalagen att i vissa fall meddela föreskrifter till skydd för den personliga integriteten. Även i övrigt skulle datalagens allmänna regler om personregister fortsätta att gälla för de register som föreslogs lagreglerade, i den mån inte särskilda regler gavs i den föreslagna lagen eller i de till den lagen anslutande förordningarna.

Bestämmelserna om socialtjänstregister föreslogs intagna i ett andra kapitel, 2 kap. Socialtjänstregister, i den tidigare berörda lagen om dokumentation och socialtjänstregister m.m. Enligt 2 kap. 1 § skulle regleringen omfatta de personregister som behövdes för sådan handläggning av ärenden och verkställighet av beslut inom socialtjänstens verksamhetsområden som enligt den föreslagna lagen eller annan författning ankom på en kommun, ett kommunalförbund, Statens institutionsstyrelse eller sådan privat verksamhet som stod under länsstyrelsens tillsyn. Be- stämmelserna skulle inte omfatta sådana personregister som fick föras utan tillstånd enligt datalagen (licensregister och statsmaktsregister). Vidare föreslogs att det s.k. socialtjänstundantaget i 2 a § tredje stycket 3 datalagen, dvs. att socialtjänsten utan tillstånd får inrätta och föra personregister som innehåller uppgifter om att någon fått e konomisk hjälp eller vård inom socialtjänsten, skulle upphävas. Det var enligt kommittén

SOU 1999:109 Socialtjänstkommitténs förslag om författningsreglering... 113

nämligen en naturlig konsekvens av att socialtjänstregistren i sin helhet författningsreglerades. Samtliga de socialtjänstregister som innehöll känslig information skulle därmed komma att omfattas av den föreslagna lagen. De register som föll under lagens tillämpningsområde fördes enligt kommittén i stor utsträckning med stöd av tillstånd från Datainspektionen. Lagen och de därtill hörande förordningarna skulle ersätta dessa tillstånd.

Enligt 2 kap. 2 § skulle ett socialtjänstregister inte få inrättas eller föras utan att regeringen beslutat om det i en förordning. Lagen innebar således inte att några socialtjänstregister inrättades. Av samma bestämmelse följde att föreskrifter om hur registret skulle föras och användas skulle meddelas av regeringen.

Enligt förslaget (betänkandet s. 144 f.) skulle registerändamålen – av inte minst integritetsskäl – vara begränsade till att avse verksamhet inom socialtjänsten (2 kap. 3 §). Registren skulle emellertid också få användas för tillsyn, uppföljning, utvärdering och framställning av statistik (2 kap. 4 §).

När det sedan gäller registerinnehåll föreslogs att ett socialtjänstregister endast skulle få innehålla de uppgifter som be hövs för handläggning av ärenden inom socialtjänstens verksamhetsområden och för verkställighet av stödinsatser, vård och behandling (2 kap. 5 §). Kommittén ansåg det dock med hänsyn till behovet av flexibilitet och förekomsten av ständiga förändringar inom socialtjänsten inte lämpligt att i lag mer ingående reglera vilka uppgifter ett register skulle få innehålla utan menade att regeringen i förordningar borde närmare föreskriva vilka uppgifter som skulle få registreras (betänkandet s. 145 f.). Kommittén uttalade därvid att skyddet för den personliga integriteten enligt kommitténs mening inte krävde att föreskrifterna om innehållet skulle ges en sådan detaljrikedom att varje variabel angavs. Med hänsyn till den mängd uppgifter det skulle bli fråga om och till det mått av flexibilitet systemet i sig skulle kräva var det, menade kommittén, nödvändigt att reglerna om innehållet skulle få ges en mer allmän utformning utan att översikten för den skull behövde gå förlorad. Det väsentliga var, framhöll kommittén, att den enskilde skulle bibringas en klar bild av vilka uppgifter om honom myndigheterna och andra aktörer skulle ha tillgång till genom registret.

Att bearbeta uppgifter ur olika personregister kan, menade kommittén, i många fall göra handläggningen rättssäker och effektiv, samtidigt som sambearbetning kan innebära särskilda risker från integritetssynpunkt (betänkandet s. 146 f.). I lagförslaget fanns ett allmänt medgivande (2 kap. 6 § första stycket) till sambearbetning med uppgifter från olika socialtjänstregister. Enligt bestämmelsen kunde emellertid regeringen begränsa denna möjlighet genom föreskrifter i förordning. Eftersom ett

114 Socialtjänstkommitténs förslag om författningsreglering... SOU 1999:109

socialtjänstregister med nödvändighet skulle komma att behöva tillföras uppgifter från andra register, inte minst vid handlä ggningen av olika slags förmåner, innehöll förslaget även en möjlighet att tillföra ett socialtjänstregister uppgifter från andra register (2 kap. 6 § andra stycket). Som förutsättning för överföringen skulle dock gälla att regeringen föreskrivit vilka uppgifter som fick överföras.

Socialtjänstkommittén föreslog (betänkandet s. 147 f.) att registeransvaret skulle ligga på nämnd som enligt socialtjänstlagen utövar ledningen av socialtjänsten och i övriga fall på den myndighet eller privata utövare som ansvarar för handläggningen av de ärenden för vilka registret var inrättat (2 kap. 7 §).

Direktåtkomst till registrerade uppgifter , dvs. möjlighet att ta fram innehållet i registret, t.ex. att kunna läsa text på bildskärm eller att ha terminalåtkomst, skulle enligt förslaget endast den registeransvarige ha (2 kap. 8 §). Enligt kommittén (betänkandet s. 148 f. och 183 f.) var det nämligen från integritetssynpunkt angeläget att man inte lät direktåtkomsten till uppgifter i ett socialtjänstregister vara vidare än som be hövdes med hänsyn till den verksamhet för vilken registret fördes. Detta innebar att intressenter utanför den handläggning som registret inrättats för inte skulle få tillgång till uppgifterna. Från denna regel gjordes undantag för de kommuner där socialtjänsten var organiserad under olika nämnder inom en kommun. Undantaget var föranlett av kommitténs förslag till ändringar i sekretesslagstiftningen. I annat fall skulle nämligen dessa nämnder inte få tillgång till samtliga registrerade uppgifter i kommunen.

Enligt kommittén aktualiserade emellertid principen att endast den registeransvarige skulle ha direktåtkomst till registrerade uppgifter vissa frågor även beträffande Statens institutionsstyrelse (betänkandet s. 149). Detta hängde samman med att Statens institutionsstyrelse ansvarade för ett stort antal institutioner och att det register som fördes för styrelsens verksamhet enligt kommittén var att anse som ett enda personregister i datalagens mening, trots att handläggningen vid de olika institutionerna borde ses som avgränsad från varandra. Det var samtidigt, menade kommittén, naturligt att institutionerna på lokal nivå, som fattade beslut om intagning, behövde direktåtkomst till uppgifter i registret. Detta var nödvändigt för att verksamheten skulle fungera rationellt, effektivt och rättssäkert och för att vårdmålen skulle kunna nås. Enligt förslaget skulle emellertid institutionerna i konsekvens med den ovan angivna principen få direktåtkomst endast till uppgifter i registret som avsåg de personer som var föremål för vård vid den egna institutionen. Vidare skulle regeringen enligt förslaget kunna meddela föreskrifter som hindrade direktåtkomst till vissa integritetskänsliga uppgifter i registret som saknade betydelse för vården vid institutionen.

SOU 1999:109 Socialtjänstkommitténs förslag om författningsreglering... 115

Kommittén föreslog inte någon begränsning i möjligheterna att med olika sökbegrepp hämta information ur socialtjänstregistren (2 kap. 9 §) (betänkandet s. 151 ff.). Detta trots att enligt kommittén vissa fördelar i integritetsskyddshänseende torde stå att vinna med begränsningar därvidlag och trots att man, menade kommittén, för den löpande ärendehanteringen i normalfallet knappast skulle behöva söka information med andra begrepp än namn och personnummer. Kommittén framhöll att uppgifterna i registren, som skulle grundas på de uppgifter som enligt den föreslagna dokumentations- och socialtjänstregisterlagen skulle dokumenteras inom socialtjänsten, skyddas av sekretess och en långtgående inskränkning av sökmöjligheterna skulle medföra stora svårigheter att ta fram uppgifter i den verksamhet som avser tillsyn, uppföljning, utvärdering och framställning av statistik. Användningen av en uppgift i ett socialtjänstregister som sökbegrepp skulle dock bara vara tillåten om det behövdes för tillämpning av lag eller annan författning – varmed avsågs endast de författningar som reglerade socialtjänstens verksamhetsområden enligt 2 kap. 1 § – eller för rättelse, t illsyn, uppföljning, utvärdering, urval för forskning eller framställning av statistik (betänkandet s. 184).

Utlämnande av uppgifter från ett socialtjänstregister på ADB- medium skulle enligt förslaget (betänkandet s. 149 ff.) få ske endast om det följde av lag eller förordning eller om uppgiften skulle användas för forskning eller framställning av statistik (2 kap. 10 §).

I 2 kap. 11 § förslaget till lag om dokumentation och socialtjänstregister m.m. fanns bestämmelser om information (betänkandet s. 158). Enligt förslaget skulle den som var registeransvarig för ett socialtjänstregister se till att den enskilde som var eller avsågs bli registrerad på lämpligt sätt fick information om registret. Informationen skulle innehålla en beskrivning av de uppgifter som registret fick innehålla samt upplysning om 1. registerändamålen, 2. de sekretess- och säkerhetsbestämmelser som gällde för registret, 3. rätten att få registerutdrag och rättelse med stöd av datalagen samt 4. de begränsningar i fråga om direktåtkomst till registrerade uppgifter, utlämnande av uppgifter på medium för automatisk databehandling, sökbegrepp och bevarande av uppgifter som gällde för registret.

I förslaget till lag om dokumentation och socialtjänstregister m.m. fanns i 1 kap. 15 och 16 §§ regler om bevarande och gallring av socialtjänsthandlingar, som skulle ta över arkivlagens (1990:782) föreskrifter om gallring (betänkandet s. 135 ff. och 174). Dessa bestämmelser, som med redaktionella ändringar i huvudsak motsvaras av 60 och 62 §§ socialtjänstlagen, skulle enligt förslaget gälla även den som bedrev privat verksamhet och stod under länsstyrelsens tillsyn enligt socialtjänstlagen Bestämmelserna skulle vidare enligt 2 kap. 12 § gälla även för socialtjänstregister (betänkandet s. 157 och 186).

Som ikraftträdandetidpunkt för lagen angav Socialtjänstkommittén den 1 juli 1996. Enligt en övergångsbestämmelse skulle utan hinder av lagen ett motsvarande personregister som hade inrättats före ikraftträdandet få föras intill utgången av år 1997 i den mån registret inte ersattes av ett register enligt den föreslagna lagen (betänkandet s. 186).

5.4Remissynpunkter på Socialtjänstkommitténs förslag

Vid remissbehandlingen av Socialtjänstkommitténs slutbetänkande förklarade sig remissinstanserna över lag dela uppfattningen att användningen av personregister inom socialtjänsten borde lagregleras. De flesta remissinstanser tillstyrkte i stora drag kommitténs förslag. Det bör dock framhållas att ett stort antal remissinstanser hade relativt många lagtekniska och språkliga synpunkter på kommitténs lagförslag. Som inledningsvis nämndes återkommer utredningen i avsnitt 6 till remissynpunkterna.

Även Datainspektionen hade uppfattningen att anvä ndningen av personregister inom socialtjänsten borde lagregleras. Datainspektionen ansåg dock att den av kommittén föreslagna metoden för författningsreglering starkt kunde ifrågasättas och avstyrkte en lagreglering på grundval av kommitténs förslag. Inspektionen framhöll att metoden med en detaljreglering i förordningar bara skjuter på problemen med den nödvändiga regleringen och inspektionen menade att tiden var mogen för att renodla registerförfattningarna och – på bekostnad av detaljstyrningen – överlåta

en större del av ansvaret på de registeransvariga. Författningen borde enligt Datainspektionen omfatta generella regler för det aktuella området samt borde, fortsatte inspektionen, individuell prövning och kompletterande föreskrifter från Datainspektionen kunna undvaras. Vad gäller innehållet i registren ansåg inspektionen att detta konkret skulle regleras i lagen – den föreslagna regeln om registerinnehåll var enligt inspektionen uppfattning oklar – liksom begränsningarna för åtkomst. Datainspektionen, med vilken bl.a. Länsstyrelsen i Västernorrlands län instämde, ansåg vidare att det inte krävdes särskild lagstiftning om socialtjänstregister utan att bestämmelserna kunde inordnas i de verksamhetslagar som reglerar området. Kammarrätten i Stockholm framhöll att de föreslagna socialtjänstregistren kunde medföra ingripande verkningar vad gäller integritetsskyddet och att det därför i lagen behövdes mer reglerade bestämmelser av vad som skulle ingå i sådana register. Det var, menade kammarrätten, inte tillräckligt med den av Socialtjänstkommittén föreslagna formuleringen att ett socialtjänstregister skulle få

SOU 1999:109 Socialtjänstkommitténs förslag om författningsreglering... 117

"innehålla de uppgifter som be hövs". Även Kammarrätten i Sundsvall ansåg att det skulle vara bättre att i lagen närmare reglera registerinnehållet än att överlämna detta till regeringen i en förordning. Rättsinstanserna i övrigt hade relativt många lagtekniska och språkliga synpunkter men tillstyrkte i stort sett den föreslagna regleringen. Statens institutionsstyrelse ansåg att utformningen av ett register i första hand skulle vara en fråga för myndigheten enligt en av regeringen utformad förordning och att frågan inte skulle behöva tas upp vidare.

När det gäller lagens tillämpningsområde påpekade några remissinstanser att även landsting i flera län hade ansvaret för insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade och att landstingen på vissa håll driver institutioner för barn och ungdom.

Svenska kommunförbundet instämde med kommittén i att det skulle vara olämpligt att i lag mer ingående reglera vilka uppgifter ett socialtjänstregister skulle få innehålla. Förbundet avvisade därutöver förslaget

om att regeringen i förordning närmare skulle få föreskriva vilka uppgifter som skulle få registreras i ett socialtjänstregister. Förbundet framhöll att det fanns en uppenbar risk för att en sådan ordning skulle leda till ett otydligt och osammanhängande regelverk som skulle vara lika dåligt anpassat till teknikutvecklingen som dagens. I den mån reglering behövdes beträffande vilka uppgifter som skulle få registreras, borde detta ske i lagen och inte i kompletterande bestämmelser. Flera kommuner instämde i detta yttrande. En kommun påpekade att det med hänsyn till den stora betydelse kompletterande föreskrifter från bl.a. regeringen skulle komma att få, det i lagtexten borde klargöras i vilka avseenden sådana detaljföreskrifter skulle få meddelas. Vidare framhöll många kommuner att kommitténs bedömning av kostnaderna för att införa regleringen inte var korrekt. De menade att kommunerna skulle få en betydande kostnad för utbildning och uppb yggnad av systemen.

Malmö kommun ansåg att det inte var självklart att göra en skarp åtskillnad mellan socialtjänsthandlingar i en akt och socialregister och om socialtjänstdokumentationen gjordes helt elektroniskt skulle det inte, menade kommunen, vara möjligt att upprätthålla sk illnaden. Kommunen påpekade att EG:s dataskyddsdirektiv använder ett gemensamt begrepp "personal data" och kommunen ansåg att kommittén inte tillräckligt beaktat detta förhållande. Kommunen föreslog att begreppen socialtjänsthandling och socialtjänstregister skulle ersättas av det gemensamma begreppet "personuppgifter inom socialtjänsten".

Intresseorganisationerna hade i stort sett inget att erinra mot den föreslagna regleringen. Föreningen Sveriges Socialchefer ansåg att förslaget om socialtjänstregister – under förutsättning att innehållet i sådana register inte skulle komma att regleras i detalj i förordningar – skulle underlätta användningen av ADB. Föreningen delade vidare kommitténs

118 Socialtjänstkommitténs förslag om författningsreglering... SOU 1999:109

uppfattning att kostnaderna för systemen på sikt kunde uppvägas av minskade kostnader för verksamheten. Några organisationer ansåg att kommuner med undermålig datasäkerhet inte skulle få registrera uppgifter om en enskild person utan dennes medgivande.

Många remissinstanser betonade vikten av sekretess och integritet vid åtkomst och utlämnade av uppgifter. De flesta remissinstanser, dock inte Riksdagens ombudsmän (JO), tillstyrkte likväl ändringen i sekretesslagen som skulle göra det möjligt att lämna uppgifter mellan olika myndigheter inom samma sekretessområde inom en och samma kommun. JO framhöll att motsvarande fråga uppkommer mellan socialtjänsten i två olika kommuner och menade att man utifrån principiella utgångspunkter borde överväga en likartad reglering för uppgiftslämnande mellan olika sociala myndigheter oberoende av om de finns i samma kommun eller inte. JO ifrågasatte dessutom behovet av en regel som den föreslagna, eftersom uppgifter endast bör lämnas ut med den enskildes samtycke och då regler redan finns för kontroll av felaktiga utbetalningar av ekonomisk hjälp m.m. (65 § socialtjänstlagen 1980:620). Mot den bakgrunden ansåg JO att ändringen i 14 kap. 2 § sekretesslagen (1980:100) skulle utredas vidare och att det inte borde bli möjligt att lämna uppgifter mellan olika nämnder i en kommun i större utsträckning än vad som är fallet mellan olika verksamhetsgrenar under en och samma nämnd.

Riksförsäkringsverket påpekade att försäkringskassorna hade behov av att i olika ärenden få uppgifter från socialtjänstregistren och framhöll vikten av att dessa uppgifter kunde överföras via ADB. Socialstyrelsen påpekade att det borde finnas möjlighet att för forskningsändamål få inhämta uppgifter från register utanför socialtjänstområdet till socialtjänstregister. Statens institutionsstyrelse föreslog ytterligare en förändring av 14 kap. 2 § sekretesslagen för att kunna fullfölja sitt uppdrag avseende uppföljning och utvecklingsarbete. Enligt styrelsen borde i ett nytt stycke i 14 kap. 2 § föreskrivas att sekretess enligt 7 kap. 4 § första och fjärde styckena inte hindrar att uppgift om enskild lämnas från en kommun till Statens institutionsstyrelse för resultatuppföljning och utvecklingsarbete avseende myndighetens egen verksamhet. Flera remissinstanser såg sekretesslagen som ett hinder för utveckling och samverkan mellan olika myndigheter och ansåg att ytterligare undantag borde göras från reglerna om sekretess mellan myndigheter. Malmö kommun framhöll att det borde vara möjligt att registrera bakgrundsvariabler om socialbidragstagare för uppföljning och planering av insatser.

Några remissinstanser avstyrkte av integritetshänsyn kommitténs förslag till obegränsade möjligheter att med hjälp av olika sökbegrepp hämta information ur socialtjänstregistren. En kommun ansåg att uppgifter för uppföljning och utvärdering som är särskilt känsliga skulle få användas som sökbegrepp om de med hänsyn till ändamålet och den re-

gistrerades integritet framstod som uppenbart rimliga. En annan kommun påpekade att vissa sökbegrepp i kombination kan peka ut ett fåtal av socialtjänstens klienter på ett sådant sätt att deras integritet kränks.

5.5Prop. 1996/97:124 Ändring i socialtjänstlagen

I den i avsnitt 5.2 berörda propositionen, prop. 1996/97:124 Ändring i socialtjänstlagen, behandlade regeringen även Socialtjänstkommitténs förslag till författningsreglering av socialtjänstens personregister.

I propositionen (s. 156 f.) uttalade regeringen att många faktorer, inte minst uppgifternas känslighet och registrens mångfald, talar för att det bör bildas ett fast regelverk för personregistreringen inom socialtjänstens område, anpassat till dess särskilda behov och intressen. Regeringen framhöll vidare att en reglering av socialtjänstregistren förutsätter en avvägning mellan socialtjänstens behov av en rationell och effektiv administration å ena sidan och den enskildes krav på skydd för den personliga integriteten å andra sidan. Enligt regeringens uppfattning innebar emellertid Socialtjänstkommitténs lagförslag inte någon lösning på de från integritetssynpunkt avgörande frågorna om registrering och behandling av personuppgifter och regeringen var därför inte beredd att på då tillgängligt underlag lägga fram lagförslag för riksdagen rörande socialtjänstens personregister.

ÖVERVÄGANDEN OCH FÖRSLAG

6En ny lag om behandling av personuppgifter inom socialtjänsten

6.1Allmänna utgångspunkter

Utredningens förslag: Socialtjänstens behandling av personuppgifter författningsregleras och anpassas till bestämmelserna i personuppgiftslagen (1998:204). Detta innebär bl.a. att förslaget utgår från personuppgiftslagens tillämpningsområde, begrepp och terminologi och bestämmelserna har utformas så att de anger de undantag och preciseringar i förhållande till personuppgiftslagen som är motiverade.

Lagen föreslås få namnet lag om behandling av personuppgifter inom socialtjänsten.

I socialtjänstlagen (1980:620) tas in en ny bestämmelse, 59 a §, som innebär att förbudet i 59 § samma lag mot att i s.k. sammanställningsregister anteckna uppgifter om ömtåliga personliga förhållanden inte skall hindra att personuppgifter behandlas hos socialnämnden för uppföljning, utvärdering, kvalitetssäkring, forskning och framställning av statistik.

6.1.1Behovet av en särskild författningsreglering

Utredningen har i uppdrag att utarbeta ett förslag till särskild författningsreglering för behandlingen av personuppgifter inom socialtjänsten. Syftet med författningsregleringen är enligt direktiven att garantera ett

fullgott och för detta särskilda område specialanpassat integritetsskydd. I direktiven sägs att utgångspunkten skall vara EG-direktivet om personuppgifter (Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter) och [personuppgiftslagen 1998:204]. Detta gäller enligt direktiven också för frågan om vilken behandling av personuppgifter som skall omfattas av regleringen.

Även om utredningen således har ett uttryckligt uppdrag att utarbeta en författningsreglering för behandlingen av personuppgifter inom socialtjänsten, bör allra först något sägas om behovet av en sådan särskild reglering.

Pliktregisterutredningen ifrågasatte i betänkandet Behandling av personuppgifter om totalförsvarspliktiga (SOU 1997:101 s. 103 f.) om det skulle komma att finnas behov av särskilda registerförfattningar när personuppgiftslagen trädde i kraft. Bakgrunden till detta ifrågasättande var följande. En av de stora skillnaderna mellan person uppgiftslagen och datalagen (1973:289) är t illämpningsområdet. Medan datalagen gäller endast ADB-baserade register omfattar personuppgiftslagen all behandling av personuppgifter som företas på automatiserad väg, liksom manuell behandling av personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter, vilka är t illgängliga för sökning eller sammanställning enligt särskilda kriterier. Vidare är en utgångspunkt för personuppgiftslagen att behandling av personuppgifter är tillåten endast i de fall och på de villkor som anges i lagen. I andra fall skall behandling av personuppgifter inte få förekomma. Något t illståndsförfarande motsvarande det som förekom enligt datalagen finns inte.

Pliktregisterutredningen framhöll att som skäl för tidigare införda särskilda registerlagar inte sällan hade åberopats uttalanden från riksdagen om nödvändigheten av sådan lagstiftning. Dessa uttalanden förlorar, menade Pliktregisterutredningen, mycket i aktualitet i och med personuppgiftslagens införande, eftersom uttalandena i huvudsak gjordes mot bakgrund av att vissa stora statsmaktsregister tidigare var i princip oreglerade. Utredningen pekade på att personuppgiftslagen är t illämplig även på sådana register och till stor del avhjälper den uppmärksammande bristen med sin – i förhållande till datalagen – direkta reglering av behandlingen av personuppgifter. Pliktregisterutredningen framhöll dock att personuppgiftslagen är mindre utförlig än de särskilda registerförfattningarna.

Pliktregisterutredningen ansåg att behovet av registerförfattningar torde bli mindre i och med personuppgiftslagens ikraftträdande. Utredningen menade dock att personuppgiftslagen är en generell produkt avsedd att passa all slags verksamhet där behandling av personuppgifter

utförs och att det därför finns anledning att undersöka om inte preciseringar och särregleringar är nödvändiga på många områden. Detta gäller, menade utredningen, särskilt verksamhet som inte omfattas av EG- direktivet och när fråga är om behandling av känsliga personuppgifter.

Pliktregisterutredningens slutsats var att viss särskild reglering vid sidan av personuppgiftslagen var nödvändig. Person uppgiftslagen förutsätter, menade utredningen, också närmast att sådan reglering sker, i vart fall i vissa situationer. Det framhölls från utredningens sida dock att det finns anledning att överväga vilken omfattning särregleringen skall ha och i vilken form den skall ges.

I den proposition som behandlade Pliktregisterutredningens förslag (prop. 1997/98:80 Lag om behandling av personuppgifter om totalförsvarspliktiga) fördes inget allmänt resonemang om behovet av registerförfattningar när personuppgiftslagen väl trätt i kraft. Dock uttalade regeringen att personuppgiftslagens tillkomst inte utgör tillräckligt skäl att frångå den uppfattning som riksdagen givit uttryck för; att stora personregister med känsliga uppgifter skall lagregleras (a. prop. s. 26). Regeringen menade vidare att en viss särskild reglering vid sidan av personuppgiftslagen var nödvändig när det gällde Totalförsvarets pliktverks hantering av personuppgifter (a. prop. s. 25). Enligt regeringen förutsätter också personuppgiftslagen att sådan reglering sker, i vart fall i vissa situationer.

I betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39 s. 208 ff.) konstaterade Datalagskommittén endast att kommitténs uppdrag inte omfattade de särskilda registerförfattningarna. Kommittén föreslog att särregler i registerförfattningar skulle gälla framför den nya persondatalagen [personuppgiftslagen]. Datalagskommittén framhöll dock att det är nödvändigt att se över de befintliga registerförfattningarna innan den nya lagstiftningen börjar tillämpas på deras respektive område och att registerförfattningarna måste anpassas till såväl EG-direktivet som till den föreslagna persondatalagen. Kommittén menade att registerförfattningarna bygger på att den generellt tillämpliga datalagen fyller ut där det inte finns särregler och när datalagen byts ut mot persondatalagen, med delvis andra regler och annan terminologi, vissa justeringar givetvis måste ske i registerförfattningarna för att passa in dem i den nya, grundläggande rättsliga miljön.

I prop. 1997/98:44 Personuppgiftslag (s. 40 f.) uttalade regeringen att den nya lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar. Regeringen framhöll att registerförfattningarna innehåller många preciserade och viktiga regler som inte rimligen kan ersättas av de generella bestämmelser som den nya lagen innehåller. Vid utskottsbehandlingen av förslaget till personuppgiftslag utta-

124 En ny lag om behandling av personuppgifter... SOU 1999:109

lade Konstitutionsutskottet, i sitt av riksdagen godkända betänkande, att det saknas anledning att nu avvika från den tidigare fastlagda målsättningen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (bet. 1997/98:KU18 s.

43, rskr. 1997/98:180).

Precis som Pliktregisterutredningen ifrågasatte behovet av särskilda regler när det gäller totalförsvarspliktiga, kan det – menar utredningen – möjligen ifrågasättas om det egentligen finns något behov av en särskild reglering för den behandling av personuppgifter som sker inom socialtjänsten. Även socialtjänstens behandling av personuppgifter omfattas ju av personuppgiftslagens bestämmelser.

Emellertid nödvändiggör verksamheten inom socialtjänsten en omfattande hantering av personuppgifter som är känsliga från integritetssynpunkt. Därtill kommer att verksamheten berör ett mycket stort antal enskilda individer. Redan detta förhållande talar, med hänsyn framför allt till den nyss redovisade målsättning som statsmakterna gett till känna, med styrka för att behandlingen av personuppgifter inom socialtjänsten bör regleras särskilt i lag. Det finns emellertid även andra skäl till det.

För det första innebär en sådan särskild reglering att det blir möjligt att få en mer enhetlig tillämpning av den behandling av person uppgifter som förekommer inom socialtjänsten. Utan en särskild lagstiftning på området har nämligen varje myndighet eller annan inom socialtjänsten och de anställda där att tillämpa person uppgiftslagen och göra en bedömning av om den tänkta behandlingen av personuppgifter är laglig. Personuppgiftslagen är ju generellt t illämplig och även socialtjänstens behandling av personuppgifter kommer att omfattas därav, om inte särskilda bestämmelser meddelas som avviker från personuppgiftslagen.

Vidare anser utredningen, som kommer att framgå i det följande (se avsnitt 6.4), att det är nödvändigt att socialtjänsten, för att arbets uppgifterna i den verksamheten skall kunna utföras på ett tillfredsställande sätt, får rätt att behandla personuppgifter som är att anse som känsliga personuppgifter i personuppgiftslagens mening. Personuppgiftslagen medger emellertid inte att känsliga personuppgifter behandlas inom socialtjänsten, om inte att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om ytterligare undantag från förbudet i personuppgiftslagen mot att behandla sådana uppgifter. Sådana föreskrifter får meddelas endast om det behövs med hänsyn till ett viktigt allmänt intresse. Några generella sådana föreskrifter har emellertid inte meddelats. Även vissa andra undantag, som utredningen återkommer till, behöver göras från regleringen i person uppgiftslagen.

Det finns alltså – för att socialtjänsten skall kunna fullgöra sina arbetsuppgifter – ett behov av en särreglering i förhållande till person-

SOU 1999:109 En ny lag om behandling av personuppgifter... 125

uppgiftslagen. Det är visserligen inget som hindrar att dessa undantag görs i annan form än i lag, t.ex. får, som ovan nämnts, enligt 20 § personuppgiftslagen regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om ytterligare undantag från förbudet i 13 § mot att behandla känsliga personuppgifter. Utredningen anser dock att frågan om undantag från personuppgiftslagens bestämmelser i en så integritetskänslig verksamhet som socialtjänsten, bör underställas riksdagen.

Utan att föregripa utredningens överväganden i övrigt kan vidare nämnas att det – i en verksamhet som är så integritetskänslig som socialtjänsten – kan finnas all anledning att fundera närmare på frågor som t.ex. vilka som bör ha direktåtkomst till de personuppgifter som finns i verksamheten och om möjligheten att söka information på något sätt bör begränsas. I den mån det finns behov av att reglera sådana frågor, måste det ske i en särskild lagstiftning, eftersom de inte fått sin lösning i personuppgiftslagen.

Sammanfattningsvis anser utredningen att övervägande skäl talar för att behandlingen av personuppgifter inom socialtjänsten bör regleras särskilt i lag. Utredningen förslår således att en sådan reglering införs. Hur socialtjänsten närmare bör avgränsas berörs i avsnitt 6.2, där även andra frågor som rör tillämpningsområdet tas upp.

Utredningen är medveten om att en lagstiftning som enligt direktiven har som främsta syfte att garantera ett fullgott och för detta särskilda område specialanpassat integritetsskydd, innebär att fler person uppgifter får behandlas än som varit möjligt om verksamheten reglerats enbart av personuppgiftslagen. Dock får inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (se avsnitt 6.4). Som nyss nämndes är det emellertid nödvändigt att göra dessa undantag från personuppgiftslagen för att verksamheten skall kunna fullgöras inom socialtjänsten. Utredningens förslag innebär att dessa undantag kommer att göras i lag och inte – vilket varit möjligt – av regeringen i förordning eller, efter beslut av regeringen, i myndighetsföreskrifter.

Avslutningsvis vill utredningen framhålla att avsikten med lagstiftningen inte på något sätt är att utvidga socialtjänstens nuvarande möjligheter att registrera uppgifter om medborgarna. Huruvida personuppgifter i det enskilda fallet skall samlas in eller lämnas ut avgörs av annan lagstiftning och inte av personuppgiftslagen eller av den här lagen. Vad som däremot är viktigt att åstadkomma är att den lagstiftning som skall reglera under vilka förutsättningar personuppgifter i övrigt får behandlas inom socialtjänsten, inte hindrar att personuppgifter får behandlas när så krävs för att socialtjänsten skall kunna fullgöra sina arbetsuppgifter.

6.1.2Hanteringsmodell eller missbruksmodell?

Utredningen har funderat något kring frågan om det skulle vara möjligt att låta en lagstiftning som skall reglera socialtjänstens behandling av personuppgifter vara utformad efter en s.k. missbruksmodell, dvs. själva hanteringen av personuppgifter skulle vara i det närmaste fri och i lagstiftningen skulle endast identifieras vilken behandling av personuppgifter som utgör ett sådant missbruk att den bör förbjudas, i första hand kriminaliseras eller skadeståndsbeläggas.

Personuppgiftslagen (1998:204) – liksom bl.a. EG-direktivet och datalagen (1973:289) – innebär att själva hanteringen av personuppgifter regleras, oavsett om hanteringen kan sägas utgöra ett missbuk. Lagen bygger sålunda på den s.k. hanteringsmodellen.

I prop. 1997/98:44 Personuppgiftslag uttalades (s. 36 f.) att regeringen – i likhet med Datalagskommittén och de allra flesta remissinstanser – ansåg att det då inte var möjligt att uppfylla skyldigheten att genomföra direktivet på annat sätt än genom att införa en lagstiftning av hanteringsmodell. Regeringen framhöll att ingen för övrigt kunnat konkret ange hur det skulle vara möjligt med hänsyn till EG-direktivet att använda en renodlad missbruksmodell. Regeringen menade dock att det finns starka skäl för att verka för att det blir möjligt att gå ifrån en lagstiftning efter en vittomfattande hanteringsmodell och regeringen förklarade att den avser att på lämpligt sätt utnyttja Sveriges inflytande i Europeiska unionen för att påverka i denna riktning. Regeringen pekade på att möjligheterna till påverkan givetvis är beroende av att visa på användbara alternativ till en hanteringsmodell och att det därför är viktigt att diskussionen om och arbetet med möjliga utformningar och alternativa modeller fortsätter. Regeringen nämnde därvid att Datalagskommittén diskussionsvis skisserat på en alternativ modell.

Som skäl för att som regleringsmodell använda sig av hanteringsmodellen framhöll Datalagskommittén i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39 s. 191) bl.a. att många människor – inte bara i Sverige utan även internationellt – fortfarande känner oro och obehag inför de möjligheter som finns att behandla personuppgifter med hjälp av ADB. Datalagskommittén ansåg att det förhållandet att många människor i en politisk demokrati känner obehag inför en viss hantering är ett starkt argument i sig för att reglera den hanteringen. Kommittén pekade på att samma bedömning verkar ha gjorts i de flesta EU-stater, vilka har lagstiftning efter hanteringsmodellen, och av EU i och med att EG-direktivet antogs.

Som nyss nämndes har Datalagskommittén i betänkandet (s. 179 ff.) diskussionsvis skisserat på alternativ till en hanteringsmodell. Kommittén menade dock (s. 185 f.) att det kan antas att människor även i fram-

tiden kommer att ha kvar sin oro för stora datasystem. Det torde därför, menade kommittén, bli nödvändigt att behålla en hanteringsmodell, om ock i förenklad form, för stora databaser hos myndigheter och hos företag med enskilda som klienter eller kunder, t.ex. sjukhus, banker och försäkringsföretag. När det gäller de många små datasystemen, hos t.ex. skolor, småföretagare, enskilda och troligen också Internet synes det – enligt kommittén – däremot hopplöst att söka kontrollera själva hanteringen av persondata.

Datalagskommittén trodde för sin del (betänkandet s. 192) att det kommer att dröja innan tiden är mogen för en övergång till missbruksmodellen. Den oro människor alltjämt känner för teknikens möjligheter måste respekteras, menade kommittén. Övriga EU-stater måste också vinnas för tanken på en sådan övergång. Datalagskommittén önskade emellertid att diskussionen om en övergång till missbruksmodellen skall fortsätta. Kommittén menade att Sverige vid lämplig tidpunkt bör ta initiativ till en persondatalagstiftning av mer modernt snitt. Eftersom enhetligheten inom EU bör bevaras bör – menade kommittén – detta initiativ i första hand avse tillskapandet av ett nytt EG-direktiv.

Vid sin behandling av proposition 1997/98:44 Personuppgiftslag delade Konstitutionsutskottet, i sitt av riksdagen godkända betänkande, regeringens bedömning att det inte var möjligt att då genomföra EG- direktivet på ett annat sätt än genom en lagstiftning som följer den struktur som direktivet anvisar (bet 1997/98:KU18, rskr. 1997/98:180). Utskottet menade därför att lagstiftningen borde utformas efter en hanteringsmodell. Utskottet framhöll emellertid, i likhet med regeringen, att den lagstiftning som måste införas på grund av EG-direktivet redan framstod som omodern. Utskottet såg därför med tillfredsställelse på att regeringen avsåg att verka för att det skall bli möjligt att gå ifrån en långtgående hanteringsmodell på det aktuella lagstiftningsområdet.

Därefter har Konstitutionsutskottet i ytterligare ett betänkande med anledning av ett antal motioner från allmänna motionstiden 1998 behandlat frågor som rör personuppgiftslagen (bet. 1998/99:KU15). I betänkandet uttalade utskottet bl.a. att siktet bör vara inställt på att åstadkomma en teknikoberoende lagstiftning till skydd för den personliga integriteten. Utskottet fann därför anledning att, i likhet med vad som gjordes vid personuppgiftslagens införande, framhålla att EG-direktivet i dag får anses omodernt. Utskottet menade att en revidering av direktivet måste ske. Konstitutionsutskottet föreslog att riksdagen ger regeringen till känna att den med kraft bör verka för att en revidering sker av EG- direktivet. Vidare föreslog utskottet ett tillkännagivande till regeringen med innebörd att en översyn av personuppgiftslagen bör komma till stånd med syfte att, så långt det är möjligt inom EG-direktivets ram, åstadkomma en förändring av lagstiftningen i riktning mot ett regelverk

128 En ny lag om behandling av personuppgifter... SOU 1999:109

som tar sikte på missbruk av personuppgifter. Riksdagen biföll utskottets hemställan (rskr. 1998/99:147).

Vidare har det IT-rättsliga observatoriet i sin rapport En missbruksmodell? (rapport 8/98) gjort vissa överväganden rörande bl.a. utformningen av en missbruksmodell. Observatoriets slutsats var att en generell missbruksmodell enligt observatoriets beskrivning inte är möjlig att införa inom ramen för EG-direktivet (rapporten s. 30).

Som framgått av den tidigare redogörelsen är den rådande uppfattningen att det i en lagstiftning som bygger på en missbruksmodell inte är möjligt att uppfylla de krav som EG-direktivet ställer upp. Utredningen delar den bedömningen. Utredningen menar dessutom att det, även om det vore möjligt att använda sig av en missbruksmodell när det gäller socialtjänstens behandling av personuppgifter, skulle vara mindre lämpligt att göra det. Det finns nämligen all anledning att tro att många människor kan känna oro och obehag vid tanken på den stora mängd personuppgifter som hanteras inom ett område som socialtjänsten. Att vid sådant förhållande överge hanteringsmodellen på detta område kan, menar utredningen, därför knappast komma i fråga. Frågan måste ses i ett större sammanhang. Datalagskommittén var också närmast inne på att använda en missbruksmodell när hanteringen i praktiken är omöjlig att kontrollera och att i övriga fall – t.ex. vid myndigheternas behandling av personuppgifter – behålla en hanteringsmodell.

Ett annat argument mot att i detta sammanhang använda en annan lagstiftningsteknik än i personuppgiftslagen är att personuppgiftslagen är en förhållandevis ny lagstiftning, som – i vart fall initialt – inte kommer att vara så där alldeles enkel att tillämpa. I ett sådant läge bör man inte – om det inte finns tungt vägande skäl – använda en helt annan lagstiftningsteknik när det gäller socialtjänstens behandling av personuppgifter. Det finns en risk för att det skulle bli mycket förvirrande för dem som har att tillämpa lagstiftningen på området. Det är dessutom sannolikt enklare för myndigheter och andra att tillämpa en hanteringsmodell, eftersom man är van vid det sedan tidigare.

Sammanfattningsvis anser utredningen att författningsregleringen på detta särskilda område bör – som personuppgiftslagen – utformas efter en hanteringsmodell. Lagstiftningen bör utgå från personuppgiftslagens tillämpningsområde, begrepp och terminologi och utformas så att den anger de undantag och preciseringar i förhållande till personuppgiftslagen som är motiverade. Det skulle naturligtvis vara möjligt att i den nya lagen upprepa personuppgiftslagens bestämmelser. Ett sådant system skulle emellertid bli tungrott och utredningen anser att man så långt möjligt bör undvika en sådan ”d ubbelreglering”. Däremot är det naturligtvis viktigt att behovet av särreglering noga övervägs. I lagen bör

tas in en bestämmelse som anger att personuppgiftslagens regler skall vara tillämpliga om inget annat följer av den föreslagna lagen.

Som tidigare har nämnts återkommer utredningen till lagens tillämpningsområde i avsnitt 6.2.

6.1.3Lagens namn

Den föreslagna lagen kommer att tillämpas varje dag av ett stort antal människor som är verksamma inom socialtjänsten. Det vore därför lämpligt att ge lagen ett kort namn. Utredningen har emellertid inte kunnat hitta ett kort namn som på ett bra sätt beskriver vad lagen handlar om. Utredningen föreslår att lagen ges namnet lag om behandling av personuppgifter inom socialtjänsten.

6.1.4Registerbegreppet bör inte användas i lagen

Datalagen (1973:289) innehöll grundläggande regler om inrättandet och förandet av personregister med hjälp av automatisk databehandling. Re- gister var i den lagstiftningen ett centralt begrepp. I EG-direktivet och i personuppgiftslagen har emellertid begreppet register mindre betydelse. Personuppgiftslagen omfattar all automatiserad behandling av personuppgifter, oavsett om personuppgifterna ingår i ett register eller inte. Däremot är begreppet register i EG-direktivet och i personuppgiftslagen av intresse när det gäller manuell behandling av personuppgifter. För att omfattas av EG-direktivet och personuppgiftslagen skall de manuellt behandlade personuppgifterna ingå i eller vara avsedda att ingå i en strukturerad samling av personuppgifter som är t illgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. ingå i ett register.

Som kommer att framgå av det följande anser utredningen att den föreslagna lagen bör ha samma tillämpningsområde som person uppgiftslagen och att enhetliga regler bör gälla för automatiserad behandling och för manuell behandling av personuppgifter, som ingår i ett register. Vid sådant förhållande kommer begreppet register i detta sammanhang att sakna relevans och begreppet bör därför – menar utredningen – inte förekomma i lagen. Detta hindrar naturligtvis inte att det inom socialtjänsten även fortsättningsvis kommer att finnas ett stort antal regelrätta register, datoriserade eller manuella.

6.1.5Särskilt om 59 § socialtjänstlagen (1980:620)

Enligt 59 § socialtjänstlagen (1980:620) gäller att i sådana personregister hos socialnämnden som utgör sammanställningar av uppgifter inte får tas in uppgifter om ömtåliga personliga förhållanden. Dock att det i sådana register får tas in uppgifter om åtgärder som har beslutats inom socialtjänsten och som innebär myndighetsutövning och den bestämmelse på vilken ett beslut om en sådan åtgärd grundas.

Det är viktigt att framhålla att denna bestämmelse inte gäller innehållet i de personakter som ingår i socialnämndernas personregister utan endast sådana av socialnämnden förda register i mer inskränkt bemärkelse som utgör sammanställning av uppgifter om klienterna. Hit hör framför allt de databaserade personregistren. Till register av förevarande slag räknas emellertid även alla former av manuella register, såsom t.ex. kortregister över utbetalningar, bevakningsregister av olika slag, servicekort etc (prop. 1979/80:1 Om socialtjänsten s. 568).

I förarbetena till socialtjänstlagen framhöll regeringen (a. prop. s. 438 ff.) att sådana sammanställningsregister, som är upprättade för att underlätta administrationen av socialtjänsten, är tillgängliga på ett mer omedelbart sätt än som är fallet med uppgifter i personakterna. De lämnar upplysningar om den enskilde klienten utan att samtidigt kunna ge en fullständig och objektiv beskrivning av hans förhållanden. Regeringen ansåg att registren därför framstår som särskilt känsliga från integritetssynpunkt. Därtill kommer, menade regeringen, att de är mer lättillgängliga och används av ett långt större antal tjänstemän vid socialförvaltningen än som är fallet med den enskilda personakten. På grund härav togs i 59 § socialtjänstlagen in en bestämmelse med det angivna innehållet.

Socialstyrelsen har med stöd av 50 § socialtjänstförordningen (1981:750) meddelat föreskrifter om personregister inom socialtjänsten (SOSFS S 1981:26). Enligt föreskrifterna får i s.k. sammanställningsregister tas in endast uppgifter som i allmänhet framstår som neutrala, t.ex. namn, personnummer, adress, civilstånd och övriga familjeförhållanden, uppgift om vårdnadshavare, förm yndare eller god man samt nära anhörig eller annan liknande uppgift, yrke, arbetsgivare, bostadsförhållanden, samt inkomst- och förmögenhetsförhållanden.

Som exempel på uppgifter som inte får tas in i ett s.k. sammanställningsregister nämndes i förarbetena till socialtjänstlagen (prop. 1979/80:1 s. 568 f.) integritetskänsliga uppgifter rörande t.ex. sju kdom, arbetsförmåga, missbruk och kriminalitet. Om sådana anteckningar behöver göras, blir det nödvändigt att lägga upp en personakt. I registret får sedan göras en hänvisning till personakten. I förarbetena (a. prop. s. 439) nämndes vidare att i ett sammanställningsregister aldrig får tas in orsak till fattat beslut eller annan uppgift som kan innefatta värdering av

SOU 1999:109 En ny lag om behandling av personuppgifter... 131

klientens förhållanden eller annars röja sekretesskyddade förhållanden. Inte heller får i sådana register tas in uppgifter om vidtagna åtgärder som grundas på meddelanden från andra myndigheter, t.ex. rapporter om ingripande enligt lagen om tillfälligt omhändertagande.

Som inledningsvis nämndes får dock i sådana sammanställningsregister tas in uppgifter om ömtåliga personliga förhållanden, när det är fråga om beslut inom socialtjänsten som fattats om den registrerade och som innebär myndighetsutövning (59 § andra stycket). I Socialstyrelsens föreskrifter lämnas ett antal exempel på vad som därvid avses. Beslut i ärenden om bistånd enligt 6 § socialtjänstlagen, andra beslut som fattats med stöd av socialnämndens allmänna kompetens i 5 § samma lag, beslut enligt de särskilda reglerna till skydd för underåriga i socialtjänstlagen, bestämmande av avgifter liksom beslut om återkrav enligt bestämmelserna i socialtjänstlagen, beslut om överflyttning av ärende till annan socialnämnd, beslut enligt den särskilda lagstiftningen om vård av unga och vård av missbrukare i vissa fall, samt beslut vid omprövning av socialnämndens beslut. I föreskrifterna sägs att sådana anteckningar skall vara så kortfattade som möjligt. Skälen liksom de närmare orsakerna för ett visst beslut får inte antecknas i vidare mån än som framgår av hänvisning till den författning på vilken åtgärden har grundats. Däremot får, enligt föreskrifterna, antecknas i vilken form och i vilken omfattning socialtjänstens insatser utgått. Uppgifter som avser olika åtgärder som vidtas inom ramen för beslutade åtgärder, t.ex. att den registrerade blivit föremål för hembesök eller deltagit i terapisamtal får däremot inte antecknas. Omdömen och värderingar om enskilda personer får inte tas in. I föreskrifterna sägs till sist att vid tveksamhet om en uppgift skall antecknas eller inte i ett sammanställningsregister skall sådan anteckning inte ske. Uppgiften bör då i stället föras in i den registrerades personakt eller motsvarande handling.

I Socialstyrelsens nämnda föreskrifter erinras vidare om att med socialtjänst förstås inte enbart verksamhet enligt socialtjänstlagen utan också annan verksamhet som hör till detta område såsom t.ex. åtgärder enligt den särskilda lagstiftningen om vård av unga och vård av missbrukare i vissa fall. I föreskrifterna påpekas också att till socialtjänst räknas inte bara socialnämnds verksamhet utan också andra myndigheters åtgärder inom området, t.ex. vid omprövning av socialnämnds beslut eller tillsyn över nämndens verksamhet. Bestämmelsen i 59 § socialtjänstlagen gäller dock bara register som en socialnämnd för. Andra myndigheters och enskildas register faller således utanför bestämmelsens tillämpningsområde.

Den nu redovisade bestämmelsen i 59 § socialtjänstlagen infördes för snart 20 år sedan. Vid den tidpunkten utfördes i princip all hantering av personuppgifter inom socialtjänsten manuellt. Den tidiga begränsade

användningen av automatisk databehandling handlade oftast om att framställa listor över ärenden, fattade beslut, gjorda utbetalningar m.m. (Dokumentation och socialtjänstregister SOU 1995:86 s. 142 f.). Numera är modern informationsteknik inom socialtjänsten vanligt förekommande och ökar hela tiden i omfattning. På en del håll, t.ex. i Stockholms stad, förekommer även elektronisk akthantering.

Mot denna bakgrund kan man fråga sig om inte bestämmelsen i 59 § socialtjänstlagen har spelat ut sin roll. Den moderna tekniken att söka information som finns lagrad i datorer är nämligen sådan att information, även om den inte finns i ett register, kan tas fram sekundsnabbt med de sökmotorer som numera finns. Socialtjänstkommittén ansåg att begreppet sammanställningsregister, bl.a. beroende på de nya sökmöjligheter som finns, delvis förlorat relevans. (a. betänkande s. 142). Kommittén föreslog emellertid inte att bestämmelsen skulle upphävas och inte heller att den skulle modifieras på något sätt. Vid remissbehandlingen av Socialtjänstkommitténs betänkande synes inte 59 § socialtjänstlagen ha berörts.

Vidare har utredningen sig bekant att 59 § socialtjänstlagen på en del håll anses utgöra ett hinder för att behandla personuppgifter på ett rationellt och effektivt sätt.

Det har t.ex. sagts utredningen att bestämmelsen kan innebära att man inom socialtjänsten i vissa fall kan ha svårare att uppmärksamma att en person är i behov av hjälp. Förbudet mot att i s.k. sammanställningsregister anteckna uppgifter om ömtåliga personliga förhållanden innebär nämligen att rapporter som kommer in till en nämnd, t.ex. en polisanmälan om att en underårig gjort sig skyldig till snatteri eller om att någon omhändertagits enligt lagen (1976:511) om omhändertagande av berusade m.m. (LOB-rapport), och som inte föranleder att en personakt läggs upp, inte får sorteras i pers onnummerordning utan måste sparas i kronologisk ordning. Detsamma gäller beträffande underrättelse till socialnämnd om obetald hyra (12 kap. 44 § första stycket 1 jordabalken) och obetald elräkning (11 kap. 4 § första stycket ellagen 1997:857). Detta innebär att det beträffande en och samma person kan finnas ett antal olika indikationer, dvs. flera rapporter inkomna vid olika tillfällen, på att vederbörande är i behov av hjälp, utan att detta uppmärksammas av de sociala myndigheterna eller att det uppmärksammas först efter en viss tid.

Vidare har det för utredningen framhållits att 59 § socialtjänstlagen kan hindra att uppgifter tas fram för att användas för utvärdering, uppföljning och kvalitetssäkring. En sådan insamling av uppgifter kan nämligen innebära att man kommer i konflikt med förbudet i 59 § socialtjänstlagen mot att i s.k. sammanställningsregister få anteckna uppgifter om ömtåliga personliga förhållanden. Även en bearbetning av ett register

som i och för sig innehåller en fullständig beskrivning av de registrerades personliga förhållanden kan resultera i sammanställningar som står i strid med den nämnda bestämmelsen.

I det sammanhanget kan nämnas att utredningen har tagit del av ett antal beslut från Datainspektionen, som innebär att tillstånd lämnats en kommun att föra ett personregister benämnt ”Psykiskt handikappades behov”. Ändamålet med registret är kartläggning av psykiskt handikappades vård- och omsorgsbehov för att ge underlag för socialtjänst, psykiatri och andra myndigheter att i samverkan utarbeta och följa upp stödinsatser. I besluten har Datainspektionen som en särskild föreskrift bestämt att registret får innehålla det slag av uppgifter och bearbetas på det sätt som angetts i ansökan, under förutsättning att personregistret därmed inte kommer att föras i strid med 59 § socialtjänstlagen och So- cialstyrelsens föreskrifter om personregister. I andra inspektionens beslut som utredningen har tagit del av, har Datainspektionen uttalat att det inte ankommer på inspektionen att bedöma huruvida det register som tillstånd har lämnats för kommer att utgöra ett sammanställningsregister eller om de uppgifter som skall registreras är av det slag som avses i 59 § socialtjänstlagen. Datainspektionen har i stället framhållit att ansvaret för att ett register inom socialtjänsten förs i enlighet med de angivna bestämmelserna åvilar den som är registeransvarig.

Förbudet i 59 § socialtjänstlagen mot att i s.k. sammanställningsregister anteckna uppgifter om ömtåliga personliga förhållanden har t illkommit för att värna den enskildes personliga integritet. Därför bör det – om förbudet i något avseende skall lättas upp – kunna presenteras ett starkt behov därav, ett behov som får anses väga tyngre än behovet av att skydda den enskildes personliga integritet.

Enligt utredningens uppfattning har det inte framkommit tillräckligt belägg för att rent allmänt hävda att bestämmelsen inte längre fyller någon funktion. Tvärtom kan, menar utredningen, den moderna tekniken och dess sökmöjligheter t.o.m. medföra att behovet av en sådan bestämmelse är större i dag än tidigare. De moderna sökmotorerna möjliggör nämligen att ett sådant s.k. sammanställningsregister kan skapas på ett ögonblick.

Å andra sidan får bestämmelsen naturligtvis inte – om det inte finns starka integritetsskäl som talar i den andra riktningen – hindra att personuppgifter kan behandlas inom socialtjänsten på ett modernt, effektivt och rationellt sätt.

Enligt utredningens uppfattning är det uppenbart att det inte kan komma i fråga att ändra bestämmelsen i 59 § socialtjänstlagen så att den medger att t.ex. LOB-rapporter, som inte tas in i en personakt, kan hållas ordnade i personnummerföljd. Det är nämligen precis den typen av register som bestämmelsen är avsedd att förhindra. Utredningen menar

134 En ny lag om behandling av personuppgifter... SOU 1999:109

också att det knappast finns något behov av att för dessa och andra myndigheters rapporters skull göra någon ändring i 59 § socialtjänstlagen. Bestämmelsen behöver nämligen inte få några negativa konsekvenser för socialtjänstens arbete. Det enda som behövs är att man skapar nya rutiner för att bevaka LOB-rapporter och andra anmälningar från myndigheter. Inget hindrar t.ex. att socialtjänsten, när en anmälan kommer in, lägger upp ett ärende och därmed en personakt och sedan, om man konstaterar att det inte finns någon anledning att vidta någon åtgärd, omedelbart skriver av ärendet. Man får då också en ansvarig handläggare för ärendet, något man inte får om anmälan förvaras t.ex. i en pärm på en socialförvaltning, där den kanske är tillgänglig för många. Den enda nackdelen med en sådan ordning är att det finns särskilda gallringsregler beträffande personakter (se avsnitt 6.13), t.ex. får vissa personakter över huvud taget inte gallras. Det får emellertid accepteras.

Inte heller innebär det förhållandet att en socialnämnd får sig tillsänt en mycket stor mängd underrättelser enligt jordabalken respektive ellagen om obetalda hyror och obetalda räkningar – underrättelser som enligt vad som sagts utredningen ofta inte föranleder någon åtgärd från socialnämndens sida, beroende på att de människor som underrättelserna gäller inte behöver stöd eller hjälp – att 59 § första stycket socialtjänstlagen bör upphävas. Det kan t.ex. röra sig om personer som har glömt att betala hyran eller elräkningen innan de gett sig i väg på en längre semester.

Om man anser att de nämnda bestämmelserna i jordabalken och ellagen innebär att socialnämnderna erhåller underrättelser när så egentligen inte är påkallat, och därigenom – på grund av det stora antalet underrättelser – riskerar att inte uppmärksamma de personer som är i behov av stöd och hjälp, bör man i stället överväga att ändra dessa bestämmelser

så att de blir mer flexibla. Problemet bör – menar utredningen – knappast lösas genom att förbudet i 59 § första stycket socialtjänstlagen upphävs.

Det kan i sammanhanget nämnas att Socialtjänstkommittén i betänkandet Dokumentation och Socialtjänstregister (SOU 1995:86) – av integritetshänsyn – föreslog ett uttryckligt förbud mot att tillföra personakt anmälan som inte föranleder utredning (1 kap. 6 §). Vid remissbehandlingen av betänkandet var många remissinstanser tveksamma eller avstyrkte förslaget. Bl.a. menade Datainspektionen att en sådan anmälan ändå måste diarieföras och inspektionen ifrågasatte om inte den personliga integriteten bättre upprätthålls om en sådan anmälan fogas till personakten med anteckning om att den inte föranlett någon åtgärd och grunden för detta ställningstagande. Socialstyrelsen avstyrkte förslaget och framhöll vikten av att kunna följa upprepade anmälningar. Även Kammarrätten i Göteborg var negativ till förslaget, eftersom detta,

menade kammarrätten, kan leda till att socialtjänsten inte vet om anmälningar har kommit in tidigare. Flera andra remissinstanser redovisade samma uppfattning som kammarrätten.

Däremot inser utredningen att förbudet i 59 § socialtjänstlagen kan innebära vissa hinder mot att behandla personuppgifter för ändamål som t.ex. tillsyn, uppföljning, utvärdering samt kvalitetssäkring, och att det således finns ett behov av att utvidga undantaget från förbudet i den nämnda bestämmelsen. Även när det gäller att ta fram uppgifter för forskning eller för framställning av statistik finns det ett behov av att göra ett sådant undantag. I annat fall kan modern informationsteknik i många fall inte användas för att för sådana ändamål bearbeta redan insamlade personuppgifter. Enligt utredningens uppfattning utgör hänsynen till enskildas personliga integritet inget hinder mot att tillåta att uppgifter om ömtåliga personliga förhållanden får antecknas i ett s.k. sammanställningsregister för sådana mer övergripande ändamål som nyss nämndes.

En rimlig och lämplig avvägning mellan behovet av att kunna använda modern informationsteknik på ett rationellt och effektivt sätt till gagn för socialtjänsten och den enskildes anspråk på skydd för sin personliga integritet, skulle kunna vara att försiktigt utvidga undantaget från förbudet i 59 § socialtjänstlagen till att omfatta även de situationer där personuppgifter behandlas hos socialnämnden för uppföljning, utvärdering, kvalitetssäkring, forskning och framställning av statistik. Det är vad utredningen föreslår. Det torde i de allra flesta fall röra sig om tillfälliga sammanställningar av uppgifter, som förstörs efter en viss tid. Utredningen vill i sammanhanget också framhålla vikten av att ett sådant sammanställningsregister endast blir tillgängligt för ett begränsat antal personer. Det ankommer i enlighet med 59 § tredje stycket socialtjänstlagen och 50 § socialtjänstförordningen på Socialstyrelsen att meddela ytterligare föreskrifter, om det anses påkallat.

Avslutningsvis kan nämnas att när det nu införs en särskild reglering beträffande under vilka förutsättningar personuppgifter skall få behandlas inom socialtjänsten, det kanske kan anses vara rimligt och naturligt att föra över bestämmelsen i 59 § socialtjänstlagen till denna lag. Så bör emellertid enligt utredningens mening inte ske. Den nu föreslagna lagstiftningen omfattar nämligen ett större verksamhetsområde än vad 59 § socialtjänstlagen gör enligt gällande rätt och det saknas anledning att utvidga förbudet i den bestämmelsen på det sätt som då skulle bli fallet. Däremot bör det i den nya lagen tas in en erinran om att det i socialtjänstlagen finns särskilda bestämmelser om register m.m. hos socialnämnden, bestämmelser som skall tillämpas även när person uppgifter behandlas hos socialnämnden med stöd av den lagen.

6.2Tillämpningsområdet

Utredningens förslag: Lagen skall tillämpas vid behandling av personuppgifter inom socialtjänsten. Begreppet socialtjänst föreslås definierat i lagen.

Lagen skall – liksom personuppgiftslagen (1998:204) – gälla inte endast för behandling av personuppgifter som är helt eller delvis automatiserad utan även för annan behandling, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. för manuell behandling av personregister.

Det bör inte införas några särskilda bestämmelser för den automatiserade behandlingen av personuppgifter.

Lagen är inte tillämplig vid behandling av person uppgifter för forsknings- och statistikändamål. Behandling för sådana ändamål regleras av bestämmelserna i personuppgiftslagen och av eventuell annan särlagstiftning på området.

6.2.1Vad bör avses med socialtjänst?

I direktiven sägs att med socialtjänst avses i detta sammanhang verksamhet enligt socialtjänstlagen (1980:620) och anslutande lagar, inklusive sådan verksamhet som bedrivs av enskilda. Utredningen har dock enligt direktiven frihet i fråga om den närmare avgränsningen av vad som bör omfattas av förslaget och utredningen är inte heller förhindrad att låta förslaget omfatta något som formellt ligger utanför socialtjänsten, om det finns ett naturligt samband och det i övrigt är motiverat. I det sammanhanget nämns i direktiven prop. 1996/97:115 Mer tillgänglig kollektivtrafik, vilken proposition innehåller förslag till förändringar i fråga om färdtjänstverksamheten, som innebär att denna samhällsservice till funktionshindrade inte längre skall räknas som hörande till socialtjänsten. Propositionen har sedermera lett till lagstiftning. Den 1 januari 1998 ersattes socialtjänstlagens bestämmelser om färdtjänst och den särskilda lagen om riksfärdtjänst av en ny lag (1997:736) om färdtjänst respektive en ny lag (1997:735) om riksfärdtjänst (prop. 1996/97:115, bet. 1997/98:TU3, rskr. 1997/98:10). Enligt de båda författningarnas övergångsbestämmelser (SFS 1999:338 och 339) gäller äldre bestämmelser respektive den gamla lagen före ikraftträdandet. Dock skall lagen om färdtjänst respektive lagen om riksfärdtjänst från och med den 1 januari 2000 tillämpas på tillstånd som har meddelats före ikraftträdandet, dvs. före

SOU 1999:109 En ny lag om behandling av personuppgifter... 137

den 1 januari 1998. Innebörden av den ändrade regleringen kan i korthet sägas vara bl.a. att färdtjänst skall betraktas i första hand som en transportform i stället för en form av bistånd.

Socialtjänstkommitténs förslag till lag om dokumentation och socialtjänstregister m.m., vilket förslag lades fram i slutbetänkandet Dokumentation och socialtjänstregister (SOU 1995:86 s. 116 ff.) (se avsnitten 5.2 och 5.3), innebar att dokumentationsskyldigheten och bestämmelserna om socialtjänstregister skulle omfatta all verksamhet inom socialtjänsten som bedrevs av kommun eller sådan privat yrkesutövare som stod under länsstyrelsens tillsyn samt verksamhet inom kommunalförbund som övertagit kommunalt socialtjänstansvar och verksamhet inom Statens institutionsstyrelse. Härmed förstods verksamhet enligt den av Socialtjänstkommittén föreslagna lagen om socialtjänst (Ny socialtjänstlag SOU 1994:139) och de särskilda lagarna om vård av unga och av missbrukare utan samtycke. Med socialtjänst jämställdes vidare verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, ärenden om tillstånd till riksfärdtjänsten, verksamhet inom familjerätten som bedrevs i kommunerna enligt föräldrabalken, socialnämnds avgivande av yttrande, i den mån sådan yttrandeskyldighet föreskrevs i lag, samt ärenden om bistånd åt asylsökande m.fl. och om introduktionsersättning för flyktingar och vissa andra utlänningar. Däremot menade kommittén att verksamheten inom Nämnden för vårdartjänst – som var helt statlig och inte hade någon koppling till socialtjänstlagen eller lagen om stöd och service till vissa funktionshindrade – inte borde omfattas av de föreslagna bestämmelserna.

Socialtjänstkommittén föreslog följande definition av begreppet socialtjänst.

Med socialtjänst förstås verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård av unga och av missbrukare utan samtycke samt verksamhet som i annat fall enligt lag handhas av nämnd enligt 1 § första stycket. [Nämnd som avses i 1 kap. 7 § socialtjänstlagen (1996:000)]. Med socialtjänst jämställs ärenden om bistånd åt asylsökande och andra utlänningar, ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar, ärenden om tillstånd till riksfärdtjänst samt verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade.

I författningskommentaren till bestämmelsen (betänkandet s. 164) upplyste Socialtjänstkommittén att paragrafen gav en beskrivning av socialtjänstens verksamhetsområden och att lagtexten i stort sett överensstämde med 7 kap. 4 § tredje stycket sekretesslagen (1980:100) i dess dåvarande lydelse.

Vid remissbehandlingen av betänkandet var övervägande delen av de remissinstanser som yttrade sig positiva till Socialtjänstkommitténs förslag till hur lagens tillämpningsområde hade avgränsats. En remissinstans påpekade att även landsting i flera län hade ansvar för insatser enligt lagen om stöd och service till vissa funktionshindrade och att landsting på vissa håll i landet driver institutioner för barn och ungdom. Landstingsförbundet ansåg att även landstingens verksamhet enligt lagen om stöd och service till vissa funktionshindrade borde omfattas av den föreslagna regleringen. Några remissinstanser ansåg att dokumentationsskyldigheten – och därmed bestämmelserna om socialtjänstregister

– borde gälla oavsett vem som utförde de verksamheter som föreslogs omfattas av lagen. Statens invandrarverk förutsatte att ärenden om bistånd åt asylsökande och andra utlänningar som skall bedömas som socialtjänst inte omfattade verkets hantering av dessa ärenden. Invandrarverket ansåg att det i den föreslagna lagen behövdes ett förtydligande om att lagen endast avsåg kommunernas hantering. Kammarrätten i Jönköping ansåg att definitionen av begreppet socialtjänst i 1 kap. 2 § i den föreslagna lagen borde överensstämma helt med definitionen av samma begrepp i 7 kap. 4 § sekretesslagen.

Som tidigare har redovisats (avsnitten 4.3.4 och 5.2) var det endast förslaget om dokumentationsskyldighet som ledde till lagstiftning, och då i form av ändringar i socialtjänstlagen (prop. 1996/97:124, bet. 1996/97:SoU18, rskr. 1996/97:264, SFS 1997:313). Vissa ytterligare bestämmelser infördes i socialtjänstlagen (50 och 51 §§), enligt regeringen främst i förtydligande syfte och som ett komplement till förvaltningslagens (1986:223) regler. Dokumentationsreglerna i socialtjänstlagen gjordes vidare generellt tillämpliga på sådan enskilt bedriven verksamhet inom socialtjänsten som står under länsstyrelsens stillsyn. När det gällde tillämpningsområdet för bestämmelserna om dokumentation i socialtjänsten i övrigt fanns det enligt regeringens mening inte anledning att då föreslå några ändringar. Dokumentationsskyldigheten skulle liksom dittills – med undantag för den privata verksamheten – omfatta kommunens verksamhet enligt socialtjänstlagen och vissa anslutande lagar (a. prop. s. 150 f.).

Det får anses uppenbart att med socialtjänst i detta sammanhang skall avses verksamhet enligt socialtjänstlagen och anslutande lagar, inklusive sådan verksamhet som bedrivs av enskilda och av Statens institutionsstyrelse. Att sådan verksamhet, som är socialtjänst i traditionell mening, skall omfattas av lagens tillämpningsområde följer för övrigt i princip redan av direktiven. Utredningen återkommer i författningskommentaren till vad som avses med denna verksamhet. Frågan är emellertid vad som därutöver i detta sammanhang bör innefattas i begreppet socialtjänst. Utredningen har enligt direktiven frihet i fråga om den närmare av-

gränsningen av vad som bör omfattas av förslaget och utredningen är inte heller förhindrad att låta förslaget omfatta något som formellt ligger utanför socialtjänsten, om det finns ett naturligt samband och det i övrigt är motiverat.

När Socialtjänstkommittén skulle definiera begreppet socialtjänst sökte kommittén ledning i den definition av begreppet som finns i 7 kap 4 § sekretesslagen, vilken paragraf innehåller bestämmelser om sekretess på socialtjänstens område. Vid remissbehandlingen av Socialtjänstkommitténs betänkande hade remissinstanserna detaljsynpunkter i fråga om tillämpningsområdet såvitt gällde det allmännas verksamhet utanför socialtjänstlagen men biträdde i övrigt kommitténs förslag eller lämnade det utan erinran. Det kan nämnas att vid remissbehandlingen bereddes 144 remissinstanser tillfälle att yttra sig. Av dessa instanser lämnade 110 svar. Dessutom inkom ett tiotal yttranden utöver remissförteckningen.

Det är ingen enkel uppgift att försöka avgränsa vad som i detta sammanhang bör avses med socialtjänst. Det är svårt att ange några skäl av vilka bestämda slutsatser kan dras om varför en viss verksamhet skall omfattas av denna lagstiftning, medan en annan verksamhet, som kanske även den har en social dimension, skall falla utanför lagens tillämpningsområde. På något sätt måste emellertid gränsen dras. Att utgå från den definition av begreppet socialtjänst som finns i 7 kap 4 § tredje stycket sekretesslagen har vissa fördelar. För det första har tekniken tidigare använts av Socialtjänstkommittén och därvid godtagits av praktiskt taget samtliga instanser vid en mycket bred remissbehandling. För det andra kan det från praktisk synpunkt vara en fördel att de olika definitionerna av begreppet socialtjänst inte skiljer sig åt alltför mycket. En- ligt utredningens mening talar övervägande skäl därför för att man i stort sett bör följa definitionen i 7 kap. 4 § tredje stycket sekretesslagen när samma begrepp nu skall avgränsas i denna lag.

Som tidigare nämndes är färdtjänsten sedan den 1 januari 1998 inte längre en del av socialtjänsten. Vid den tidpunkten ersattes socialtjänstlagens bestämmelser om färdtjänst och den särskilda lagen om riksfärdtjänst av en ny lag om färdtjänst respektive en ny lag om riksfärdtjänst.

Inte heller i sekretesshänseende jämställs ärenden om tillstånd till färdtjänst respektive riksfärdtjänst med socialtjänst. Sekretess i sådana ärenden regleras särskilt i 7 kap. 37 § sekretesslagen.

Frågan är om verksamhet enligt färdtjänstlagstiftningen i detta sammanhang bör anses som socialtjänst och omfattas av lagens tillämpningsområde.

Färdtjänstverksamheten är en samhällsservice och har onekligen inslag av socialtjänst. Vad det handlar om är nämligen att tillgodose behovet av transport för människor, som på grund av funktionshinder har

140 En ny lag om behandling av personuppgifter... SOU 1999:109

väsentliga svårigheter att förflytta sig på egen hand, att resa med allmänna kommunikationsmedel, eller som till följd av ett stort och varaktigt funktionshinder måste resa på ett särskilt kostsamt sätt. Vidare torde datoriserade personregister vara en förutsättning för att kommunerna och trafikhuvudmännen skall kunna fullgöra sina uppgifter inom färdtjänsten och riksfärdtjänsten (prop. 1996/97:115 Mer t illgänglig kollektivtrafik, s. 49). För att hantera ärenden om tillstånd erfordras nämligen register med uppgifter om bostadsadress, nödvändiga hjälpmedel vid transporten, allergier, möjligheten att samåka med andra resenärer, ledsagare, ledarhund etc. Några av de uppgifter som därvid kan be höva registreras kan vara känsliga personuppgifter i personuppgiftslagens mening.

Det finns emellertid också annan verksamhet som kan anses ha starka inslag av socialtjänst men som numera inte är en del av socialtjänsten, t.ex. förskoleverksamhet m.m. (se avsnitt 2.6.2). Om man nu i detta sammanhang låter begreppet socialtjänst omfatta även färdtjänstverksamheten, kan det vara svårt att motivera varför inte annan socialtjänsten närliggande verksamhet bör omfattas av lagens tillämpningsområde. Utredningen anser därför att begreppet socialtjänst i princip inte bör utvidgas utöver vad som gäller enligt 7 kap. 4 § tredje stycket sekretesslagen. Följaktligen bör inte t.ex. färdtjänstverksamheten innefattas i begreppet socialtjänst.

I utredningens direktiv sägs att modern informationsteknik bör kunna användas även inom socialtjänsten för att höja effektiviteten och kvaliteten i arbetet. Det framhålls därvid att det gäller inte bara arbetet i enskilda ärenden utan också i hög grad möjligheten att uppfylla ökade krav i fråga om att följa, analysera och utveckla verksamheten, dvs. bl.a. framställning av olika sammanställningar och statistik. Lagens tillämpningsområde bör därför omfatta även sådan verksamhet. Med social-

tjänst bör således förstås även tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration, allt naturligtvis under förutsättning att det anknyter till det huvudsakliga verksamhetsområdet.

I prop. 1997/98:108 Hälsodata- och vårdregister s. 49 f. lämnades följande definition av termerna uppföljning, utvärdering och kvalitetssäkring. Uppföljning avser att fortlöpande och regelbundet mäta och beskriva behov, verksamheter och resursåtgång angivet i termer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljning syftar till att ge en översiktlig bild av verksamhetens utveckling och att fungera som signal för avvikelser som bör beaktas. Utvärdering avser analys och värdering av kvalitet, effektivitet och resultat hos en verksamhet i förhållande till de mål som bestämts för denna. Kvalitetssäkring är en utvärderingsprocess i vilken man fortlöpande och systematiskt beskriver, mäter och värderar kvaliteten i den egna verksamheten i relation till de mål som har

SOU 1999:109 En ny lag om behandling av personuppgifter... 141

lagts fast. Enligt utredningens mening är dessa definitioner väl ägnade att användas även i förevarande sammanhang.

Med administration avses i detta sammanhang administration som är direkt kopplad till själva verksamhetsområdet. Det kan t.ex. röra sig om fakturering av vårdavgifter, i vilket sammanhang det inte är ovanligt att personnummer måste anges, eller fördelningen mellan de anställda av ärenden. Däremot avses inte den verksamhetsansvariges egen administration, t.ex. betalning av löner och leverantörsfakturor och behandling enbart för personaladministrativa ändamål. Behandling av personuppgifter för sådan administration, regleras av personuppgiftslagen, om inte annan särlagstiftning är tillämplig.

Med tillsyn förstås i detta sammanhang kontroll i individärenden och enskilda verksamheter, en uppgift som inom socialtjänsten främst fullgörs på regional nivå, dvs. av länsstyrelserna. I detta sammanhang kan även nämnas prop. 1988/89:130 om socialstyrelsens framtida roll, uppgifter och inriktning, där begreppet tillsyn fått en delvis annorlunda betydelse. Med tillsyn avses i nämnda proposition även uppföljning och utvärdering. Att begreppet tillsyn där har en annan innebörd saknar emellertid i detta sammanhang praktisk betydelse. Även uppföljning och utvärdering omfattas nämligen av lagens tillämpningsområde.

Utredningen föreslår således att med socialtjänst skall förstås – utöver verksamhet enligt socialtjänstlagen och anslutande lagar, inklusive sådan verksamhet som bedrivs av enskilda – verksamhet som bedrivs av Statens institutionsstyrelse, verksamhet hos kommunal invandrarbyrå, handläggning av ärenden om bistånd som lämnas av socialnämnd åt asylsökande och andra utlänningar, handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar, handläggning av ärenden om tillstånd till parkering för rörelsehindrade, verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade samt – under förutsättning att det anknyter till det huvudsakliga verksamhetsområdet – tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration.

Förslaget innebär – när det gäller Statens institutionsstyrelse – en viss avvikelse från vad som gäller enligt 7 kap. 4 § tredje stycket sekretesslagen. Detta har sin grund i att styrelsen – som framgått av avsnitt 2.5.2 - bedriver även verksamhet som endast är reglerad i förordning, men som lämpligen bör omfattas av den föreslagna lagstiftningen.

Utredningen utvecklar i författningskommentaren vad som närmare avses med respektive verksamhet eller ärendehandläggning. Utredningen återkommer i avsnitt 6.3 till frågan om när personuppgifter får behandlas och för vilka ändamål personuppgifter skall få behandlas i den verksamhet som sålunda definierats som socialtjänst.

142 En ny lag om behandling av personuppgifter... SOU 1999:109

Det bör i sammanhanget påpekas – vilket kommer att framgå av det följande och av författningskommentaren (3 §) – att definitionen av begreppet socialtjänst är i viss mån överlappande. Det kan alltså vara så att vissa av de särskilt nämnda uppgifterna skulle bli att betrakta som socialtjänst även utan att de uttryckligen togs upp i definitionen. I vissa fall följer det t.ex. nämligen direkt av författning att en verksamhet skall bl.a. följas upp och utvärderas, t.ex. har Socialstyrelsen ett ansvar för att följa och vidareutveckla socialtjänsten (67 § socialtjänstlagen), länsstyrelsen skall svara för bl.a. utveckling och samordning av socialtjänsten (68 § socialtjänstlagen) samt har Socialstyrelsen och länsstyrelsen motsvarande uppgifter enligt lagen om stöd och service till vissa funktionshindrade (25 och 26 §§). Vidare skall Statens institutionsstyrelse enligt sin instruktion särskilt svara för bl.a. ekonomisk styrning, resultat uppföljning och kontroll, metodutveckling och utvecklingsarbete ( 2 § 3 och 4 förordningen 1996:610 med instruktion för Statens institutionsstyrelse). Utredningen är medveten om att bl.a. de angivna verksamheterna skulle vara att anse som socialtjänst även utan att uppföljning och utvärdering nämns särskilt i definitionen av begreppet socialtjänst. För att lagens tillämpningsområde skall omfatta även t.ex. uppföljning och utvärdering också i de fall sådan verksamhet inte är reglerad i socialtjänstlagen eller i annan författning som omfattas av definitionen av socialtjänst, exempelvis för uppföljning och utvärdering på det lokala planet i en kommun, är det emellertid nödvändigt att komplettera definitionen på det föreslagna sättet.

Den nämnda uppräkningen av verksamheter m.m. som innefattas i begreppet socialtjänst är uttömmande. Utanför lagens tillämpningsområde kommer därmed att falla t.ex. färdtjänstverksamheten samt förskoleverksamhet m.m., vilken verksamhet regleras av skollagen (1985:1100). Det bör dock framhållas att sådan verksamhet och annan verksamhet som inte omfattas av denna lag eller av annan särlagstiftning omfattas av personuppgiftslagen. Konsekvensen av att man låter en verksamhet falla utanför lagens tillämpningsområde blir alltså inte att behandlingen av personuppgifter i den verksamheten förblir oreglerad. Huruvida de personuppgifter som har samlats in med stöd av denna lag får behandlas för t.ex. sådan verksamhet som nu nämnts, dvs. utanför socialtjänsten, får således avgöras efter en tillämpning av person uppgiftslagen.

Därutöver bör påpekas att denna lag – till skillnad från Socialtjänstkommitténs förslag där det särskilt pekades ut vilka organ som hade att tillämpa regleringen (2 kap. 1 § förslaget till lag om dokumentation och socialtjänstregister m.m., se avsnitt 5.3.2) – är tillämplig oavsett vilket subjekt som behandlar personuppgifter, under förutsättning att det är fråga om socialtjänst i lagens mening. Det innebär att även enskilda som behandlar personuppgifter inom socialtjänsten har att t illämpa lagen.

6.2.2Vilken behandling av personuppgifter bör omfattas av reg leringen?

Som tidigare har nämnts sägs i utredningens direktiv att EG-direktivet och personuppgiftslagen (1998:204) skall vara utgångspunkt för utredningens arbete och att detta också gäller för frågan om vilken behandling av personuppgifter som skall omfattas av regleringen.

Personuppgiftslagen gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är t illgängliga för sökning eller sammanställning enligt särskilda kriterier (5 § personuppgiftslagen).

Det kan nämnas att det har diskuterats om ett register – för att omfattas av EG-direktivet och av personuppgiftslagens tillämpningsområde

– måste vara sökbart på mer än ett kriterium eller om det är tillräckligt att registret är sökbart på ett enda kriterium. Datalagskommittén, som hänvisade till att det i den svenska, engelska, franska och tyska språkversionen av EG-direktivet talas om kriterier i pluralis, menade för sin del att registret måste vara sökbart på mer än ett kriterium (Datalagskommittén; betänkandet Integritet – Offentlighet – Informa-

tionsteknik SOU 1997:39 s. 340). Professor Spiros Simitis (universitetet i Frankfurt, Tyskland), som medverkade vid utarbetandet av EG- direktivet, har en annan uppfattning och anser att det är t illräckligt om ett register är sökbart på ett enda kriterium (Ulrich Dammann–Spiros Simitis; EG-Datenschutzrichtlinie, Baden-Baden, Nomos 1997, s. 73). I sin kommentar till personuppgiftslagen framhåller Öman och Lindblom att syftet med att låta EG-direktivet och personuppgiftslagen omfatta även viss manuell behandling av personuppgifter är att förhindra försök att undkomma lagstiftningen genom att behandla personuppgifterna manuellt. Detta syfte bör, menar Öman och Lindblom, påverka tolkningen av vad som är en manuell behandling (Öman och Lindblom, Personuppgiftslagen – En kommentar, 1998, s. 47). Frågan om ett register skall vara sökbart på ett eller flera kriterier berördes inte i prop. 1997/98:44 Personuppgiftslag.

Enligt utredningens uppfattning bör en lag som avser behandling av personuppgifter inom socialtjänsten ha samma t illämpningsområde som personuppgiftslagen. Redan utredningens direktiv antyder att man bör välja en sådan lösning. Det finns flera skäl för en sådan lösning.

För det första förekommer det, enligt vad utredningen inhämtat, fortfarande i en inte obetydlig utsträckning att personuppgifter inom socialtjänsten behandlas manuellt i register. Det finns skäl att tro att det kommer att förhålla sig på det viset under en längre övergångsperiod. Vidare

kan det väl knappast uteslutas att det alltid kommer att finnas ett visst behov av att behandla personuppgifter manuellt i register.

I 13 § personuppgiftslagen finns ett förbud mot att behandla känsliga personuppgifter. Med känsliga personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. Även uppgifter som rör hälsa och sexualliv betecknas som känsliga person uppgifter. I personuppgiftslagen görs en rad undantag från detta förbud (15–19 §§). Inget av undantagen – bortsett från att sådana uppgifter alltid får behandlas med samtycke och att sådana uppgifter under vissa omständigheter får behandlas för forskning och statistik – är emellertid tillämpligt för den verksamhet som bedrivs inom socialtjänsten. Som framgår av det följande anser utredningen att det är nödvändigt att man inom socialtjänsten får behandla känsliga personuppgifter (se avsnitt 6.4).

Om tillämpningsområdet för denna lag begränsades till att avse endast automatiserad behandling av personuppgifter, skulle den manuella behandlingen av sådana uppgifter i ett register komma att regleras enbart av personuppgiftslagen. Personuppgiftslagen gäller ju i den mån det inte i annan lag eller författning finns avvikande bestämmelser. Detta skulle få till följd att känsliga personuppgifter inte skulle kunna behandlas manuellt i ett register inom socialtjänsten.

Det förefaller enligt utredningens mening mest rimligt och praktiskt att, när man nu skall särskilt reglera socialtjänstens behandling av personuppgifter, låta inte bara automatiserad behandling av sådana uppgifter omfattas av regleringen utan även den manuella behandlingen av personuppgifter som ingår i ett register. En annan ordning skulle förmodligen framstå som egendomlig. Dessutom skulle man i annat fall – för att verksamheten inom socialtjänsten skulle kunna fullgöras – i annan författning (20 § personuppgiftslagen) behöva göra undantag från personuppgiftslagens förbud mot att behandla känsliga personuppgifter. En sådan lösning framstår enligt utredningens uppfattning som föga ändamålsenlig. En betydligt bättre lagstiftningsteknik är att i en och samma författning i så stor utsträckning som möjligt samla de bestämmelser som innebär avvikelser från personuppgiftslagen. Regleringen blir då lättare att överskåda och tillämpa, vilket är värdefullt inte minst för det stora antal praktiker som kommer att behöva tillämpa regleringen.

Sammanfattningsvis anser utredningen således att en lag om behandling av personuppgifter inom socialtjänsten bör ha samma t illämpningsområde som personuppgiftslagen. Lagen skall följaktligen gälla inte bara för all automatiserad behandling av personuppgifter utan även för manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsed-

SOU 1999:109 En ny lag om behandling av personuppgifter... 145

da att ingå i en strukturerad samling av personuppgifter som är t illgängliga för sökning eller sammanställning enligt särskilda kriterier.

Huruvida manuell behandling av personuppgifter i personakter kommer att omfattas av lagens tillämpningsområde är beroende av om de personaktsystem som används inom socialtjänsten är att anse som register i EG-direktivets och personuppgiftslagens mening, dvs. om de är sökbara på det sätt som där krävs. Enligt vad som sagts utredningen torde de sökregister som finns till personakterna vara slag- eller sökregister som är upplagda på namn och pers onnummer, dvs. på två kriterier (jfr även prop. 1979/80:1 s. 438). Om sökregistret är sökbart på det sätt som krävs enligt EG-direktivet och personuppgiftslagen, uppkommer frågan om också personakterna – även om innehållet i dessa inte är sökbart enligt särskilda kriterier– är att anse som register. För att så skall anses vara fallet talar det förhållandet att sökregistret och akten bör ses i ett sammanhang (a. prop. a. s. samt betänkandet Socialtjänst och socialförsäkringstillägg – Lagar och motiv SOU 1977:40 s. 740). I boken EG- Datenschutzrichtlinie av Ulrich Dammann och Spiros Simitis sägs emellertid att enskilda akter och aktsamlingar och de tillhörande omslagen skall anses vara register, om deras innehåll är strukturerat som ett register (s. 110). (Se EG-direktivets ingress punkt 27 sista meningen).

Utanför lagens tillämpningsområde faller således manuell behandling av personuppgifter som inte ingår i och inte heller är avsedda att ingå i ett register. Lagens tillämpningsområde följer även i det här avseendet personuppgiftslagen.

Enligt utredningens uppfattning bör lagen – i likhet med personuppgiftslagen – inte innehålla några särskilda regler för när uppgifter behandlas automatiserat. Det är viktigt att den nya lagen så litet som möjligt hämmar användningen av modern informationsteknik. Om man har särskilt stränga regler för den automatiserade behandlingen av personuppgifter, kan konsekvensen bli att de personuppgiftsansvariga i stället väljer att behandla personuppgifterna manuellt.

6.2.3Behandling av personuppgifter för forsknings- och statistikändamål bör falla utanför lagens tillämpningsområde

Det finns inte någon entydig definition av begreppet forskning. Begreppet bör emellertid beröras något eftersom forskning inte får förväxlas med uppföljning, utvärdering eller kvalitetssäkring. Datalagskommittén hänvisade i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39 s. 275 f.) till ett uttalande i betänkandet Forskningsetisk prövning – Organisation, information och utbildning (SOU 1989:74 s.

25). Där uttalade Forskningsetiska utredningen att begreppet forskning i ett OECD-dokument från år 1970 har fått en tvådelad förklaring, och tillade.

Där talar man om dels grundforskning, dels tillämpad forskning, riktad forskning. I båda fallen finns det emellertid en gemensam kärna som getts formuleringen att man med forskning menar ”ett systematiskt och metodiskt sökande efter ny kunskap och nya idéer”. Denna allmänt inriktade och vida definition utgår jag också i från, när jag talar om ”forskning”, oberoende av inriktning, område och finansiering.

I prop. 1998/99:72 Rättspsykiatriskt forskningsregister (s. 36 f.) hänvisar regeringen till bl.a. det nu nämnda uttalandet samt framhåller att det är svårt att ge någon mera exakt definition av begreppet forskning.

I förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 127) uttalades om begreppet forskning bl.a. följande.

Med forskning avses i paragrafen [19 §] i första hand den verksamhet som bedrivs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletablerade forskningsinstitut. Även sådana epidemiologiska undersökningar som utförs vetenskapligt omfattas. Släktforskning faller utanför, liksom annan forskning eller utredningsverksamhet av mera privat natur. Det måste finnas ett samhällsintresse av att forskningen bedrivs, och den måste vara vetenskaplig i någon mening.

SOU 1999:109 En ny lag om behandling av personuppgifter... 147

Med statistik avses i detta sammanhang annan statistik än s.k. verksamhetsstatistik.

I prop. 1997/98:44 Personuppgiftslag uttalade regeringen (s. 71) att vikten av att värna om forskningens frihet gör att det förefaller lämpligare att göra en avvägning i varje enskilt fall än att i den nya lagen införa generella regler om vilken forskning och statistik som skall tillåtas. Re- geringen tillade att många av dessa olikartade forsknings- och statistikprojekt som regel pågår bara under en begränsad tid. Även Datalagskommitténs slutsats var att det måste göras en avvägning i varje enskilt fall (betänkandet s. 297).

Enligt utredningens uppfattning finns det inte anledning att i detta sammanhang göra någon annan bedömning än den Datalagskommittén och regeringen gjorde i lagstiftningsärendet om en ny personuppgiftslag. Inte heller denna lag bör således explicit ange när personuppgifter får behandlas för forskning och statistik. Behandling för sådana ändamål bör således falla utanför lagens tillämpningsområde. Det kan tilläggas att lagen (1998:544) om vårdregister inte gäller automatiserad behandling av personuppgifter på lokal och regional nivå för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring samt forskning (prop. 1997/98:108 s. 62 ff.). Regeringen uttalade att vårdregisterlagen innebär att den personuppgiftsansvarige oavsett den registrerades inställning skall få använda ett vårdregister för de ändamål som anges i lagen. Regeringen menade dock att denna princip däremot inte bör gälla om den, som är personuppgiftsansvarig för ett vårdregister, önskar använda registret för forskning (a. prop. s. 67).

I lagen bör därför – eftersom definitionen av socialtjänst i vissa fall kan innefatta även t.ex. forskning, se t.ex. 2 § första stycket 4 förordningen (1996:610) med instruktion för Statens institutionsstyrelse – tas in en uttrycklig bestämmelse om att lagen inte skall tillämpas vid behandling av personuppgifter för forsknings- och statistikändamål. Personuppgifter får behandlas för sådana ändamål endast om förutsättningarna i personuppgiftslagen (1998:204) är uppfyllda.

Vid behandling av personuppgifter för forskning och övrig statistik inom socialtjänsten gäller således personuppgiftslagen, dock att det beträffande den officiella statistiken finns en särskild författningsreglering (lagen 1995:606 om vissa personregister för officiell statistik och förordningen 1995:1060 om vissa personregister för officiell statistik) som gäller framför personuppgiftslagen.

Enligt personuppgiftslagen får personuppgifter i princip alltid behandlas, om den registrerade uttryckligen har lämnat sitt samtycke. Hu- vudprincipen vid forskning har under lång tid varit att den enskilde skall ha lämnat sitt samtycke. Om inte samtycke finns, krävs enligt personuppgiftslagen för det första att behandlingen är nödvändig för det aktu-

ella forsknings- och statistikändamålet enligt 10 §. Behandlingen skall alltså kunna hänföras under någon av de punkter som räknas upp i 10 §. Är behandlingen nödvändig på detta sätt, krävs därutöver – när fråga är

om behandling av känsliga personuppgifter – att samhällsintresset av det forsknings- eller statistikprojekt vari behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. För att göra denna avvägning måste det ske en helhetsbedömning i det enskilda fallet. Det är i första hand den personuppgiftsansvarige själv som har att på eget ansvar t illämpa avvägningsnormen. Om behandlingen inom ett aktuellt projekt godkänts av en forskningsetisk kommitté, behöver emellertid den personuppgiftsansvarige inte göra någon egen avvägning. Då skall nämligen förutsättningarna

för att behandla personuppgifterna anses vara uppfyllda.

Det bör avslutningsvis framhållas att det inte är något som hindrar att de uppgifter som samlats in för att m yndigheter och andra skall kunna utföra sina arbetsuppgifter inom socialtjänsten, dvs. med stöd av denna lag, även används för forsknings- och statistikändamål. Av 9 § andra stycket personuppgiftslagen följer nämligen att behandling för historiska, statistiska och vetenskapliga ändamål inte skall anses oförenlig med det ändamål för vilka uppgifterna ursprungligen samlades in. I 19 § tredje stycket personuppgiftslagen finns en allmän bestämmelse i ämnet. Huruvida behandlingen av personuppgifterna, t.ex. själva utlämnandet, är tillåten i det enskilda fallet, får emellertid avgöras av bestämmelserna i personuppgiftslagen. I den mån det, som t.ex. i 64 § socialtjänstlagen, finns särskilda föreskrifter i lag eller förordning om utlämnande av uppgifter för forskningsändamål, gäller dessa bestämmelser före personuppgiftslagens regler (2 § personuppgiftslagen).

6.2.4Lagens förhållande till hälso- och sjukvårdsverksamhet

IT-användningen inom hälso- och sjukvården har reglerats i bl.a. lagen (1998:544) om vårdregister. Med vård avses enligt lagen om vårdregister vård enligt hälso- och sjukvårdslagen (1982:763), ta ndvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård samt smitts kydd enligt smittskyddslagen (1988:1472). Tillämpningsområdet har bestämts så att all patientjournalföring – oavsett om den grundar sig på patientjournallagen (1985:562) eller annan författning – omfattas av vårdregisterlagens tillämpningsområde (prop. 1997/98:108 Hälsodata- och vårdregister s. 69). Vårdregisterlagen gäller personregister som förs inom såväl offentlig som privat bedriven vård och oavsett i vilken organisationsform verk-

samheten bedrivs. Vårdregisterlagen har sitt största tillämpningsområde inom den landstingsbedrivna hälso- och sjukvården men den har också betydelse för den kommunalt bedrivna vården och för all privat vård (a. prop. s. 95).

Det förekommer i viss utsträckning att det i nära anslutning till socialtjänsten bedrivs hälso- och sjukvård. Ett exempel på detta är den s.k. ÄDEL-reformen, som innebar att kommunerna tog över ansvaret för hälso- och sjukvården i vissa boendeformer för äldre m.fl. I prop.

1990/91:14 (s. 85) uttalade regeringen att den hälso- och sjukvård som kommunerna genom reformen skulle få ansvar för samt den kommunala socialtjänsten skall fungera som ett komplement till varandra i en integrerad organisation under socialnämndens ledning. Enskilda som behöver stöd och hjälp skall, menade regeringen, kunna få sådan, vare sig det rör insatser av social eller medicinsk natur, inom en samlad kommunal organisation för hälso- och sjukvård och socialtjänst. Regeringen framhöll att många gånger kommer också såväl medicinska som sociala insatser att ges samma person. Ett annat exempel som kan nämnas i sammanhanget är att det även i Statens institutionsstyrelses verksamhet i vissa fall bedrivs hälso- och sjukvård.

Enligt utredningens uppfattning bör det – även om det i många fall kan vara svårt att avgöra om en viss åtgärd är att anse som hälso- och sjukvård eller som socialtjänst – inte uppkomma några gränsdragningsproblem mellan vårdregisterlagen och den nu föreslagna lagen om behandling av personuppgifter inom socialtjänsten. Är en viss åtgärd att anse som hälso- och sjukvård är vårdregisterlagen tillämplig när personuppgifter skall behandlas med anledning av åtgärden. Det sagda gäller under förutsättning att det är fråga om automatiserad behandling av sådana uppgifter. I annat fall regleras behandlingen av personuppgifter för hälso- och sjukvårdsändamål av personuppgiftslagen (2 § vårdregisterlagen). Är det däremot fråga om socialtjänstverksamhet är den nu föreslagna lagen tillämplig vid behandling av person uppgifter.

6.3När personuppgifter får behandlas och ändamålen med behandlingen av personuppgifter

Utredningens förslag: I lagen föreskrivs att personuppgifter, förutom med den registrerades samtycke, får behandlas bara om behandlingen är nödvändig för att en arbets uppgift inom socialtjänsten skall kunna utföras. Lagen hindrar dock inte att personuppgifter lämnas ut om det följer av lag eller förordning. I lagen regleras inte för vilka ändamål personuppgifter skall få behandlas inom socialtjänsten. Det ankommer således på de personuppgiftsansvariga i respektive verksamhet att med beaktande av 9 § första stycket c personuppgiftslagen (1998:204) – dvs. bestämmelsen att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål – ange för vilka ändamål personuppgifter behandlas. Endast ändamål som är nödvändiga för att en arbets uppgift inom socialtjänsten skall kunna utföras kan därvid vara berättigade.

6.3.1Bakgrund

I 9 § personuppgiftslagen (1998:204) finns bestämmelser om de grundläggande krav på behandlingen av personuppgifter som en personuppgiftsansvarig alltid måste uppfylla.

För att en viss behandling skall vara laglig krävs det inte bara att behandlingen utförs i enlighet med de grundläggande kraven. Behandlingen måste också kunna hänföras till något av de fall som anges i 10 §. Bara i de fall som anges i 10 § är det över huvud taget tillåtet att behandla personuppgifter. Avser behandlingen känsliga personuppgifter, uppgifter om lagöverträdelser m.m. eller personnummer, måste behandlingen dessutom vara tillåten enligt bestämmelserna i 13–22 §§. Innebär behandlingen att personuppgifter förs över till tredje land, måste också 33–35

§§följas.

Här nämns endast några av de krav som finns intagna i 9 § första

stycket personuppgiftslagen. Den personuppgiftsansvarige skall se till att a) personuppgifter behandlas bara om det är lagligt, b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som

är oförenligt med det för vilket uppgifterna samlades in, e) de perso-

nuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen samt f) att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen.

I 10 § personuppgiftslagen anges i en uttömmande uppräkning när behandling av personuppgifter över huvud taget är t illåten. Enligt bestämmelsen får personuppgifter behandlas bara om den registrerade lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, c) vitala intressen för den registrerade skall kunna skyddas, d) en arbetsuppgift av allmänt intresse skall kunna utföras, e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med m yndighetsutövning, eller f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Om känsliga personuppgifter, uppgifter om la göverträdelser m.m. eller personnummer skall behandlas, måste behandlingen, som nämnts, dessutom vara tillåten i enlighet med 13–22 §§. Innebär behandlingen att personuppgifter förs över till tredje land, måste också 33–35 §§ följas.

6.3.2När personuppgifter får behandlas och ändamålen med behandlingen

I likhet med vad som gäller enligt personuppgiftslagen (10 §) bör personuppgifter få behandlas när samtycke finns.

Vidare finns det i en rad olika författningar föreskrifter som innebär att myndigheter eller enskilda får eller skall lämna ut uppgifter. När bestämmelser om sådant uppgiftslämnande har införts får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas

ut och intresset av att skydda enskilda personers integritet, vid vilken avvägning man funnit att uppgiften bör lämnas ut. Det saknas därför, menar utredningen, anledning att i en integritetsskyddslagstiftning, som den nu föreslagna, särskilt reglera dessa fall av redan författningsreglerat uppgiftslämnande. Enligt utredningen bör i stället i den nu föreslagna lagen föreskrivas att lagen inte – liksom är fallet enligt personuppgiftslagen (2 §) – hindrar att personuppgifter lämnas ut om det följer av lag eller förordning.

152 En ny lag om behandling av personuppgifter... SOU 1999:109

Eftersom det naturligtvis inte är realistiskt att ha samtycke från den registrerade som i princip enda förutsättning för att personuppgifter skall få behandlas inom socialtjänsten, bör sådana uppgifter få behandlas även utan samtycke, om vissa förutsättningar är uppfyllda. I det följande diskuteras vad som därvid bör gälla.

Som tidigare framgått gäller enligt EG-direktivet och personuppgiftslagen att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål samt att uppgifterna senare inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (artikel 6.1 i EG-direktivet och 9 § första stycket c och d personuppgiftslagen). Tanken är att den personuppgiftsansvarige själv, redan när uppgifterna samlas in, skall ange särskilda ändamål för sin behandling av personuppgifterna. Dessa ändamål sätter sedan gränser för hur uppgifterna får behandlas.

Enligt utredningens uppfattning vore det önskvärt att det direkt i lagen uttömmande kunde anges för vilka ändamål personuppgifter skall få behandlas inom socialtjänsten. Bestämningen av ändamål för behandlingen av personuppgifter är nämligen av central betydelse från integritetssynpunkt.

En sådan lösning skulle innebära att personuppgifter inom socialtjänsten får samlas in och behandlas endast för de i lagen angivna ändamålen. Det skulle därmed sättas en definitiv gräns för de ändamål för vilka personuppgifter får samlas in inom socialtjänsten. Det skulle, när det gäller behandlingen i övrigt, inte heller finnas något utrymme för att inom socialtjänsten tillämpa 9 § första stycket d person uppgiftslagen, dvs. att insamlade personuppgifter får behandlas även för andra ändamål, om det nya ändamålet inte är oförenligt med de ändamål för vilka uppgifterna har samlats in.

Däremot skulle personuppgiftslagens bestämmelser vara t illämpliga så snart det var fråga om att behandla personuppgifter utanför socialtjänsten, t.ex. att lämna ut uppgifter för forsknings- och statistikändamål eller att annars använda inom socialtjänsten insamlade uppgifterna utanför socialtjänsten. Lagens tillämpningsområde är ju begränsat till att gälla behandling av personuppgifter inom socialtjänsten (se avsnitt 6.2).

Ett annat argument för att direkt i lagen uttömmande ange ändamålen med behandlingen är att det kanske av en speciallagstiftning som den nu aktuella förväntas att ändamålen är klart angivna. Det finns flera exempel på att lagstiftaren i författningar, som innehåller en specialreglering i förhållande till personuppgiftslagen, valt att i författningen ange för vilka ändamål personuppgifter får behandlas (se t.ex. 3 och 4 §§ lagen 1998:544 om vårdregister).

Utredningen har därför ingående diskuterat om det är möjligt att i lagen uttömmande ange för vilka ändamål personuppgifter skall få

behandlas inom socialtjänsten. Beroende på att socialtjänsten, sådant begreppet föreslås definierat i lagen (se avsnitt 6.2.1), är en mycket bred verksamhet är det emellertid, som kommer att framgå av det följande, inte alldeles okomplicerat att göra det. De exempel på lagstiftning som innehåller ändamålsbestämmelser avser som regel en mer avgränsad verksamhet som inte sällan har karaktären av ren registerverksamhet, t.ex. vårdregister och behandling av personuppgifter om totalförsvarspliktiga (SFS 1998:938). Utredningen har i huvudsak diskuterat två olika modeller för hur ändamålen skulle kunna anges uttömmande i lagen. Utredningen återkommer i det följande till dessa båda modeller. Därefter diskuteras en modell som innebär att det överlåts på de personuppgiftsansvariga i respektive verksamhet att – inom en i lagen föreskriven ram – själva ange ändamålen med behandlingen av personuppgifter.

Socialtjänstkommitténs förslag till registerändamål

Först bör emellertid något sägas om Socialtjänstkommitténs förslag till ändamålsbestämmelse i den av kommittén föreslagna lagen om dokumentation och socialtjänstregister m.m. (SOU 1995:86). Socialtjänstkommitténs förslag har redovisats utförligt i avsnitt 5.

Socialtjänstkommittén föreslog att ändamålet med ett socialtjänstregister skulle vara handläggning av ärenden och verkställighet av beslut inom socialtjänstens verksamhetsområden. Med socialtjänst förstods verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård av unga och av missbrukare utan samtycke samt verksamhet i annat fall som enligt lag handhas av den kommunala nämnd som utövar ledningen av socialtjänsten. Med socialtjänst jämställdes ärenden om bistånd åt asylsökande och andra utlänningar, ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar, ärenden om tillstånd till riksfärdtjänst samt verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade. Tanken var att mer specificerade ändamål skulle anges i till lagen anslutande förordningar och att registren således skulle få användas endast i enlighet med föreskrifter som regeringen meddelade. Registren skulle få användas även för förberedande åtgärder för handläggningen samt för tillsyn, uppföljning, utvärdering och framställning av statistik.

Vid remissbehandlingen av betänkandet riktades ingen särskild kritik mot det sätt på vilket ändamålsbestämmelsen hade utformats. Datainspektionen framhöll dock att man borde avstå från detaljreglering i förordningar och i stället överlåta en större del av ansvaret på de registeransvariga. Den mesta kritiken föranleddes av att det i den föreslagna lagen inte konkret angavs vilka uppgifter som skulle få förekomma i registren. En-

ligt kommitténs förslag skulle ett socialtjänstregister få innehålla endast de uppgifter som behövdes för sådan handläggning av ärenden och verkställighet av beslut inom socialtjänstens verksamhetsområden som avsågs i den föreslagna lagen. Utredningen återkommer i avsnitt 6.4 till vilka personuppgifter som bör få behandlas inom socialtjänsten.

Ändamålen med behandlingen anges uttömmande i lagen

I lagen anges endast ett ändamål (modell 1)

Den första modell som utredningen har diskuterat för hur ändamålen skulle kunna anges uttömmande i lagen, innebär att det i en ändamålsbestämmelse anges endast ett ändamål. En sådan bestämmelse skulle med nödvändighet bli ganska vid till sin utformning, eftersom det inte är möjligt att i en ändamålsbestämmelse, av det slag som Datainspektionen har meddelat i sina tillståndsbeslut, fånga en verksamhet som är så omfattande och mångskiftande som socialtjänsten. Detta framgår av den genomgång som utredningen gjort av olika tillståndsbeslut som rör socialtjänsten (se avsnitt 3) och av de samtal som utredningen har haft med företrädare för olika myndigheter. Det kan i sammanhanget påpekas att även Socialtjänstkommitténs förslag, som tidigare sagts, innebar att regeringen skulle ange särskilda ändamål för de olika register som skulle inrättas.

Ändamålsbestämmelsen skulle kunna utformas så att den innebär att personuppgifter får behandlas för att en arbetsuppgift inom socialtjänsten skall kunna utföras. Ett sådant ändamål skulle, menar utredningen, vara berättigat i den betydelsen att det inte står i strid med vad EG- direktivet och personuppgiftslagen anger om när behandling av personuppgifter är t illåten, dvs. behandlingen kan hänföras under artikel 7 i EG-direktivet och 10 § personuppgiftslagen. Det är nödvändigt att inom socialtjänsten få behandla personuppgifter datoriserat eller manuellt i register. I annat fall skulle den verksamheten, som är av allmänt intresse, inte kunna bedrivas över huvud taget.

Det finns vissa fördelar med att ange endast ett ändamål. Under förutsättning att personuppgifterna be hövs för att en arbets uppgift inom socialtjänsten skall kunna utföras, får personuppgifterna samlas in och de kan sedan – i den mån sekretess inte lägger hinder i vägen – flöda fritt inom socialtjänsten och användas för alla de skilda arbetsuppgifter som förekommer där. Begreppet socialtjänst definieras i 2 § 1–9 (se avsnitt 6.2.1). Det skulle således inte spela någon roll i vilket sammanhang personuppgifterna samlats in inom socialtjänsten. Uppgifter som samlats in för att en arbetsuppgift enligt lagen (1993:387) om stöd och service till

SOU 1999:109 En ny lag om behandling av personuppgifter... 155

vissa funktionshindrade behöver utföras, skulle exempelvis kunna användas – behandlas – för att handlägga ett ärende om parkeringstillstånd för rörelsehindrade. Så länge personuppgifterna behandlas för det angivna ändamålet är behandlingen ju tillåten. För något annat ändamål skulle de insamlade personuppgifterna däremot över huvud taget inte få användas inom socialtjänsten. I vilken utsträckning uppgifterna skulle kunna användas utanför socialtjänsten skulle få avgöras efter en tillämpning av personuppgiftslagen och av de sekretessbestämmelser som gäller för uppgifterna.

Det torde knappast råda något tvivel om att en ordning som den nu diskuterade skulle vara praktisk i det dagliga arbetet inom socialtjänsten. En personuppgift kan nämligen vara användbar i en rad olika sammanhang inom socialtjänsten, utan att den nya användningen behöver innebära något negativt för den enskilde. Det kan tvärtom vara till fördel för denne. Det kan t.ex. vara svårt att redan när personuppgifterna samlas in avgöra när uppgifterna senare kan behövas igen. I socialtjänstens personakter samlas uppgifter som inte hänför sig till endast ett ärende, utan i en och samma akt finns det uppgifter som rör olika delar av socialtjänstverksamheten. En socialtjänstakt kan liknas närmast vid en dossier, i vilken sammanförs handlingar om en viss persons olika ärenden inom socialtjänsten. Hanteringen och lagringen av personuppgifter inom socialtjänsten är således – till skillnad från vad som är fallet vid nästan all annan offentlig handläggning – uppbyggd efter person i stället för ärende. Det är också förklaringen till att just socialtjänstens akthantering är undantagen från kravet på att diarieföra alla inkomna handlingar; man kan ju ändå enkelt hitta alla handlingar om en person genom att titta i dennes akt (jfr 5 § sekretessförordningen 1980:657).

En ändamålsbestämmelse som är något lite vidare till sin utformning blir också mer flexibel och hindrar eller försvårar inte en förändring av verksamheten. En nackdel med att ha alltför preciserade ändamålsbestämmelser är att det finns en risk för att vissa arbetsuppgifter inte kan utföras, eftersom de inte går att föra in under en ändamålsbestämmelse. Man bör ha i åtanke att denna lagstiftning, till skillnad från datalagen, skall reglera inte bara den automatiserade behandlingen av personuppgifter utan även manuell behandling i register. Personuppgifter får ju behandlas, t.ex. antecknas i en personakt eller användas i ett annat ärende, endast om åtgärden ryms under ändamålsbestämmelsen.

Det finns emellertid även nackdelar med ett ändamål som utformas på det angivna sättet. För det första är det, menar utredningen, mycket tveksamt om en sådan ändamålsbestämmelse uppfyller EG-direktivets och personuppgiftslagens krav på att ändamålen skall vara särskilda . Vad som närmare avses med detta framgår visserligen varken av EG-direktivet eller av förarbetena till personuppgiftslagen. Datalagskommittén framhöll att

156 En ny lag om behandling av personuppgifter... SOU 1999:109

uttrycket särskilda innebär att en alltför allmänt hållen ändamålsangivelse inte godtas. Kommittén menade att det i praxis får avgöras hur detaljerad ändamålsangivelsen skall vara för att uppfylla personuppgiftslagens och direktivets krav (SOU 1997:39 s. 350) samt påpekade att regeringen och Datainspektionen kan utfärda mer preciserade regler, t.ex. för olika typsituationer. Några sådana föreskrifter har emellertid ännu inte utfärdats. Kommittén nämnde vidare att det är möjligt att ange flera ändamål när uppgifterna samlas in. I prop. 1997/98:44 Personuppgiftslag lämnades ingen ledning för hur uttrycket skall tolkas.

Man kan när det gäller tolkningen av begreppet särskilda få viss ledning av EG-direktivets och personuppgiftslagens krav på att personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler uppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (artikel

6 c i EG-direktivet och 9 § första stycket e och f personuppgiftslagen). Om inte ändamålet har en viss grad av precision, kan man knappast bedöma huruvida personuppgifterna är adekvata och relevanta eller om för många personuppgifter behandlas.

En personuppgift torde vara nödvändig för ett visst ändamål, om ändamålet inte kan realiseras om inte personuppgiften får användas. Kan man inte avgöra vilka person uppgifter som behövs för att ändamålet skall kunna uppfyllas, torde ändamålet inte vara särskilt utan allmänt . Ett skäl för denna tolkning är EG-direktivets krav på att personuppgifter skall vara relevanta och inte överflödiga i förhållande till sina ändamål.

Det är emellertid – innan praxis utvecklats på området eller särskilda föreskrifter utfärdats – mycket svårt att ha en bestämd uppfattning om vad som avses med uttrycket att ändamålen skall vara särskilda . Vad man däremot kan säga är att det finns en inte obetydlig risk för att ett ändamål som det angivna skulle anses vara alltför allmänt hållet och att det följaktligen inte skulle godtas.

En annan fråga är om det från integritetssynpunkt är godtagbart att den stora mängd personuppgifter som finns och kommer att finnas inom socialtjänsten utan hinder av lagen kan flöda så fritt inom socialtjänsten som skulle bli fallet om ändamålet utformades på det sätt som nu diskuteras.

Enligt vad som sagts utredningen är detta relativt fria flöde av personuppgifter emellertid en förutsättning för att systemet med socialtjänstakter skall kunna användas. De risker från integritetssynpunkt som är förenade med att det i en socialtjänstakt kan finnas en stor mängd personuppgifter tas i dag om hand av andra regler än datas kyddslagstiftning. Sekretesslagen hindrar i vissa fall att uppgifter lämnas till andra myndigheter eller att uppgifter lämnas mellan olika verksamhetsgrenar inom socialtjänsten. Andra begränsningar kan följa av en eventuell intern

instruktion om åtkomst till personuppgifter inom den behandlande organisationen. Vidare finns i viss lagstiftning regler som innebär ett komplement till reglerna om sekretess. T.ex. föreskrivs i 51 § andra stycket socialtjänstlagen att handlingar som rör enskildas personliga förhållanden skall förvaras så att den som är obehörig inte får tillgång till dem. Enligt förarbetena får obehörig anses vara envar som inte har legitim anledning att ta del av handlingen i sin tjänsteutövning (prop. 1979/80:1 om socialtjänsten s. 563). Härtill kommer förvaltningslagens (1986:223) krav på kommunikation (17 §) innan uppgifter läggs till grund för ett avgörande.

Enligt utredningens uppfattning innebär de nu re dovisade bestämmelserna ett godtagbart integritetsskydd för den enskilde.

Den kanske mest allvarliga invändningen som kan riktas mot den nu diskuterade modellen är emellertid att den registrerade skulle ha mycket svårt att bilda sig en uppfattning om i vilka sammanhang uppgifter som samlas in beträffande honom eller henne kan användas. I person uppgiftslagen finns ett antal olika bestämmelser (23–27 §§) om information till den registrerade. Frågan om vilka regler om information som skall gälla vid behandling av personuppgifter med stöd av denna lag berörs i avsnitt 6.10.

Den enda information som den registrerade skulle få om man angav ändamålet på det sätt som nu diskuteras, är att de personuppgifter som samlas in får behandlas för att en arbetsuppgift inom socialtjänsten – vilken som helst – skall kunna utföras. Så snart en arbetsuppgift inom socialtjänsten – en verksamhet som spänner över ett mycket stort område

– behöver utföras skulle uppgifterna således kunna användas.

Enligt utredningens uppfattning bör den enskilde när han lämnar uppgifter till socialtjänsten, kanske i ett biståndsärende, ha klart för sig vad dessa uppgifter kan komma att användas t ill. Ett av syften med EG- direktivet och personuppgiftslagen är nämligen att s kydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatlivet, i samband med behandling av personuppgifter. EG-direktivets och personuppgiftslagens bestämmelser om information till den registrerade syftar just till att ge den enskilde en reell möjlighet att bevaka hur uppgifter som samlats in beträffande honom eller henne används. Med allmänt hållna ändamål som det nu beskrivna blir emellertid detta endast en chimär.

Vid en samlad bedömning anser utredningen att det – även om det skulle innebära vissa fördelar – inte är någon framkomlig väg att i lagen ange endast ett ändamål för behandlingen av personuppgifter inom socialtjänsten. För det första är det mycket som talar för att en sådan ändamålsbestämmelse inte uppfyller EG-direktivets och personuppgiftslagens krav på att ändamålen skall var särskilda. För det andra skulle den re-

gistrerade knappast ha någon möjlighet att bevaka hur uppgifter som gäller honom eller henne används. En sådan lösning bör följaktligen inte väljas.

Det kan noteras att Socialtjänstkommitténs ändamålsbestämmelse visserligen var relativt allmänt hållen, men tanken var att regeringen i förordning beträffande varje särskilt socialtjänstregister skulle ange preciserade ändamål.

I lagen anges flera olika ändamål (modell 2)

I den andra modell som utredningen har diskuterat skulle anges inte endast ett ändamål, utan flera särskilda ändamål för när personuppgifter

får behandlas inom socialtjänsten. Denna uppräkning skulle vara uttömmande. Som tidigare nämndes är det inget i EG-direktivet eller personuppgiftslagen som hindrar att det redan vid insamlande av uppgifter anges flera olika ändamål för behandlingen.

Den största fördelen med en sådan modell är att den enskilde, genom att det är angivet flera olika preciserade ändamål, skulle få en bättre och klarare uppfattning om i vilka sammanhang insamlade personuppgifter beträffande honom kan användas.

Utredningen har diskuterat en ändamålsbestämmelse som hade kunnat se ut enligt följande. Ändamålen med behandlingen inom socialtjänsten skall vara a) handläggning och dokumentation av ärenden eller vård och behandling, b) förandet av socialtjänstakt, c) fakturering, debitering och ekonomisk redovisning, d) uppgiftsutlämnande som är t illåtet enligt författning, e) uppföljning, utvärdering, kontroll, tillsyn och kvalitetssäkring, samt f) arkivering.

Även mot denna modell kan det emellertid riktas invändningar. Enligt utredningens uppfattning skiljer sig en sådan bestämmelse inte på något avgörande sätt från den ändamålsbestämmelse som diskuterades i den tidigare modellen. Man kan i allt väsentligt rikta samma kritik mot denna bestämmelse. Eftersom det är svårt att förutse för vilka ändamål personuppgifter kan behöva behandlas inom socialtjänsten, beroende på att det är fråga om en mycket bred verksamhet, har ändamålsbestämmelsen – för att inget ändamål skall falla utanför – fått en förhållandevis allmän utformning. Det finns därför även med denna modell en viss risk för att den inte uppfyller EG-direktivets och personuppgiftslagens krav på att ändamålen skall vara särskilda. Vidare framstår en sådan ändamålsbestämmelse för den registrerade som föga upplysande. Den ger knappast den enskilde mer information om vad insamlade personuppgifter kan användas till än den tidigare diskuterade modellen.

Vill man att ändamålen skall vara mer preciserade än som nu redovisats skulle listan över olika ändamål troligen behöva bli mycket lång och det skulle ändå kvarstå en risk för att ett angeläget ändamål inte tagits med i den uttömmande uppräkningen. Personuppgifter skulle ju få behandlas inom socialtjänsten endast om behandlingen rymdes under något av de angivna ändamålen.

Ett annat argument mot att i lagen uttömmande ange ändamålen med behandlingen, är att man kan anta att ändamålen kan behöva utformas på olika sätt beroende på hur verksamheten är organiserad i det enskilda fallet, t.ex. i en kommun. De i lagen angivna ändamålen skulle kanske därför ibland passa verksamheten ganska bra, medan de i andra fall skulle fungera mindre bra. Detta talar för att ändamålen inte bör uttömmande anges i lag utan att man på något sätt bör försöka hitta en mer flexibel lösning.

Enligt utredningens uppfattning är nackdelarna även med denna modell alltför stora för att den skall kunna användas. Utredningens slutsats blir således att det inte är möjligt att i lagen uttömmande ange för vilka ändamål personuppgifter får behandlas inom socialtjänsten.

Det överlåts på de personuppgiftsansvariga att – inom en i lagen angiven ram – bestämma ändamålen med behandlingen (modell 3)

Det är viktigt att en författningsreglering, som anger under vilka förutsättningar personuppgifter skall få behandlas, datoriserat eller manuellt i register inom socialtjänsten, inte innebär sådana begränsningar att det går ut över effektiviteten och kvaliteten i arbetet. Samtidigt är det naturligtvis mycket betydelsefullt att regleringen i största möjliga utsträckning eliminerar riskerna för kränkningar av enskildas personliga integritet.

Det är självfallet de personuppgiftsansvariga i respektive verksamhet som har störst förutsättningar att bedöma för vilka ändamål personuppgifter behöver behandlas inom socialtjänsten. Enligt utredningens uppfattning har en modell som innebär att det överlåts på den personuppgiftsansvarige att ange de särskilda ändamål för behandlingen som just denne vill uppnå stora fördelar i flexib ilitetshänseende. Genom att man inte i en författning uttömmande anger för vilka ändamål personuppgifter får behandlas, kan den personuppgiftsansvarige skräddarsy ändamålen så att de passar den aktuella verksamheten och hur den är organiserad. Man hindrar då inte heller att personuppgifter inom socialtjänsten behandlas även för andra ändamål, under förutsättning att dessa nya ändamål inte är oförenliga med de ändamål för vilka uppgifterna ursprungligen samlades in.

160 En ny lag om behandling av personuppgifter... SOU 1999:109

Mot modellen kan invändas att den i ett avseende måhända inte utgör ett tillräckligt skydd för den personliga integriteten. Det skulle kunna hävdas att det med en sådan ordning inte finns några egentliga gränser för när insamlade personuppgifter får behandlas, eftersom de nya ändamålen kanske inte skulle anses vara oförenliga med de ändamål för vilka uppgifterna ursprungligen samlades in. I de båda tidigare re dovisade modellerna skulle ändamålen anges uttömmande i författningen och det skulle därför inte bli aktuellt att göra någon sådan prövning.

Utredningen menar dock att denna farhåga inte bör överdrivas. I första hand är naturligtvis utfallet av denna ”oförenlighetsprövning” beroende av hur pass preciserat det ursprungliga ändamålet är. I författningskommentaren lämnar utredningen några exempel på hur en tillräckligt preciserad ändamålsbestämmelse skulle kunna se ut. Det kan dock redan här sägas att en ändamålsbestämmelse, som är relativt vanlig i Datainspektionens beslut, av slaget ”handläggning av ärenden inom individ- och familjeomsorgen” torde vara alltför allmänt hållet.

Det saknas i princip auktoritativa uttalanden om vilka överväganden som skall göras när man prövar om ett nytt ändamål är förenligt med det ändamål för vilket uppgifterna ursprungligen har samlats in. Datalagskommittén uttalade i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39) att vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen och Datainspektionen kan utfärda (s. 351). F.n. finns på området emellertid varken praxis eller närmare föreskrifter. Enligt utredningens uppfattning bör man vid denna ”oförenlighetspr övning”, hypotetiskt utgå från hur en registrerad typiskt sett (inte den registrerade i det enskilda fallet) skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet. Detta är, menar utredningen, en rimlig utgångspunkt med tanke på syftet bakom EG-direktivet, dvs. att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatlivet, i samband med behandling av personuppgifter. Vid sådant förhållande blir det fråga om en restriktiv tillämpning av bestämmelsen i 9 § första stycket d personuppgiftslagen och utrymmet för att behandla redan insamlade personuppgifter för andra ändamål blir följaktligen litet.

Det bör i sammanhanget också framhållas att det är den modell man faktiskt enats om inom EU och att de personuppgiftsansvariga har ett EG-rättsligt grundat anspråk på att få använda personuppgifter för alla tillåtna ändamål som inte är oförenliga med de ursprungliga. Vidare utgör redan det förhållandet att denna oförenlighetsprövning måste göras

SOU 1999:109 En ny lag om behandling av personuppgifter... 161

ett skydd för integriteten. Alternativet är ju att ange ett enda mycket brett ändamål.

Genom att ändamålen är preciserade skulle den registrerade också få en klar bild av i vilka sammanhang de personuppgifter som samlas in beträffande honom kommer att användas.

För att personuppgifter inom socialtjänsten inte skall kunna samlas in för vilka ändamål som helst bör dock i lagen anges en yttersta ram inom vilken de särskilda, uttryckligt angivna ändamålen måste hålla sig. En- dast sådana ändamål kan anses som berättigade. Denna regel skulle helt enkelt ersätta 10 § personuppgiftslagen och kunna lyda enligt följande. Personuppgifter får, förutom med den registrerades samtycke, behandlas bara om behandlingen är nödvändig för att en arbets uppgift inom socialtjänsten skall kunna utföras. Personuppgifterna kan då i princip inte heller användas utanför socialtjänsten, eftersom ändamålen får en så stark anknytning till det området. En behandling av de insamlade personuppgifterna för ändamål som ligger utanför socialtjänsten, torde därmed i de allra flesta fall anses vara oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in (9 § första stycket d personuppgiftslagen). Utredningen återkommer till denna fråga i det följande.

En sådan bestämmelse skulle inte vara en ändamålsbestämmelse i den mening som avses i 9 § första stycket c personuppgiftslagen. Men den skulle likväl innebära ett integritetsskydd i så måtto att det där läggs fast vilka ändamål som är berättigade. Det ankommer sedan på den personuppgiftsansvarige i respektive verksamhet att ange konkreta ändamål för sin behandling av personuppgifter. Dessa konkreta ändamål måste uppfylla personuppgiftslagens krav på precision och hålla sig inom den ram som läggs fast i den nu föreslagna lagen. Det skulle följaktligen vara felaktigt att göra tolkningen att en sådan yttersta ram för behandlingen av personuppgifter skulle innebära att man inte måste ange uttryckliga och preciserade ändamål med personuppgiftsbehandlingen. Inget hindrar att det redan från början angavs flera ändamål för vilka uppgifterna skulle behandlas.

De insamlade personuppgifterna får i denna modell behandlas även för andra ändamål än de för vilka de ursprungligen samlades in, under förutsättning att den nya behandlingen inte är oförenlig med de ursprungliga ändamålen.

Personuppgifterna kan behandlas även för forsknings- och statistikändamål. Av 9 § första stycket f personuppgiftslagen följer nämligen att behandling för historiska, statistiska och vetenskapliga ändamål inte skall anses oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in. Huruvida behandlingen av personuppgifterna, t.ex. själva utlämnandet, är tillåten i det enskilda fallet får emellertid avgöras av bestämmelserna i personuppgiftslagen och bestämmelserna i denna lag. I

19 § tredje stycket personuppgiftslagen finns en allmän bestämmelse i ämnet. Ibland kan det emellertid också, som i t.ex. 64 § socialtjänstlagen (1980:620), finnas en uttrycklig föreskrift om att personuppgifter skall lämnas ut för forskningsändamål. En sådan regel gäller före bestämmelserna i personuppgiftslagen (2 §).

Som tidigare nämndes skulle emellertid i praktiken personuppgifter som har samlats in inom socialtjänsten – med undantag för behandling för forsknings- och statistikändamål och när personuppgifterna har lämnats ut med stöd av författning – knappast kunna behandlas (samlas in) utanför socialtjänsten. Bl.a. personuppgiftslagens krav på att behandlingen för det nya ändamålet inte skall vara oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades (9 § första stycket d), och de regler som gäller om sekretess på socialtjänstens område, torde ofta

hindra en sådan användning av person uppgifterna. Vidare skulle det i andra fall än de ovan angivna knappast vara möjligt för någon utanför socialtjänsten att hänföra sin behandling under något av de tillåtna fall som anges i 10 § personuppgiftslagen. Skulle behandlingen avse t.ex. känsliga personuppgifter skulle behandlingen dessutom be höva vara tilllåten enligt bestämmelserna i 13–22 §§ personuppgiftslagen.

Utredningens slutsats

Enligt utredningens uppfattning framstår den senast re dovisade modellen som den bästa inte bara när det gäller skyddet för den enskildes personliga integritet utan även när det gäller verksamheten inom socialtjänsten. En modell som innebär att den personuppgiftsansvarige skall ange ändamålen med behandlingen av personuppgifter överensstämmer också bäst med EG-direktivet. Utredningen föreslår att denna modell används och att det således överlåts på de personuppgiftsansvariga i respektive verksamhet att ange de ändamål för vilka personuppgifter skall få behandlas inom socialtjänsten. Dock att endast ändamål som är nödvändiga för att en arbetsuppgift inom socialtjänsten skall kunna utföras kan vara berättigade. I lagen bör tas in bestämmelser med denna innebörd.

Avslutningsvis vill utredningen framhålla att den föreslagna lösningen – under förutsättning att ändamålen anges på ett heltäckande sätt – går utmärkt väl att förena med systemet med socialtjänstakter.

______________

Sammanfattningsvis innebär således utredningens förslag att personuppgifter, förutom med den registrerades samtycke, får behandlas bara om behandlingen är nödvändig för att en arbets uppgift inom socialtjänsten skall kunna utföras. Lagen hindrar dock inte att personuppgifter lämnas

ut om det följer av lag eller förordning. I lagen regleras inte för vilka ändamål personuppgifter skall få behandlas inom socialtjänsten. Det ankommer således på de personuppgiftsansvariga i respektive verksamhet att med beaktande av 9 § första stycket c personuppgiftslagen (1998:204) – dvs. bestämmelsen att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål – ange för vilka ändamål personuppgifter behandlas. Endast ändamål som är nödvändiga för att en arbets uppgift inom socialtjänsten skall kunna utföras kan därvid vara berättigade.

6.4Vilka kategorier av personuppgifter bör få behandlas?

Utredningens förslag : Föreskrifterna i 9 § första stycket e och f personuppgiftslagen (1998:204) och viss annan lagstiftning, t.ex. socialtjänstlagens bestämmelser om dokumentation, innebär viktiga begränsningar av vilka personuppgifter som får behandlas. Det s kydd som dessa föreskrifter ger för den personliga integriteten är tillräckligt. Det behöver därför inte finnas några särskilda begränsningar beträffande vilka kategorier av personuppgifter som får behandlas inom socialtjänsten. Samtliga kategorier av personuppgifter kommer således i och för sig att få behandlas inom socialtjänsten.

Enligt 9 § första stycket e och f personuppgiftslagen (1998:204) skall den personuppgiftsansvarige se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen.

För behandlingen av känsliga personuppgifter gäller särskilt restriktiva regler. I 13 § finns ett principiellt förbud mot att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, eller som rör hälsa eller sexualliv. Uppgifter av den angivna arten betecknas i lagen som känsliga personuppgifter (13 § tredje stycket). Det är att notera att en del av det som enligt datalagen (1973:289) omfattas av särskilda regler – t.ex. uppgifter om att någon misstänks eller dömts för brott, att någon avtjänat straff eller undergått annan påföljd för brott, att någon varit föremål för tvångsingripanden enligt viss lagstiftning, att någon fått ekonomisk hjälp eller vård inom socialtjänsten, att någon varit föremål för åtgärd enligt utlänningslagen eller uppgifter om någon som

164 En ny lag om behandling av personuppgifter... SOU 1999:109

utgör omdöme eller annan värderande upplysning – inte omfattas av bestämmelserna om känsliga uppgifter i personuppgiftslagen.

Förbudet i 13 § mot behandling av känsliga personuppgifter är emellertid inte undantagslöst (14 §). I 15–19 §§ regleras under vilka omständigheter en behandling av känsliga uppgifter trots förbudet är t illåten.

Enligt 15 § får känsliga personuppgifter behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.

Övriga undantag från förbudet är – med undantag för bestämmelsen i 19 § om behandling av känsliga personuppgifter för forsknings- och sta-

tistikändamål – i princip inte tillämpliga vid behandling av person uppgifter inom socialtjänsten.

I 20 § finns ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om ytterligare undantag från förbudet i 13 § mot behandling av känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. Några sådana föreskrifter har emellertid ännu inte meddelats.

I 21 § personuppgiftslagen finns ett förbud för andra än m yndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter om undantag från förbudet i 21 § (21 § tredje stycket). Vidare får regeringen eller, om regeringen så bestämmer, tillsynsmyndigheten i enskilda fall besluta om undantag från förbudet. Som exempel på fall där det kan vara befogat med undantag nämndes i förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 75 f.) den behandling av uppgifter om t.ex. brottmålsdomar som privata vård- och behandlingshem kan behöva utföra för att vårda och behandla den dömde på ett effektivt sätt. Datainspektionen har beslutat föreskrifter om undantag från förbudet (DIFS 1998:3).

Uppgifter om personnummer får som huvudregel behandlas endast om samtycke lämnats (22 §). Sådana uppgifter får dock behandlas även när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl.

I 33 § personuppgiftslagen finns ett förbud mot överföring av personuppgifter till tredje land. Med tredje land förstås en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet (3 § personuppgiftslagen). Detta förbud är emellertid inte undantagslöst. I 34 § personuppgiftslagen finns en uppräkning av i vilka fall det är tillåtet att föra över person uppgifter till tredje land. Bl.a. får så ske om den registrerade har lämnat sitt samtycke till överföringen. Vidare kan ytterligare undantag från förbudet göras med stöd av 35 §.

SOU 1999:109 En ny lag om behandling av personuppgifter... 165

Enligt den bestämmelsen får regeringen eller den myndighet som regeringen bestämmer bl.a. meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. I en lagrådsremiss den 17 juni 1999 föreslår regeringen vissa ändringar i förbudet mot överföring av personuppgifter till tredje land. Enligt förslaget skall överföring av personuppgifter till tredje land inte längre vara förbjuden om det tredje landet har en adekvat nivå för skyddet av personuppgifter.

Frågan är om – och i så fall i vilken utsträckning – det finns ett behov av att, i en lag om behandling av personuppgifter inom socialtjänsten, göra undantag från personuppgiftslagens särskilda regler om behandling av känsliga personuppgifter, uppgifter om la göverträdelser som innefattar brott m.m. och uppgifter om personnummer samt när det gäller överföring av personuppgifter till tredje land. En annan fråga är om de allmänt hållna bestämmelserna i 9 § första stycket e och f personuppgiftslagen innebär en tillräcklig begränsning av de uppgifter som får behandlas eller om man i något avseende mer konkret bör inskränka i vilken omfattning personuppgifter får behandlas inom socialtjänsten.

Av de beslut enligt datalagen som utredningen har studerat (se avsnitt 3) framgår att det inom socialtjänsten finns ett behov av att behandla i stort sett alla slags uppgifter, allt från harmlösa personuppgifter till sådana uppgifter som kan betraktas som mycket integritetskänsliga. I annat fall skulle nämligen verksamheten inom socialtjänsten inte kunna fullgöras på ett tillfredsställande sätt. Dessa utredningens iakttagelser har bekräftats vid samtal som utredningen har haft med företrädare för ett antal olika myndigheter inom socialtjänsten.

Socialutredningen, vars betänkanden Socialvården – Mål och medel (SOU 1974:39) och Socialtjänst och socialförsäkringst illägg – Lagar och motiv (SOU 1977:40) ligger till grund för socialtjänstlagen, ansåg att det var praktiskt omöjligt att närmare ange vilken dokumentation som bör samlas i socialtjänstens personakter (SOU 1977:40 s. 739 f.). Av förarbetena till socialtjänstlagen framgår (prop. 1979/80:1 s. 438) att flera av remissinstanserna, bl.a. Socialstyrelsen och LO, stödde de principer som Socialutredningen hade redovisat. Det anmärktes att remissinstanserna inte förordat att särskilda föreskrifter skulle utfärdas om innehållet i personakterna. Departementschefen uttalade att inte heller han ansåg det vara nödvändigt med sådana föreskrifter. Som tidigare redovisats (se avsnitt 4.3.4) finns det numera i socialtjänstlagen vissa mer övergripande regler om dokumentation.

Socialtjänstkommittén ansåg, som tidigare har nämnts (se avsnitt 5.3.2), att det inte – med hänsyn till behovet av flexibilitet och förekomsten av ständiga förändringar inom socialtjänsten – var lämpligt att i

166 En ny lag om behandling av personuppgifter... SOU 1999:109

lagform mer ingående reglera vilka uppgifter ett register skulle få innehålla. Avsikten var att regeringen i förordningar skulle närmare föreskriva vilka uppgifter som fick registreras. Kommittén uttalade dock att det var nödvändigt att sådana regler skulle få ges en mer allmän utformning. Flera remissinstanser, däribland några domstolar och Datainspektionen, ansåg att innehållet i registren borde konkret regleras i lagen. Svenska kommunförbundet ansåg däremot att det skulle vara olämpligt att i lag mer ingående reglera vilka uppgifter ett socialtjänstregister skulle få innehålla. Förbundet avvisade därutöver förslaget om att regeringen i förordning närmare skulle få föreskriva vilka uppgifter som skulle få registreras i ett socialtjänstregister. Det framhölls därvid att det fanns en uppenbar risk för att en sådan ordning skulle leda till ett otydligt och osammanhängande regelverk, som skulle vara lika dåligt anpassat till teknikutvecklingen som det som då gällde. I den mån reglering behövdes beträffande vilka uppgifter som skulle få registreras, borde, menade Kommunförbundet, detta ske i lagen och inte i kompletterande bestämmelser.

Det råder inget tvivel om att det från integritetssynpunkt skulle vara en fördel om det i lagtexten på ett konkret sätt kunde anges vilka personuppgifter som får behandlas inom socialtjänsten. Utredningen har emellertid bedömt det som i praktiken omöjligt att göra så. Detta beror på den mycket omfattande och mångskiftande verksamhet som lagstiftningen skall omfatta och socialtjänstens behov av att behandla ett synnerligen stort antal olika personuppgifter, som när det gäller graden av integritetskänslighet varierar i stor utsträckning. En reglering skulle nämligen antingen innebära stora risker för att socialtjänstarbetet försvårades eller – om listan över vilka uppgifter som fick behandlas gjordes mycket omfattande – knappast medföra några vinster från integritetssynpunkt.

Även regeringen uttrycker i utredningens direktiv en viss skepsis inför en lösning som skulle innebära begränsningar beträffande vad som får registreras inom socialtjänsten. Regeringen uttalar i direktiven att såvitt gäller ärendehandläggning i en verksamhet som socialtjänst kan konstateras att en sådan väg att uppnå ett integritetss kydd är den som mest försvårar ett rationellt utnyttjande av informationstekniken i verksamheten. Utredningen anser således att det i princip inte i lagen bör införas

några begränsningar när det gäller vilka kategorier av personuppgifter som bör få behandlas inom socialtjänsten. Som framgått av den tidigare redogörelsen har emellertid behandlingen av vissa kategorier av personuppgifter, närmare bestämt känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott m.m. och överföring av person uppgifter till tredje land reglerats särskilt strängt i EG-direktivet och i personuppgiftslagen. Även uppgifter om pers onnummer har reglerats

SOU 1999:109 En ny lag om behandling av personuppgifter... 167

särskilt. I det följande berör utredningen dessa särskilda kategorier av personuppgifter.

Som inledningsvis nämndes framgår av 22 § personuppgiftslagen att uppgifter om personnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Bestämmelsens innebörd är att det beträffande varje enskilt ”register” skall övervägas behovet av att registrera personnummer och att en prövning av detta behov utifrån integritetssynpunkt skall ske. Det skall därvid föreligga ett objektivt intresse, enligt personuppgiftslagens rekvisit, att registrera personnumret (jfr prop. 1997/98:108 s. 47).

Av utredningens genomgång av vilka uppgifter det finns behov av att behandla har det framkommit att vikten av en säker identifiering gör att det regelmässigt är nödvändigt att behandla uppgifter om personnummer. Vid sådant förhållande anser utredningen att denna lag bör tillåta att uppgifter om personnummer får behandlas. Det kan vidare tilläggas att EG-direktivet (artikel 8.7) endast kräver att medlemsstaterna skall bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Medlemsstaterna får följaktligen fritt bestämma det materiella innehållet i reglerna.

Det finns vidare – för att socialtjänsten skall kunna klara sina uppgifter – ett behov av att behandla även personuppgifter som är känsliga i personuppgiftslagens mening. Sådana uppgifter bör enligt utredningen därför få behandlas. Att socialtjänsten skall kunna utföra sina arbetsuppgifter på ett t illfredsställande sätt är ett viktigt allmänt intresse. Det är därför enligt artikel 8.4 i EG-direktivet tillåtet att göra ytterligare undantag från förbudet mot att behandla känsliga personuppgifter. Ett sådant undantag skall anmälas till kommissionen (artikel 8.6).

I artikel 8.5 i EG-direktivet finns det särskilda regler rörande behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder. Behandling av sådana uppgifter får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet. Det är vidare tilllåtet för medlemsstaterna att föreskriva att uppgifter som rör ”administrativa sanktioner” eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.

Som inledningsvis nämndes finns i 21 § personuppgiftslagen ett förbud för andra än myndigheter att behandla person uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Som exempel på

168 En ny lag om behandling av personuppgifter... SOU 1999:109

administrativa frihetsberövanden nämns i förarbetena (a. prop. s. 76) tvångsingripanden enligt lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, lagen (1967:940) angående omsorger om vissa psykiskt utvecklingsstörda och utlänningslagen (1989:529).

Datainspektionen har med stöd av 21 § personuppgiftslagen och 8 § personuppgiftsförordningen (1998:1191) beslutat föreskrifter om undantag från förbudet (DIFS 1998:3). Enligt dessa föreskrifter (1 § a) får utan hinder av förbudet i 21 § personuppgiftslagen sådana uppgifter behandlas bl.a. om behandlingen är nödvändig för att fullgöra en föreskrift

på socialtjänstområdet.

Eftersom det uppenbarligen finns ett behov av att låta även andra än myndigheter behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, bör lagen tillåta att även sådana uppgifter får behandlas generellt inom socialtjänsten. Detta förhållande torde behöva anmälas till EG-kommissionen enligt artikel 8.6 i EG-direktivet. Datainspektionens nu nämnda föreskrift kan därmed – såvitt avser socialtjänsten (1 § a) – upphävas.

Vidare bör det vara tillåtet att föra över person uppgifter inom socialtjänsten till tredje land. Det torde visserligen bara ibland bli aktuellt att inom socialtjänsten föra över personuppgifter till tredje land. Man kan t.ex. tänka sig att det kan ske i ett faderskapsärende. Det är tillåtet enligt EG-direktivet och personuppgiftslagen att göra ytterligare undantag från förbudet mot överföring av personuppgifter till tredje land, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse.

Sammanfattningsvis innebär alltså utredningens förslag att samtliga tänkbara kategorier av personuppgifter kommer att få behandlas inom socialtjänsten. Eftersom uppgifterna kri nggärdas av en mycket sträng sekretess anser utredningen att det från integritetssynpunkt inte är något som hindrar en sådan ordning.

Det bör dock särskilt framhållas att bestämmelserna i 9 § första stycket e och f personuppgiftslagen innebär begränsningar för när personuppgifter får behandlas. De personuppgifter som behandlas skall enligt dessa bestämmelser vara adekvata och relevanta i förhållande till ändamålen med behandlingen och fler personuppgifter får inte behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. En erinran om detta bör tas in i den föreslagna lagen.

Även de bestämmelser som finns om dokumentation inom socialtjänsten (se avsnitt 4.3.4) sätter vissa gränser för vilka personuppgifter som får behandlas. Det följer exempelvis av 52 § socialtjänstlagen bl.a. att dokumentationen skall utformas med respekt för den enskildes integ-

ritet. I förarbetena till den bestämmelsen (prop. 1996/97:124 s. 153) uttalade regeringen att det är väsentligt att dokumentationen blir både objektiv och saklig. Enligt regeringen är utgångspunkten att uppgifterna skall bygga på ett korrekt underlag och inte vara av nedsättande karaktär. Vidare bör, menade regeringen, uppgifter om tredje person u ndvikas så långt det är möjligt.

6.5Personuppgiftsansvaret

Utredningens bedömning : Det är inte nödvändigt – och knappast heller möjligt eller ens lämpligt – att i lagen bestämma vem som skall vara personuppgiftsansvarig för de behandlingar av personuppgifter som utförs inom socialtjänsten. Frågan om vem som är personuppgiftsansvarig för en viss behandling av personuppgifter enligt denna lag bör i stället avgöras efter en tillämpning av bestämmelserna i personuppgiftslagen (1998:204). Någon särskild regel om detta behövs inte.

Enligt definitionen i 3 § personuppgiftslagen (1998:204) är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Av definitionen följer att personuppgiftsansvaret kan delas av flera. Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på behandlingen av personuppgifter iakttas. Vidare innebär personuppgiftsansvaret en skyldighet att lämna information till den registrerade (23–27 §§ personuppgiftslagen), att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med personuppgiftslagen (28 § personuppgiftslagen), att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de person uppgifter som behandlas (31 § personuppgiftslagen), att – enligt huvudregeln i 36 § personuppgiftslagen – anmäla all automatiserad behandling av personuppgifter till Datainspektionen, samt att ersätta den registrerade för den skada en lagstridig behandling av personuppgifter för med sig (48 § personuppgiftslagen).

Vem som är personuppgiftsansvarig för en viss behandling får a vgöras efter en bedömning av de faktiska omständigheterna i det enskilda fallet. Inget hindrar emellertid att det genom lag eller förordning bestäms vem som är personuppgiftsansvarig. En sådan bestämmelse tar nämligen över regleringen i personuppgiftslagen (2 § personuppgiftslagen).

I lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga anges i 7 § uttryckligen att Totalförsvarets pliktverk är personuppgiftsansvarigt för den behandling av personuppgifter om totalförsvarspliktiga som verket utför. I lagrådsremissen i det lagstiftningsärendet förekom denna bestämmelse samt föreskrevs i en annan paragraf att vissa begrepp, bl.a. begreppet personuppgiftsansvarig, skulle ha samma betydelse som i personuppgiftslagen. I sitt yttrande framhöll Lagrådet (prop. 1997/98:80 s. 117) att – eftersom det i lagförslaget angavs för vilka ändamål det automatiska registret över totalförsvarspliktiga fick användas – det framstod som osäkert om Totalförsvarets pliktverk skulle få sådant inflytande över ändamålen med behandlingen att verket uppfyller personuppgiftslagens definition på personuppgiftsansvarig. Lagrådet fortsatte.

Till synes såsom en konsekvens härav föreslås också att det i 7 § införs en uttrycklig bestämmelse om att Totalförsvarets pliktverk är personuppgiftsansvarig för den behandling av personuppgifter om totalförsvarspliktiga som verket utför. Någon annan myndighet som får sådant inflytande torde inte finnas. Hänvisningen till personuppgiftslagens definition av personuppgiftsansvarig synes av denna anledning böra utgå.

Regeringen anslöt sig till vad Lagrådet anfört (a. prop. s. 45) samt uttalade att det – för att undanröja all osäkerhet kring frågan om personuppgiftsansvaret – i lagen bör anges att Totalförsvarets pliktverk är personuppgiftsansvarigt för den behandling av personuppgifter om totalförsvarspliktiga som verket utför.

Även i lagen (1998:543) om hälsodataregister anges uttryckligen vem som är personuppgiftsansvarig. I 1 § sägs att central förvaltningsmyndighet inom hälso- och sjukvården får utföra automatiserad behandling av personuppgifter i hälsodataregister samt att den centrala förvaltningsmyndighet som utför behandlingen av person uppgifter är personuppgiftsansvarig. Enligt vad som uttalades i förarbetena förekom vid den dåvarande tidpunkten personregister som kan utgöra hälsodataregister hos Socialstyrelsen, Läkemedelsverket och Smittskyddsinstitutet (prop. 1997/98:108 s. 90).

Den angivna bestämmelsen fick denna utformning på förslag av Lagrådet. Lagrådet påpekade i sitt yttrande (a. prop. s. 125) att enligt 4 § i lagförslaget skulle vissa begrepp, bl.a. begreppet personuppgiftsansvarig, ha samma betydelse i den remitterade lagen som i personuppgiftslagen. Lagrådet fortsatte.

I 5 § det remitterade förslaget anges för vilka ändamål personuppgifter i ett hälsodataregister får behandlas. Dessa ändamål kan, som framgått av

vad Lagrådet anfört i anslutning till 3 §, senare komma att preciseras i inskränkande riktning genom föreskrifter som regeringen meddelar. Det framstår mot denna bakgrund som högst tveksamt om den centrala förvaltningsmyndigheten får ett sådant inflytande över ändamålen med behandlingen att myndigheten blir att anse som personuppgiftsansvarig. För att undanröja all osäkerhet på denna punkt bör den i förevarande paragraf gjorda kopplingen till personuppgiftslagen slopas. I stället bör det remitterade förslaget kompletteras med en uttrycklig regel om att den centrala förvaltningsmyndighet som för registret är personuppgiftsansvarig.

Däremot saknas motsvarande bestämmelse om personuppgiftsansvar i lagen (1998:544) om vårdregister. Även den lagen innehåller en uttömmande uppräkning av de ändamål för vilka personuppgifter får behandlas i ett vårdregister. Frågan om personuppgiftsansvar i vårdregisterlagen berördes över huvud taget inte i förarbetena, varken av Lagrådet eller regeringen.

I polisdatalagen (1998:622) sägs i 4 § att Rikspolisstyrelsen är personuppgiftsansvarig för behandling av personuppgifter som avses i 23, 25 och 29 §§ [DNA-register, spårregister samt fingeravtrycks- och signalementsregister]. I 32 § samma lag sägs att Säkerhetspolisen är personuppgiftsansvarig för behandlingen av personuppgifter i SÄPO-registret.

I polisdatalagen finns regler även om när personuppgifter får behandlas i kriminalunderrättelseverksamhet (14 § ff.). Kriminalunderrättelseregister får föras av Rikspolisstyrelsen eller av polismyndighet. Den myndighet som för registret är person uppgiftsansvarig för behandlingen av personuppgifter i registret (18 §).

I betänkandet Dokumentation och socialtjänstregister (SOU 1995:86) föreslog Socialtjänstkommittén att registeransvaret enligt datalagen (1973:289) för ett socialtjänstregister skulle ligga på den nämnd som enligt socialtjänstlagen utövar ledningen av socialtjänsten och i övriga fall på den myndighet eller privata utövare som ansvarar för handläggning av de ärenden och verkställighet av de beslut för vilka registret är inrättat. Remissinstanserna synes inte haft några invändningar mot att registeransvaret bestämdes på detta sätt. En remissinstans ansåg dock att ett förtydligande borde göras beträffande register som förs av Statens institutionsstyrelse, då det – menade remissinstansen – var oklart hur ansvaret för register skulle fördelas mellan styrelsen och de lokala institutionerna.

Som framgått av det redovisade finns det i den lagstiftning om behandling av personuppgifter som innebär en specialreglering i förhållande till personuppgiftslagen inom vissa särskilda områden exempel dels på att det direkt i författningen angetts vem som är personuppgiftsansvarig, dels på att frågan om personuppgiftsansvaret inte berörts. Båda va-

rianter förekommer således. Den sistnämnda lösningen innebär att personuppgiftslagens regler gäller och att frågan om vem som är personuppgiftsansvarig får a vgöras genom en tillämpning av den lagen.

Eftersom ändamålen med behandlingen av personuppgifter inom socialtjänsten inte anges uttömmande i den förslagna lagen, är det – menar utredningen – inte heller nödvändigt att i lagen ange vem som skall vara personuppgiftsansvarig för respektive behandling. Den som svarar för behandlingen får nämligen sådant inflytande över behandlingen att personuppgiftslagens definition på personuppgiftsansvarig är uppfylld (jfr Lagrådets ovan redovisade yttranden). Mot att i lagen peka ut vem som skall vara personuppgiftsansvarig talar också det förhållandet att lagen kommer att tillämpas av många olika aktörer, t.ex. kommuner, socialnämnder, stadsdelsnämnder, Statens institutionsstyrelse, bolag, föreningar, samfälligheter, stiftelser och enskilda individer. Enligt utredningens uppfattning är det knappast mö jligt eller ens lämpligt att, i en lagstiftning som omfattar ett så stort verksamhetsfält som socialtjänsten och som berör så många olika aktörer, direkt i lagen reglera personuppgiftsansvaret. Det finns inte heller någon anledning att göra det. Reglerna om information (se avsnitt 6.10) innebär nämligen att den enskilde alltid kan få vetskap om den personuppgiftsansvariges identitet. Utredningen menar vidare att en bestämmelse om personuppgiftsansvar som b yggts upp på ungefär samma sätt som Socialtjänstkommitténs förslag till bestämmelse om registeransvar inte skulle bli särskilt klargörande och därför vara föga meningsfull.

Utredningen föreslår således att frågan om vem som är personuppgiftsansvarig för en viss behandling skall avgöras efter en tillämpning av bestämmelserna i personuppgiftslagen. Personuppgiftsansvaret be höver då inte regleras i denna lag, eftersom personuppgiftslagen – i enlighet med vad som tidigare sagts – skall tillämpas även vid behandling av personuppgifter inom socialtjänsten om inget annat sägs. Inget hindrar emellertid – vilket kanske kan vara värdefullt - att man i en organisation genom interna föreskrifter anger vem som skall fullgöra de åligganden som ankommer på en personuppgiftsansvarig. Det bör dock framhållas att en sådan konstruktion inte i sig innebär att den utpekade är personuppgiftsansvarig, det är – som tidigare har nämnts – de faktiska omständigheterna i det enskilda fallet som är avgörande, dvs. vem eller vilka som faktiskt har bestämt ändamålen med och medlen för behandlingen av personuppgifter.

Vid behandlingen av personuppgifter inom socialtjänsten torde i praktiken personuppgiftsansvaret komma att åvila i första hand en socialnämnd, en stadsdelsnämnd, Statens institutionsstyrelse eller en privat aktör.

Vad personuppgiftsansvaret innebär framgår av personuppgiftslagen och av bestämmelserna i denna lag.

6.6Sökbegrepp

Utredningens bedömning : De sekretessbestämmelser som gäller för personuppgifter inom socialtjänsten (bl.a. 7 kap. 4 § sekretesslagen 1980:100 och 51 § andra stycket socialtjänstlagen 1980:620) innebär ett mycket starkt skydd för uppgifterna, inte bara i förhållande till verksamhet utanför socialtjänsten, utan även mellan myndigheter på socialtjänstens område samt inom en och samma myndighet. Möjligheterna att söka information begränsas emellertid inte endast av sekretessbestämmelser, utan även av personuppgiftslagens (1998:204) bestämmelse (9 § första stycket d) om att redan insamlade personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna ursprungligen samlades in. Vidare innebär bestämmelsen i 59 § socialtjänstlagen (1980:620) om förbud mot att i s.k. sammanställningsregister hos socialnämnd ta in uppgifter om ömtåliga personliga förhållanden ytterligare begränsningar av sökmöjligheterna. Dessa bestämmelser innebär ett tillräckligt integritetsskydd. I lagen föreslås därför inte någon särskild begränsning i möjligheten att med olika sökbegrepp hämta information som finns inom socialtjänsten.

Med sökbegrepp förstås bokstäver eller siffror med vars hjälp man kan ta fram lagrad information. Ett sökbegrepp kan t.ex. vara ett personnummer, ett diarienummer eller en handlings inkomstdag till en myndighet. Det kan också vara ord vars motsvarighet man söker i den mängd information som man har tillgång till, s.k. fritextsökning. Frågan om sökbegrepp är i princip intressant endast när det gäller information som finns lagrad på medium för automatiserad behandling. Manuella register är nämligen som regel sökbara på endast några få kriterier och s.k. fritextsökning kan över huvud taget inte förekomma. Däremot är tekniken sådan att sökmöjligheterna när det gäller information som finns lagrad i datorer i princip inte känner några begränsningar.

Användningen av sökbegrepp innebär alltså att olika urval och sammanställningar av information kan göras. Det har i olika sammanhang, bl.a. i prop. 1997/98:108 om hälsodata- och vårdregister (s. 58), hävdats att förekomsten av många sökbegrepp i viss mån kan öka risken för in-

tegritetsintrång. Därvid har sagts t.ex. att från början harmlösa uppgifter just genom sammanställningen kan framstå som integritetskränkande.

Vilka sökbegrepp som får användas har betydelse inte bara för den för vars verksamhet informationen i första hand används, utan även för frågan om vad som är att anse som allmän handling enligt tryckfrihetsförordningen. I avsnitt 4.3.2 har utförligt redogjorts för offentlighetsprincipens tillämpning på ADB- upptagningar. I detta sammanhang bör emellertid kort sammanfattas vad som därvid redovisades.

Offentlighetsprincipen innebär bl.a. att allmänheten har rätt att ta del av allmänna handlingar. Med handling avses enligt tryckfrihetsförordningen inte endast pappersdokument utan även upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med hjälp av tekniskt hjälpmedel. En handling är allmän, om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos m yndigheten. En ADB-upptagning anses förvarad hos en m yndighet, om upptagningen är tillgänglig för myndigheten för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Varje sammanställning av sakligt sammanhängande uppgifter i en upptagning som en m yndighet kan göra med hjälp av tillgängliga program är att anse som en handling som förvaras hos myndigheten. En förutsättning är dock att sammanställningen skall kunna göras med rutinbetonade åtgärder. Detta innebär att sammanställningen skall kunna göras med en enkel arbetsinsats och utan nämnvärda kostnader eller andra komplikationer. Den information i allmänna handlingar i ett ADB-system som är tillgänglig för en myndighet – och som också är att anse som inkommen till eller upprättad hos myndigheten – skall på begäran lämnas ut till allmänheten, om informationen inte är sekretessbelagd. Detta innebär att allmänheten och myndigheten i princip är likställda när det gäller tillgången till icke sekretessbelagd information. Principen gäller oavsett om myndigheten faktiskt själv har gjort en sammanställning av informationen eller inte och oberoende av om informationen behövs för myndighetens verksamhet. En tänkt sammanställning av uppgifter kan alltså vara att anse som en allmän handling även om det tidigare inte existerat någon sådan sammanställning, s.k. potentiell handling.

En myndighets möjligheter – och därmed allmänhetens – att få tillgång till sammanställningar av sådana uppgifter som finns i m yndighetens ADB-system kan underkastas såväl tekniska som rättsliga begränsningar. När det gäller personregister följer av 2 kap. 3 § andra stycket tryckfrihetsförordningen att en myndighets befogenhet att göra upptagningar tillgängliga för egen räkning kan begränsas genom lag, förordning eller särskilda beslut, som grundar sig på lag. Rättsliga begränsningar av detta slag kan ske genom föreskrifter om användningen av s.k. sökbegrepp i personregister. Om inga begränsningar görs av sökbegreppen i

SOU 1999:109 En ny lag om behandling av personuppgifter... 175

ett personregister, följer av offentlighetsprincipen att en myndighet måste använda sig av alla till buds stående sökmöjligheter när någon begär uppgifter ur myndighetens ADB-register.

I samband med behandlingen av regeringens prop. 1989/90:40 om tullregisterlag uttalade riksdagen att frågan om vilka sökbegrepp som skall få användas i ett register är av stor betydelse för den personliga integriteten och att det därför är viktigt att sökbegrepp som är känsliga från integritetssynpunkt endast används i begränsad utsträckning. An- vändningen av sådana sökbegrepp bör enligt riksdagsuttalandet regleras i lag medan användningen i andra fall bör kunna regleras genom verkställighetshetsföreskrifter (bet. 1989/90:KU5 och bet. 1989/90:SkU1 samt rskr. 1989/90:188).

Det finns i ett antal olika författningar exempel på att användningen av sökbegrepp har begränsats. Sådana begränsningar finns t.ex. i 18 § socialförsäkringsregisterlagen (1997:934), i 7 § lagen (1998:544) om vårdregister och i 14 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga. Även lagstiftning som har anpassats till regleringen i personuppgiftslagen, vilket är fallet med de båda sistnämnda författningarna, innehåller sålunda begränsningar beträffande vilka sökbegrepp som får användas. Vanligen omfattar en sådan begränsning uppgifter som anses som särskilt känsliga från integritetssynpunkt.

I 18 § tredje stycket socialförsäkringsregisterlagen har sökning i elektroniska akter särskilt begränsats. I sådana akter får endast ärendebeteckning och beteckning på handling användas som sökbegrepp. I förarbetena till bestämmelsen (prop. 1996/97:155 s. 67) sägs att införandet av möjligheten att använda elektroniska akter vid ärendehandläggningen påkallar av integritetshänsyn restriktioner när det gäller sökbegrepp.

Därigenom kan, uttalade regeringen, förhindras att integritetsintrång sker genom bearbetning av akterna som inte står i överensstämmelse med registrens ändamål.

Socialtjänstkommittén föreslog i betänkandet Dokumentation och socialtjänstregister (1995:86) inte någon allmän begränsning i mö jligheterna att med olika sökbegrepp hämta information ur socialtjänstregistren.

Dock skulle endast sådan sökning vara tillåten som krävdes för registerändamålen eller för rättelse, tillsyn, uppföljning, utvärdering, urval för forskning eller framställning av statistik. Kommittén framhöll att uppgifterna i registren skulle skyddas av sekretess och att en långtgående inskränkning av sökmöjligheterna skulle medföra stora svårigheter att ta fram uppgifter i den verksamhet som avser, tillsyn, uppföljning, utvärdering och framställning av statistik. När det gällde den löpande ärendehandläggningen menade kommittén att det i normalfallet knappast skulle vara nödvändigt att behöva söka information med andra begrepp än namn och personnummer.

Vid remissbehandlingen av Socialtjänstkommitténs betänkande avstyrkte några remissinstanser av integritetshänsyn kommitténs förslag till obegränsade möjligheter att med hjälp av olika sökbegrepp hämta information ur socialtjänstregistren. En kommun ansåg att uppgifter för uppföljning och utvärdering, som är särskilt känsliga, skulle få användas som sökbegrepp endast om de med hänsyn till ändamålet och den registrerades integritet framstod som uppenbart rimliga. En annan kommun påpekade att vissa sökbegrepp i kombination kan peka ut ett fåtal av socialtjänstens klienter på ett sådant sätt att deras integritet kränks.

Som tidigare framhållits (se avsnitt 6.4) anser utredningen att det inte är möjligt att i lagen ange några begränsningar när det gäller vilka kategorier av personuppgifter som bör få behandlas inom socialtjänsten. Det ligger i sakens natur att många av dessa personuppgifter kommer att vara av integritetskänslig natur, t.ex. kommer det att finnas uppgifter om utbetalda socialbidrag, missbruk och andra sociala problem. Uppgifter om sjukdomar kan också förekomma. Vidare kan man anta att användningen av elektronisk akthantering inom socialtjänsten kommer att öka i omfattning, vilket – med de möjligheter tekniken innebär – ger i princip obegränsade möjligheter att söka information. Detta förhållande kan tala för att användningen av sökbegrepp av integritetshänsyn bör begränsas i något avseende, dvs. att den personuppgiftsansvarige inte skall få söka uppgifter eller gör sammanställningar efter eget gottfinnande.

I likhet med Socialtjänstkommittén menar dock utredningen att det finns starka skäl som talar även i den andra riktningen, dvs. att man inte bör särskilt begränsa möjligheterna att söka information. Det kan i sammanhanget framhållas att det var endast några få remissinstanser som framförde invändningar mot kommitténs förslag till i princip obegränsade sökmöjligheter i registren. Visserligen kan man, som Socialtjänstkommittén påpekade, utgå från att vid normal ärendehandläggning endast namn och personnummer kommer att behöva användas som sökbegrepp. Emellertid kan de uppgifter som finns inom socialtjänsten be höva användas även i en rad andra sammanhang, t.ex. för tillsyn, uppföljning, utvärdering, forskning, statistik eller uppgiftsutlämnande som följer av lag eller förordning. Risken med att i författning uttömmande reglera vilka sökbegrepp som får eller inte får användas är att man därigenom kan hindra att verksamheten inom socialtjänsten bedrivs på ett modernt, effektivt och rationellt sätt. Det bör i möjligaste mån undvikas att information som behövs i ett visst ärende och som – om möjligheterna till sökning var i princip obegränsade – skulle kunna tas fram sekundsnabbt, kräver lång tid eller stora resurser att ta fram. I sämsta fall kan en reglering av vilka sökbegrepp som får användas få till följd att den eftersökta informationen över huvud taget inte kan tas fram.

SOU 1999:109 En ny lag om behandling av personuppgifter... 177

I vilken utsträckning personuppgifter skall få användas som sökbegrepp får, menar utredningen, bedömas efter en avvägning mellan å ena sidan den enskildes intresse av integritetsskydd och å andra sidan det allmänna intresset att verksamheten inom socialtjänsten bedrivs på ett effektivt sätt.

Frågan är emellertid om inte de övriga regler som kommer att gälla för behandlingen av personuppgifter inom socialtjänsten innebär ett t illfredsställande integritetsskydd och att det således inte finns något behov av att begränsa vilka uppgifter som får användas för att söka information.

För det första innebär de sekretessbestämmelser som gäller för uppgifterna (t.ex. 7 kap. 4 § sekretesslagen) ett mycket starkt skydd. Uppgifterna kan i princip inte användas utanför socialtjänsten. Sekretessen gäller också mellan myndigheter på socialtjänstens område.

I sammanhanget kan också nämnas att bestämmelsen i 51 § andra stycket socialtjänstlagen, om vad som kan kallas för inre sekretess, innebär att endast den som har legitim anledning att ta del av en handling i sin tjänsteutövning är behörig att göra det. (se bl.a. avsnitt 6.14).

För det andra begränsas sökmöjligheterna av personuppgiftslagens bestämmelse (9 § första stycket d) om att redan insamlade personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna ursprungligen samlades in. Det går alltså inte att söka förutsättningslöst i informationsmängden.

Slutligen innebär förbudet i 59 § socialtjänstlagen (1980:620) mot att i s.k. sammanställningsregister hos socialnämnden ta in uppgifter om ömtåliga personliga förhållanden en ytterligare begränsning av sökmöjligheterna. Även om en viss behandling skulle vara ändamålsenlig kan den nämligen ändå vara otillåten, eftersom man vid behandlingen kommer i konflikt med förbudet i 59 § socialtjänstlagen.

I ett sådant sammanställningsregister – som kan skapas just genom användandet av sökbegrepp, t.ex. när man tar fram en förteckning över missbrukare i en kommun – får, förutom vidtagna åtgärder som innefattar myndighetsutövning, endast tas in uppgifter som inte är integritetskänsliga, t.ex. namn, adress, civilstånd, födelsedatum och yrke. (Som framgått av avsnitt 6.1.5 innebär utredningens förslag en viss förändring av förbudet i 59 §, nämligen att bestämmelsen inte skall hindra att personuppgifter behandlas hos socialnämnden för uppföljning, utvärdering, kvalitetssäkring, forskning och framställning av statistik.) En sådan sammanställning över missbrukare skulle alltså inte vara tillåten enligt gällande rätt, och – med utredningens förslag – endast om förteckningen skulle användas för något av de ändamål som nyss nämndes.

Visserligen är 59 § socialtjänstlagen inte tillämplig i alla de sammanhang där personuppgifter behandlas inom socialtjänsten, men det är i

socialnämndernas akter som den största mängden integritetskänslig information finns.

Det kan påpekas att det i Datainspektionens beslut enligt datalagen inte sällan togs in en föreskrift av innebörd att det aktuella registret fick innehålla det slag av uppgifter och bearbetas på det sätt som angetts i ansökan, under förutsättning att personregistret därmed inte kom att föras i strid med 59 § socialtjänstlagen och Socialstyrelsens föreskrifter SOSFS (S) 1981:126 om personregister inom socialtjänsten.

Vid en samlad bedömning anser utredningen att de nu redovisade bestämmelserna innebär ett tillräckligt integritetsskydd vid behandling av personuppgifter inom socialtjänsten och att det således inte finns något behov av att i den föreslagna lagen särskilt begränsa användningen av de personuppgifter som får användas som sökbegrepp. Vid denna bedömning har utredningen utgått från att den personuppgiftsansvarige utformar de tekniska systemen så att i princip endast behöriga personer kan göra sökningar samt att det finns behörighetskontrollsystem och att det i efterhand går att fastställa vilka personer som har tagit del av information (loggning). Den enskilde handläggarens sökmöjligheter torde kunna begränsas mycket kraftigt (jfr bl.a. 51 § andra stycket socialtjänstlagen). Den personkrets som arbetar med uppföljning, utvärdering, kvalitetssäkring, forskning och framställning av statistik – och som naturligtvis är beroende av att kunna söka information i en helt annan omfattning än en enskild handläggare – torde i de flesta fall kunna begränsas till ett minimum.

Enligt utredningens uppfattning står en sådan lösning också bäst i överensstämmelse med EG-direktivet och personuppgiftslagen. Personuppgiftslagen innebär ju ett t illståndslöst system där det direkt i lagen anges under vilka förutsättningar personuppgifter får behandlas i samhället. Den som behandlar personuppgifter på ett sätt som strider mot personuppgiftslagen riskerar att få utge skadestånd till den registrerade. I vissa fall kan straff också komma i fråga. Att då införa restriktioner när det gäller sökbegrepp – för att därigenom ytterligare förvissa sig om att insamlade personuppgifter inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna ursprungligen samlades in, dvs. i strid med personuppgiftslagen, är enligt utredningen inte påkallat. Det sagda gäller i synnerhet som det huvudsakligen kommer att vara myndigheter som har att tillämpa lagen om behandling av personuppgifter inom socialtjänsten.

6.7Samkörning

Utredningens bedömning: Det saknas anledning att ha en särskild bestämmelse som tillåter eller förbjuder att de uppgifter som finns inom socialtjänsten samkörs.

Samkörning av uppgifter från två register som förs med hjälp av automatiserad behandling innebär i praktiken att ett nytt register upprättas. Av den anledningen krävdes enligt datalagen (1973:289) formellt t illstånd för samkörning, om inte registreringen av uppgifterna eller utlämnandet av dessa skedde med stöd av författning, Datainspektionens beslut eller den registrerades medgivande.

Socialtjänstkommittén föreslog i betänkandet Dokumentation och socialtjänstregister (SOU 1995:86) att uppgifter i ett socialtjänstregister som huvudregel skulle kunna hämtas från ett annat sådant register. Re- geringen skulle dock genom föreskrifter i förordning kunna begränsa möjligheterna till samkörning. Enligt Socialtjänstkommittén skulle ett socialtjänstregister med nödvändighet behöva tillföras uppgifter från andra register, inte minst vid handläggning av olika slags förmåner. En förutsättning för detta skulle enligt förslaget dock vara att regeringen föreskrivit vilka uppgifter som fick överföras. Socialtjänstkommitténs förslag var anpassat efter regleringen i datalagen (betänkandet s. 147).

Enligt personuppgiftslagen (1998:204), som innebär ett t illståndslöst system, är däremot samkörning tillåten så länge behandlingen är förenlig med det ändamål för vilka personuppgifterna ursprungligen samlades in. Vidare måste behandlingen – samkörningen – för det nya ändamålet, liksom behandlingen för de ursprungliga ändamålen, kunna hänföras under något av de tillåtna fall av behandling som anges i 10 § personuppgiftslagen och, om känsliga personuppgifter skall behandlas, dessutom vara tillåten enligt 13–20 §§ samma lag. Sekretessbestämmelser och bestämmelsen i 59 § socialtjänstlagen (se avsnitt 6.1.5) kan också hindra att uppgifter samkörs.

Eftersom bestämmelsen i 9 § första stycket d personuppgiftslagen, vilken bestämmelse skall gälla även vid behandling av personuppgifter inom socialtjänsten, innebär att personuppgifter får behandlas för andra ändamål än de för vilka uppgifterna ursprungligen samlades in bara om de nya ändamålen inte är oförenliga med de ursprungliga ändamålen, behövs ingen bestämmelse som tillåter eller förbjuder samkörning av personuppgifter som finns inom socialtjänsten.

Denna bestämmelse, och föreskrifterna i 9 § första stycket e och f personuppgiftslagen – att de personuppgifter som behandlas skall vara

adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler uppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen – innebär, menar utredningen, ett tillräckligt integritetsskydd för den enskilde. I praktiken begränsar dessa bestämmelser möjligheterna till samkörning på ett sätt som är godtagbart från integritetssynpunkt samtidigt som de innebär att personuppgifter kan samköras när det är ändamålsenligt och lämpligt. Som inledningsvis nämndes kan också bestämmelsen i 59 § socialtjänstlagen och sekretessbestämmelser hindra att uppgifter samkörs.

Sammanfattningsvis föreslår utredningen således att det i lagen inte tas in någon särskild bestämmelse om samkörning av personuppgifter som finns inom socialtjänsten.

6.8Utlämnande av personuppgifter på medium för automatiserad behandling

Utredningens bedömning : Någon regel som tillåter att person uppgifter inom socialtjänsten får lämnas ut på medium för automatiserad behandling behövs inte. Person uppgifter får lämnas ut på vilket medium som helst om behandlingen – utlämnandet – inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in. Detta följer direkt av personuppgiftslagen (1998:204). Det finns inte heller tillräcklig anledning att förbjuda att person uppgifter lämnas ut på ett sådant medium. Sekretesslagen (1980:100) eller andra bestämmelser kan dock hindra att uppgifterna över huvud taget får lämnas ut.

Enligt 11 § datalagen (1973:289) gällde att personuppgift som ingick i personregister inte fick lämnas ut, om det fanns anledning anta att uppgiften skulle användas för automatisk databehandling i strid med datalagen. Vidare föreskrevs i bestämmelsen att, om det fanns anledning att anta att personuppgift skulle användas för automatisk databehandling i utlandet, uppgiften fick lämnas ut endast efter medgivande av Datainspektionen. Motsvarande bestämmelse för myndigheter fanns tidigare i 7 kap 16 § sekretesslagen (1980:100).

De redovisade bestämmelserna innebar i praktiken att ett utlämnande på ADB-medium krävde att mottagaren hade tillstånd av Datainspektionen eller författningsstöd för att föra ett personregister med de uppgifter som lämnades ut.

SOU 1999:109 En ny lag om behandling av personuppgifter... 181

Socialtjänstkommittén föreslog i betänkandet Dokumentation och socialtjänstregister (SOU 1995:86) att uppgifter från ett socialtjänstregister skulle få lämnas ut på ADB-medium, endast om det följde av lag eller förordning eller om uppgiften skulle användas för forskning och statistik. Kommitténs förslag var anpassat efter regleringen i datalagen och sekretesslagen.

Till skillnad från datalagen kräver person uppgiftslagen (1998:204) inte tillstånd för att behandla – t.ex. registrera – person uppgifter. Den nämnda bestämmelsen i sekretesslagen innebär numera endast att sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen.

Det finns alltså inte längre någon allmänt tillämplig bestämmelse i lagstiftningen som hindrar att personuppgifter får lämnas ut på medium för automatiserad behandling. Om inget annat har föreskrivits får personuppgifter – under förutsättning att utlämnandet (behandlingen) är t illåten enligt personuppgiftslagen och eventuellt anslutande speciallagstiftning – lämnas ut på vilket medium som helst, även på medium för automatiserad behandling. Bestämmelser om sekretess kan dock hindra att uppgifterna över huvud taget får lämnas ut. I vissa fall, t.ex. i 64 § socialtjänstlagen (1980:620), finns särskilda bestämmelser om utlämnande av personuppgifter som tar över personuppgiftslagens bestämmelser.

Följaktligen behövs ingen regel som tillåter att person uppgifter inom socialtjänsten får lämnas ut på medium för automatiserad behandling. Inte heller finns det – menar utredningen – från integritetssynpunkt tillräckliga skäl för att i lagstiftningen förbjuda att personuppgifter inom socialtjänsten lämnas ut på ett sådant medium. Personuppgifterna kommer nämligen i princip inte att användas utanför socialtjänsten och de omgärdas av en sträng sekretess. Det framstår också som mindre lämpligt att förhindra att uppgifter – som får lämnas ut – kan lämnas ut på ett modernt och rationellt sätt.

När det gäller en begäran om utlämnande av allmänna handlingar med stöd av offentlighetsprincipen bör framhållas att myndigheten själv bestämmer i vilken form uppgifterna skall lämnas ut. Enligt 2 kap. 13 § tryckfrihetsförordningen föreligger nämligen ingen skyldighet för en myndighet att lämna ut uppgifterna på ADB-medium. Det kan i sammanhanget nämnas att bl.a. denna regel är föremål för översyn av en av regeringen tillkallad kommitté, Kommittén om offentlighetsprincipen och IT samt översyn av sekretesslagen m.m. (dir. 1998:32).

6.9Direktåtkomst

Utredningens bedömning: De sekretessbestämmelser som gäller vid behandling av personuppgifter inom socialtjänsten (bl.a. 7 kap. 4 § sekretesslagen 1980:100 och 51 § andra stycket socialtjänstlagen 1980:620) innebär, oavsett om det är fråga att lämna ut uppgifter på papper eller om det rör sig om direktåtkomst, ett mycket starkt skydd för personuppgifterna. Vidare innebär personuppgiftslagens (1998:204) regler om att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen, samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket d, e och f) ett ytterligare skydd för person uppgifterna. Även detta gäller oavsett på vilket medium uppgifterna tas fram. Det finns inget behov av att härutöver föreslå en regel som innebär begränsningar av åtkomsten till personuppgifter som behandlas automatiserat inom socialtjänsten.

Den som har direktåtkomst till information som behandlas automatiserat kan, när han eller hon vill, ta del av informationen på en bildskärm. Åt- komsten kan avse all information som finns eller endast en del av denna. Direktåtkomst ger inte i sig möjlighet att påverka informationsinnehållet.

För att undanröja eventuella missförstånd bör framhållas att begreppet direktåtkomst här och i det följande inte är begränsat till när någon utanför den personuppgiftsansvariges organisation får direktåtkomst till den information som finns. Även den som inom den personuppgiftsansvariges organisation, när han eller hon vill, kan ta del av informationen på en bildskärm anses ha direktåtkomst.

En reglering i lag av tillhandahållande av person uppgifter avser det sätt på vilket uppgifterna får t illhandahållas och inte frågan om uppgifterna får lämnas ut. En första förutsättning för att någon skall ha rätt att

ta del av personuppgifter inom socialtjänsten är således att uppgifterna inte är sekretessbelagda i förhållande till den som vill ta del av dem. Det är viktigt att framhålla att en regel om direktåtkomst inte bryter reglerna om sekretess. Frågan om sekretess behandlas i avsnitt 6.14. Om ett utlämnande av personuppgifter kan ske, blir det aktuellt för den personuppgiftsansvarige att med beaktande av lagens bestämmelser om direktåtkomst och om utlämnade på medium för automatiserad behandling ta ställning till på vilket sätt uppgifterna skall t illhandahållas. Frågan om

SOU 1999:109 En ny lag om behandling av personuppgifter... 183

utlämnande av personuppgifter på medium för automatiserad behandling har behandlats i avsnitt 6.8.

I sammanhanget kan också nämnas att bestämmelsen i 51 § andra stycket socialtjänstlagen, om vad som kan kallas för inre sekretess, innebär att endast den som har legitim anledning att ta del av en handling i sin tjänsteutövning är behörig att göra det (se bl.a. avsnitt 6.14).

I lagstiftning som tar sikte på automatiserad behandling av personuppgifter brukar det ofta framhållas att direktåtkomsten – av hänsyn till kravet på skydd för den registrerades personliga integritet – bör hållas begränsad. T.ex. finns särskilda begränsningar av direktåtkomsten i lagen (1998:543) om hälsodataregister (8 §), i lagen (1998:544) om vårdregister (8 §) och i lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga (12 §).

Socialtjänstkommittén föreslog i betänkandet Dokumentation och socialtjänstregister (SOU 1995:86 s. 148 f.) att endast den som var registeransvarig skulle ha direktåtkomst till uppgifter i ett socialtjänstregister. Från denna regel gjordes dock undantag för dels kommuner där ansvaret inom ett sekretessområde var uppdelat på flera nämnder (kommitténs förslag innebar också vissa ändringar i sekretesslagstiftningen), dels för de institutioner för vilka Statens institutionsstyrelse ansvarade. Dessa institutioner föreslogs få direktåtkomst till en del av de uppgifter som fanns i styrelsens centralt förda register. Institutionerna skulle emellertid enligt förslaget få tillgång till endast de uppgifter som avsåg de personer som var föremål för vård vid den egna institutionen.

Remissinstanserna synes ha godtagit kommitténs förslag i denna del. Många remissinstanser betonade dock vikten av sekretess och integritet vid åtkomst och utlämnande av uppgifter. En kommun ansåg att den föreslagna regleringen borde förtydligas så att även nämnder, som har endast vissa uppgifter inom socialtjänsten och inte förfogar över registret i sådan utsträckning att de blev registeransvariga, kunde komma åt uppgifter. Även kommunstyrelsen måste, menade samma kommun, ges direktåtkomst till socialtjänstregister i den utsträckning som behövs för att utöva övergripande ledning över kommunens socialtjänst. Statens institutionsstyrelse tillstyrkte kommitténs förslag och föreslog därutöver – för att kunna fullfölja sitt uppdrag avseende uppföljning och utvecklingsarbete – en ändring i sekretesslagen Den föreslagna ändringen skulle innebära att styrelsen fick direktåtkomst till kommunens socialtjänstregister.

De sekretessbestämmelser som gäller vid behandling av personuppgifter inom socialtjänsten (se avsnitt 6.14) innebär, oavsett om det är fråga att lämna ut uppgifter på papper eller om det rör sig om direktåtkomst, ett mycket starkt skydd för person uppgifterna. Vidare innebär personuppgiftslagens regler om att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades

184 En ny lag om behandling av personuppgifter... SOU 1999:109

in, att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen, samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket d, e och f), ett ytterligare skydd för person uppgifterna. Även detta gäller oavsett på vilket medium uppgifterna tas fram.

Enligt utredningen finns det inget behov av att härutöver föreslå en regel som innebär begränsningar av åtkomsten till personuppgifter som behandlas automatiserat inom socialtjänsten. En regel om direktåtkomst bör följaktligen inte införas. Ett annat skäl till att inte särskilt reglera direktåtkomst till personuppgifter kan vara att det är svårt att överblicka i vilken utsträckning och i vilka sammanhang sådan åtkomst kan behövas i framtiden.

Utredningen vill emellertid framhålla att en förutsättning för att en lösning som den föreslagna skall ge ett tillräckligt integritetsskydd är att den personuppgiftsansvarige begränsar den krets av personer som har direktåtkomst till information – vilket redan med hänsyn till gällande sekretessregler är nödvändigt – och att det finns system för behörighetskontroll. Utredningen har vid sin bedömning också utgått från att så blir fallet och att de tekniska systemen utformas så att det i efterhand går att fastställa vilka personer som har tagit del av information.

Slutligen vill utredningen för tydlighets skull påpeka att direktåtkomst till information naturligtvis endast kan komma i fråga när de bestämmelser som finns om sekretess medger det. Som inledningsvis nämndes är en första förutsättning för att någon skall ha rätt att ta del av personuppgifter inom socialtjänsten att uppgifterna inte är sekretessbelagda i förhållande till den som vill ta del av dem.

Utredningens bedömning : Personuppgiftslagens (1998:204) bestämmelser om den personuppgiftsansvariges informationsplikt bör gälla även när personuppgifter behandlas inom socialtjänsten. Några ytterligare bestämmelser om information behövs inte.

I 23–27 §§ personuppgiftslagen (1998:204) finns bestämmelser om information som den personuppgiftsansvarige skall lämna till den registrerade. Dessa bestämmelser har sin motsvarighet i EG-direktivet. Personuppgiftslagen går i detta avseende inte längre än vad direktivet kräver.

Det bör framhållas att den skyldighet att informera som följer av personuppgiftslagen i princip gäller utöver den informationsskyldighet som kan vara föreskriven enligt annan lagstiftning (prop. 1997/98:44 s. 79). En sådan informationsskyldighet följer av t.ex. 52 § socialtjänstlagen (1980:620), där det sägs att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom.

Enligt 23 § personuppgiftslagen skall den personuppgiftsansvarige i samband med att uppgifter om en person samlas in från personen själv , självmant lämna den registrerade information om behandlingen av uppgifterna. Huvudregeln torde vara att den registrerade får informationen innan han eller hon lämnar uppgifter eller uppgifterna annars samlas in

de, t.ex. genom samkörning, överföring av register, via tidningsuppgifter eller via andra personer, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras (24 §), dvs. när de matas in i en dator eller sorteras in i ett sådant manuellt register som omfattas av lagen. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången. Av 24 § andra stycket följer att information inte behöver lämnas om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifter i en lag eller någon annan författning. T.ex. innebär bestämmelsen i 19 § tredje stycket personuppgiftslagen att den forskare eller statistiker som i enlighet med bestämmelsen samlar in personuppgifter från något annat håll än de registrerade inte behöver informera de registrerade om sin behandling. Vidare behöver information inte heller lämnas om detta visar sig omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Detta följer av 24 § tredje stycket. Om uppgifterna används för att vidta åtgärder som rör

186 En ny lag om behandling av personuppgifter... SOU 1999:109

den registrerade, skall dock information lämnas senast i samband med att så sker.

I 25 § anges vilken information som skall lämnas självmant. Informationen enligt 23 eller 24 § skall omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen, och all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

Enligt 26 § är den personuppgiftsansvarige skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen, och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

I 26 § andra stycket finns det bestämmelser dels om den registrerades ansökan om information, dels om vid vilken tidpunkt efter ansökan som den personuppgiftsansvarige skall lämna informationen.

I 26 § tredje stycket finns vissa undantagsbestämmelser beträffande personuppgifter i löpande text som inte har fått sin slutliga utformning när den registrerade gjorde sin ansökan eller som utgör minnesanteckning.

I 27 § finns en bestämmelse om undantag från informationsskyldigheten enligt 23–26 §§ vid sekretess och tystnadsplikt. I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den registrerade. Bestämmelser om sekretess och tystnadsplikt gäller således alltid före skyldigheten att lämna information.

Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om bl.a. vilken information som skall lämnas till registrerade och hur lämnandet av information skall gå till (50 § e). Regeringen har i 13 § 5 personuppgiftsförordningen (1998:1191) bemyndigat Datainspektionen att meddela sådana föreskrifter. Några föreskrifter har emellertid ännu inte utfärdats. Däremot har frågan om information till registrerade berörts i olika lagstiftningsärenden.

I förarbetena till bl.a. polisdatalagen (1998:622) uttalades att personuppgiftslagens bestämmelser om information om behandlingen borde gälla på polisområdet och att några särskilda bestämmelser inte behöv-

des i polisdatalagen (prop. 1997/98:97 s. 107 f.). I propositionen framhölls att undantagsreglerna i personuppgiftslagen (24 och 27 §§) innebär att polisen i regel inte behöver lämna någon information till den registrerade.

Inte heller i lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga fanns det, menade regeringen, skäl att göra undantag, vare sig genom utvidgning eller inskränkning, från den informationsskyldighet gentemot registrerade som föreskrivs i personuppgiftslagen (prop. 1997/98:80 s. 42 ff.).

Däremot finns i 11 § lagen (1998:544) om vårdregister en särskild bestämmelse om information. I första stycket sägs att den som är personuppgiftsansvarig för ett vårdregister skall se till att den registrerade får information om behandlingen. I andra stycket anges att informationen skall innehålla upplysningar om 1) vem som är personuppgiftsansvarig, 2) ändamålet med registret, 3) vilken typ av uppgifter som ingår i registret, 4) den uppgiftsskyldighet som följer av lagen (1998:543) om hälsodataregister, 5) de sekretess- och säkerhetsbestämmelser som gäller för registret, 6) rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204), 7) rätten till rättelse av oriktiga eller missvisande uppgifter, 8) rätten till skadestånd vid behandling av personuppgifter i strid med vårdregisterlagen, 9) vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, 10) vad som gäller i fråga om bevarande och gallring, samt 11) om registreringen är frivillig eller inte.

I förarbetena uttalade regeringen (prop. 1997/98:108 s. 80 f.) bl.a. följande.

Enligt regeringens förslag skall vårdregister få föras oavsett vilken inställning patienten har till att bli registrerad i personregister. Mot bakgrund härav är det ur integritetssynpunkt angeläget att patienten får information om att registrering sker, syftet med registreringen, vad för slags uppgifter registreringen avser och att vissa uppgifter lämnas vidare till centrala förvaltningsmyndigheter inom hälso- och sjukvårdens område på grund av bestämmelsen i 6 § lagen om hälsodataregister. Det är vidare angeläget att patienten får information om vilka rättigheter han eller hon har i anledning av registreringen, t.ex. rätten att ta del av uppgifter, om vart han eller hon skall vända sig med en begäran om registerutdrag eller rättelse.

Utöver vad som nu nämnts är informationen enligt regeringens mening viktig även för att skapa en nödvändig grund för att allmänheten skall få förtroende för registren. Informationen bör i detta syfte även innehålla upplysning om de begränsningar i fråga om sökbegrepp, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling

och vilka regler som gäller för bevarande och gallring samt för rätten till skadestånd.

Det bör åvila den personuppgiftsansvarige att skapa rutiner som garanterar att informationsskyldigheten fullgörs. Det bör dock inte krävas att vårdpersonalen i varje enskilt fall lämnar en muntlig information om att dokumentation sker i ett vårdregister utan informationsskyldigheten kan fullgöras genom t.ex. broschyrer.

När det gäller lagen (1998:543) om hälsodataregister finns det i den lagen ingen särskild reglering beträffande information. I förarbetena uttalade regeringen (prop. 1997/98:108 s. 60 f.) att personuppgiftslagen, till skillnad från datalagen ( 1973:289), innehåller utförliga bestämmelser om information vid behandling av personuppgifter. Om en fråga inte regleras i lagen om hälsodataregister, skall enligt 2 § i den lagen personuppgiftslagens regler gälla. Regeringen ansåg därför att någon ytterligare generell reglering av informationsskyldigheten inte var nödvändig. Regeringen framhöll dock att avsikten var att i respektive registerförordning närmare precisera på vilket sätt informationen skall ges och vilket innehåll informationen skall ha. Enligt regeringen skall som riktlinje för dessa föreskrifter gälla att följande uppgifter i vart fall bör ingå. 1) Vem som är personuppgiftsansvarig, 2) ändamålet med registret, 3) vilka uppgifter som ingår i registret, 4) varifrån uppgifterna hämtats in, 5) hur länge registret kommer att föras, 6) rätten till rättelse av oriktiga eller missvisande uppgifter, 7) innebörden och omfattningen av det sekretess- och säkerhetsskydd som gäller för registret, 8) vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling, 9) den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen, samt 10) vad som gäller om bevarande och gallring av registret.

Socialtjänstkommitténs förslag, som var anpassat efter regleringen i datalagen, innebar att den registeransvarige skulle se till att den enskilde som var eller avsågs bli registrerad på lämpligt sätt skulle få information om registret (Dokumentation och socialtjänstregister SOU 1995:86 s. 158 och 185). Enligt förslaget skulle informationen innehålla en beskrivning av de uppgifter som registret fick innehålla samt upplysning om registerändamålen, de sekretess- och säkerhetsbestämmelser som gällde för registret, rätten att få registerutdrag och rättelse med stöd av datalagen, de begränsningar i fråga om direktåtkomst till registrerade uppgifter, utlämnande av uppgifter på medium för automatisk databehandling, sökbegrepp och bevarande av uppgifter som gällde för registret. Informationen kunde, menade kommittén, lämpligen fullgöras genom muntlig information, i trycksaker om verksamheten eller på annat lämpligt sätt.

Remissinstanserna synes inte ha berört kommitténs förslag om information.

Som framgått av den tidigare redogörelsen innehåller person uppgiftslagen särskilda bestämmelser om den personuppgiftsansvariges skyldighet att lämna information till den registrerade. Informationsskyldigheten är försedd med flera undantag. Enligt utredningens bedömning kan man inte – utan att komma i konflikt med EG-direktivet – göra några ytterligare inskränkningar – dvs. fler undantag – i den informationsskyldighet som följer av personuppgiftslagen. Personuppgiftslagen går nämligen, när det gäller information, inte längre än vad som krävs med hänsyn till EG-direktivet (prop. 1997/98:44 s. 79). Det är däremot t illåtet att, när det gäller frågan om vilken information som skall lämnas, utvidga informationsskyldigheten utöver vad som följer av EG-direktivet (artiklarna 10.1 och 11.1). Direktivet är i detta avseende endast ett minimidirektiv. Vidare är det enligt direktivet tillåtet att precisera hur informationen skall lämnas. Som nämnts i det föregående har så också gjorts i viss lagstiftning.

Enligt utredningens uppfattning finns det inget behov av att i detta sammanhang utvidga informationsskyldigheten utöver vad som följer av personuppgiftslagen. Några ytterligare inskrä nkningar i densamma kan man, som nämndes i det föregående, inte göra. När personuppgifter behandlas inom socialtjänsten har man således att utgå från personuppgiftslagens bestämmelser om information. Vad innebär då detta i praktiken? Av den tidigare redogörelsen framgår att person uppgiftslagens bestämmelser om information berör två olika situationer, dels att information i vissa fall skall lämnas självmant av den personuppgiftsansvarige, dels att information skall lämnas på begäran av den registrerade. I det följande gör utredningen en bedömning av hur personuppgiftslagens bestämmelser om information kan komma att tillämpas inom socialtjänsten. Därvid berörs först de bestämmelser som innebär att information skall lämnas självmant. Därefter behandlas bestämmelsen om information efter ansökan. Slutligen diskuteras huruvida det finns anledning att i något avseende precisera personuppgiftslagens bestämmelser om vilken information som skall lämnas till de registrerade.

Information skall lämnas självmant

När uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband med insamlandet självmant lämna den registrerade information om behandlingen av uppgifterna (23 § personuppgiftslagen). Från denna informationsskyldighet har inte föreskrivits något uttryckligt undantag, förmodligen främst för att den personuppgiftsansvarige i detta fall alltid har någon form av direktkontakt med den registrerade. I praktiken torde informationen kunna lämnas t.ex. i en broschyr som lämnas till den registrerade eller på den blankett där denne lämnar sina uppgifter. Denna informationsskyldighet torde knappast förorsaka socialtjänsten något större arbete eller innebära några särskilda svårigheter.

Mer problematiskt kan det naturligtvis bli i de – sannolikt ofta förekommande – situationer där uppgifterna samlas in från någon annan källa än den registrerade. Enligt regleringen i personuppgiftslagen skall information i sådana fall lämnas i princip när uppgifterna registreras (24 § första stycket personuppgiftslagen). Denna regel är emellertid försedd med några undantag. Frågan är i vilken utsträckning dessa undantagsbestämmelser kan tillämpas vid behandling av person uppgifter inom socialtjänsten.

Undantaget i 24 § andra stycket personuppgiftslagen från informationsskyldighet

För det första behöver information inte lämnas om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifter i en lag eller någon annan författning (24 § andra stycket personuppgiftslagen). Enligt utredningens bedömning innebär de regler om dokumentation som finns i 51 § socialtjänstlagen (1980:620), i 14 § socialtjänstförordningen (1981:750), i 15 § förvaltningslagen (1986:223) och i 6 § förordningen (1998:641) om verkstä llighet av sluten ungdomsvård sådana särskilda bestämmelser som avses med undantaget.

I sammanhanget kan också nämnas att det i 15 kap. 1 och 2 §§ sekretesslagen (1980:100) finns bestämmelser om bl.a. registrerandet av allmänna handlingar m.m. Det saknas i lagen (1993:387) om stöd och service till vissa funktionshindrade särskilda bestämmelser om dokumentation/journalföringsplikt.

Undantagsbestämmelsen i 24 § andra stycket personuppgiftslagen torde, enligt utredningens uppfattning, ge ett mycket stort utrymme för att underlåta att lämna information i samband med att uppgifterna registreras. Det bör dock framhållas att avsikten inte är att de registre-

rade uppgifterna skall undanhållas den registrerade. Denne kommer förr eller senare att få del av uppgifterna men då med stöd av andra bestämmelser, t.ex. förvaltningslagens regel om kommunikation (17 §) eller socialtjänstlagens regel om att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom (52 §) eller då han eller hon ansöker om information enligt 26 § personuppgiftslagen. Undantaget innebär emellertid att socialtjänsten befrias från bördan att omedelbart lämna information om behandlingen av personuppgiftertill den registrerade.

Utredningen är emellertid medveten om att det kan diskuteras om 15 § förvaltningslagen verkligen har den nu angivna innebörden. Om man inte godtar utredningens resonemang härvidlag, torde det – om inte undantaget i 24 § tredje stycket personuppgiftslagen kan vara tillämpligt (se nedan) – vara nödvändigt att lämna information i bl.a. de fall det är fråga om behandling av personuppgifter i den verksamhet som regleras av lagen om stöd och service till vissa funktionshindrade.

Undantaget i 24 § tredje stycket personuppgiftslagen från informationsskyldighet

För det andra behöver information inte lämnas när uppgifter samlats in från en annan källa än den registrerade, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats (24 § tredje stycket personuppgiftslagen). Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock informationen lämnas senast i samband med att så sker. När det gäller behandling av personuppgifter inom socialtjänsten torde dock detta undantag endast mera sällan komma att tillämpas. Dock att det kan få en viss betydelse i de situationer där personuppgifter inom socialtjänsten antecknas om andra personer än den som är föremål för åtgärd. Något som lär förekomma i en inte obetydlig utsträckning, det kan t.ex. röra sig om uppgifter om a nhöriga, kontaktpersoner m.fl.

Utredningen har diskuterat om det är möjligt att uttryckligen föreskriva att personuppgiftslagens bestämmelse om information enligt 24 § första stycket inte skall omfatta information till den som i detta hänseende kan betraktas som ”tredje man”. Enligt vad som sagts utredningen skulle det inte bara vara till nackel för det nätverksarbete som bedrivs inom socialtjänsten, utan också oerhört resurskrävande, om det fordrades att ”tredje man” som nämns under ett ärendes handläggning alltid skall behöva informeras om att uppgifter om honom eller henne samlats in. Utredningens uppfattning är dock – som tidigare framhå llits – att det inte är tillåtet att göra ytterligare undantag från informationsskyldigheten.

192 En ny lag om behandling av personuppgifter... SOU 1999:109

Det skulle dessutom – vilket utredningen strax återkommer till – vara mindre lämpligt att göra ett sådant generellt undantag för uppgifter som rör tredje man.

I de allra flesta fall kan man förmodligen underlåta att lämna information med hänvisning till socialtjänstlagens eller förvaltningslagens regler om dokumentation. Det är emellertid, menar utredningen, möjligt att även åberopa undantaget i 24 § tredje stycket personuppgiftslagen. Så länge det är fråga om ett fåtal harmlösa personuppgifter bör man nämligen kunna hävda att den registrerades intresse av att bli informerad inte står i någon rimlig proportion till den arbetsinsats som krävs för att kunna lämna information. En sådan lösning framstår också som bättre från integritetssynpunkt jämfört med att göra ett generellt informationsundantag för ”tredje man”, eftersom den personuppgiftsansvarige i varje enskilt fall måste göra en bedömning av hur stort intresset är av att informera. Det kan ju inte uteslutas att de uppgifter som antecknats om ”tredje man” är så pass integritetskänsliga eller så pass omfattande att det framstår som högst motiverat att vederbörande informeras om att dessa uppgifter samlats in.

Nu angivna förhållanden, samt den omständigheten att den som är ”tredje man” – i motsats till den som är föremål för en åtgärd inom socialtjänsten – kanske inte känner till att personuppgifter om honom eller henne behandlas och därför inte på samma sätt kan bevaka sin rätt, talar, anser utredningen, för att det – även om det vore tillåtet – inte skulle vara lämpligt att helt undanta ”tredje man” från kravet på information i 24 § personuppgiftslagen. Som framgått är det inte heller nödvändigt att göra det. Under förutsättning att personuppgiftslagens bestämmelser om information tillämpas på ett rimligt och förnuftigt sätt behöver de inte försvåra eller hindra socialtjänsten från att arbeta på ett rationellt sätt.

Den angivna tolkningen av undantagsbestämmelsen i 24 § tredje stycket personuppgiftslagen är – anser utredningen – godtagbar från integritetssynpunkt. För det första finns det alltid en möjlighet för den som misstänker att personuppgifter behandlas om honom eller henne att ansöka om information enligt 26 § personuppgiftslagen. Det kan alltså inte

– annat än om någon sekretessbestämmelse kan åberopas – bli fråga om att dölja för den enskilde att vissa uppgifter samlats in. Vidare innebär det förhållandet att – vid tvist om undantaget är tillämpligt – bevisbördan torde ligga på den personuppgiftsansvarige, en viss spärr mot en alltför generös tillämpning av undantagsbestämmelsen. Den som avstår från att lämna information löper således en viss risk att bli skadeståndsskyldig gentemot den registrerade.

SOU 1999:109 En ny lag om behandling av personuppgifter... 193

Andra undantag i personuppgiftslagen från informationsskyldighet

Enligt 27 § personuppgiftslagen behöver information inte lämnas i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den registrerade. Bestämmelser om sekretess och tystnadsplikt gäller således alltid före skyldigheten att lämna information. Ibland hindrar bestämmelser om sekretess och tystnadsplikt att någon får reda på uppgifter om sig själv, t.ex. 7 kap. 6 § sekretesslagen, vilken paragraf innehåller bestämmelser till skydd för den som lämnar uppgifter till bl.a. socialvårdsm yndigheter om andras förhållanden.

Slutligen kan nämnas att information inte behöver lämnas om sådant som den registrerade redan känner till (25 § andra stycket personuppgiftslagen). Det förhållandet att – vid tvist om undantaget är t illämpligt – bevisbördan torde ligga på den personuppgiftsansvarige, innebär en viss spärr mot en alltför generös tillämpning av undantagsbestämmelsen.

---------------

Om inget av de nu nämnda undantagen är tillämpligt, måste emellertid information lämnas.

Information skall lämnas efter ansökan

Som inledningsvis nämndes gäller enligt 26 § personuppgiftslagen att den registrerade har rätt att på ansökan få information rörande de uppgifter som behandlas. Denna bestämmelse måste självfallet tillämpas även inom socialtjänsten.

Vilken information som skall lämnas efter ansökan regleras i 26 § första stycket personuppgiftslagen. Där sägs att skriftlig information skall lämnas om a) vilka uppgifter om den sökande som behandlas, b) varifrån dessa uppgifter har hämtats, c) ändamålen med behandlingen, och d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

Informationen om vilka personuppgifter som behandlas skall, enligt EG-direktivet, vara begriplig för den registrerade. När det gäller information om varifrån uppgifterna kommer, behöver den person uppgiftsansvarige bara lämna all den information som finns tillgänglig för honom eller henne. Den personuppgiftsansvarige behöver således inte

194 En ny lag om behandling av personuppgifter... SOU 1999:109

hålla reda på varifrån uppgifterna har hämtats, men vet han eller hon det när den registrerade begär information skall det uppges (prop. 1997/98:44 s. 81 f.).

Skyldigheten att lämna uppgifter enligt 26 § personuppgiftslagen omfattar samtliga personuppgifter om den registrerade som den personuppgiftsansvarige behandlar. Även personuppgifter i löpande text i ett ordbehandlingsdokument omfattas, dock att det i 26 § tredje stycket personuppgiftslagen görs undantag för personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande.

Beträffande sådana personuppgifter finns det särskilda svårigheter att söka fram alla uppgifter om en och samma person som behandlas. I förarbetena till personuppgiftslagen har emellertid regeringen uttalat (prop. 1997/98:44 s. 82 f.) att den personuppgiftsansvarige bara är skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han eller hon har tillgång till för att få fram information.

En särskild fråga som bör beröras i sammanhanget är om förbudet i 59 § första stycket socialtjänstlagen mot att i s.k. sammanställningsregister ta in uppgifter om ömtåliga personliga förhållanden, kan utgöra hinder mot att hos en socialnämnd göra de sökningar och sammanställningar som är nödvändiga för att uppfylla kraven på information enligt 26 § personuppgiftslagen.

Enligt utredningens uppfattning innebär 59 § första stycket socialtjänstlagen inget sådant hinder. Syftet med förbudet i den bestämmelsen är nämligen att skydda den enskildes personliga integritet och den kan därför knappast tillämpas när en sökning eller sammanställning skall göras på den enskildes egen begäran, just för att denne skall kunna ta tillvara sina intressen gentemot myndigheten. För övrigt är det inte fråga om en sammanställning av uppgifter om den enskilde som skall lämnas ut. Vad det gäller är att ta fram och lämna ut samtliga personuppgifter som finns om den enskilde. Enligt utredningen är förbudet i 59 § socialtjänstlagen helt enkelt inte tillämpligt när den enskilde begär information enligt 26 § personuppgiftslagen. Bestämmelsen innebär således ingen rättslig begränsning av den personuppgiftsansvariges sammanställningsmöjligheter (jfr prop. 1997/98:44 s. 82 f.).

------------------

Sammanfattningsvis anser således utredningen att personuppgiftslagens bestämmelser om den personuppgiftsansvariges informationsplikt är t illräckliga och att det inte bör – eller för den delen behövs – göras några ytterligare undantag från dessa bestämmelser. När personuppgifter behandlas inom socialtjänsten skall alltså personuppgiftslagens bestämmelser om information tillämpas.

Bör det i något avseende preciseras vilken information som skall lämnas till den registrerade?

När det sedan gäller frågan om det i något avseende i lagen bör preciseras vilken information som skall lämnas, menar utredningen att de ovan återgivna argument som regeringen framförde i propositionen om hälsodata- och vårdregister (prop. 1997/98:108 s. 80 f.) i och för sig mycket väl kan appliceras även på en lagstiftning som den aktuella. Å andra sidan framgår det, som inledningsvis redovisats, ganska klart av de relativt utförliga bestämmelserna i 25 och 26 §§ personuppgiftslagen vad informationen skall innehålla. Det kan därför vara onödigt att i lag närmare reglera detta.

Vid en samlad bedömning anser utredningen att övervägande skäl talar för att det i lagen inte närmare bör preciseras vad informationen till den registrerade skall omfatta. Personuppgiftslagens bestämmelser om detta får anses vara tillräckliga. Inget hindrar naturligtvis att man inom socialtjänsten lämnar mer utförlig information om behandlingen av personuppgifter än som krävs med hänsyn till personuppgiftslagen. Det får

– i den mån det saknas särskilda regler antingen i förordningsform eller i form av generella föreskrifter från Datainspektionen – bli en fråga för respektive personuppgiftsansvarig.

6.11Säkerheten vid behandling och tillsynsmyndighetens befogenheter

Utredningens bedömning : Personuppgiftslagens (1998:204) bestämmelser om säkerheten vid behandlingen och tillsynsmyndighetens befogenheter skall gälla också när personuppgifter behandlas inom socialtjänsten. Några särskilda bestämmelser därutöver behövs inte. Datainspektionen skall vara tillsynsmyndighet även enligt denna lag.

Enligt 31 § personuppgiftslagen (1998:204) skall den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade uppgifterna är.

Uppräkningen av de faktorer som skall beaktas är sålunda relativt kortfattad och mycket allmänt hållen. I förarbetena till personuppgiftsla-

196 En ny lag om behandling av personuppgifter... SOU 1999:109

gen uttalade regeringen (prop. 1997/98:44 s. 92) att uppräkningen likväl på ett bra sätt beskriver de överväganden som måste göras i fråga om säkerhetsåtgärder. Regeringen framhöll dock att den som regel inte ger tillräcklig vägledning för den person uppgiftsansvarige för att a vgöra vilka säkerhetsåtgärder som bör vidtas i det enskilda fallet. Avsikten är, uttalade regeringen, att regeringen eller myndighet som regeringen bestämmer skall meddela närmare föreskrifter om säkerhetsåtgärder som behövs. Enligt 5 0 § b personuppgiftslagen får regeringen eller m yndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandlingen av personuppgifter. Regeringen har i personuppgiftsförordningen (13 §) bem yndigat Datainspektionen att meddela sådana föreskrifter. Några föreskrifter har emellertid ännu inte utfärdats. Regeringen nämnde i förarbetena till personuppgiftslagen även att t illsynsmyndigheten i rimlig utsträckning bör lämna råd i säkerhetsfrågor (a. prop. a. s.). Däremot har Datainspektionen innan personuppgiftslagen trädde i kraft i allmänna råd om ADB-säkerhet angett sin uppfattning om innebörden av datalagens krav på ADB-säkerhet. Dessa råd, som inte är bindande, är f.n. föremål för översyn men är alltjämt gällande. Datainspektionen har utarbetat ett förslag till Allmänna råd om IT-säkerhet vid behandling av personuppgifter vid tillämpning av person uppgiftslagen. Datainspektionen har berett vissa myndigheter, organisationer och företag tillfälle att lämna synpunkter på förslaget, innan inspektionen fattar beslut om råden. Eventuella synpunkter på förslaget skall lämnas senast den 1 oktober 1999.

Personuppgiftslagen innehåller vidare vissa bestämmelser om t illsynsmyndighetens befogenheter. Innan utredningen redogör för innehållet

i dessa bestämmelser, bör något sägas om tillsynsmyndigheten som sådan. Enligt personuppgiftslagen (3 §) är t illsynsmyndigheten den myndighet som regeringen utser för att utöva tillsyn. Regeringen har i personuppgiftsförordningen (1998:1191, 2 §) utsett Datainspektionen att vara tillsynsmyndighet enligt personuppgiftslagen. Det finns visserligen inget som hindrar att regeringen utser olika tillsynsmyndigheter för skilda områden, t.ex. skulle man kunna tänka sig att utse en annan tillsynsmyndighet för den behandling av personuppgifter som sker inom socialtjänsten, eller för vissa delar av den behandlingen. Det saknas dock, menar utredningen, anledning att överväga en sådan ordning i denna lag. Datainspektionen skall följaktligen vara tillsynsmyndighet även enligt lagen om behandling av personuppgifter inom socialtjänsten.

I 32 § sägs att tillsynsmyndigheten i enskilda fall får besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta. T illsynsmyndigheten har enligt personuppgiftslagen (43 §) också rätt att för sin tillsyn på begäran få tillgång till de person uppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter

SOU 1999:109 En ny lag om behandling av personuppgifter... 197

och säkerheten vid denna, och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Tillsynsmyndigheten har vidare vissa möjligheter att förelägga vite och att förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifter på annat sätt än genom att lagra dem (44 och 45 §§). Tillsynsmyndigheten har också möjlighet att hos domstol ansöka om att personuppgifter som har behandlats på ett olagligt sätt skall utplånas (47 §).

Enligt utredningens uppfattning bör personuppgiftslagens bestämmelser om säkerheten vid behandling av personuppgifter och t illsynsmyndighetens befogenheter gälla även när personuppgifter behandlas inom socialtjänsten. Några särskilda regler därutöver behövs inte i denna lag.

Det bör dock i sammanhanget framhållas att de uppgifter som finns och kommer att finnas inom socialtjänsten mycket ofta kommer att vara av integritetskänslig natur. Utredningen vill därför understryka betydelsen av att det bedrivs ett aktivt arbete i syfte att vidmakthålla en hög säkerhetsnivå. Det kan också, vilket berörts i det föregående, förväntas

att Datainspektionen med stöd av 13 § personuppgiftsförordningen kommer att meddela närmare föreskrifter om de säkerhetsåtgärder som behövs. Som regeringen uttalade i prop. 1997/98:108 om hälsodata- och vårdregister (s. 86) rör säkerhetsfrågor ofta sådana områden som behörighetskontrollsystem, förvaring av datamedia, säkerhetskopiering, m.m., dvs. frågor med klar inriktning på teknik. Sådana frågor lämpar sig, menade regeringen, mindre väl för en reglering på lag- eller förordningsnivå och bör i stället – liksom hittills – hanteras på myndighetsnivå.

Avslutningsvis kan något sägas om vad dessa säkerhetsåtgärder kan innebära i praktiken. Det kan röra sig om åtgärder som avser t.ex. åtkomstskydd, säkerhetskopiering, behörighetskontroll, loggning, datakommunikation, utplåning samt reparation och service. I det följande berörs närmare en del av dessa åtgärder. Det som därvid sägs är i huvudsak hämtat från Datainspektionens mall till föreskrifter som inspektionen vanligen brukade ge i beslut om tillstånd enligt datalagen.

Med åtkomstskydd avses att man skyddar personuppgifterna mot obehörig användning, obehörig påverkan, stöld och utplåning. Ett grundläggande skydd kan vara att förse lokaler där datorutrustning och lagringsmedier förvaras med tillträdesskydd. Ett alternativ kan vara att låsa in datorutrustning och lagringsmedier så att obehöriga inte kan komma åt dem. Om det inte är möjligt att ordna ett fysiskt skydd – t.ex. då en bärbar dator används – kan uppgifterna be höva krypteras.

En dator med personuppgifter bör alltid ha ett s kydd mot obehörig inloggning. Används datorn av mer än en person måste man dessutom med ett tekniskt system för behörighetskontroll styra åtkomsten till personuppgifterna. Ett behörighets kontrollsystem skall avgränsa åtkomst-

198 En ny lag om behandling av personuppgifter... SOU 1999:109

möjligheten så att varje användare endast kommer åt de personuppgifter som är relevanta för de egna arbetsuppgifterna.

Loggning innebär att det i efterhand ges möjlighet att följa upp hur personuppgifter har bearbetats. Loggen är ett nödvändigt hjälpmedel för att utreda felaktig eller obehörig användning av person uppgifter. Det är därför viktigt att loggen är så detaljerad att det framgår vilka eller vilka personers uppgifter som har åtkommits, vem som har haft åtkomst och när det har skett. En logg anses också ha en förebyggande effekt.

I Datainspektionens allmänna råd om ADB-säkerhet finns en utförlig redogörelse för inspektionens syn på sådan säkerhet. För ytterligare information om datasäkerhet kan hänvisas till dessa allmänna råd.

6.12Anmälan till tillsynsmyndigheten, m.m.

Utredningens bedömning : Bestämmelsen i 3 § 3 person uppgiftsförordningen (1998:1191) innebär att den anmälningsskyldighet som följer av 36 § första stycket personuppgiftslagen (1998:204) inte gäller för behandling av personuppgifter som regleras genom särskilda föreskrifter i lag eller förordning. Denna undantagsbestämmelse från anmälningsskyldigheten bör gälla även när personuppgifter behandlas med stöd av denna lag. När personuppgifter behandlas automatiserat inom socialtjänsten behöver anmälan således inte göras till Datainspektionen.

Personuppgiftslagens bestämmelse (42 §) om att den personuppgiftsansvarige till var och en som begär det skall lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten, gäller däremot även vid behandling av personuppgifter inom socialtjänsten.

Enligt 36 § första stycket personuppgiftslagen (1998:204) omfattas behandling av personuppgifter som är helt eller delvis automatiserad av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller en serie av sådana behandlingar med samma eller liknande ändamål genomförs.

Denna anmälningsskyldighet är emellertid inte utan undantag. Av personuppgiftslagen följer att anmälan inte be höver göras om den personuppgiftsansvarige har anmält att ett personuppgiftsombud har utsetts och vem det är (37 §). Vidare får regeringen eller den myndighet som regeringen bestämmer enligt 36 § tredje stycket personuppgiftslagen

SOU 1999:109 En ny lag om behandling av personuppgifter... 199

meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Sådana föreskrifter finns i 3– 5 §§ personuppgiftsförordningen (1998:1191) och i 4 och 5 §§ i Datainspektionens föreskrifter (DIFS 1998:2) i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen.

I 3 § 3 personuppgiftsförordningen föreskrivs, såvitt här är av intresse, att anmälningsskyldigheten enligt 36 § första stycket personuppgiftslagen inte gäller för behandling av personuppgifter som regleras genom särskilda föreskrifter i lag eller förordning. Denna bestämmelse innebär att behandling av personuppgifter inom socialtjänsten som sker med stöd av denna lag inte kommer att omfattas av den nämnda anmälningsskyldigheten.

Frågan är om detta är en lämplig ordning eller om man i denna lag bör föreskriva att anmälan skall göras när personuppgifter behandlas inom socialtjänsten. T.ex. har regeringen i förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga i 5 § – med undantag från 3 § 3 personuppgiftsförordningen – föreskrivit att anmälningsskyldighet gäller enligt 36 § första stycket personuppgiftslagen för behandling av personuppgifter enligt lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga.

Datainspektionen har i de ovan nämnda föreskrifterna närmare angett vad en anmälan enligt 36 § första stycket personuppgiftslagen skall innehålla (6 §). En sådan anmälan skall innehålla a) den personuppgiftsansvariges namn, adress, telefonnummer och organisationsnummer, b) ändamålet eller ändamålen med behandlingen, c) en beskrivning av den eller de kategorier av registrerade som berörs av behandlingen, d) en beskrivning av de uppgifter eller kategorier av uppgifter som skall behandlas om de registrerade, e) uppgift om mottagarna eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, f) upplysning om överföringar av uppgifter till tredje land, och g) en allmän beskrivning av de åtgärder som har vidtagits för att trygga säkerheten i behandlingen.

En anmälan till Datainspektionen skulle tjäna det syftet att vissa uppgifter om verksamheten, som inte framgår av lagen om behandling av personuppgifter inom socialtjänsten, gjordes t illgängliga för såväl Datainspektionen som allmänheten, t.ex. en allmän beskrivning av de säkerhetsåtgärder som har vidtagits. Emellertid tillgodoses allmänhetens intresse av information även om behandling av personuppgifter inom socialtjänsten är undantaget från kravet på anmälningsskyldighet. Enligt 42 § personuppgiftslagen gäller nämligen att den personuppgiftsansvarige till var och en som begär det skall lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har

anmälts till tillsynsmyndigheten. Upplysningarna skall – med vissa undantag – omfatta det som en anmälan enligt 36 § första stycket personuppgiftslagen skulle ha omfattat. Vidare kan nämnas bestämmelsen i 15 kap. 11 § första stycket sekretesslagen (1980:100), där det föreskrivs att varje myndighet skall för allmänheten hålla tillgänglig beskrivning av de register, förteckningar eller andra anteckningar hos myndigheten som förs med hjälp av automatisk databehandling (ADB- register). En förutsättning är att registret till någon del utgör allmän handling och att beskrivningen inte är obehövlig från offentlighetssynpunkt. I bestämmelsens andra stycke anges vad en sådan beskrivning skall innehålla, bl.a. skall beskrivningen ge upplysning om registrets ändamål och vilka typer av uppgifter som m yndigheten har tillgång till och på vilket sätt dessa uppgifter normalt inhämtas. Fördelarna med att föreskriva anmälningsskyldighet för behandling av personuppgifter inom socialtjänsten är sålunda, som framgått, inte stora.

Vid en samlad bedömning anser utredningen att det inte framkommit tillräckliga skäl för att föreskriva att anmälningsskyldighet skall gälla. Undantaget i 3 § 3 personuppgiftsförordningen skall följaktligen t illämpas när personuppgifter behandlas inom socialtjänsten. Någon särskild föreskrift om detta behövs inte, eftersom person uppgiftslagen gäller om inget annat sägs (se avsnitt 6.2).

6.13Bevarande och gallring

Utredningens förslag : Något behov av bestämmelser i fråga om bevarande och gallring som avviker från regleringen härav i andra författningar finns inte. Detta innebär att bevarande och gallring skall ske med beaktande av reglerna i personuppgiftslagen (1998:204) och socialtjänstlagen (1980:620). En bestämmelse härom bör tas in i lagen.

I utredningens direktiv framhålls att modern informationsteknik ger stora möjligheter men att den också kan innebära särskilda risker från integritetssynpunkt. Enligt direktiven ligger i utredningens uppdrag att söka de lösningar för integritetsskyddet som minst försvårar ett rationellt utnyttjande av modern teknik. Om det i delfrågor inte går att undvika att effektivitet och integritetsskydd kommer i ett motsatsförhållande till varandra, skall utredningen, fortfarande enligt direktiven, söka finna den lämpliga avvägningen mellan dessa båda intressen. Därvid nämns att konsekvenserna av olika lösningar för skilda samhällsintressen såsom

insyns- och forskningsbehov måste beaktas. Vidare sägs i direktiven att gallringsfrågorna behöver analyseras utifrån bl.a. forskningens behov.

I arkivlagen (1990:782) ges grundläggande regler om arkiv hos såväl statliga som kommunala myndigheter samt bestämmelser om vad som ingår i en myndighets arkiv, vården av arkivet och gallring av arkiv. De bestämmelser som gäller för statliga arkiv gäller också för arkiv hos kyrkokommunala myndigheter, vissa organ som jämställs med myndigheter och allmänna försäkringskassor. De bestämmelser som gäller för kommunala myndigheters arkiv gäller även för arkiv hos sådana juridiska personer som avses i 1 kap. 9 § sekretesslagen (1980:100), dvs. aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner, landsting eller kommunalförbund utövar ett rättsligt bestämmande inflytande. Vidare gäller arkivlagens regler om arkivbildning, arkivvård och gallring sådana enskilda organ hos vilka allmänna handlingar förvaras med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring. Enskilda rättssubjekts arkiv regleras således inte av arkivlagen annat än om offentlighetsprincipen gjorts tillämplig på handlingar hos sådana subjekt (jfr 1 kap. 8 och 9 §§ sekretesslagen).

I 3 § arkivlagen slås fast att myndigheternas arkiv är en del av det nationella kulturarvet och att de skall bevaras, hållas ordnade och vårdas så att rätten att ta del av allmänna handlingar tillgodoses. Dessutom skall behovet av information för rättskipningen och förvaltningen samt forskningens behov tillgodoses.

Ett myndighetsarkiv bildas enbart av de allmänna handlingarna från myndighetens verksamhet samt av sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen (vissa minnesanteckningar och utkast eller koncept) och som myndigheten beslutar skall tas om hand för arkivering. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, skall dock bilda arkiv endast hos en av dessa myndigheter.

Huvudprincipen enligt arkivlagen är att allmänna handlingar skall bevaras. Enligt 10 § får gallring dock ske. Därvid skall beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår skall kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Arkivlagen medger också att avvikande bestämmelser meddelas i lag eller förordning. Dessa avvikande bestämmelser tar då över arkivlagens regler om gallring (10 § tredje stycket). I författningar som reglerar integritetskänsliga register finns ofta regler som innebär att materialet skall gallras efter en viss tid. Bestämmelserna varierar något, men som den gemensamma principen framträder att materialet skall förstöras efter en viss tid, om det inte finns direkta föreskrifter om bevarande. Sådana

särbestämmelser som nu har berörts finns bl.a. i socialtjänstlagen (60 och 62 §§). Utredningen återkommer i det följande till dessa bestämmelser.

I praktiken är det fråga om bestämmelser som innebär att handlingar skall förstöras utan de hänsyn som föreskrivs i arkivlagen. I förarbetena till arkivlagen (prop. 1989/90:72 s. 50 ff.) anfördes som skäl att denna omvända princip är rimlig med hänsyn till de integritetsaspekter som kan föreligga på de särskilda registerlagarnas område. I prop. (s. 52) framhölls vidare att undantag från denna gallringsskyldighet, som kan förestavas av hänsyn till insynsaspekten, myndighetens informationsbehov och rättssäkerhetsaspekter, som regel bör tas in direkt i den särskilda registerlagen. Sådana frågor kan nämligen normalt regleras genom generella bestämmelser. Däremot borde, menade departementschefen, konkreta avgöranden av vilka handlingar som bör bevaras med hänsyn till forskningens behov i princip överlåtas på fackkunnigt folk inom arkivmyndigheterna. Departementschefen fortsatte.

I de fall då registerlagarna avser handlingar som omhänderhas av statliga myndigheter bör frågan lösas på följande sätt. I resp. lag slås fast att, utöver de undantag från gallringsplikten som konkret anges direkt i lagen, ytterligare undantag får föreskrivas av regeringen eller den myndighet som regeringen bestämmer. Dessa bemyndiganden får förutsättas bli använda enbart för att bevara material med hänsyn till forskningens behov och då främst ett representativt urval av material.

En något annorlunda lösning får användas i det fall att de särskilda gallringsbestämmelserna avser handlingar som omhänderhas av kommunala myndigheter. Med hänsyn till bestämmelserna i 8 kap. 5 § regeringsformen och att föreskrifter om kommunernas åligganden skall ges lagform framstår ett icke närmare avgränsat bemyndigande för regeringen att meddela föreskrifter om undantag som konstitutionellt tveksamt. I stället bör som ett av undantagen från basregeln om gallring efter en viss tid anges att handlingar skall undantas med hänsyn till forskningens behov i ett representativt urval av landets kommuner och i övriga kommuner beträffande ett representativt urval av personer. Till en sådan lagregel kan sedan regeringen eller den myndighet som regeringen bestämmer genom verkställighetsföreskrifter precisera vad som utgör ett representativt urval.

Det bör i sammanhanget nämnas att gallring inte behöver innebära att möjligheterna till insyn helt försvinner. Informationen kan finnas kvar t.ex. på papper. Gallring innebär visserligen att uppgifterna skall förstöras men detta behöver inte innebära att uppgifterna utplånas fysiskt så att de inte kan återfinnas. Enligt Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter (RA-FS 1991:1, 2 kap. 1 §) räk-

nas som förstöring av handlingar/uppgifter även överförande till annan databärare om överföringen innebär informationsförlust, förlust av möjliga informationssammanställningar, förlust av sökmöjligheter eller förlust av möjligheten att fastställa informationens autenticitet.

För de enskilda arkivbildarna, dvs. för företag, organisationer etc. finns inte några allmänna författningsbestämmelser om arkivvård. Personuppgiftslagen gäller dock för dessa enskilda arkivbildare. Vidare finns i 70 a § socialtjänstlagen (1980:620) en bestämmelse om bevarande av dokumentation i enskild verksamhet som står under länsstyrelsens tillsyn. Utredningen återkommer i det följande till denna bestämmelse.

Enligt 9 § första stycket i) personuppgiftslagen (1998:204) skall den personuppgiftsansvarige se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste personuppgifterna avidentifieras eller utplånas.

I 9 § tredje stycket samma lag sägs dock att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som sagts i 9 § första stycket i). Dock att personuppgifterna i sådana fall inte får bevaras under en längre tid än vad som behövs för dessa ändamål. Med behandling för historiska ändamål avses i första hand bevarandet i arkiv av personuppgifter.

De nämnda bestämmelserna i personuppgiftslagen har betydelse främst för enskilda arkiv. Myndigheternas arkivering och bevarande av allmänna handlingar har nämligen undantagits från lagens tillämpningsområde genom en bestämmelse i 8 § andra stycket. Där sägs att bestämmelserna i personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

Som tidigare nämndes finns i socialtjänstlagen vissa bestämmelser som tar över arkivlagens regler om bevarade och gallring. I 60 § socialtjänstlagen föreskrivs att anteckningar och andra uppgifter i en personakt som tillhör socialnämndens personregister i princip skall gallras fem år efter det att sista anteckningen gjordes i akten. I paragrafens andra stycke föreskrivs att uppgifter i personregister som utgör sammanställningar av uppgifter skall gallras fem år efter det att de förhållanden som uppgiften avser har upphört. Gallringsreglerna modifieras sedan i 62 §. Där föreskrivs i första stycket att vissa handlingar inte får gallras. Det är handlingar som kommit in eller upprättats i samband med utredning om faderskap, i samband med utredning om adoption eller i samband med att en underårig har placerats eller tagits emot i ett hem för vård eller boende, i ett familjehem eller i ett annat enskilt hem som inte tillhör någon av hans föräldrar eller någon annan som har vårdnaden om honom. Vidare skall enligt 62 § andra stycket socialtjänstlagen vissa

handlingar som annars skulle ha gallrats undantas från gallring av hänsyn till forskningens behov i ett representativt urval av kommuner och i övriga kommuner beträffande ett representativt urval av personer. Regeringen har genom verkställighetsföreskrifter beslutat att de handlingar som därvid skall undantas från gallring är handlingar i de kommuner som ingår i Östergötlands, Gotlands och Västernorrlands län samt i Göteborgs kommun. I landets övriga kommuner skall handlingar undantas från gallring i fråga om personer födda den femte, femtonde och tjugofemte i varje månad. Dessa verkställighetsföreskrifter finns intagna i 51 § socialtjänstförordningen (1981:750).

I 70 a § socialtjänstlagen finns, som nämnts, en regel om bevarande av dokumentation i enskild verksamhet. I bestämmelsen sägs att reglerna i 51 och 52 §§ socialtjänstlagen om dokumentation i tillämpliga delar gäller i enskild verksamhet som står under länsstyrelsens tillsyn samt att dokumentationen skall bevaras så länge den kan antas ha betydelse för åtgärder i verksamheten.

Slutligen kan nämnas att Riksarkivet har utfärdat allmänna råd om bevarande och gallring av handlingar inom bl.a. den kommunala socialtjänsten (RA-FS 1991:15, ändrad genom RA-FS 1992:1). Dessa föreskrifter tar sikte på sådan dokumentation som inte omfattas av de nyss nämnda föreskrifterna i socialtjänstlagen om gallring och bevarande.

I betänkandet Dokumentation och socialtjänstregister (SOU 1995:86) föreslog Socialtjänstkommittén en bestämmelse om bevarande av socialtjänsthandling, som i princip motsvarade den nuvarande regeln i 60 § socialtjänstlagen. Den föreslagna regeln om gallring skulle dock gälla även hos den som bedrev privat verksamhet och stod under länsstyrelsens tillsyn. Vidare föreslog kommittén en bestämmelse om undantag från gallring motsvarande den nuvarande regeln i 62 § socialtjänstlagen. Undantaget från gallring skulle enligt förslaget – liksom enligt gällande rätt – dock gälla endast hos myndigheter och inte hos den som bedrev privat verksamhet.

Vid remissbehandlingen av Socialtjänstkommitténs betänkande lämnades en rad synpunkter på kommitténs förslag om gallring. Synpunkterna gällde främst att likartade bestämmelser borde införas då det gäller dokumentation enligt patientjournallagen och socialtjänstlagen, eftersom det finns ett kommunalt ansvar för verksamheter som omfattas av båda dessa lagar. Några remissinstanser ifrågasatte om inte gallringstiden borde vara tre år i stället för fem år. Någon remissinstans önskade vissa ytterligare undantag från gallring.

Det nu redovisade innebär för socialtjänstens del att myndigheter och vissa andra har att tillämpa arkivlagens bestämmelser, vilka föreskriver att handlingar skall bevaras men att de får gallras under vissa hänsynstaganden. Riksarkivets föreskrifter tjänar till ledning vid denna gallring.

Dock att det beträffande vissa handlingar, närmare bestämt anteckningar och andra uppgifter i en personakt som tillhör socialnämndens personregister och personregister som avses i 59 § socialtjänstlagen, finns särskilda gallringsregler i socialtjänstlagen och socialtjänstförordningen, vilka regler tar över arkivlagens bestämmelser. Statens institutionsstyrelse har att tillämpa endast arkivlagen och för enskilda gäller person uppgiftslagens bestämmelser och bestämmelsen i 70 a § socialtjänstlagen.

Dessa bestämmelser om bevarande och gallring utgör resultatet av avvägningar mellan å den ena sidan integritetsskyddsintressen och å den andra sidan insyns- och rättssäkerhetsaspekter, myndigheternas informationsbehov samt forskningsintresset (se prop. 1997/98:108 s. 80). Utredningen finner inte anledning att föreslå någon ändring i nu gällande bestämmelser på området. I lagen bör dock erinras om att gallring skall ske med beaktande av bestämmelserna i personuppgiftslagen. Vidare bör med hänsyn till den stora praktiska betydelse som socialtjänstlagens regler om bevarande och gallring har, en hänvisning härtill göras i lagtexten. Någon hänvisning till arkivlagens bestämmelser behöver däremot inte göras (jfr prop. 1997/98:108 s. 80). Av 8 § andra stycket personuppgiftslagen följer nämligen uttryckligen att lagen inte hindrar att en myndighet bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

6.14Sekretess

Utredningens förslag : Någon särskild reglering av sekretessfrågor som avviker från gällande lagstiftning skall inte införas. I lagtexten införs dock en uttrycklig erinran om de sekretessregler som skall beaktas vid behandling av personuppgifter inom socialtjänsten.

I det allmännas verksamhet gäller sekretesslagens (1980:100) regler om handlingssekretess och tystnadsplikt (se avsnitt 4.3.3). I socialtjänstlagen (1980:620) finns föreskrifter om tystnadsplikt för den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet. Motsvarande regel finns i lagen (1993:387) om stöd och service till vissa funktionshindrade.

I vilken utsträckning uppgifter som finns inom socialtjänsten om enskilds personliga förhållanden kan lämnas ut, prövas mot bakgrund av bestämmelserna i främst 7 kap. 4 § sekretesslagen, under förutsättning att verksamheten bedrivs av det allmänna. Bedrivs i stället verksamheten

206 En ny lag om behandling av personuppgifter... SOU 1999:109

i privat regi, görs prövningen enligt 7 1 b § eller 71 c § socialtjänstlagen och 29 § lagen om stöd och service till vissa funktionshindrade.

Vad särskilt gäller den verksamhet som bedrivs av det allmänna bör det dessutom framhållas att sekretess gäller inte bara mellan myndigheter utan även mellan olika verksamhetsgrenar inom samma myndighet, om dessa är att betrakta som självständiga i förhållande till varandra (1 kap. 3 § sekretesslagen).

Dessa grundläggande integritetsskyddsbestämmelser kompletteras av en bestämmelse i 51 § andra stycket socialtjänstlagen om vad som kan kallas för inre sekretess. I bestämmelsen sägs att handlingar som rör enskildas personliga förhållanden skall förvaras så att den som är obehörig inte får tillgång till dem. Enligt förarbetena får obehörig anses vara envar som inte har legitim anledning att ta del av handlingen i sin tjänsteutövning (prop. 1979/80:1 om socialtjänsten s. 563).

Enligt utredningens bedömning innebär den nu redovisade lagstiftningen ett väl avvägt skydd för de uppgifter som kan förekomma inom socialtjänsten. Att ytterligare komplettera dessa regler till följd av att en lag om behandling av personuppgifter införs är därför inte nödvändigt.

I förarbetena till hälsodata- och vårdregisterlagstiftningen uttalade regeringen (prop. 1997/98:108 s. 88 f.) emellertid att frågan om s kydd mot okontrollerat utlämnande av uppgifter är en av de frågor som för den enskilde är av mycket stor betydelse. I lagen (1998:543) om hälsodataregister (10 §) och i lagen (1998:544) om vårdregister (12 §) togs därför in en erinran om att tystnadsplikts- och sekretessbestämmelser gäller för utlämnande av personuppgifter från ett hälsodataregister respektive ett vårdregister. Även i lagen (1998:938) om behandlingen av personuppgifter om totalförsvarspliktiga (16 §) finns en erinran om att sekretesslagen är tillämplig vid utlämnande av person uppgifter om totalförsvarspliktiga.

Enligt utredningens uppfattning är det motiverat att även i denna lag ta in en uttrycklig erinran om de sekretessregler som skall beaktas vid utlämnande av personuppgifter inom socialtjänsten. En sådan erinran bör därför tas in i lagtexten.

6.15Rättelse

Utredningens förslag : De bestämmelser om rättelse som finns i personuppgiftslagen (1998:204) skall gälla även behandlingar som utförts i strid med lagen om behandling av personuppgifter inom socialtjänsten. En föreskrift som anger detta förhållande tas in i den sistnämnda lagen.

Enligt 28 § personuppgiftslagen (1998:204) är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den. Med blockering avses en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen (3 § personuppgiftslagen). Den personuppgiftsansvarige skall också enligt 28 § personuppgiftslagen, under vissa förutsättningar, underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden.

Enligt utredningens uppfattning bör personuppgiftslagens bestämmelser om rättelse gälla även behandling som utförts i strid med lagen om behandling av personuppgifter inom socialtjänsten.

För uppnå detta är det, enligt rådande uppfattning, – beroende på det sätt som 28 § personuppgiftslagen har utformats – nödvändigt att i de särskilda ”registerförfattningarna” ha en egen bestämmelse om rättelse eller att ha en uttrycklig hänvisning till 28 § personuppgiftslagen. Sådana hänvisningar har tagits in i ett flertal olika författningar, bl.a. i lagen (1998:543) om hälsodataregister (11 §), lagen (1998:544) om vårdregister (13 §), lagen (1998:620) om belastningsregister (18 §), lagen (1998:621) om misstankeregister (15 §), polisdatalagen (1998:622) (9 §) och i lagen (1998:938) om behandlingen av personuppgifter om totalförsvarspliktiga (18 §).

Frågan ställdes på sin spets i prop. 1997/98:136 Statlig förvaltning i medborgarnas tjänst (s. 98 f.). I en lagrådsremiss om bl.a. ett förslag till lag om det statliga personadressregistret hade regeringen i 9 § tagit in en föreskrift där det sades att bestämmelserna i personuppgiftslagen om rättelse och skadestånd skulle gälla även vid behandling av personuppgifter enligt lagen om det statliga personadressregistret. I sitt yttrande ifrågasatte Lagrådet – som inte hade någon invändning mot den avsedda sakliga innebörden – om den föreslagna bestämmelsen behövdes. Lagrådet hänvisade till att det i lagförslaget fanns en bestämmelse i vilken fö-

208 En ny lag om behandling av personuppgifter... SOU 1999:109

reskrevs som huvudregel att personuppgiftslagen skall tillämpas när personuppgifter behandlas i ett statligt personadressregister (SPAR). Enligt Lagrådets mening hindrade inte avfattningen av bestämmelserna i personuppgiftslagen angående rättelse och skadestånd att de t illämpas när fråga är om behandling av personuppgifter i SPAR.

Regeringen menade dock att avfattningen av bestämmelserna i personuppgiftslagen (...i enlighet med denna lag/i strid med denna lag ...) var sådan att en hänvisning till bestämmelserna om rättelse och skadestånd borde tas in i lagen om SPAR. (a. prop. s. 78). Den angivna bestämmelsen infördes i 9 § lagen (1998:527) om det statliga personadressregistret.

Som inledningsvis nämndes anser utredningen att personuppgiftslagens bestämmelser om rättelse bör gälla även behandling som utförts i strid med lagen om behandling av personuppgifter inom socialtjänsten. För att uppnå detta krävs emellertid, som framgått av det föregående, att det i lagen om behandling av personuppgifter inom socialtjänsten tas in en uttrycklig föreskrift om att personuppgiftslagens regler i denna del gäller även då uppgifterna har behandlats i strid med den förstnämnda lagen. Utredningen föreslår således att en sådan hänvisning görs.

6.16Skadestånd

Utredningens förslag : De bestämmelser om skadestånd som finns i personuppgiftslagen (1998:204) skall gälla även behandlingar som utförts i strid med lagen om behandling av personuppgifter inom socialtjänsten. En föreskrift som anger detta förhållande tas in i den sistnämnda lagen.

Enligt 48 § personuppgiftslagen skall den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte ber odde på honom eller henne.

Enligt utredningens uppfattning bör personuppgiftslagens bestämmelser om skadestånd gälla även behandling som utförts i strid med lagen om behandling av personuppgifter inom socialtjänsten.

I likhet vad som ovan angetts beträffande rättelse (se avsnitt 6.15) gäller personuppgiftslagens regler om skadestånd endast för uppgifter som behandlats i strid med den lagen. Det är därför nödvändigt att i lagen om behandling av personuppgifter inom socialtjänsten göra en ut-

trycklig hänvisning till personuppgiftslagens bestämmelser om skadestånd. Utredningen föreslår således att en sådan hänvisning görs.

6.17Överklagande

Utredningens bedömning : Utredningen föreslår inga särskilda regler om överklagande av den personuppgiftsansvariges beslut i olika frågor. Frågan om en sådan överklaganderätt bör finnas är av principiellt slag och bör därför övervägas i ett större sammanhang.

I personuppgiftslagen (1998:204) finns i 51 § en bestämmelse om överklagande av tillsynsmyndighetens beslut. Där sägs att tillsynsmyndighetens beslut enligt personuppgiftslagen om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas. Däremot saknas i personuppgiftslagen särskilda regler om överklagande av beslut som fattas av den som är personuppgiftsansvarig.

Frågan om särskilda överklaganderegler av den personuppgiftsansvariges beslut har aktualiserats i två av riksdagen relativt nyligen antagna författningar, dels i lagen (1999:90) om behandling av personuppgifter i skattemyndigheternas brottsutredande verksamhet, m.m. (prop. 1998/99:34, bet. 1998/99:SkU9, rskr. 1998/99:145), vilken författning har trätt i kraft den 1 april 1999, dels i lagen (1999:353) om rättspsykiatriskt forskningsregister (prop. 1998/99:72, bet. 1998/99:JuU25, rskr. 1998/99:213), vilken författning träder i kraft först den 1 januari 2000.

I lagen (1999:90) om behandling av personuppgifter i skattemyndigheternas brottsutredande verksamhet, m.m. har i 17 § tagits in en regel av innebörd att skattemyndighets beslut om rättelse får överklagas hos allmän förvaltningsdomstol. I förarbetena till bestämmelsen uttalade regeringen bl.a. följande (prop. 1998/99:34 s. 56).

Utredningen [Skattekriminalregisterutredningen; betänkandet Integritet – Effektivitet – Skattebrott SOU 1998:9] har föreslagit att en bestämmelse om överklagande av sådana beslut som fattas av skattemyndigheten i den brottsbekämpande verksamheten och som direkt berör den enskilde skall tas in i lagen. Det gäller framför allt beslut om rättelse av oriktiga uppgifter, om information om pågående behandlingar och att avslå en enskilds begäran om att få ut de uppgifter om honom som behandlas.

Regeringen delar utredningens bedömning att skattemyndighetens beslut angående behandling av personuppgifter och som direkt berör den enskilde skall kunna överklagas. Den föreslagna lagen innehåller dock till skillnad mot utredningens förslag endast de särbestämmelser som är motiverade för skattemyndigheternas brottsutredande verksamhet och hänvisar därutöver till personuppgiftslagen. Endast i fråga om rättelse av oriktiga uppgifter föreslås bestämmelser i lagen.

Beslut om rättelse skall givetvis kunna överklagas. Regeringen föreslår därför att det skall införas en rätt att överklaga sådana beslut till allmän förvaltningsdomstol. För överklagande till kammarrätt skall krävas prövningstillstånd.

För övriga beslut som rör behandlingen av personuppgifter gäller personuppgiftslagens regler. Någon särskild bestämmelse om hur beslut av en myndighet som är personuppgiftsansvarig skall överklagas finns inte i personuppgiftslagen. När det gäller beslut om att avslå en enskilds begäran om att få ut uppgifter finns dock, som Kammarrätten i Göteborg påtalat, bestämmelser om överklagande i sekretesslagen. Härutöver finns bestämmelser om överklagande av skattemyndighetens beslut, i de fall det saknas andra regler om överklagande, i förordningen (1990:1293) med instruktion för skatteförvaltningen.

Det kan tilläggas att praktiskt taget samtliga remissinstanser tillstyrkte Skattekriminalregisterutredningens förslag om överklagandebestämmelser eller hade inte något att invända mot det.

I lagen (1999:353) om rättspsykiatriskt forskningsregister har i 16 § tagits in en bestämmelse som innebär att beslut av Rättsmedicinalverket om information som skall lämnas efter ansökan enligt 26 § personuppgiftslagen och om rättelse enligt 28 § samma lag får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. I förarbetena till bestämmelsen uttalade regeringen – som påpekade att det i utredningens [Utredningen om register för forskning inom rättspsykiatrin; betänkandet Rättspsykiatriskt forskningsregister SOU 1996:72] förslag inte fanns någon bestämmelse om överklagande – bl.a. följande (prop. 1998/99:72 s. 61).

Ett beslut av Rättsmedicinalverket angående behandling av personuppgifter som direkt berör den enskilde skall kunna överklagas. Detta gäller beslut om information som skall lämnas efter ansökan enligt 26 § personuppgiftslagen och om rättelse enligt 28 § samma lag. Några bestämmelser om överklagande i dessa fall finns inte i personuppgiftslagen. En särskild föreskrift om överklagande måste därför tas in i lagen om rättspsykiatriskt forskningsregister.

SOU 1999:109 En ny lag om behandling av personuppgifter... 211

Det kan tilläggas att remissinstanserna inte tog upp frågan om överklagande.

Däremot saknas – såvitt utredningen har sig bekant – motsvarande bestämmelse i samtliga de övriga ”registerförfattningar” som har anpassats till personuppgiftslagens bestämmelser, t.ex. i lagen (1998:543) om hälsodataregister, i lagen (1998:544) om vårdregister, i polisdatalagen (1998:622) och i lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga. I förarbetena till nämnda författningar har frågan om överklagande av den personuppgiftsansvariges beslut över huvud taget inte berörts.

Allra först kan konstateras att EG-direktivet inte kräver att den personuppgiftsansvariges beslut skall kunna överklagas. Inget hindrar naturligtvis att det likväl bör finnas en sådan möjlighet.

Inledningsvis vill utredningen dock påpeka att vissa beslut av en myndighet, även utan särskilda regler om överklagande, torde kunna överklagas enligt allmänna förvaltningsrättsliga principer.

I 22 § förvaltningslagen (1986:223) anges att ett beslut får överklagas av den som beslutet angår, om det gått honom emot och beslutet kan överklagas. Förvaltningslagen ger emellertid, bortsett från vissa beslut som meddelas under handläggning, inget svar på frågan om vilka beslut som kan överklagas (prop. 1997/98:101 s. 50 ff.). Överklagbarheten regleras i stället i viss mån genom bestämmelser i specialförfattningar och myndighetsinstruktioner. Dessa bestämmelser kompletteras av allmänna principer som har utbildats i praxis. I svensk förvaltningsrätt har sedan länge den oskrivna huvudregeln ansetts gälla att statliga myndigheters beslut kan överklagas även om bestämmelser om överklagande saknas. Om det för kommunala beslut saknas specialbestämmelser om överklagande kan besluten i vissa fall bli föremål för laglighetsprövning enligt kommunallagen (1991:900) eller kyrkolagen (1992:300). För att förvaltningsbeslut som meddelas av organ som står utanför den statliga och kommunala organisationen skall kunna överklagas krävs däremot uttryckligt författningsstöd.

Sedan den 1 oktober 1998 finns i 22 a § förvaltningslagen en allmän och kompletterande regel om domstolsprövning av förvaltningsbeslut. I de fall bestämmelsen är tillämplig, dvs. om ett beslut är överklagbart, skall beslutet få överklagas hos allmän förvaltningsdomstol. Detta gäller dock inte beslut i administrativa ärenden och beslut i normgivningsärenden. I 22 a § tredje stycket finns en upplysning om att bestämmelsen inte gäller om det i den i ärendet aktuella materiella lagstiftningen finns föreskrifter om överklagande till en annan instans eller en föreskrift om överklagandeförbud. Av 31 § förvaltningslagen framgår att 22 a § inte är tillämplig på beslut som får överklagas med stöd av bestämmelserna om laglighetsprövning enligt kommunallagen eller kyrkolagen. Genom

den nya regeln i 22 a § förvaltningslagen överges i huvudsak den delvis oskrivna regeln att ett beslut av en statlig myndighet, om inte annat anges i författning, får överklagas till närmast högre förvaltningsmyndighet och ytterst till regeringen.

I samband med införandet av 22 a § förvaltningslagen uttalade regeringen bl.a. följande (prop. 1997/98:101 s. 62).

Enligt vår mening finns det för närvarande inte några skäl att låta den nya regeln ersätta alla de föreskrifter om överklagande till allmän förvaltningsdomstol som förekommer i den förvaltningsrättsliga lagstiftningen, dvs. när föreskriften har tagits in i lag. Tvärtom fyller sådana föreskrifter en viktig funktion som information till allmänheten. En bestämmelse om att överklagande skall ske till allmän förvaltningsdomstol har också sin naturliga placering i anslutning till föreskrifter om krav på prövningstillstånd och olika särbestämmelser om partsställning m.m. som förekommer i den förvaltningsprocessrättsliga lagstiftningen. Vi har således en annan uppfattning än den som förs fram i 1997 års promemoria, där det sägs att den nya bestämmelsen kan ersätta uttryckliga bestämmelser i den förvaltningsrättsliga lagstiftningen om överklagande till allmän förvaltningsdomstol. Särskilda regler om överklagande till förvaltningsdomstol bör därför tills vidare behållas och även i fortsättningen föras in i ny förvaltningsrättslig lagstiftning. Regeringen vill dock påpeka att det i framtiden kan framkomma anledning att överväga behovet av särskilda överklagandebestämmelser i de materiella författningarna.

Som regeringen uttalade i förarbetena till lagen om behandling av personuppgifter i skattemyndigheternas brottsutredande verksamhet, m.m. och till lagen om rättspsykiatriskt forskningsregister, är det – måhända – en rimlig utgångspunkt att vissa beslut, som fattas av en myndighet som är personuppgiftsansvarig angående behandling av personuppgifter som direkt berör den enskilde, skall kunna överklagas. Enligt utredningens uppfattning är emellertid frågan om sådan överklaganderätt bör finnas av principiellt slag och bör därför övervägas i ett större sammanhang. Varken i personuppgiftslagen eller i dess förarbeten har frågan om överklagande av sådana beslut berörts. I personuppgiftslagen finns andra medel för att komma till rätta med en personuppgiftsansvarig som inte behandlar personuppgifter i enlighet med lagen. Den registrerade kan påtala saken för tillsynsmyndigheten, som kan vidta olika åtgärder. Tillsynsmyndigheten kan – om det inte går att få rättelse på något annat sätt eller om saken är brådskande – vid vite förbjuda en personuppgiftsansvarig att fortsätta att behandla personuppgifter på annat sätt än genom att lagra dem (45 § personuppgiftslagen). Enligt 47 § personuppgiftslagen kan tillsynsmyndigheten hos länsrätt ansöka om att sådana

SOU 1999:109 En ny lag om behandling av personuppgifter... 213

personuppgifter som har behandlats på ett olagligt sätt skall utplånas. Vidare kan den registrerade väcka talan om saken vid allmän domstol och t.ex. kräva skadestånd. Frågan är om man därutöver bör ha rätt att överklaga t.ex. ett beslut om rättelse till allmän förvaltningsdomstol.

Det är, menar utredningen, inget lämpligt tillvägagångssätt att riksdagen i varje enskilt fall i de olika specialförfattningar om behandling av personuppgifter som finns och kommer att finnas, skall ta ställning till om vissa beslut som den personuppgiftsansvarige fattar bör kunna överklagas. Den bästa lösningen är att riksdagen i ett sammanhang – lämpligen i ett lagstiftningsärende rörande personuppgiftslagen – får ta ställning till om en sådan överklaganderätt bör finnas.

Sammanfattningsvis föreslår utredningen således inga särskilda regler om överklagande av den personuppgiftsansvariges beslut i olika frågor. Frågan om behovet av sådana särskilda överklaganderegler bör i stället övervägas i ett annat sammanhang. Som nämndes i det föregående torde dock vissa beslut som den personuppgiftsansvarige fattar, under förutsättning att det är fråga om en myndighet, även utan sådana uttryckliga bestämmelser, kunna överklagas enligt allmänna förvaltningsrättsliga principer.

7 Genomförandet

7.1Ekonomiska konsekvenser

Utredningens bedömning : Den verksamhet som förslagen avser – behandling av personuppgifter inom socialtjänsten – omfattas redan enligt gällande rätt av personuppgiftslagens (1998:204) bestämmelser. Utredningens förslag innebär endast att det på vissa punkter görs undantag och preciseringar i förhållande till personuppgiftslagen. Förslagen innebär inga ökade kostnader.

Utredningen har haft att beakta bl.a. regeringens direktiv till samtliga kommittéer och särskilda utredare (dir. 1994:23) om att pröva offentliga åtaganden. Detta och övriga generella kommittédirektiv (se avsnitt 7.3) upphävdes den 1 januari 1999 och ersattes av bestämmelser i kommitté- förordningen (1998:1474). Enligt 14 § kommittéförordningen skall, om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, skall dessa redovisas. Vidare gäller enligt bestämmelsen att en finansiering skall föreslås när det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting.

Den verksamhet som förslagen avser – behandling av personuppgifter inom socialtjänsten – omfattas redan enligt gällande rätt av personuppgiftslagens bestämmelser. I förarbetena till personuppgiftslagen (1998:204) (prop. 1997/98:44 s. 114 f.) har regeringen gjort en bedömning av personuppgiftslagens ekonomiska konsekvenser. Utredningens förslag innebär endast att det på vissa punkter görs undantag och preciseringar i förhållande till personuppgiftslagen. Dessa förslag innebär inga ökade kostnader.

7.2Ikraftträdande- och övergångsbestämmelser

Utredningens förslag : Lagen om behandling av personuppgifter inom socialtjänsten bör kunna träda i kraft den 1 juli 2000. I fråga om automatiserad behandling av personuppgifter som har påbörjats före den 24 oktober 1998 och sådan behandling som utförs för ett visst ändamål, om behandling för ändamålet har påbörjats före den 24 oktober 1998, skall lagen tillämpas först den 1 oktober 2001. I fråga om manuell behandling av personuppgifter, som har påbörjats före den 24 oktober 1998 och sådan behandling som utförs för ett visst ändamål, om manuell behandling för ändamålet har påbörjats före den 24 oktober 1998, skall lagen tillämpas först den 1 oktober 2007.

Ändringarna i socialtjänstlagen (1980:620) bör kunna träda i kraft den 1 juli 2000. Några övergångsbestämmelser till den nya 59 a § socialtjänstlagen behövs inte och bör inte införas. Däremot bör beträffande 61 § föreskrivas att bestämmelsen gäller i sin lydelse före den 24 oktober 1998, under den tid datalagen (1973:289) skall tillämpas på viss behandling av personuppgifter.

Lagen om behandling av personuppgifter inom socialtjänsten

Det krävs inte några förberedelser, som medför att ikraftträdandet behöver dra ut på tiden. Mot denna bakgrund bör tidpunkten för ikraftträdandet kunna sättas till den 1 juli 2000.

Lagen om behandling av personuppgifter bygger på person uppgiftslagen (1998:204), som har trätt i kraft den 24 oktober 1998. Av övergångsbestämmelserna till personuppgiftslagen (punkten 2) följer att sådan behandling av personuppgifter som påbörjats före ikraftträdandet eller behandling som utförs för ett visst ändamål om behandling för ändamålet påbörjats före ikraftträdandet skall till och med den 30 september 2001 datalagen (1973:289) tillämpas i stället för bestämmelserna i personuppgiftslagen. Detta innebär att sådan behandling av personuppgifter som pågår vid ikraftträdandet (med stöd av Datainspektionens tillstånd eller utan tillstånd, om sådant inte krävdes enligt datalagens bestämmelser), får fortsätta oberörd av personuppgiftslagen fram till den 1 oktober 2001. När det gäller manuell behandling av personuppgifter, skall enligt övergångsbestämmelserna (punkten 3) vissa av bestämmelserna i personuppgiftslagen (9, 10, 13 och 21 §§) inte tillämpas förrän den 1 oktober 2007. Dessa bestämmelser avser grundläggande krav på

SOU 1999:109 Genomförandet 217

behandlingen av personuppgifter (9 §), i vilka fall det över huvud taget är tillåtet att behandla person uppgifter (10 §), förbud mot behandling av känsliga personuppgifter (13 §) samt förbud för andra än m yndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 §). Personuppgiftslagens övriga bestämmelser träder däremot i kraft den 1 oktober 2001 även när det gäller manuell behandling av personuppgifter, t.ex. bestämmelserna om information och om rättelse.

Som nyss framhölls bygger den nu föreslagna lagen på person uppgiftslagen och skall tillämpas sida vid sida med den. Mot denna bakgrund bör, menar utredningen, denna lags övergångsreglering och personuppgiftslagens i princip överensstämma.

Utredningen föreslår därför i fråga om automatiserad behandling av personuppgifter, en övergångsbestämmelse som innebär att lagen – liksom personuppgiftslagen – skall t illämpas först den 1 oktober 2001 på sådana automatiserade behandlingar som har påbörjats före den 24 oktober 1998. Detsamma bör – liksom enligt personuppgiftslagen – gälla beträffande automatiserad behandling som utförs för ett visst ändamål, om behandling för ändamålet har påbörjats före den 24 oktober 1998.

Lagen om behandling av personuppgifter inom socialtjänsten kommer således att gälla för de automatiserade behandlingar som pågår den 1 juli 2000 och som har påbörjats efter den 24 oktober 1998. Den 1 oktober 2001 kommer denna lag – liksom personuppgiftslagen – i princip att gälla fullt ut för all automatiserad behandling av personuppgifter, oavsett när den har påbörjats.

När det sedan gäller manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998, anser utredningen att den föreslagna lagen bör träda i kraft först den 1 oktober 2007. Som tidigare nämndes träder personuppgiftslagen i kraft den 1 oktober 2001 även när det gäller manuell behandling av personuppgifter, som påbörjats före den 24 oktober 1998. Dock att vissa viktiga bestämmelser inte träder i kraft vid den tidpunkten, utan först den 1 oktober 2007.

Den enda fördelen – som utredningen ser det – med att låta lagen om behandling av personuppgifter inom socialtjänsten träda i kraft den 1 oktober 2001, även när det gäller manuell behandling som pågick vid den angivna tidpunkten, är att det då direkt av lagen skulle framgå att uppgifter om personnummer får behandlas och att person uppgifter får föras över till tredje land (se 8 § första stycket lagen om behandling av personuppgifter inom socialtjänsten). Personuppgiftslagens regler om uppgifter om personnummer och om personuppgifters överförande till tredje land träder nämligen i kraft den 1 oktober 2001 även beträffande manuell behandling som pågick den 24 oktober 1998. Om inte lagen om

behandling av personuppgifter inom socialtjänsten träder i kraft den 1 oktober 2001 även beträffande manuell behandling av personuppgifter, får man alltså tillämpa person uppgiftslagen när det gäller uppgifter om personnummer och personuppgifters överförande till tredje land.

Nackdelarna med att låta lagen, även när det gäller manuell behandling av personuppgifter, träda i kraft den 1 oktober 2001 är emellertid flera. För det första skulle det innebära att – jämfört med vad som gäller enligt personuppgiftslagen – mö jligheten att behandla personuppgifter (som påbörjats före den 24 oktober 1998) manuellt inskränktes. Den föreslagna lagens 6 §, som ersätter 10 § personuppgiftslagen, reglerar när personuppgifter får behandlas inom socialtjänsten. 10 § personuppgiftslagen, som innehåller en uttömmande uppräkning av när personuppgifter över huvud taget får behandlas, träder emellertid inte i kraft förrän den 1 oktober 2007. För det andra hänvisar lagen om behandling av personuppgifter till bl.a. 9 § första stycket c, e och f personuppgiftslagen, bestämmelser som träder i kraft först den 1 oktober 2007. Slutligen skulle en sådan ordning innebära att den föreslagna lagen gjorde undantag från förbud som gäller först den 1 oktober 2007. Lagen om behandling av personuppgifter inom socialtjänsten medger nämligen att känsliga personuppgifter får behandlas samt att även andra än myndigheter får behandla person uppgifter som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Något förbud mot att behandla sådana uppgifter manuellt gäller emellertid inte förrän den 1 oktober 2007 (under förutsättning att behandling har påbörjats före den 24 oktober 1998.

Ett alternativ är naturligtvis att låta lagen om behandling av personuppgifter inom socialtjänsten träda i kraft den 1 oktober 2001 även när det gäller manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998, och – i en övergångsbestämmelse – förordna att bestämmelserna i 6 §, 7 §, 8 § första stycket 1, såvitt avser känsliga personuppgifter, 8 § första stycket 2 samt 8 § andra stycket, skall t illämpas först den 1 oktober 2007. På så sätt skulle man nå en fullständig överensstämmelse med personuppgiftslagens övergångsreglering. Emellertid anser utredningen att en sådan ordning skulle innebära att det – när det gäller manuell behandling som påbörjats före den 24 oktober 1998 – blev så pass litet kvar av den föreslagna lagen som skulle träda i kraft den 1 oktober 2001, att det knappast är meningsfullt.

Mot den nu angivna bakgrunden anser utredningen, som tidigare nämndes, att övervägande skäl talar för att lagen – när det gäller manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998, bör träda i kraft först den 1 oktober 2007. För sådan manuell behandling av personuppgifter inom socialtjänsten kommer således endast personuppgiftslagen att gälla fram till den 1 oktober 2007. I praktiken kommer

emellertid detta knappast att få några negativa konsekvenser för socialtjänstens del. Regleringen i personuppgiftslagen t illåter med all sannolikhet att t.ex. uppgifter om personnummer får behandlas manuellt när så behövs.

När det gäller manuell behandling av personuppgifter som påbörjats efter den 24 oktober 1998, gäller däremot såväl personuppgiftslagens bestämmelser som bestämmelserna i lagen om behandling av personuppgifter inom socialtjänsten redan den 1 juli 2000.

Ändringarna i socialtjänstlagen (1980:620)

Även ändringarna i socialtjänstlagen bör kunna träda i kraft den 1 juli 2000. Några övergångsbestämmelser till den nya 59 a § socialtjänstlagen behövs inte och bör inte heller införas. Däremot bör införas viss övergångsreglering när det gäller 61 § socialtjänstlagen.

Beträffande 61 § bör föreskrivas att bestämmelsen gäller i sin lydelse före den 24 oktober 1998, under den tid datalagen (1973:289) skall t illlämpas på viss behandling av personuppgifter. Fram till den 1 oktober 2001 kan det nämligen vara aktuellt. En motsvarande övergångsbestämmelse infördes när 61 § socialtjänstlagen ändrades med anledning av personuppgiftslagens ikraftträdande (SFS 1998:719).

7.3Övriga frågor

Utredningen har haft att beakta regeringens generella direktiv till samtliga utredare och kommittéer om att redovisa eventuella regionalpolitiska konsekvenser (dir. 1992:50), jämställdhetspolitiska konsekvenser (dir. 1994:124) och konsekvenser för brottsligheten och det brottsförebyggande arbetet (dir. 1996:49). Som tidigare nämndes upphävdes dessa direktiv den 1 januari 1999 och ersattes av bestämmelser i kommittéförordningen (1998:1474).

I 15 § kommittéförordningen sägs att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, skall konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.

Utredningen anser att de framlagda förslagen inte får någon sådan inverkan på de nämnda områdena att någon särskild redovisning av konsekvenserna är motiverad.

8 Författningskommentar

8.1Förslaget till lag om behandling av personuppgifter inom socialtjänsten

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Paragrafen anger – med de begränsningar som följer av 2 § – lagens tillämpningsområde.

Lagen skall tillämpas vid behandling av person uppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i ett register. Lagen har följaktligen samma tillämpningsområde som person uppgiftslagen (1998:204). Tillämpningsområdet har behandlats utförligt i avsnitt 6.2.

Lagens tillämpningsområde kommer således att omfatta bl.a. de personakter som förs automatiserat, s.k. elektroniska akter. Huruvida tillämpningsområdet kommer att omfatta även manuell behandling av personuppgifter i personakter är beroende av om de manuella personaktsystem som används inom socialtjänsten är att anse som register i EG- direktivets och personuppgiftslagens mening (se avsnitt 6.2.2), dvs. om de utgör en strukturerad samling av personuppgifter som är t illgängliga för sökning eller sammanställning enligt särskilda kriterier.

Begreppen behandling och personuppgifter definieras i 3 § personuppgiftslagen. Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning,

blockering, utplåning eller förstöring. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om avlidna och ännu inte födda personer omfattas således varken av personuppgiftslagen eller av denna lag (prop. 1997/98:44 s. 117). Uppgifter om sådana ”personer” får därför behandlas fritt. Här kan tilläggas att sekretesslagen ( 1980:100) dock är tillämplig även till förmån för avlidna. I 5 kap. 4 § brottsbalken finns en straffbestämmelse om ansvar för förtal av avliden.

Begreppet socialtjänst definieras i lagen (3 §). Lagen är tillämplig endast om det är fråga om behandling av personuppgifter inom socialtjänsten, sådant begreppet avgränsats i 3 §. För behandling av personuppgifter som faller utanför denna lags t illämpningsområde gäller personuppgiftslagens bestämmelser, under förutsättning att behandlingen är helt eller delvis automatiserad eller att personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Denna lags förhållande till personuppgiftslagen beskrivs i kommentaren till 4 §.

2 § Lagen tillämpas inte vid behandling av personuppgifter för forsknings- och statistikändamål.

Paragrafen innebär vissa begränsningar av lagens tillämpningsområde.

I bestämmelsen anges att lagen inte tillämpas vid behandling av personuppgifter för forsknings- och statistikändamål. Vad som i detta sammanhang avses med forskning och statistik har redovisats i avsnitt 6.2.3, där också skälen för denna begränsning av lagens tillämpningsområde har redovisats.

Vid behandling av personuppgifter för forsknings- och statistikändamål tillämpas bestämmelserna i person uppgiftslagen och eventuell särlagstiftning på området. Som har nämnts i den allmänna motiveringen är det emellertid inte något som hindrar att de uppgifter som samlats in för att myndigheter och andra skall kunna utföra sina arbets uppgifter inom socialtjänsten, dvs. med stöd av denna lag, även används för forsknings- och statistikändamål. Av 9 § andra stycket personuppgiftslagen följer nämligen att behandling för historiska, statistiska och vetenskapliga ändamål inte skall anses oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in. Huruvida behandlingen av personuppgifterna, t.ex. själva utlämnandet, är tillåten i det enskilda fallet får emellertid avgöras av bestämmelserna i person uppgiftslagen och reglerna i denna lag (se 6 § andra stycket). I 19 § tredje stycket personuppgiftslagen finns också en allmän regel i ämnet. I den mån det, som t.ex. i 64 § socialtjänstlagen, finns särskilda föreskrifter i lag eller förordning om utläm-

nande av uppgifter för forskningsändamål, gäller dessa bestämmelser före personuppgiftslagens regler (2 § personuppgiftslagen).

3 § Med socialtjänst förstås i denna lag

1.verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård av unga och av missbrukare utan samtycke,

2.verksamhet som i annat fall enligt lag handhas av socialnämnd,

3.verksamhet som bedrivs av Statens institutionsstyrelse,

4.verksamhet hos kommunal invandrarbyrå,

5.handläggning av ärenden om bistånd som lämnas av socialnämnd åt asylsökande och andra utlänningar,

6.handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar,

7.handläggning av ärenden om tillstånd till parkering för rörelsehindrade,

8.verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade, samt

9.tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamhet som avses i 1–8.

I denna paragraf definieras i en uttömmande uppräkning begreppet socialtjänst.

Lagen är tillämplig oavsett vilket subjekt som behandlar person uppgifter, under förutsättning att åtgärden är att anse som socialtjänst. Det innebär att även enskilda som behandlar personuppgifter inom socialtjänsten har att tillämpa lagen.

I det följande kommenteras något de olika verksamheter och den ärendehandläggning som är att anse som socialtjänst. För en utförligare redovisning kan hänvisas till avsnitten 2 och 6.2.1. Utredningen återkommer i kommentaren till 7 § till de ändamål för vilka personuppgifter får behandlas inom socialtjänsten.

Först och främst förstås med socialtjänst den verksamhet som avses i socialtjänstlagen. Detta följer av punkten 1. Som framgått av avsnitt 2.2 är denna verksamhet mycket mångskiftande och kan bestå inte bara i handläggning av ett ärende utan även av rent faktiskt handlande. Verksamheten kan t.ex. utgöras av rådgivning, stödsamtal, hemtjänst, kontaktverksamhet, vård och behandling antingen i öppenvård eller vid institutioner såsom behandlingshem, inackorderingshem och särskilda bostäder för äldre och funktionshindrade.

Vidare avses med socialtjänst verksamhet enligt lagen (1988:870) om vård av missbrukare i vissa fall och lagen (1990:52) med särskilda bestämmelser om vård av unga. Denna verksamhet har berörts i avsnitten 2.3.2 och 2.3.3.

224 Författningskommentar SOU 1999:109

Det är, som tidigare framgått, utan betydelse om kommunens uppgifter utförs av kommunen själv eller om uppgifterna utförs av någon annan, t.ex. av en annan kommun eller av ett privat subjekt. Lagen är tillämplig oavsett vem det är som är aktör. Även Statens institutionsstyrelses verksamhet, i den mån den bedrivs med stöd av socialtjänstlagen, lagen om vård av missbrukare i vissa fall eller lagen med särskilda bestämmelser om vård av unga träffas i och för sig av denna punkt. Styrelsens verksamhet har dock reglerats särskilt i 3 § 3.

Enligt punkten 2 förstås med socialtjänst också verksamhet som i annat fall enligt lag handhas av socialnämnd. T.ex. finns i föräldrabalken regler om socialnämnds medverkan vid fastställande av faderskap och underhållsbidrag till barn, om medverkan i frågor om vårdnad, boende och umgänge samt om medverkan i samband med adoptioner. I avsnitt 2.4 finns en redovisning av vad denna lagreglerade verksamhet kan innebära.

Även sådan verksamhet är att betrakta som socialtjänst och i den mån det då behandlas personuppgifter – automatiserat eller manuellt i personregister – skall denna lag tillämpas.

Av punkten 3 följer att verksamhet som bedrivs av Statens institutionsstyrelse är socialtjänst i lagens mening.

Statens institutionsstyrelse är central förvaltningsmyndighet för sådana hem som avses i 12 § lagen (1990:52) med särskilda bestämmelser om vård av unga (särskilda ungdomshem) samt 22 och 23 §§ lagen (1988:870) om vård av missbrukare i vissa fall (LVM-hem).

Enligt förordningen (1996:610) med instruktion för Statens institutionsstyrelse skall styrelsen (2 §) särskilt svara för 1. planering, ledning och drift av samt tillsyn över de särskilda ungdomshemmen och LVM- hemmen, 2. anvisning av platser till hemmen, 3. ekonomisk styrning, resultatuppföljning och kontroll, 4. metodutveckling, forskning och utvecklingsarbete. Vidare får styrelsen enligt förordningen (3 §) mot avgift utföra uppdrag åt kommuner i samband med avgiftning av missbrukare, utslussning, eftervård eller andra insatser enligt socialtjänstlagen (1980:620) som anknyter till verksamheten vid särskilda ungdomshem och LVM-hem.

Statens institutionsstyrelse ansvarar även för verkställigheten av den, den 1 januari 1999, införda nya frihetsberövande påföljden för unga lagöverträdare, sluten ungdomsvård. Verkställigheten av denna påföljd, som regleras i lagen (1998:603) om verkstä llighet av sluten ungdomsvård skall ske vid sådana särskilda ungdomshem som avses i 12 § lagen (1990:52) med särskilda bestämmelser om vård av unga.

All denna styrelsens verksamhet är att anse som socialtjänst vid tilllämpning av denna lag. Det bör dock påpekas att personuppgifter för

SOU 1999:109 Författningskommentar 225

forsknings- och statistikändamål får behandlas endast om förutsättningarna i personuppgiftslagen är uppfyllda (se kommentaren till 2 §)

Även verksamheten vid en kommunal invandrarbyrå hänförs i detta sammanhang – liksom i sekretesshänseende – till socialtjänsten. Detta framgår av punkten 4. I avsnitt 2.5.3 har lämnats en redogörelse för vad som kan avses med verksamhet hos kommunal invandrarbyrå.

Det mesta av den verksamhet som bedrivs vid en kommunal invandrarbyrå torde vara att anse som socialtjänst och omfattas av lagens tillämpningsområde redan med stöd av övriga punkter i 3 §. Denna punkt innebär således en viss överlappning men medför därutöver att all behandling av personuppgifter som sker vid en kommunal invandrarbyrå omfattas av lagens tillämpningsområde. T.ex. kommer behandling av personuppgifter som sker inom ramen för kommunens tolkförmedling att omfattas av lagen, om den äger rum vid en kommunal invandrarbyrå.

Enligt punkten 5 förstås som socialtjänst också handläggning av ärenden om bistånd som lämnas av socialnämnd åt asylsökande och andra utlänningar.

I lagen (1994:137) om mottagande av asylsökande m.fl. finns bestämmelser om sysselsättning för och bistånd till vissa utlänningar. Det är Statens invandrarverk som har huvudansvaret för mottagandet av utlänningarna och verket svarar för att bistånd lämnas enligt bestämmelserna i lagen. Den som omfattas av lagen har inte rätt till bistånd enligt 6 § socialtjänstlagen för förmåner av motsvarande karaktär.

Det är Statens invandrarverk som skall besluta om och betala ut ekonomiskt bistånd till asylsökande. Invandrarverket får uppdra åt någon annan att svara för själva utbetalningen. Beträffande vissa av utlänningarna – de som har ansökt om uppehållst illstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas – skall dock bistånd beslutas och betalas ut av socialnämnden i den kommun där utlänningen vistas.

En socialnämnds verksamhet enligt denna lag är att anse som socialtjänst i lagens mening. Statens invandrarverks verksamhet enligt lagen är däremot inte att anse som socialtjänst. I den mån Statens invandrarverk har behov av att behandla personuppgifter i denna verksamhet är personuppgiftslagen tillämplig.

Enligt lagen (1992:1068) om introduktionsersättning för flyktingar och vissa andra utlänningar får en kommun under en introduktionsperiod

– i stället för socialbidrag – bevilja introduktionsersättning för flyktingar och vissa andra utlänningar som har tagits emot i kommunen inom ramen för det kommunala flyktingmottagandet. Handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar är också att anse som socialtjänst vid tillämpning av denna lag. Detta följer av punkten 6.

226 Författningskommentar SOU 1999:109

I lagen (1957:259) om rätt för kommun att ta ut avgift för vissa upplåtelser av offentlig plats, m.m. och i vägtrafikkungörelsen ( 1972:603) finns bestämmelser bl.a. om att rörelsehindrade av kommunen får befrias från skyldighet att erlägga parkeringsavgift och att kommunen när det gäller rörelsehindrade får besluta om undantag från bestämmelser som avser stannande och parkering. Ansökningar om parkeringstillstånd för rörelsehindrade prövas av en kommunal nämnd. Även denna verksamhet förstås, enligt punkten 7, som socialtjänst.

Även verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade förstås i detta sammanhang som socialtjänst. Detta framgår av punkten 8. Det bör dock noteras att försäkringskassans administration av insatsen personlig assistans inte är socialtjänst, eftersom den verksamheten styrs av lagen (1993:389) om assistansersättning.

Slutligen förstås enligt punkten 9 som socialtjänst tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamhet som avses i punkterna 1–8. I avsnitt 6.2.1 har utvecklats vad som avses med detta. Det kan i sammanhanget framhållas att det inte i denna lag regleras i vilken utsträckning myndigheter och andra är skyldiga att lämna ut uppgifter för att Socialstyrelsen och länsstyrelsen skall kunna utöva tillsyn. Det framgår av andra författningar.

Som inledningsvis nämndes och som har utvecklats i den allmänna motiveringen (avsnitt 6.2.1) är uppräkningen av verksamheter m.m. som innefattas i begreppet socialtjänst uttömmande. Utanför lagens tillämpningsområde kommer därmed att falla behandling av personuppgifter inom t.ex. färdtjänstverksamheten. Sådan verksamhet och annan verksamhet som inte omfattas av denna lag eller av annan särlagstiftning omfattas emellertid av personuppgiftslagens bestämmelser.

När det gäller färdtjänstverksamheten kan nämnas att bestämmelsen i

6 § andra stycket innebär att denna lag inte hindrar att personuppgifter lämnas ut i ett färdtjänstärende (se kommentaren till 6 §). Trafikhuvudmannens behandling av personuppgifter omfattas emellertid inte av denna lag, eftersom det inte är socialtjänst, utan regleras av personuppgiftslagens bestämmelser.

Det bör därvid uppmärksammas att det inte finns något lagstöd för att i trafikhuvudmannens verksamhet behandla känsliga personuppgifter i personuppgiftslagens mening. Datoriserade personregister torde vara en förutsättning för att kommunerna och trafikhuvudmännen skall kunna fullgöra sina uppgifter inom färdtjänsten och riksfärdtjänsten (prop. 1996/97:115 Mer tillgänglig kollektivtrafik, s. 49). För att hantera ärenden om tillstånd erfordras nämligen register med uppgifter om bostadsadress, nödvändiga hjälpmedel vid transporten, allergier, möjligheten att samåka med andra resenärer, ledsagare, ledarhund etc. Några av de uppgifter som därvid kan be höva registreras kan vara känsliga perso-

nuppgifter i personuppgiftslagens mening. Detta kan man emellertid – precis som med sekretessproblematiken (se kommentaren till 6 § andra stycket och prop. 1996/97:115 s. 48) – lösa med samtycke från den enskilde.

Förhållandet till personuppgiftslagen, m.m.

4 § Om inget annat följer av denna lag, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter inom socialtjänsten.

Av personuppgiftslagen (2 §) följer att bestämmelser i lagar och förordningar som avviker från personuppgiftslagen gäller framför denna. I förevarande paragraf uttrycks förhållandet mellan personuppgiftslagen och denna lag på det sättet att personuppgiftslagen gäller om inget annat sägs i denna lag. För att ta reda på grundläggande bestämmelser för behandling av personuppgifter måste man alltså gå till personuppgiftslagen, även när det gäller behandling av personuppgifter inom socialtjänsten som omfattas av denna lag. Lagen om behandling av personuppgifter inom socialtjänsten utgörs nämligen av regler som preciserar och i vissa fall gör undantag från mer allmänt hållna bestämmelser.

5 § I socialtjänstlagen (1980:620) finns särskilda bestämmelser om register m.m. hos socialnämnden.

I bestämmelsen erinras om att det i socialtjänstlagen finns särskilda bestämmelser om register hos socialnämnden (59–66 §§). Den i detta sammanhang kanske viktigaste av bestämmelserna är 59 § socialtjänstlagen, som innehåller ett förbud mot att i s.k. sammanställningsregister ta in uppgifter om ömtåliga personliga förhållanden (se avsnitt 6.1.5).

Denna bestämmelse kan bli aktuell i en rad olika sammanhang, bl.a. vid sökning av information och vid s.k. samkörning (se avsnitten 6.6 och 6.7).

Övriga bestämmelser i socialtjänstlagen om register avser gallring (60 och 62 §§), uppgiftsskyldighet (63–65 §§) och sekretess (66 §). I 61 § erinras om personuppgiftslagens och denna lags bestämmelser.

När personuppgifter får behandlas

6 § Personuppgifter får, förutom med den registrerades samtycke, behandlas bara om behandlingen är nödvändig för att en arbetsuppgift inom socialtjänsten skall kunna utföras.

Lagen hindrar inte att personuppgifter lämnas ut om det följer av lag eller förordning.

I bestämmelsens första stycke , som ersätter 10 § personuppgiftslagen, anges när personuppgifter får behandlas (se avsnitt 6.3). Av bestämmelsen följer också att samtliga kategorier av personuppgifter därvid får behandlas. Frågan om vilka kategorier av personuppgifter som bör få behandlas inom socialtjänsten har diskuterats i avsnitt 6.4.

Som tidigare har nämnts definieras begreppen behandling och personuppgifter i 3 § personuppgiftslagen. Definitionen av behandling, som innefattar bl.a. insamling, bearbetning och utlämnande, är så vid att i princip alla åtgärder som kan vidtas med personuppgifter omfattas av begreppet. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

I likhet med vad som gäller enligt personuppgiftslagen (10 §) får personuppgifter alltid behandlas när samtycke finns. Detta framgår av den inskjutna satsen. Samtycke definieras i 3 § personuppgiftslagen som varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.

Eftersom det naturligtvis inte är realistiskt att ha samtycke från den registrerade som enda förutsättning för att personuppgifter skall få behandlas inom socialtjänsten, bör sådana uppgifter få behandlas även utan samtycke, om vissa förutsättningar är uppfyllda. I 6 § anges att personuppgifter därutöver får behandlas bara om behandlingen är nödvändig för att en arbetsuppgift inom socialtjänsten skall kunna utföras.

Som har framgått av avsnitt 6.3 och som kommer att utvecklas ytterligare något i författningskommentaren till 7 §, innebär lagförslaget inte någon uttömmande reglering av för vilka ändamål personuppgifter skall få behandlas inom socialtjänsten. I stället överlåts på de personuppgiftsansvariga själva att ange särskilda ändamål för sin behandling av personuppgifter. Bestämmelsen i 6 § innebär emellertid att det läggs fast en yttersta ram inom vilken de särskilda, uttryckligt angivna ändamålen måste hålla sig. Endast sådana ändamål kan anses som berättigade.

Det bör framhållas att bestämmelsen i 6 § alltså inte är en ändamålsbestämmelse i den mening som avses i 9 § första stycket c personuppgiftslagen.

SOU 1999:109 Författningskommentar 229

Som har behandlats i avsnitt 6.4 och som framgår av författningskommentaren till 8 §, finns det i lagen inte några särskilda begränsningar beträffande vilka kategorier av personuppgifter som får behandlas inom socialtjänsten. Samtliga kategorier av personuppgifter får således behandlas. Detta framgår av att rekvisitet personuppgifter används utan någon begränsning.

Dock innebär föreskrifterna i 9 § första stycket e och f personuppgiftslagen – där det sägs att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen – och viss annan lagstiftning, t.ex. socialtjänstlagens bestämmelser om dokumentation – vissa begränsningar av vilka personuppgifter som får behandlas. En erinran om detta har tagits in i 8 § andra stycket.

Av andra stycket följer att lagen inte hindrar att personuppgifter lämnas ut om det följer av lag eller förordning.

Sådana bestämmelser går således före bestämmelserna i denna lag, liksom de tillämpas före bestämmelserna i person uppgiftslagen (2 § personuppgiftslagen). Personuppgifter som har samlats in inom socialtjänsten får alltså alltid – i den mån inte andra regler hindrar det – lämnas ut om det följer av lag eller förordning.

I 2 kap. tryckfrihetsförordningen finns bestämmelser om utlämnande av allmänna handlingar. I 64 § socialtjänstlagen (1980:620) finns en bestämmelse om s.k. uppgiftsskyldighet.

Ett annat exempel på en bestämmelse om att uppgifter får eller skall lämnas ut, är 6 § tredje stycket lagen (1997:736) om färdtjänst. Enligt den bestämmelsen skall en trafikhuvudman, innan en ansökan om färdtjänst prövas, höra den kommun där den sökande är folkbokförd. Den nu föreslagna lagen hindrar således inte att kommunen lämnar ut de personuppgifter som behövs för att ärendet skall prövas. Däremot kan regler om sekretess hindra att uppgifterna lämnas till trafikhuvudmannen. I ett fall som det nämnda torde uppgifter om en enskilds personliga förhållanden få lämnas ut till tillståndsgivaren endast om den enskilde har lämnat sitt samtycke härtill (se prop. 1996/97:115 Mer t illgänglig kollektivtrafik s. 48).

I avsnitt 2.4 finns ytterligare exempel på författningsbestämmelser som innebär att uppgifter får eller skall lämnas ut.

Ändamålen med behandlingen

7 § Det ankommer på den personuppgiftsansvarige att, inom den ram som anges i 6 § och med beaktande av 9 § första stycket c personuppgiftslagen (1998:204), bestämma för vilka ändamål personuppgifter får behandlas.

Som nämndes i kommentaren till 6 § regleras i lagen inte för vilka ändamål personuppgifter skall få behandlas inom socialtjänsten. Det ankommer på den personuppgiftsansvarige i respektive verksamhet att – inom den ram som anges i 6 § – ange konkreta ändamål för sin behandling av personuppgifter, ändamål som uppfyller personuppgiftslagens krav på att ändamålen skall var särskilda och uttryckligt angivna (se avsnitt 6.3). I 7 § paragrafen erinras om detta.

Som har framgått av avsnitt 6.3 framgår det varken av personuppgiftslagen eller av förarbetena till den, vad som avses med att ett ändamål skall vara särskilt , och det är därför vanskligt att lämna vägledning till hur ändamålen för behandling av personuppgifter inom socialtjänsten skall utformas. Enligt utredningen torde emellertid ett ändamål av slaget ”handläggning av ärenden inom individ- och familjeomsorgen” vara alltför allmänt hållet. Inget hindrar i och för sig att personuppgifter behandlas inom ett så brett område, men det får då anges flera olika preciserade ändamål för vilka uppgifterna skall få behandlas. Det torde vara främst vid verksamhet som kan vara mera mångskiftande och mycket omfattande, t.ex. vid verksamhet enligt socialtjänstlagen eller i Statens institutionsstyrelse verksamhet, som det finns ett behov av att precisera ändamålet med behandlingen. Är det däremot fråga om att behandla personuppgifter i en författningsreglerad verksamhet som är relativt avgränsad, torde man, menar utredningen, som ändamål med behandlingen kunna ange verksamhet enligt den aktuella författningen.

Som exempel på ändamål som torde vara tillräckligt preciserade kan nämnas bl.a. följande. Handläggning av ärenden om bistånd enligt socialtjänstlagen (1980:620) samt t illsyn, uppföljning, utvärdering, kvalitetssäkring och administration av sådan verksamhet. Faderskapsutredningar, utredningar om vårdnad av barn och underhållsbidrag till barn, adoptionsärenden, samt vid annan verksamhet inom familjerätten som följer av bestämmelserna i föräldrabalken. Handläggning av ärenden enligt lagen (1990:52) om unga lagöverträdare. Handläggning av ärenden enligt lagen (1988:870) om vård av missbrukare i vissa fall.

När det gäller ändamålsbestämmelser i Statens institutionsstyrelses verksamhet kan hänvisas till de nuvarande tillstånden enligt datalagen (se avsnitt 3.4). Dessa ändamål torde vara tillräckligt preciserade för att uppfylla EG-direktivets och personuppgiftslagens krav.

I vilken utsträckning insamlade personuppgifter får behandlas även för andra ändamål än de för vilka de ursprungligen samlades in, avgörs av bestämmelserna i personuppgiftslagen. Skulle den nya behandlingen vid en prövning enligt person uppgiftslagen anses vara oförenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in, får man antingen få den enskildes samtycke till den nya behandlingen eller får uppgifterna hämtas in på nytt.

Känsliga personuppgifter, m.m.

8 § En tillåten behandling av personuppgifter enligt 6 § innebär

1.att även uppgifter om personnummer och sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får behandlas,

2.att även andra än myndigheter får behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, samt

3.att personuppgifter får föras över till tredje land.

Av 9 § första stycket e och f personuppgiftslagen följer att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen.

Som framgått av kommentaren till 6 § tillåter lagen om behandling av personuppgifter inom socialtjänsten att samtliga kategorier av personuppgifter får behandlas inom socialtjänsten. Detta följer av att rekvisitet personuppgifter i 6 § används utan någon begränsning.

I första stycket erinras om att en tillåten behandling av personuppgifter innebär att även sådana personuppgifter får behandlas som i personuppgiftslagen har reglerats särskilt. Således får inom socialtjänsten behandlas också uppgifter om pers onnummer och sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen. Vidare får även andra än myndigheter behandla person uppgifter som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden samt får personuppgifter föras över till tredje land.

Bestämmelserna i 9 § första stycket e och f personuppgiftslagen, vilka innebär att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen, utgör emellertid begränsningar för när personuppgifter får behandlas I andra stycket har tagits in en erinran om detta. Vidare sätter de bestämmelser som finns om dokumentation inom

socialtjänsten (se 52 § socialtjänstlagen), vissa gränser för vilka personuppgifter som får behandlas.

Bevarande och gallring

9 § Utöver vad som följer av personuppgiftslagen (1998:204) finns särskilda bestämmelser om bevarande och gallring i socialtjänstlagen (1980:620).

I avsnitt 6.13 har behandlats frågan om bevarande och gallring. Några avvikande bestämmelser om bevarande och gallring införs inte i lagen. Däremot hänvisas till gällande regler härom. Bestämmelsen innebär att frågan om bevarande och gallring skall lösas med tillämpning av personuppgiftslagens regler. Personuppgiftslagen medger enligt 8 § andra stycket bevarande av allmänna handlingar och omhändertagande av arkivmaterial. Vidare skall alltid avvikande bestämmelser i socialtjänstlagen (1980:620) beaktas.

Sekretess

10 § För utlämnande av personuppgifter som finns inom socialtjänsten gäller de begränsningar som följer av sekretesslagen (1980:100), socialtjänstlagen (1980:620) och lagen (1993:387) om stöd och service till vissa funktionshindrade.

I paragrafen erinras om de tystnads- och sekretessbestämmelser som gäller för utlämnande av personuppgifter inom socialtjänsten. Frågan om sekretess har behandlats i avsnitt 6.14.

Rättelse och skadestånd

11 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna lag.

Personuppgiftslagens bestämmelser om rättelse och skadestånd är utformade så att dessa gäller endast vid överträdelse av den lagen (se avsnitten 6.15 och 6.16). Genom förevarande paragraf görs personuppgiftslagens bestämmelser i dessa avseenden tillämpliga även då personuppgifter behandlas i strid med lagen om behandling av personuppgifter inom socialtjänsten.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 1 juli 2000.

2.I fråga om automatiserad behandling av personuppgifter, som påbörjats före den 24 oktober 1998 och sådan behandling som utförs för ett visst ändamål, om behandling för ändamålet påbörjats före den 24 oktober 1998, skall lagen tillämpas först den 1 oktober 2001.

3.I fråga om manuell behandling av personuppgifter, som påbörjats före den 24 oktober 1998 och sådan behandling som utförs för ett visst än-

damål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998, skall lagen tillämpas först den 1 oktober 2007.

Frågan om ikraftträdande och övergångsbestämmelser har behandlats i avsnitt 7.2.

Övergångsregleringen när det gäller automatiserad behandling av personuppgifter (punkten 2) motsvarar vad som gäller enligt personuppgiftslagen. I fråga om automatiserad behandling av personuppgifter skall

24 oktober 1998. Detsamma gäller – liksom enligt personuppgiftslagen – beträffande automatiserad behandling som utförs för ett visst ändamål, om behandling för ändamålet påbörjats före den 24 oktober 1998.

Lagen om behandling av personuppgifter kommer således att gälla för de automatiserade behandlingar som pågår den 1 juli 2000 och som har påbörjats efter den 24 oktober 1998. Den 1 oktober 2001 kommer denna lag – liksom personuppgiftslagen – i princip att gälla fullt för all automatiserad behandling av personuppgifter, oavsett när den har påbörjats.

I fråga om manuell behandling av personuppgifter innebär övergångsbestämmelserna (punkten 3) att lagen – när det gäller sådan behandling som har påbörjats före den 24 oktober 1998 – träder i kraft först den 1 oktober 2007. För sådan behandling kommer endast personuppgiftslagen att gälla till och med den 30 september 2007. Manuell behandling av personuppgifter som har påbörjats efter den 24 oktober 1998 kommer emellertid att omfattas av bestämmelserna i såväl personuppgiftslagen som lagen om behandling av personuppgifter inom socialtjänsten redan den 1 juli 2000.

8.2Förslaget till lag om ändring i socialtjänstlagen (1980:620)

59 a §

Bestämmelsen i 59 § första stycket hindrar inte att personuppgifter behandlas hos socialnämnden för uppföljning, utvärdering, kvalitetssäkring, forskning och framställning av statistik.

Paragrafen är ny och innebär en utvidgning av undantaget från förbudet i 59 § socialtjänstlagen mot att i s.k. sammanställningsregister ta in uppgifter om ömtåliga personliga förhållanden.

Bestämmelsen innebär att 59 § första stycket inte hindrar att personuppgifter behandlas hos socialnämnden för uppföljning, utvärdering, kvalitetssäkring, forskning och framställning av statistik. Bestämmelsen har behandlats utförligt i avsnitt 6.1.5.

61 §

I fråga om automatiserad och viss manuell behandling av personuppgifter finns bestämmelser i personuppgiftslagen (1998:204 ) och i lagen (2000:000) om behandling av personuppgifter inom socialtjänsten.

I denna paragraf i dess nuvarande lydelse erinras om att det i personuppgiftslagen finns särskilda bestämmelser om behandling av personuppgifter. I paragrafen har tagits in en hänvisning också till lagen om behandling av personuppgifter inom socialtjänsten.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 1 juli 2000.

2.Under den tid datalagen (1973:289) skall tillämpas på viss behandling av personuppgifter, gäller dock 61 § i dess lydelse före den 24 oktober 1998 för sådan behandling.

Frågan om ikraftträdande och övergångsbestämmelser har behandlats i avsnitt 7.2. Det kan hänvisas till vad som där sagts.

Särskilt yttrande av Ellinor Englund och

Lena Sandström

Av 59 § första stycket socialtjänstlagen (1980:620) framgår att det i s.k. sammanställningsregister inte får tas in uppgifter om ömtåliga personliga förhållanden. Från denna regel görs i andra stycket undantag för uppgifter om åtgärder som har beslutats inom socialtjänsten och som innebär myndighetsutövning. Vidare får uppgift registreras om den bestämmelse på vilken ett beslut om sådan åtgärd grundas. Utredningen föreslår en utvidgning av undantaget i 59 § andra stycket socialtjänstlagen till att omfatta även de situationer där personuppgifter behandlas inom socialtjänsten för tillsyn, uppföljning, utvärdering, kvalitetssäkring, forskning och framställning av statistik. Ett upphävande av 59 § socialtjänstlagen anser utredningen inte vara möjligt med hänvisning till behovet av att skydda den enskildes integritet.

Vi delar inte utredningens uppfattning i denna fråga utan anser av följande skäl att 59 § socialtjänstlagen bör upphävas;

Till socialnämnderna inkommer en mängd handlingar varav många av naturliga skäl innehåller uppgifter om ömtåliga personliga förhållanden. Genom flera under senare tid dels genomförda och dels föreslagna lagändringar kan man skönja en önskan om att ytterligare öka informationsflödet till socialtjänsten. Som exempel kan nämnas ändringen av 71 § socialtjänstlagen, införandet av 11 kap 4 § ellagen (1997:857) och SOU 1998:40 där Brottsofferutredningen föreslår att socialnämnderna skall underrättas om beslut om besöksförbud i de fall parterna har gemensamma barn. Informationsflödet måste kunna hanteras av socialnämnderna på ett sådant vis att deras arbetsuppgifter kan utföras på ett tillfredsställande sätt och syftet med överlämnandet av information kan uppnås. Enligt vår uppfattning utgör 59 § socialtjänstlagen ett hinder för detta. Inkommet material som inte leder till ett ärende och därmed en personakt, kan med den nuvarande och med den utformning av 59 § socialtjänstlagen som utredningen föreslår, inte förvaras på det sätt som är mest ändamålsenligt för verksamheten – dvs. på ett sätt som möjliggör sökning (exempelvis i bokstavsordning eller efter personnummer). Upprepade anmälningar av något som till synes är av oskyldig karaktär, och där endast en anmälan knappast föranleder en utredning, kan sammanta-

236 Särskilt yttrande SOU 1999:109

get tyda på behov av insatser från socialtjänstens sida. I synnerhet då barn och ungdomar är berörda måste man från socialtjänstens sida ha möjlighet att vara observant och kunna agera på ett så tidigt stadium som möjligt. Framför allt i större kommuner omöjliggörs detta så länge som anmälningarna måste förvaras så att ett s.k. sammanställningsregister inte skapas.

Ett sätt för socialtjänsten att lösa problemet kan enligt Socialdatautredningens mening vara att alltid inleda en utredning då en anmälan kommer in. Ärendet som då uppkommer kan sedan omedelbart avskrivas i det fall det inte finns anledning för nämnden att vidta någon åtgärd. Den lösningen är enligt vår mening vare sig lämplig eller möjlig.

•Vår uppfattning är att t illvägagångssättet är mer integritetskränkande än en förvaring av handlingar i pärmar på ett sökbart sätt. Förfarandet kommer att leda till fler ärenden och därmed personakter än vad som torde vara nödvändigt och härigenom kommer handlingar att bevaras som i annat fall hade gallrats efter en kort tidsperiod. Observeras bör att vissa personakter inte får gallras överhuvudtaget.

•Vi menar också att en sådan lösning inte är i överensstämmelse med 50 § socialtjänstlagen. En viktig bedömning som alltid bör göras innan en utredning sätts igång är huruvida de sakförhållanden som påkallat nämndens uppmärksamhet kan leda till någon åtgärd av nämnden. En utredning bör inte inledas om det redan från början står klart att nämnden inte kan eller inte bör vidta några åtgärder (prop. 1979/80:1 s. 562).

Kommittédirektiv

Författningsreglering av socialtjänstens personregister Dir.

1997:108

Beslut vid regeringssammanträde den 4 september 1997.

Sammanfattning av uppdraget

En särskild utredare tillkallas med uppgift att utarbeta ett förslag till särskild författningsreglering för behandlingen av personuppgifter inom socialtjänsten. Syftet är att garantera ett fullgott och för detta särskilda område specialanpassat integritetsskydd vid i första hand automatisk databehandling.

Bakgrund - behovet av en författningsreglering

Verksamheten inom socialtjänsten nödvändiggör en omfattande hantering av känsliga personuppgifter. Det är och har alltid varit ett intresse av största vikt att denna information skyddas mot obehörig insyn. Därför gäller sedan länge bestämmelser om tystnadsplikt (sekretess) och hantering av informationen i övrigt, bestämmelser som nu finns i sekretesslagen (1980:100) och socialtjänstlagen (1980:620).

Tillkomsten av teknik för automatisk databehandling (ADB) har ställt nya krav på integritetsskyddet vid hantering av person uppgifter. Som en följd härav har i regeringsformen införts en särskild bestämmelse om lagstiftning till skydd mot integritetskränkning genom registrering av personuppgifter med ADB, och i datalagen (1973:289) finns sedan år 1973 ett generellt regelverk om personregisterhantering med ADB.

Som komplettering till datalagen finns flera speciallagar om ADB- register i särskilda verksamheter i den offentliga sektorn (registerlagar). Sådan särskild författningsreglering av personregister har på senare tid skett utifrån det principiella ställningstagandet att personregister med ett stort antal registrerade personer och ett särskilt integritetskänsligt innehåll bör vara reglerade i lag (se prop. 1990/91:60 och bet. 1990/91:KU11).

Frågan om författningsreglering av socialtjänstens personregister har tidigare behandlats av Socialtjänstkommittén (se kommitténs slutbetänkande Dokumentation och socialtjänstregister, SOU 1995:86). Regeringen har dock, som uttalats i propositionen Ändring i socialtjänstlagen (prop. 1996/97:124), funnit att den ännu inte har ett t illfredsställande underlag för att förelägga riksdagen ett förslag i frågan.

Nuvarande reglering

I 2 kap. 3 § andra stycket regeringsformen föreskrivs att varje medborgare i den utsträckning som närmare anges i lag skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Datalagen (1973:289) innehåller de åsyftade närmare bestämmelserna, bl.a. finns i 2 § bestämmelser om tillståndsplikt för vissa personregister, däribland sådana som är aktuella i detta sammanhang. I socialtjänstlagen (1980:620) finns vissa specialbestämmelser om register i socialtjänsten. Dessa bestämmelser gäller både ADB-register och manuella register.

EG-direktivet om personuppgifter och förslaget till persondatalag

Datalagskommittén har haft i uppdrag att göra en översyn av datalagen i syfte att åstadkomma en modern och teknikoberoende lagstiftning om skydd för den personliga integriteten vid behandling av person uppgifter, anpassad till EG-direktivet om personuppgifter (Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om s kydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter). Kommittén har i betänkandet Integritet Of- fentlighet Informationsteknik (SOU 1997:39) lämnat förslag till en ny generell lag, persondatalagen, som föreslås ersätta datalagen den 1 januari 1999. Kommittén har inte behandlat de särskilda registerförfattningarna men har förutsatt att dessa finns kvar och anpassas till den nya generella lagen och till EG-direktivet i särskild ordning.

Den föreslagna persondatalagen omfattar sådan behandling av personuppgifter som är helt eller delvis automatisk, men också annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Med register avses enligt lagförslaget varje strukturerad samling av personuppgifter vilka är t illgängliga för sökning eller sammanställning enligt särskilda kriterier.

SOU 1999:109 Bilaga 239

Uppdraget

Utredaren skall utarbeta ett förslag till särskild författningsreglering för behandlingen av personuppgifter inom socialtjänsten. Syftet är att garantera ett fullgott och för detta särskilda område specialanpassat integritetsskydd. Utgångspunkten skall vara EG-direktivet om person uppgifter och den generella lag som kommer att ersätta datalagen. Detta gäller också för frågan om vilken behandling av personuppgifter som skall omfattas av regleringen.

Verksamheten inom socialtjänsten nödvändiggör en omfattande hantering av känsliga personuppgifter. I socialtjänsten bör på samma sätt som i övrigt i offentlig och privat förvaltning modern informationsteknik utnyttjas för att höja effektiviteten och kvalitén i arbetet. Det gäller inte bara arbetet i enskilda ärenden utan också i hög grad möjligheten att uppfylla ökade krav i fråga om att följa, analysera och utveckla verksamheten, dvs. dokumentation samt framställning av olika sammanställningar och statistik.

Modern informationsteknik ger stora möjligheter men kan också innebära särskilda risker från integritetssynpunkt. Syftet med varje författningsreglering, vare sig den är generell eller speciell, är att söka eliminera dessa särskilda risker. De regler som används kan vara av olika slag. En typ av regler är begränsningar i fråga om vad som får registreras. Såvitt gäller ärendehandläggning i en verksamhet som socialtjänst kan konstateras att denna väg att uppnå ett integritetss kydd generellt sett är den som mest försvårar ett rationellt utnyttjande av informationstekniken i verksamheten. Införande av denna typ av regler förutsätter också en genomgång av vilka uppgifter som bör respektive inte bör få registreras. Begränsningar i fråga om vad som får registreras är dock långt ifrån den enda möjligheten att skapa ett integritetsskydd. Möjligheterna att skapa ett verksamt skydd genom olika begränsningar i fråga om åtkomsten till och behandlingen av uppgifterna samt genom fortlöpande kontroll av användningen i efterhand (loggning) och andra säkerhetsfunktioner har förbättrats starkt genom teknik- och systemutveckling under senare år. I uppdraget ligger att söka de lösningar för integritetss kyddet som minst försvårar ett effektivt och rationellt utnyttjande av modern teknik och, om det i delfrågor inte går att undvika att effektivitet och integritetsskydd kommer i ett motsatsförhållande till varandra, finna den lämpliga avvägningen mellan dessa båda intressen.

Konsekvenserna av olika lösningar för skilda samhällsintressen såsom insyns- och forskningsbehov måste beaktas. Gallringsfrågorna behöver analyseras utifrån bl.a. forskningens behov.

Med socialtjänsten avses här verksamhet enligt socialtjänstlagen och anslutande lagar, inklusive sådan verksamhet som bedrivs av enskilda.

Utredaren bör dock ha frihet i fråga om den närmare avgränsningen av vad som bör omfattas, och skall inte heller vara förhindrad att låta sitt förslag omfatta något som formellt ligger utanför socialtjänsten, om det finns ett naturligt samband och det i övrigt är motiverat. I detta sammanhang kan nämnas att regeringen i propositionen Mer tillgänglig kollektivtrafik (prop. 1996/97:115) föreslår förändringar i fråga om färdtjänstverksamheten som innebär att denna samhällsservice till funktionshindrade inte längre skall räknas som hörande till socialtjänsten. Utredaren bör ta ställning till om det är lämpligt att, om den nämnda ändringen genomförs, trots detta behandla även en författningsreglering gällande färdtjänstverksamheten i detta sammanhang.

Uppdraget omfattar inte sådan behandling av personuppgifter som sker med stöd av lagen (1995:606) om vissa personregister för officiell statistik.

Utredaren skall samråda med berörda myndigheter och organisationer samt med statliga kommittéer, utredare och arbetsgrupper inom regeringskansliet som utreder eller på annat sätt arbetar med frågor vilka anknyter till denna utredning.

Utredaren skall beakta regeringens direktiv till samtliga kommittéer och utredare (dir. 1992:50, 1994:23, 1994:124, 1996:49).

Redovisning av uppdraget

Utredaren skall redovisa uppdraget till regeringen senast den 1 oktober 1998.

(Socialdepartementet)