Regeringens proposition 2023/24:146

En registerlag för Inspektionen för Prop.
socialförsÀkringen 2023/24:146

Regeringen överlÀmnar denna proposition till riksdagen.

Stockholm den 23 maj 2024

Ulf Kristersson

Anna Tenje (Socialdepartementet)

Propositionens huvudsakliga innehÄll

I propositionen föreslÄs en lag om behandling av personuppgifter vid Inspektionen för socialförsÀkringen (ISF). Lagen ska komplettera EU:s dataskyddsförordning och gÀlla vid behandling av personuppgifter i verksamhet vid ISF som avser systemtillsyn och effektivitetsgranskning. Personuppgifter ska fÄ behandlas om det Àr nödvÀndigt för undersökningar av förhÄllanden inom socialförsÀkringsomrÄdet och inom verksamheter som grÀnsar till socialförsÀkringsomrÄdet samt för att fullgöra uppgiftslÀmnande som sker i överensstÀmmelse med lag eller förordning.

Lagen innehÄller flera olika skyddsÄtgÀrder som avser att ge enskildas personliga integritet ett tillfredsstÀllande skydd. Behandlingen av personuppgifter ska som huvudregel ske i projekt. Personuppgifter som samlas in för att behandlas i ett projekt fÄr ÄteranvÀndas i ett annat projekt Àn det som de samlats in för endast om behandlingen Àr nödvÀndig för att ISF helt eller delvis ska kunna upprepa eller följa upp det ursprungliga projektet. Personuppgifter som direkt kan hÀnföras till den registrerade ska som huvudregel separeras frÄn övriga personuppgifter. Endast vissa kategorier av kÀnsliga personuppgifter ska fÄ ligga till grund för sökningar i syfte att fÄ fram ett urval av personer. Dessutom innehÄller lagen bestÀmmelser om bl.a. krav pÄ den enskildes medgivande vid viss personuppgiftsbehandling och begrÀnsningar av tillgÄngen till personuppgifter.

Lagen föreslÄs trÀda i kraft den 1 januari 2025.

1

Prop. 2023/24:146 InnehÄllsförteckning

1 Förslag till riksdagsbeslut ................................................................. 4
2 Förslag till lag om behandling av personuppgifter vid  
  Inspektionen för socialförsÀkringen .................................................. 5
3 Ärendet och dess beredning .............................................................. 8
4 Inspektionen för socialförsÀkringen .................................................. 8
  4.1 Myndighetens uppgifter ..................................................... 8
  4.2 Tillsyns- och granskningsomrÄdet...................................... 9
  4.3 Samverkan med andra tillsynsmyndigheter...................... 10
  4.4 Verksamheten bedrivs huvudsakligen i projektform ........ 10
  4.5 OmvÀrldsbevakning och planering av verksamheten ....... 13
5 GÀllande rÀtt.................................................................................... 13
  5.1 Europakonventionen......................................................... 13
  5.2 EU:s dataskyddsförordning .............................................. 14
  5.3 Regeringsformen .............................................................. 17
  5.4 Dataskyddslagen............................................................... 17
  5.5 Offentlighets- och sekretesslagen..................................... 18
  5.6 Barnkonventionen ............................................................ 18
6 Behovet av reglering ....................................................................... 19
7 En lag om behandling av personuppgifter vid Inspektionen för  
  socialförsÀkringen ........................................................................... 26
  7.1 Lagens tillÀmpningsomrÄde ............................................. 26
  7.2 FörhÄllandet till annan dataskyddsreglering..................... 27
  7.3 Uppgifter om avlidna personer ......................................... 28
  7.4 BegrÀnsning av rÀtten att göra invÀndningar .................... 30
  7.5 Personuppgiftsansvar ....................................................... 32
  7.6 ÄndamĂ„l för behandling av personuppgifter .................... 33
    7.6.1 RÀttslig grund för behandlingen av  
      personuppgifter................................................ 33
    7.6.2 PrimÀra ÀndamÄl.............................................. 35
    7.6.3 SekundÀra ÀndamÄl.......................................... 40
    7.6.4 Finalitetsprincipen ........................................... 42
  7.7 Behandling av kÀnsliga personuppgifter .......................... 43
  7.8 Etikprövning vid forskning .............................................. 51
  7.9 Behandling av personuppgifter som rör  
    lagövertrÀdelser ................................................................ 53
  7.10 SökbegrÀnsningar ............................................................. 54
  7.11 Behandling av personuppgifter i projekt .......................... 58
  7.12 FaststÀllande av ramar för projekt .................................... 62
  7.13 Medgivande till behandling av personuppgifter ............... 64
  7.14 BegrÀnsning av möjligheterna att identifiera den  
    registrerade ....................................................................... 68
  7.15 BegrÀnsning av tillgÄngen till personuppgifter ................ 72
  7.16 LÀngsta tid som personuppgifter fÄr behandlas ................ 74
8 Samlad integritets- och proportionalitetsanalys .............................. 76
2 8.1 Krav pÄ proportionalitet ................................................... 76
       
9 IkrafttrÀdande- och övergÄngsbestÀmmelser.................................. 86 Prop. 2023/24:146
10 Konsekvenser ................................................................................. 86  
  10.1 Ekonomiska konsekvenser .............................................. 86  
  10.2 Konsekvenser för den personliga integriteten ................. 87  
  10.3 Övriga konsekvenser ....................................................... 88  
11 Författningskommentar .................................................................. 89  
Bilaga 1 Sammanfattning av promemorian En registerlag för    
    Inspektionen för socialförsÀkringen ................................ 99  
Bilaga 2 Promemorians lagförslag............................................... 100  
Bilaga 3 Förteckning över remissinstanserna .............................. 103  
Bilaga 4 LagrÄdsremissens lagförslag.......................................... 104  
Bilaga 5 LagrÄdets yttrande ......................................................... 107  
Utdrag ur protokoll vid regeringssammantrÀde den 23 maj 2024........ 108  

3

Prop. 2023/24:146 1 Förslag till riksdagsbeslut

Regeringens förslag:

Riksdagen antar regeringens förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsÀkringen.

4

2 Förslag till lag om behandling av Prop. 2023/24:146
 

personuppgifter vid Inspektionen för socialförsÀkringen

HÀrigenom föreskrivs följande.

Lagens tillÀmpningsomrÄde

1 § Denna lag gÀller vid behandling av personuppgifter i sÄdan verksamhet vid Inspektionen för socialförsÀkringen som avser systemtillsyn och effektivitetsgranskning.

Lagen gÀller endast om behandlingen Àr helt eller delvis automatiserad eller om personuppgifterna ingÄr i eller kommer att ingÄ i ett register.

FörhÄllandet till annan dataskyddsreglering

2 § Denna lag kompletterar Europaparlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning), hÀr benÀmnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gÀller lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Uppgifter om avlidna personer

3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gÀlla i tillÀmpliga delar:

1.denna lag och föreskrifter som har meddelats i anslutning till lagen,

2.EU:s dataskyddsförordning, och

3.lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

BegrÀnsning av rÀtten att göra invÀndningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rÀtten att göra invÀndningar gÀller inte vid sÄdan behandling av personuppgifter som Àr tillÄten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

RÀtten att göra invÀndningar gÀller dock nÀr personuppgifterna samlas

in direkt frÄn den enskilde.  
Personuppgiftsansvar  
5 § Inspektionen för socialförsÀkringen Àr personuppgiftsansvarig för  
den behandling av personuppgifter som myndigheten utför enligt denna  
lag. 5
 

Prop. 2023/24:146

6

ÄndamĂ„l för behandling av personuppgifter

6 § Inspektionen för socialförsÀkringen fÄr behandla personuppgifter om det Àr nödvÀndigt för undersökningar av förhÄllanden inom socialförsÀkringsomrÄdet eller inom verksamheter som grÀnsar till socialförsÀkringsomrÄdet.

Inom ramen för sÄdana undersökningar fÄr personuppgifter behandlas Àven för att framstÀlla statistik eller utföra forskning.

7 § Personuppgifter som behandlas enligt 6 § fÄr Àven behandlas för att fullgöra uppgiftslÀmnande som sker i överensstÀmmelse med lag eller förordning.

KÀnsliga personuppgifter och uppgifter om lagövertrÀdelser

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (kÀnsliga personuppgifter) fÄr behandlas med stöd av artikel 9.2 g eller

9.2j i förordningen om det Àr nödvÀndigt med hÀnsyn till ÀndamÄlet med behandlingen.

9 § Av lagen (2003:460) om etikprövning av forskning som avser mÀnniskor följer att forskning som innefattar behandling av kÀnsliga personuppgifter eller personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden (uppgifter om lagövertrÀdelser) mÄste etikprövas.

10 § Sökningar fÄr inte utföras i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter.

Sökningar fÄr dock utföras i syfte att fÄ fram ett urval av personer grundat pÄ personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hÀlsa eller sexuell lÀggning om sökningen sker för ÀndamÄl enligt 6 §.

Behandling av personuppgifter i projekt

11 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestÀmda ramar.

12 § Behandling av personuppgifter enligt 6 § ska ske inom ramen för ett projekt. Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt fÄr inte behandlas i ett annat projekt.

Personuppgifter fÄr dock behandlas inom ramen för ett annat projekt Àn det som uppgifterna samlats in för, om behandlingen Àr nödvÀndig för att Inspektionen för socialförsÀkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

Behandling av personuppgifter som utförs för omvÀrldsbevakning eller planering av Inspektionen för socialförsÀkringens verksamhet behöver inte ske inom ramen för ett projekt.

13 § Innan personuppgifter fÄr behandlas inom ramen för ett projekt ska Prop. 2023/24:146 Inspektionen för socialförsÀkringen faststÀlla

1.syftet med projektet,

2.vilka kategorier av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser som ska analyseras i projektet, och

3.nÀr projektet senast ska vara avslutat.

Det faststÀllda syftet fÄr inte Àndras.

Information om vad som har faststÀllts ska hÄllas tillgÀnglig pÄ Inspektionen för socialförsÀkringens webbplats.

Medgivande till behandling av personuppgifter

14 § Om personuppgifter samlas in direkt frÄn den enskilde, fÄr de behandlas endast om den enskilde har lÀmnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rÀtt att nÀr som helst Äterkalla ett lÀmnat medgivande. Personuppgifter som omfattas av ett Äterkallat medgivande ska raderas.

Om ett medgivande Äterkallas fÄr behandlingen av personuppgifter dock fortsÀtta om Inspektionen för socialförsÀkringen inte kan hÀnföra uppgifterna till den registrerade utan att bevara, förvÀrva eller behandla ytterligare personuppgifter. Behandlingen fÄr ocksÄ fortsÀtta om personuppgifterna finns i handlingar som har tagits om hand för arkivering.

BegrÀnsning av möjligheterna att identifiera den registrerade

15 § Personuppgifter som direkt kan hÀnföras till den registrerade ska förvaras separat frÄn övriga personuppgifter. Personuppgifter som direkt kan hÀnföras till den registrerade fÄr dock behandlas tillsammans med övriga personuppgifter, om en separering skulle medföra en oproportionerlig anstrÀngning eller motverka syftet med behandlingen.

Det som sÀgs i första stycket hindrar inte att personuppgifter som inte direkt kan hÀnföras till den registrerade Àr försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.

TillgÄng till personuppgifter

16 § TillgÄngen till personuppgifter ska begrÀnsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsÀkringen.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

1.Denna lag trÀder i kraft den 1 januari 2025.

2.BestĂ€mmelserna i 12–14 §§ tillĂ€mpas inte pĂ„ projekt som har inletts före ikrafttrĂ€dandet.

7

Prop. 2023/24:146 3 Ärendet och dess beredning

Inom Socialdepartementet har promemorian En registerlag för Inspektionen för socialförsÀkringen (Ds 2023:13) tagits fram. En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgÀngliga i Socialdepartementet (S2023/01513).

I propositionen behandlas promemorians förslag.

LagrÄdet

Regeringen beslutade den 4 april 2024 att inhÀmta LagrÄdets yttrande över det lagförslag som finns i bilaga 4. LagrÄdets yttrande finns i bilaga 5. Regeringen har i huvudsak följt LagrÄdets förslag. LagrÄdets synpunkter behandlas i avsnitt 7.14 och i författningskommentaren.

I förhÄllande till lagrÄdsremissen har dessutom vissa sprÄkliga och redaktionella Àndringar gjorts.

4 Inspektionen för socialförsÀkringen

4.1 Myndighetens uppgifter

  Inspektionen för socialförsÀkringen (ISF) bildades 2009. Myndigheten har
  enligt förordningen (2009:602) med instruktion för Inspektionen för
  socialförsÀkringen, hÀr benÀmnd instruktionen, till uppgift att genom
  systemtillsyn och effektivitetsgranskning vÀrna rÀttssÀkerheten och
  effektiviteten inom socialförsÀkringsomrÄdet.
  Med systemtillsyn avses granskning av om tillsynsobjektets egna system
  för styrning och kontroll sÀkerstÀller en korrekt och enhetlig tillÀmpning
  av det regelverk som tillsynsobjektet ska tillÀmpa (1 § andra stycket
  instruktionen). Vid systemtillsyn granskar ISF tillsynsobjektens
  organisation, styrning och verksamhet och undersöker om det finns
  förutsÀttningar och metoder för en korrekt och rÀttssÀker handlÀggning.
  Granskningen omfattar bl.a. styrdokument, handlÀggningsprocesser,
  informationssystem och system för uppföljning och kontroll. För att kunna
  avgöra om tillsynsobjektens verksamhet pÄ systemnivÄ fungerar som
  avsett, analyseras ofta tillsynsobjektens handlÀggning i enskilda Àrenden.
  ISF:s uppgifter omfattar dock inte tillsyn i enskilda Àrenden.
  Med effektivitetsgranskning avses granskning av om tillsynsobjektets
  verksamhet fungerar effektivt med utgÄngspunkt i det statliga Ätagandet
  (1 § andra stycket instruktionen). I en effektivitetsgranskning undersöker
  ISF mÄluppfyllelse och administrativ effektivitet. Granskningar av
  mĂ„luppfyllelse görs ofta genom utvĂ€rdering av samhĂ€llseffekter – om
  socialförsÀkringen ger avsedda effekter och om det uppstÄr oavsedda
  effekter för försÀkrade personer och berörda verksamheter. Som en del i
  detta kan ISF granska nyttjandet av socialförsĂ€kringen. Även nyttjandet av
8 andra ersÀttningssystem i förhÄllande till socialförsÀkringen kan granskas.
 
Det kan handla om att undersöka om en viss lagÀndring har orsakat Prop. 2023/24:146
förflyttningar mellan olika ersÀttningar eller ersÀttningssystem. SÄdana

granskningar görs ofta pÄ ett mer övergripande plan, exempelvis genom att ISF undersöker om en reform har fÄtt den genomslagskraft som varit tÀnkt eller om en viss lagstiftning Àr relevant och anpassad till samhÀllsutvecklingen.

I effektivitetsgranskningarna ingÄr ocksÄ att utvÀrdera om verksamheterna inom socialförsÀkringsomrÄdet utförs i enlighet med de mÄl som regering och riksdag har stÀllt upp i styrande dokument. Dessutom granskas om myndigheternas egna system för mÄl- och resultatstyrning skapar rÀtt förutsÀttningar för att nÄ uppsatta mÄl.

Vidare gör ISF granskningar av om de resurser som tillförs de myndigheter som administrerar socialförsÀkringen anvÀnds pÄ ett kostnadseffektivt sÀtt. Granskningarna av administrativ effektivitet kan handla om att mÀta effektiviteten i handlÀggningen av olika förmÄner. SÄdana mÀtningar kan göras genom att kostnader för handlÀggningen relateras till prestationer. Prestationer mÀts genom bÄde produktionsvolym, t.ex. antalet beslut, och handlÀggningens kvalitet. I granskningar av administrativ effektivitet ingÄr Àven att analysera tillsynsobjektens förutsÀttningar för att upprÀtthÄlla en god effektivitet, t.ex. om Àrendehanteringen och beslutsstödet Àr organiserat och utformat pÄ ett ÀndamÄlsenligt sÀtt.

Regeringens styrning pÄverkar tillsynsobjektens förutsÀttningar att bedriva en rÀttssÀker och effektiv verksamhet. ISF:s granskningar av tillsynsobjekten kan dÀrför Àven omfatta regeringens styrning.

I 3 a § instruktionen anges att ISF, i de fall det Ă€r nödvĂ€ndigt, fĂ„r bedriva den forskning som behövs för att myndigheten ska kunna fullgöra sina uppgifter enligt 1–3 §§. ISF kan sĂ„ledes, under de nĂ€mnda förutsĂ€ttningarna, anvĂ€nda forskning som metod för att utföra sin systemtillsyn eller effektivitetsgranskning.

ISF ska löpande redovisa resultatet av sin systemtillsyn och effektivitetsgranskning till regeringen (11 § instruktionen). Det sker normalt genom att myndigheten publicerar och lÀmnar över skriftliga rapporter till regeringen. Resultatredovisningar förekommer ocksÄ i form av skrivelser till regeringen, olika typer av arbetsrapporter och vetenskapliga artiklar.

ISF har inte nÄgon normerande roll eller nÄgra sanktionsmöjligheter i förhÄllande till de granskade verksamheterna. Inte heller har myndigheten nÄgon klagomÄlshantering eller möjlighet att ingripa i enskilda Àrenden.

ISF Àr inte en statistikansvarig myndighet och ansvarar dÀrmed inte för framstÀllning av officiell statistik enligt lagen (2001:99) om den officiella statistiken.

4.2Tillsyns- och granskningsomrÄdet

ISF ska utöva systemtillsyn över och utföra effektivitetsgranskning av den verksamhet som bedrivs av FörsÀkringskassan, Pensionsmyndigheten i de delar som inte stÄr under Finansinspektionens tillsyn och Skatteverket i de delar som avser beslut om pensionsgrundande inkomst (2 § instruktionen). Tillsynen och granskningen fÄr ocksÄ omfatta verksamheter som grÀnsar

9

Prop. 2023/24:146 till socialförsĂ€kringsomrĂ„det (3 § instruktionen). Det handlar primĂ€rt om hur andra trygghetssystem eller verksamheter pĂ„verkar socialförsĂ€kringen, men granskningen kan Ă€ven avse det omvĂ€nda förhĂ„llandet – socialförsĂ€kringens pĂ„verkan pĂ„ andra system eller verksamheter. Verksamheter som grĂ€nsar till socialförsĂ€kringsomrĂ„det kan vara hĂ€lso- och sjukvĂ„rden, som utfĂ€rdar lĂ€karintyg för sjukskrivning, eller tjĂ€nstepensionsföretag. En annan viktig verksamhet som grĂ€nsar till socialförsĂ€kringen Ă€r Arbetsförmedlingens verksamhet för att stödja personer som fĂ„r eller har fĂ„tt ersĂ€ttning frĂ„n sjukförsĂ€kringen och som behöver hjĂ€lp att fĂ„ eller byta arbete. ISF har ocksĂ„ behov av att kunna undersöka hur samspelet mellan socialförsĂ€kringen och arbetslöshetsförsĂ€kringen fungerar för de grupper som rör sig mellan dessa försĂ€kringar. Kommuner tillhandahĂ„ller stöd som kan pĂ„verka behovet av stöd till personer med funktionsnedsĂ€ttning frĂ„n socialförsĂ€kringen, framför allt i form av insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade och enligt socialtjĂ€nstlagen (2001:453). Kommuner tillhandahĂ„ller ocksĂ„ stöd till pensionĂ€rer.

DÀrutöver fÄr tillsynen och granskningen Àven omfatta samverkansinsatser med anknytning till socialförsÀkringsomrÄdet (3 § instruktionen). SÄdana samverkansinsatser kan vara samverkan mellan FörsÀkringskassan och Arbetsförmedlingen eller rehabiliteringsinsatser som finansieras av samordningsförbund. ISF:s tillsynsomrÄde omfattar dock inte de delar som ingÄr i tillsynsomrÄdet för Inspektionen för arbetslöshetsförsÀkringen.

ISF gör Àven granskningar som inte avser en sÀrskild verksamhet. NÀr socialförsÀkringsomrÄdet granskas pÄ ett mer övergripande plan, exempelvis om en viss reform har fÄtt den genomslagskraft som varit avsedd, Àr det reformen som stÄr i fokus och inte verksamheterna.

4.3Samverkan med andra tillsynsmyndigheter

ISF ska i sin systemtillsyn och effektivitetsgranskning samverka med de tillsynsmyndigheter som kan komma att beröras av myndighetens tillsyns- eller granskningsverksamhet (4 § instruktionen). SocialförsÀkringsomrÄdet grÀnsar till flera andra verksamhetsomrÄden, t.ex. hÀlso- och sjukvÄrd och arbetsmarknad. Det kan dÀrför vara aktuellt att samverka med bl.a. Socialstyrelsen, Inspektionen för vÄrd och omsorg och Inspektionen för arbetslöshetsförsÀkringen nÀr förhÄllanden pÄ socialförsÀkringsomrÄdet och angrÀnsade omrÄden granskas samtidigt.

4.4 Verksamheten bedrivs huvudsakligen i projektform

  Verksamheten vid ISF bedrivs normalt i projektform, oavsett om det
  handlar om egeninitierade granskningar eller genomförande av sÀrskilda
  uppdrag frÄn regeringen. Med projekt avser ISF en planerad och avgrÀnsad
  arbetsinsats som ska genomföras inom bestÀmda ramar. Arbetet bedrivs i
  enlighet med myndighetens projektvÀgledning.
  SÄdan verksamhet som avser omvÀrldsbevakning och planering av
10 verksamheten bedrivs inte i projektform. Ett projekt aktualiseras först nÀr
 

myndigheten fÄr ett regeringsuppdrag eller pÄ egen hand har tagit fram en Prop. 2023/24:146 underlagspromemoria med en projektidé. För att ett projekt ska kunna

inledas utformar en arbetsgrupp en projektplan som innehÄller bl.a. syfte och frÄgestÀllningar, nyttan med projektet, jÀmstÀlldhets- och barnrÀttsperspektiv, juridiska frÄgor, avgrÀnsningar, hur projektet ska genomföras och metod, beskrivning av hur personuppgifter ska behandlas, bemanning, kvalitetssÀkring och tidsplan. Projektplanen föredras för ledningsgruppen, varvid generaldirektören fattar beslut om att ett projekt ska startas. DÀrefter kan arbetet inledas och projektgruppen kan börja att samla in personuppgifter och göra de analyser som behövs för granskningen.

En projektgrupp bestÄr av en projektledare som leder arbetet i projektet och ett visst antal projektmedlemmar med olika kompetenser. En projektansvarig chef följer arbetet i projektet och ger stöd, t.ex. nÀr det gÀller praktiska frÄgor, vÀgval i projektet och frÄgor som rör kvaliteten. Den projektansvariga chefen sÀkrar tillsammans med en annan kvalitetssÀkrande chef samt ledningsgruppen att rapporten uppfyller de krav ISF har pÄ sina rapporter. Chefsjuristen har ett övergripande ansvar för den rÀttsliga kvaliteten i rapporten. DÀrutöver har projektgruppen stöd av sÀrskilt utsedda kvalitetssÀkrare nÀr det gÀller sakfrÄgor och metodfrÄgor samt av ISF:s dataskyddsombud nÀr det gÀller frÄgor som rör behandling av personuppgifter. Resultatet och slutsatserna frÄn tillsyn och granskningar publiceras i rapporter och skrivelser.

Arbetsmetoder

Inom ramen för ett projekt bedriver ISF ofta flera olika undersökningar. Undersökningarna genomförs i form av dokumentstudier och rÀttsutredningar, registerstudier, aktstudier samt intervju- och enkÀtstudier. Det förekommer att uppgifter bearbetas genom framstÀllning av statistik och forskning. Olika metoder kan kombineras för att myndigheten ska kunna belysa en frÄga ur flera perspektiv. Genom att kombinera kvalitativa metoder med kvantitativa metoder Àr det ocksÄ möjligt att dra mer djupgÄende slutsatser.

Dokumentstudier

NÀr ISF granskar tillsynsobjektens styrning genom att studera interna styrdokument och informationssystem görs det genom s.k. dokumentstudier. SÄdan granskning krÀver inte behandling av personuppgifter i nÄgon större omfattning. Om dokumenten innehÄller personuppgifter, handlar det normalt bara om namn och kontaktuppgifter till medarbetare hos tillsynsobjekten.

RÀttsutredningar  
Genom rÀttsutredningar kartlÀgger ISF gÀllande rÀtt och praxis. Detta  
förutsÀtter att myndigheten tar del av domar och beslut inom det  
rÀttsomrÄde som utreds. I mÄnga domar och beslut inom socialförsÀkrings-  
omrÄdet förekommer personuppgifter om hÀlsa, som Àr s.k. kÀnsliga  
personuppgifter (se avsnitt 7.7). ISF:s rÀttsutredningar kan sÄledes  
medföra behandling av kÀnsliga personuppgifter. 11
 

Prop. 2023/24:146

12

Registerstudier

ISF utför ofta registerstudier, dvs. registerbaserade studier dÀr myndigheten anvÀnder uppgifter frÄn ett eller flera register som finns hos andra myndigheter eller andra organisationer. Till en sÄdan studie samlar myndigheten in uppgifter frÄn sÄvÀl tillsynsobjekten som andra myndigheter och organisationer. Det kan handla om uppgifter om ansökta och beviljade förmÄner och ersÀttningar, diagnos, yrke, kön, Älder, födelseland, inkomst, bostadsort, socialtjÀnstinsatser m.m. Registerstudier genomförs ofta med stora informationsmÀngder och kan anvÀndas för att följa individer under lÀngre perioder. SjÀlva studien kan utföras pÄ kort tid av ett fÄtal personer, förutsatt att nödvÀndiga uppgifter kan göras tillgÀngliga i elektronisk form.

I registerstudier behandlas endast sĂ„dana personuppgifter som inte direkt kan hĂ€nföras till den registrerade. Oftast skapas en kodnyckel av den myndighet som ISF begĂ€r registerdata frĂ„n men ISF kan ocksĂ„ ta fram en kodnyckel pĂ„ egen hand. Genom kodnyckeln ersĂ€tts de registrerades personnummer, namn eller andra liknande beteckningar med ett löpnummer. ISF fĂ„r pĂ„ sĂ„ vis endast del av personuppgifter kopplade till ett löpnummer. Den myndighet som skapat kodnyckeln förvarar den hos sig. Även om sĂ„dana personuppgifter som direkt kan hĂ€nföras till enskilda byts ut mot ett löpnummer finns det fortfarande en risk att det utifrĂ„n övriga uppgifter Ă€r möjligt att identifiera den registrerade, s.k. bakvĂ€gsidentifiering. Risken för att det genom bakvĂ€gsidentifiering gĂ„r att identifiera den registrerade ökar med uppgifternas omfattning och detaljnivĂ„. I registerstudier behandlas ofta kĂ€nsliga personuppgifter.

Aktstudier

Aktstudier utförs genom granskning av Àrendeakter. Detta kan ske i syfte att t.ex. bedöma om handlÀggningen av rÀtten till en viss socialförsÀkringsförmÄn Àr rÀttssÀker. Avsikten Àr alltsÄ inte att bedöma handlÀggningen i det enskilda Àrendet. Aktstudier fÄngar ofta information av mer kvalitativ art, men kan Àven anvÀndas för att samla in kvantitativa uppgifter. Eftersom aktstudier ofta innefattar mer ingÄende bedömningar av processer och av kvaliteten i ÀrendehandlÀggningen Àr de mer resurskrÀvande Àn registerstudier.

ISF tar in Ă€rendeakter i pappersformat och har i dagslĂ€get inga möjligheter att hantera Ă€rendeakter i elektronisk form. Myndigheternas digitala Ă€rendeakter behöver dĂ€rför skrivas ut och skickas med post till ISF, vilket kan vara en tidskrĂ€vande process. Även granskningen av Ă€rendeakterna sker manuellt. Ett antal uppgifter ur de Ă€rendeakter som granskas registreras dock i ett digitalt analys- och enkĂ€tverktyg. Varje Ă€rendeakt fĂ„r ett löpnummer som anvĂ€nds nĂ€r uppgifter ur akten registreras. Den uppgiftssamling som genereras vid en aktgranskning innehĂ„ller dĂ€rmed ett urval av uppgifter frĂ„n de granskade akterna. Det kan bl.a. röra sig om kĂ€nsliga personuppgifter. DĂ€rutöver registreras uppgifter som inte direkt gĂ„r att utlĂ€sa ur den granskade akten, t.ex. ISF:s bedömningar av olika aspekter pĂ„ kvaliteten i handlĂ€ggningen.

Uppgifter som registrerats vid en aktgranskning kan i vissa fall behöva kopplas samman med registeruppgifter. En sÄdan sammankoppling förutsÀtter att personnummer eller annan identitetsbeteckning anvÀnds. En

separat nyckel skapas dÀrför i dessa fall mellan Àrendeaktens löpnummer Prop. 2023/24:146 och den registrerades personnummer. NÀr aktgranskningen Àr klar kan

nyckeln anvÀndas för att inhÀmta kompletterande uppgifter.

Intervju- och enkÀtstudier

ISF genomför ofta intervjustudier och ibland Àven enkÀtstudier. Intervjuerna genomförs framför allt med tjÀnstemÀn hos tillsynsobjekten eller i enstaka fall med allmÀnheten. En intervjustudie kan ge en djupare bild av exempelvis handlÀggningsprocesserna hos en myndighet. Utskick av enkÀter kan göras till en riktad mÄlgrupp.

ISF gör oftast en ljudinspelning av intervjuer och transkriberar sedan dessa. ISF behandlar inspelningar av intervjuer som personuppgifter trots att det inte alltid gÄr att identifiera en fysisk person genom enbart rösten. Vid intervjuer med tjÀnstemÀn innehÄller transkriberingen av en ljudinspelning sÀllan personuppgifter.

4.5OmvÀrldsbevakning och planering av verksamheten

En viktig del av ISF:s arbete Àr att bevaka utvecklingen inom socialförsÀkringsomrÄdet. Det kan handla om att lÀsa domar och beslut, nyhetsbrev, artiklar, publicerade rapporter, litteratur och liknande. Det kan ocksÄ handla om att hÀmta in styrdokument och liknande handlingar frÄn de myndigheter som granskas och samla sÄdant material i ett e-bibliotek. ISF fÄr vidare in synpunkter pÄ socialförsÀkringen frÄn allmÀnheten. Genom omvÀrldsbevakning kan myndigheten identifiera egna förslag till projekt.

Innan ett projekt inleds har ISF behov av att kunna planera verksamheten. Det kan handla om att utvÀrdera om det finns underlag för en viss undersökning och ta stÀllning till om det Àr meningsfullt att inleda en tillsyn eller granskning. Genom kartlÀggningar av socialförsÀkringen kan ISF bl.a göra översikter av hur vissa förmÄner anvÀnds eller hur ersÀttningsnivÄer utvecklats över tid. Syftet med kartlÀggningar Àr att bidra till att identifiera omrÄden eller frÄgor som kan komma att bli föremÄl för systemtillsyn eller effektivitetsgranskning.

I praktiken Àr omvÀrldsbevakning och planering av verksamheten en simultan process. OmvÀrldsbevakning kan ge upphov till planering och planering kan ge anledning till omvÀrldsbevakning. SÄdan verksamhet bedrivs inte i projektform.

5GÀllande rÀtt

5.1 Europakonventionen

Enligt artikel 8 i den europeiska konventionen om skydd för de mÀnskliga  
rÀttigheterna och de grundlÀggande friheterna, hÀr benÀmnd Europa- 13
 

Prop. 2023/24:146 konventionen, har var och en rÀtt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet fÄr inte inskrÀnka denna rÀttighet annat Àn med stöd av lag och under förutsÀttning att det i ett demokratiskt samhÀlle Àr nödvÀndigt med hÀnsyn till statens sÀkerhet, den allmÀnna sÀkerheten, landets ekonomiska vÀlstÄnd eller till förebyggande av oordning eller brott eller till skydd för hÀlsa eller moral eller för andra personers fri- och rÀttigheter.

NÀr det gÀller kravet pÄ lagreglering krÀvs bl.a. att den nationella författningen uppfyller vissa minimikrav i frÄga om kvalitet och tydlighet. Reglerna ska vara tillrÀckligt tydliga för att tillÀmpningen ska vara förutsebar och de ska vara allmÀnt tillgÀngliga. Kravet att ett ingripande ska vara nödvÀndigt i ett demokratiskt samhÀlle innebÀr att det ska finnas ett angelÀget samhÀlleligt behov av ÄtgÀrden i frÄga. I det ligger bl.a. en begrÀnsning som innebÀr att ÄtgÀrden inte fÄr gÄ lÀngre Àn vad som Àr nödvÀndigt med beaktande av proportionalitetsprincipen, dvs. den ska stÄ i rimlig relation till det intresse som ÄtgÀrden Àr avsedd att tillgodose. Vid denna avvÀgning har staterna ett visst handlingsutrymme att inom rimliga grÀnser avgöra vilka ÄtgÀrder som kan anses nödvÀndiga för att tillgodose det efterstrÀvade ÀndamÄlet.

Europakonventionen gÀller som lag i Sverige. Av regeringsformen, förkortad RF, framgÄr att lag eller annan föreskrift inte fÄr meddelas i strid med Sveriges Ätaganden pÄ grund av konventionen (2 kap. 19 §).

5.2EU:s dataskyddsförordning

Europaparlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning), hÀr benÀmnd EU:s dataskyddsförordning, Àr direkt tillÀmplig i alla medlemsstater. Syftet med förordningen Àr att skydda fysiska personers grundlÀggande rÀttigheter och friheter, sÀrskilt deras rÀtt till skydd för personuppgifter, och att frÀmja det fria flödet av personuppgifter inom unionen.

Det materiella tillÀmpningsomrÄdet för EU:s dataskyddsförordning omfattar sÄdan behandling av personuppgifter som helt eller delvis företas pÄ automatisk vÀg samt annan behandling av personuppgifter som ingÄr i eller kommer att ingÄ i ett register (artikel 2.1). Vissa undantag frÄn tillÀmpningsomrÄdet görs dock. Exempelvis ska behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrÀtten inte omfattas av förordningens bestÀmmelser (artikel 2.2 a). Enligt artikel 2.2 d gÀller EU:s dataskyddsförordning inte heller för bl.a. sÄdan personuppgiftsbehandling som omfattas av tillÀmpningsomrÄdet för Europaparlamentets och rÄdets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkstÀlla straffrÀttsliga pÄföljder, och det fria flödet av sÄdana uppgifter och om upphÀvande av rÄdets rambeslut 2008/977/RIF (dataskyddsdirektivet).

14

För att en behandling av personuppgifter ska vara tillÄten, krÀvs att nÄgon av de rÀttsliga grunder som anges i artikel 6 i EU:s dataskyddsförordning Àr tillÀmplig. Av sÀrskilt intresse för myndigheters verksamhet Àr artikel 6.1 c som gÀller nÀr behandlingen Àr nödvÀndig för att fullgöra en rÀttslig förpliktelse som Ävilar den personuppgiftsansvarige och artikel

6.1e som gÀller nÀr behandlingen Àr nödvÀndig för att utföra en uppgift av allmÀnt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Av artikel 5 framgĂ„r ett antal grundlĂ€ggande principer som gĂ€ller för all behandling av personuppgifter. Personuppgifter ska behandlas pĂ„ ett lagligt, korrekt och öppet sĂ€tt och de ska samlas in för sĂ€rskilda, uttryckligt angivna och berĂ€ttigade Ă€ndamĂ„l och inte senare behandlas pĂ„ ett sĂ€tt som Ă€r oförenligt med dessa Ă€ndamĂ„l. Personuppgifterna ska vara korrekta – alla rimliga Ă„tgĂ€rder ska vidtas för att felaktiga uppgifter rĂ€ttas eller raderas – och dessutom adekvata, relevanta och inte för omfattande i förhĂ„llande till Ă€ndamĂ„let. Behandlingen ska ske pĂ„ ett sĂ€kert sĂ€tt och inte pĂ„gĂ„ under lĂ€ngre tid Ă€n vad som Ă€r nödvĂ€ndigt med hĂ€nsyn till Ă€ndamĂ„let. Under förutsĂ€ttning att de lĂ€mpliga tekniska och organisatoriska Ă„tgĂ€rder som krĂ€vs enligt förordningen genomförs för att sĂ€kerstĂ€lla den registrerades rĂ€ttigheter och friheter, kan dock personuppgifter lagras under lĂ€ngre perioder i den mĂ„n som uppgifterna enbart behandlas för arkivĂ€ndamĂ„l av allmĂ€nt intresse, vetenskapliga eller historiska forskningsĂ€ndamĂ„l eller statistiska Ă€ndamĂ„l.

Personuppgifter som samlats in för ett visst ÀndamÄl fÄr som huvudregel inte behandlas för nÄgot annat ÀndamÄl som Àr oförenligt med det ursprungliga ÀndamÄlet, den s.k. finalitetsprincipen. Undantag gÀller om den registrerade har samtyckt till behandling för det nya ÀndamÄlet eller om behandlingen grundar sig pÄ rÀttslig reglering (artiklarna 5.1 b och 6.4).

Artiklarna 5 och 6 Àr grundlÀggande och kumulativa. Det innebÀr att nÄgon av de rÀttsliga grunderna i artikel 6 mÄste vara tillÀmplig, samtidigt som samtliga principer i artikel 5 ska följas.

EU:s dataskyddsförordning bÄde förutsÀtter och medger nationella bestÀmmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gÀller sÀrskilt sÄdan behandling som sker inom den offentliga sektorn. Av artikel 6.2 framgÄr att medlemsstaterna fÄr behÄlla eller införa mer specifika bestÀmmelser för att anpassa tillÀmpningen av bestÀmmelserna i förordningen nÀr det gÀller behandling som sker enligt artikel 6.1 c (rÀttslig förpliktelse) och 6.1 e (uppgift av allmÀnt intresse och myndighetsutövning). BestÀmmelserna fÄr innehÄlla specifika krav för behandlingen och andra ÄtgÀrder för att sÀkerstÀlla en laglig och rÀttvis behandling.

Av artikel 6.3 framgÄr att den rÀttsliga grunden, vid behandling enligt artikel 6.1 c och e, ska faststÀllas i unionsrÀtten eller i nationell rÀtt. Syftet med behandlingen ska i sin tur faststÀllas i den rÀttsliga grunden eller, i frÄga om behandling enligt artikel 6.1 e, vara nödvÀndig för att utföra en uppgift av allmÀnt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rÀttsliga grunden kan innehÄlla sÀrskilda bestÀmmelser för att anpassa tillÀmpningen av bestÀmmelserna i EU:s dataskyddsförordning, bl.a. de allmÀnna villkor som ska gÀlla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska

Prop. 2023/24:146

15

Prop. 2023/24:146 behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna fÄr lÀmnas ut och för vilka ÀndamÄl, ÀndamÄlsbegrÀnsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet ÄtgÀrder för att tillförsÀkra en laglig och rÀttvis behandling.

Behandling av vissa sÀrskilda kategorier av personuppgifter Àr som huvudregel förbjuden. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hÀlsa eller uppgifter om en fysisk persons sexualliv eller sexuella lÀggning (artikel 9.1). FrÄn huvudregeln att dessa sÀrskilda kategorier av personuppgifter inte fÄr behandlas finns flera undantag (artikel 9.2). SÄdan behandling Àr bl.a. tillÄten om behandlingen Àr nödvÀndig av hÀnsyn till ett viktigt allmÀnt intresse, pÄ grundval av unionsrÀtten eller medlemsstaternas nationella rÀtt, vilken ska stÄ i proportion till det efterstrÀvade syftet, vara förenligt med det vÀsentliga innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen.

Behandling av personuppgifter som rör fÀllande domar i brottmÄl och lagövertrÀdelser som innefattar brott eller dÀrmed sammanhÀngande sÀkerhetsÄtgÀrder mÄste ske under kontroll av en myndighet eller dÄ behandling Àr tillÄten enligt unionsrÀtten eller medlemsstaternas nationella rÀtt, dÀr lÀmpliga skyddsÄtgÀrder för de registrerades rÀttigheter och friheter faststÀlls (artikel 10).

EU:s dataskyddsförordning föreskriver ett antal rĂ€ttigheter för den registrerade och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rĂ€tt att fĂ„ omfattande information frĂ„n den personuppgiftsansvarige (artiklarna 12–14). Den registrerade kan ocksĂ„ begĂ€ra registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att fĂ„ felaktiga personuppgifter som rör honom eller henne rĂ€ttade och att under vissa förutsĂ€ttningar fĂ„ uppgifterna raderade eller Ă„tminstone fĂ„ behandlingen begrĂ€nsad (artiklarna 16–18). RĂ€tten till radering gĂ€ller dock inte för behandling som sker med stöd av grunderna i artikel 6.1 c och e (rĂ€ttslig förpliktelse och arbetsuppgift av allmĂ€nt intresse eller som ett led i myndighetsutövning). Den registrerade har rĂ€tt att nĂ€r som helst göra invĂ€ndningar mot behandling av personuppgifter som sker pĂ„ den grunden att behandlingen bedömts nödvĂ€ndig för att utföra en arbetsuppgift av allmĂ€nt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvĂ€gning (artikel 21). En ytterligare rĂ€ttighet för den registrerade Ă€r att slippa bli föremĂ„l för ett beslut som grundas enbart pĂ„ automatiserad behandling, inbegripet profilering (artikel 22).

Vissa av de rÀttigheter och skyldigheter som föreskrivs i förordningen fÄr begrÀnsas i nationell rÀtt. Detta förutsÀtter att begrÀnsningarna sker med respekt för andemeningen i de grundlÀggande rÀttigheterna och friheterna och utgör en nödvÀndig och proportionell ÄtgÀrd i ett demokratiskt samhÀlle. Det förutsÀtter ocksÄ att begrÀnsningen sker i syfte att sÀkerstÀlla nÄgot av de ÀndamÄl som anges i artikel 23.1, t.ex. en medlemsstats viktiga mÄl av generellt allmÀnt intresse.

16

Om EU:s dataskyddsförordning föreskriver att förtydliganden eller Prop. 2023/24:146 begrÀnsningar av dess bestÀmmelser kan göras i medlemsstaternas

nationella rĂ€tt kan medlemsstaterna, i den utstrĂ€ckning det Ă€r nödvĂ€ndigt för samstĂ€mmigheten och för att göra de nationella bestĂ€mmelserna begripliga för de personer som de tillĂ€mpas pĂ„, införliva delar av förordningen i nationell rĂ€tt (skĂ€l 8). Regeringen har i propositionen Ny dataskyddslag gjort bedömningen att detta innebĂ€r att förordningen ger medlemsstaterna möjlighet att i lagar pĂ„ nationell nivĂ„ föreskriva vissa anpassade bestĂ€mmelser (prop. 2017/18:105 s. 21–23). Principen om unionsrĂ€ttens företrĂ€de innebĂ€r dock att bestĂ€mmelser i sĂ„dana författningar mĂ„ste vara förenliga med EU:s dataskyddsförordning.

5.3Regeringsformen

I regeringsformens mÄlsÀttningsstadgande i 1 kap. 2 § första stycket slÄs det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda mÀnniskans frihet och vÀrdighet. Vidare anges i dess fjÀrde stycke att det allmÀnna bl.a. ska vÀrna den enskildes privatliv och familjeliv. GrundlÀggande bestÀmmelser till skydd för den personliga integriteten som gÀller i förhÄllandet mellan enskilda och staten finns i 2 kap. RF. Av 2 kap. 6 § andra stycket RF följer att var och en gentemot det allmÀnna Àr skyddad mot betydande intrÄng i den personliga integriteten, om det sker utan samtycke och innebÀr övervakning eller kartlÀggning av den enskildes personliga förhÄllanden. Skyddet fÄr enligt 2 kap. 20 och 21 §§ RF begrÀnsas genom lag, men endast för att tillgodose ÀndamÄl som Àr godtagbara i ett demokratiskt samhÀlle. BegrÀnsningen fÄr aldrig gÄ utöver vad som Àr nödvÀndigt med hÀnsyn till det ÀndamÄl som har föranlett den och inte heller strÀcka sig sÄ lÄngt att den utgör ett hot mot den fria Äsiktsbildningen sÄsom en av folkstyrelsens grundvalar. BegrÀnsningen fÄr inte göras enbart pÄ grund av politisk, religiös, kulturell eller annan sÄdan ÄskÄdning.

5.4Dataskyddslagen

Lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning, hÀr benÀmnd dataskyddslagen, innehÄller bestÀmmelser som kompletterar EU:s dataskyddsförordning pÄ ett generellt plan i svensk rÀtt. Inom ramen för det utrymme som EU:s dataskyddsförordning ger reglerar lagen bl.a. frÄgor om rÀttslig grund för behandling av personuppgifter, sÀrskilda kategorier av personuppgifter (som i nationell lagstiftning benÀmns kÀnsliga personuppgifter), tillsynsmyndighetens handlÀggning och beslut samt skadestÄnd och överklagande. Dataskyddslagen Àr, pÄ samma sÀtt som den tidigare personuppgiftslagen var, subsidiÀr i förhÄllande till annan lag eller förordning. Det gör det möjligt att Àven fortsÀttningsvis ha frÄn dataskyddslagen avvikande bestÀmmelser i sektorsspecifika registerförfattningar.

17

Prop. 2023/24:146 5.5 Offentlighets- och sekretesslagen

Sekretess gÀller enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, i sÄdan sÀrskild verksamhet hos en myndighet som avser framstÀllning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhÄllanden och som kan hÀnföras till den enskilde. Detsamma gÀller annan jÀmförbar undersökning som utförs av nÄgon annan myndighet i den utstrÀckning regeringen meddelar föreskrifter om det. Regeringen har i 7 § offentlighets- och sekretessförordningen (2009:641) föreskrivit att sekretess gÀller hos Inspektionen för socialförsÀkringen (ISF) avseende undersökningar av rÀttstillÀmpning, handlÀggning och administration inom socialförsÀkringsomrÄdet och inom verksamheter med direkt anknytning till socialförsÀkringen, undersökningar om effekter av förÀndringar inom socialförsÀkringsomrÄdet och om utnyttjandet av socialförsÀkringen för uppgifter som avser en enskilds personliga eller ekonomiska förhÄllanden och som kan hÀnföras till den enskilde. Uppgift som behövs för forsknings- eller statistikÀndamÄl och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhÄllande Àr direkt hÀnförlig till den enskilde fÄr dock lÀmnas ut, om det stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider skada eller men (24 kap. 8 § tredje stycket OSL).

Eftersom ISF Àr en tillsynsmyndighet gÀller ocksÄ tillsynssekretessen enligt 11 kap. 1 § OSL.

5.6Barnkonventionen

FN:s konvention om barnets rÀttigheter, hÀr benÀmnd barnkonventionen, gÀller genom lagen (2018:1197) om Förenta nationernas konvention om barnets rÀttigheter sedan 2020 som svensk lag. Barnkonventionen innehÄller fyra grundprinciper som ska vara vÀgledande: barnets lika vÀrde och rÀtt att inte diskrimineras (artikel 2), barnets bÀsta (artikel 3), barnets rÀtt till liv, överlevnad och utveckling (artikel 6) och barnets rÀtt att uttrycka sina Äsikter och fÄ dem beaktade (artikel 12).

Vid alla ÄtgÀrder som rör barn, vare sig de vidtas av offentliga eller privata sociala vÀlfÀrdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ, ska i första hand beaktas vad som bedöms vara barnets bÀsta (artikel 3.1). Konventionsstaterna Ätar sig att tillförsÀkra barnet sÄdant skydd och sÄdan omvÄrdnad som behövs för dess vÀlfÀrd, med hÀnsyn tagen till de rÀttigheter och skyldigheter som tillkommer dess förÀldrar, vÄrdnadshavare eller andra personer som har juridiskt ansvar för barnet, och ska för detta ÀndamÄl vidta alla lÀmpliga lagstiftningsÄtgÀrder och administrativa ÄtgÀrder (artikel 3.2).

Inget barn fÄr utsÀttas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp pÄ sin heder och sitt anseende (artikel 16.1). Barnet har rÀtt till lagens skydd mot sÄdana ingripanden eller angrepp (artikel 16.2).

18

6 Behovet av reglering Prop. 2023/24:146
 

Regeringens förslag: En lag om behandling av personuppgifter vid

Inspektionen för socialförsÀkringen ska införas.

Promemorians förslag överensstÀmmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invÀnda mot

det.

SkÀlen för regeringens förslag

Behovet av en registerförfattning har utretts tidigare

Inspektionen för socialförsÀkringen (ISF) inrÀttades 2009. Redan i samband med detta pekade Utredningen för inrÀttandet av Inspektionen för socialförsÀkringen tillsammans med myndigheten pÄ behovet av en sÀrskild registerförfattning för ISF:s verksamhet (S2009/4622 och S2009/5373).

I januari 2011 presenterade en arbetsgrupp vid Socialdepartementet promemorian Behandling av personuppgifter vid Inspektionen för socialförsÀkringen, m.m. (Ds 2011:4). Promemorian remissbehandlades och mottog viss kritik frÄn remissinstanserna. Enligt bl.a. ISF skulle förslagen i promemorian riskera att försÀmra ISF:s möjligheter att genomföra myndighetens uppdrag. Förslagen i promemorian har inte lagts till grund för lagstiftning.

I augusti 2013 beslutade regeringen att tillsĂ€tta en sĂ€rskild utredare som fick i uppdrag att pĂ„ nytt analysera behovet av en sĂ€rskild lagreglering för behandling av personuppgifter för tillsyns- och granskningsverksamheten vid ISF (dir. 2013:83 och 2014:89). I betĂ€nkandet Inbyggd integritet inom Inspektionen för socialförsĂ€kringen (SOU 2014:67) föreslogs en ny registerförfattning. Enligt den föreslagna lagen skulle ISF fĂ„ behandla kĂ€nsliga personuppgifter under förutsĂ€ttning att dessa lĂ€mnats i ett tillsyns- eller granskningsĂ€rende eller annars var nödvĂ€ndiga för handlĂ€ggningen av ett sĂ„dant Ă€rende. En integritetsskyddsfunktion som skulle ha till uppgift att tekniskt och administrativt skydda enskildas personliga integritet och upprĂ€tthĂ„lla en lĂ€mplig sĂ€kerhetsnivĂ„ för de personuppgifter som behandlas föreslogs ocksĂ„ inrĂ€ttas vid ISF. BetĂ€nkandet remissbehandlades. Flera remissinstanser ansĂ„g att förslagen innebar en rimlig avvĂ€gning mellan Ă„ ena sidan kravet pĂ„ en effektiv tillsyns- och granskningsverksamhet hos ISF och Ă„ andra sidan enskildas behov av skydd för den personliga integriteten. Integritetsskyddsmyndigheten (dĂ„varande Datainspektionen) avstyrkte dock förslaget till ny registerlag och ifrĂ„gasatte bl.a. lĂ€mpligheten i att ISF skulle kunna vĂ€lja att tillĂ€mpa den föreslagna lagen eller lagen (2003:460) om etikprövning av forskning som avser mĂ€nniskor vid behandling av kĂ€nsliga personuppgifter. Datainspektionen ansĂ„g ocksĂ„ att de skyddsĂ„tgĂ€rder som Ă€r av central betydelse för integritetsskyddet mĂ„ste framgĂ„ av lagen för att förslaget skulle uppfylla kraven enligt regeringsformen och att det inte var tillrĂ€ckligt att reglera ett krav pĂ„ en integritetsskyddsfunktion. Även VetenskapsrĂ„det avstyrkte förslaget och ansĂ„g att behovet av

skyddsÄtgÀrder inte var tillgodosett med enbart en integritetsskydds-

19

Prop. 2023/24:146 funktion inom myndigheten. Förslagen i betÀnkandet har inte lagts till grund för lagstiftning.

20

ISF:s behov av att behandla personuppgifter

ISF:s systemtillsyn och effektivitetsgranskningar aktualiserar mÄnga olika typer av undersökningar. Inom ramen för de olika undersökningarna Àr det ofta nödvÀndigt att behandla personuppgifter. För undersökningar av rÀttstillÀmpning krÀvs ofta behandling av uppgifter om enskildas personliga förutsÀttningar och de omstÀndigheter som Àr aktuella i olika förmÄnsÀrenden. Undersökningar av handlÀggning förutsÀtter pÄ motsvarande sÀtt uppgifter om hanteringen av och förutsÀttningarna i olika individÀrenden. För att skapa kunskap om samband, exempelvis vilken eller vilka av flera faktorer som Àr avgörande för handlÀggningen av en viss frÄga, kan det vara nödvÀndigt att följa tillÀmpningen av ett visst regelverk pÄ ÀrendenivÄ. Personuppgifter Àr ocksÄ relevanta vid kontroller av att tillsynsobjektens verksamhetsprocesser fungerar som de ska. UtvÀrderingar av ÄtgÀrder och insatser inom socialförsÀkringsomrÄdet förutsÀtter information om deltagande och hur individerna pÄverkats av insatsen.

Demografiska och socioekonomiska uppgifter som beskriver individers egenskaper, t.ex. uppgifter om kön, Älder, födelseland, boende, civilstÄnd och familj anvÀnds för att kunna undersöka skillnader mellan olika grupper och vad skillnaderna beror pÄ. Som exempel kan det vid en effektutvÀrdering av en viss insats vara relevant att undersöka vad som hade hÀnt om insatsen inte hade införts. Det krÀvs dÄ förstÄelse för de mekanismer som styr deltagandet i en insats, t.ex. hur hÀlsa och sociala omstÀndigheter pÄverkar sannolikheten att en individ tar del av en insats. Detta Àr möjligt att undersöka genom att göra jÀmförelser med grupper med likartade förutsÀttningar. Det kan dÄ vara relevant att behandla uppgifter om individers hÀlsa, sysselsÀttning, inkomster, yrke, bransch och utbildning.

Även effektutvĂ€rderingar och andra granskningar pĂ„ ett mer övergripande plan förutsĂ€tter behandling av personuppgifter. För att det t.ex. ska vara möjligt att undersöka om förĂ€ndringar inom socialförsĂ€kringsomrĂ„det fĂ„tt avsedda effekter eller göra analyser av hur ett förmĂ„nssystem fungerar, krĂ€vs uppgifter frĂ„n individĂ€renden. Detsamma gĂ€ller om ISF ska analysera hur olika förmĂ„nssystem samverkar med varandra pĂ„ individnivĂ„. Vid utvĂ€rderingar av Ă„tgĂ€rder och insatser inom socialförsĂ€kringsomrĂ„det anvĂ€nds uppgifter om vilken insats en individ har deltagit i och hur individen pĂ„verkats av insatsen. Det kan ocksĂ„ vara relevant att undersöka hur ekonomiska incitament pĂ„verkar flödet inom och mellan olika förmĂ„nssystem över tid, t.ex. mellan sjukförsĂ€kringen och nĂ€rliggande system. Att ISF har tillgĂ„ng till personuppgifter Ă€r i mĂ„nga fall en förutsĂ€ttning för att myndigheten ska kunna identifiera problem och förbĂ€ttringsomrĂ„den inom socialförsĂ€kringsomrĂ„det och i grĂ€nssnitt mot andra omrĂ„den.

ISF granskar ocksÄ om regelverk och rÀttspraxis Àr tillrÀckligt vÀgledande. Det kan handla om att undersöka om lagstiftningen Àr relevant och anpassad efter samhÀllsutvecklingen och om tillsynsobjekten har förutsÀttningar för en korrekt och rÀttssÀker handlÀggning. För att ISF ska kunna genomföra denna typ av granskningar mÄste det vara möjligt för

myndigheten att söka efter praxis i olika rÀttsfallsdatabaser och hantera domar och beslut frÄn domstolar och andra myndigheter.

ISF inhÀmtar personuppgifter frÄn Àrendeakter, databaser, register och andra uppgiftssamlingar hos sÄvÀl tillsynsobjekten som andra myndigheter och organisationer. Det krÀvs ofta stora mÀngder personuppgifter för att det ska vara möjligt att göra statistiskt sÀkerstÀllda uttalanden. Ibland kan det röra sig om en stor population, exempelvis alla mellan 18 och 65 Är eller alla som har fÄtt en viss förmÄn medan det ibland rÀcker med uppgifter om mindre kretsar. Vissa uppgifter kan vara sÄdana sÀrskilda kategorier av personuppgifter (kÀnsliga personuppgifter) som avses i artikel 9 i Europaparlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning), hÀr benÀmnd EU:s dataskyddsförordning. Det handlar framför allt om uppgifter om hÀlsa, t.ex. uppgifter om ansökta och beviljade sjukförmÄner, diagnos, funktionsnedsÀttning, sjukdomshistorik och hÀlsotillstÄnd i övrigt. Myndigheten har Àven behov av att behandla andra kÀnsliga personuppgifter, se avsnitt 7.7. Uppgifterna sammanstÀlls, systematiseras och analyseras.

FörsÀkringskassan, Pensionsmyndigheten och Skatteverket ska pÄ begÀran lÀmna de uppgifter till ISF som myndigheten behöver för sin systemtillsyn och effektivitetsgranskning (4 § förordningen [1980:995] om skyldighet för FörsÀkringskassan och Pensionsmyndigheten att lÀmna uppgifter till andra myndigheter och 7 b § förordningen [2001:588] om behandling av uppgifter i Skatteverkets beskattningsverksamhet). Uppgifter frÄn FörsÀkringskassan, Pensionsmyndigheten och Skatteverket behövs Àven i stor utstrÀckning vid tillsyn och granskning av grÀnsytor och samverkansinsatser. För att kunna granska hur myndigheterna samverkar med varandra eller med andra aktörer med verksamheter som grÀnsar till socialförsÀkringsomrÄdet Àr det normalt nödvÀndigt att hÀmta in uppgifter frÄn bÄda samverkansparterna.

Andra myndigheter lÀmnar uppgifter i den mÄn det kan ske utan hinder av sekretess. Merparten av de uppgifter som anvÀnds i olika analyser begÀrs ut frÄn Statistiska centralbyrÄn (SCB), Arbetsförmedlingen och Socialstyrelsen men Àven frÄn Inspektionen för arbetslöshetsförsÀkringen (IAF) och Centrala studiestödsnÀmnden (CSN). FrÄn SCB hÀmtar ISF uppgifter om bl.a. yrke, utbildning, bransch och sektor men Àven bakgrundsvariabler som kön, Älder, födelseland, inkomst och bostadsort samt uppgifter om förmÄner och ersÀttningar. FrÄn Arbetsförmedlingen begÀrs frÀmst uppgifter om inskrivningsperioder och olika insatser vid granskning av bl.a. rehabiliteringsinsatser och samspelet med arbetslöshetsförsÀkringen. Socialstyrelsen kan lÀmna uppgifter om t.ex. socialtjÀnstinsatser, insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, vÄrdbesök, lÀkemedelsförbrukning och ekonomiskt bistÄnd. IAF kan tillhandahÄlla uppgifter om ersÀttningsperioder och utbetalningar av arbetslöshetsersÀttning. FrÄn CSN kan ISF fÄ uppgifter om studiehjÀlp och studiemedel.

Det förekommer ocksÄ att ISF begÀr personuppgifter frÄn andra myndigheter och organisationer som exempelvis Domstolsverket, Brottsförebyggande rÄdet, Kronofogdemyndigheten, Statens tjÀnstepensions-

Prop. 2023/24:146

21

Prop. 2023/24:146 verk, KriminalvÄrden, TandvÄrds- och lÀkemedelsförmÄnsverket, Skolverket, samordningsförbund, arbetslöshetskassor, Statens institutionsstyrelse och ibland Àven frÄn privata aktörer.

22

ISF har inte alltid behov av att behandla personuppgifter för att utöva tillsyn och utföra granskningar. I dokumentstudier behandlas fÄ personuppgifter och i vissa fall kan det vara tillrÀckligt att dra slutsatser utifrÄn statistik. I de flesta sammanhang behövs emellertid personuppgifter för att det ska vara möjligt att kontrollera uppgifterna och trygga relevanta och tillrÀckligt sÀkra resultat. AnvÀndning av enbart statistikuppgifter frÄn de granskade myndigheterna kan göra granskningarna begrÀnsade och orsaka bristande kvalitet eftersom helt avidentifierade uppgifter riskerar att ge otillrÀckliga svar pÄ undersökningarnas frÄgestÀllningar och leda till att myndigheten missar vÀsentliga resultat.

I de allra flesta fall behöver de personuppgifter som ISF behandlar inte vara direkt hĂ€nförliga till enskilda. I registerstudier anvĂ€nds kodade personuppgifter. Ärendeakter innehĂ„ller dock uppgifter om bl.a. namn och personnummer, och Ă€ven vid enkĂ€ter och intervjuer med enskilda Ă€r det oftast nödvĂ€ndigt att behandla personuppgifter som direkt kan hĂ€nföras till den registrerade.

En sÀrskild reglering för personuppgiftsbehandling behövs

ISF:s behandling av personuppgifter i tillsyns- och granskningsverksamheten omfattas av bestĂ€mmelserna i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestĂ€mmelser till EU:s dataskyddsförordning, hĂ€r benĂ€mnd dataskyddslagen. Detta generella regelverk ger ett visst skydd för de uppgifter som myndigheten behandlar men föreskriver inga anpassade skyddsĂ„tgĂ€rder. Den stora mĂ€ngden integritetskĂ€nsliga personuppgifter som ISF behandlar krĂ€ver ett mer anpassat skydd med bestĂ€mmelser som anger under vilka förutsĂ€ttningar det Ă€r tillĂ„tet att behandla personuppgifter i den aktuella verksamheten. För behandling av kĂ€nsliga personuppgifter som Ă€r nödvĂ€ndig för att utföra en uppgift av viktigt allmĂ€nt intresse krĂ€ver EU:s dataskyddsförordning ocksĂ„ bestĂ€mmelser om lĂ€mpliga och sĂ€rskilda Ă„tgĂ€rder för att sĂ€kerstĂ€lla den registrerades grundlĂ€ggande rĂ€ttigheter och intressen (artikel 9.2 g). Även vid behandling av personuppgifter för statistik- och forskningsĂ€ndamĂ„l krĂ€vs bestĂ€mmelser om lĂ€mpliga och sĂ€rskilda Ă„tgĂ€rder för att sĂ€kerstĂ€lla den registrerades grundlĂ€ggande rĂ€ttigheter och intressen (artikel 9.2 j).

Regeringen har i propositionen Behandling av personuppgifter för forskningsÀndamÄl bedömt att en etikprövning av Etikprövningsmyndigheten Àr en sÄdan i nationell rÀtt faststÀlld lÀmplig och sÀrskild ÄtgÀrd som krÀvs enligt artikel 9.2 j i EU:s dataskyddsförordning vid behandling av kÀnsliga personuppgifter för forskningsÀndamÄl (prop. 2017/18:298 s. 87 och 88). ISF kan sÄledes behandla kÀnsliga personuppgifter i forskningsprojekt under förutsÀttning att forskningen har godkÀnts av Etikprövningsmyndigheten. För projekt som inte har forskningsinslag krÀvs dock andra skyddsÄtgÀrder. I en registerförfattning Àr det möjligt att faststÀlla en ram för personuppgiftsbehandlingen genom att ange under vilka förutsÀttningar personuppgifter fÄr behandlas och vilka skyddsÄtgÀrder som ska gÀlla för personuppgiftsbehandlingen. SkyddsÄtgÀrderna kan gÀlla oavsett om projektet bedrivs som ett

forskningsprojekt eller inte utgör forskning, varvid ett mer förutsÀgbart och generellt gÀllande skydd för den personliga integriteten sÀkerstÀlls.

FörsÀkringskassan, Pensionsmyndigheten och Skatteverket ska pÄ begÀran lÀmna de uppgifter till ISF som inspektionen behöver för sin systemtillsyn och effektivitetsgranskning. Behandling av personuppgifter hos sÄvÀl FörsÀkringskassan och Pensionsmyndigheten som Skatteverket omfattas av registerförfattningar som beaktar de sÀrskilda behov och risker som finns i de olika myndigheternas verksamheter. Registerförfattningarna bidrar till att myndigheterna kan fullgöra sina uppgifter pÄ ett effektivt och ÀndamÄlsenligt sÀtt samtidigt som de registrerades rÀttigheter och skyddet för den personliga integriteten sÀkerstÀlls. Enligt regeringen bör skyddet för personuppgifter som utgÄngspunkt inte vara mindre omfattande vid ISF Àn vad det Àr vid de myndigheter som lÀmnar uppgifter till ISF.

Behovet av skydd för personuppgifter kan bÀst tillgodoses genom en sÀrskild reglering för personuppgiftsbehandlingen vid ISF. Genom en sÄdan reglering Àr det möjligt att ta hÀnsyn till de sÀrskilda behov som finns i myndighetens verksamhet samtidigt som ett starkt skydd för enskildas personliga integritet upprÀtthÄlls. Regleringen skapar ocksÄ tydlighet och transparens för sÄvÀl tillÀmpare som de registrerade och övrig allmÀnhet. Regeringen anser dÀrför att en sÀrskild författning som reglerar behandlingen av personuppgifter i ISF:s tillsyns- och granskningsverksamhet bör införas.

SÀrskilda bestÀmmelser Àr tillÄtna enligt EU:s dataskyddsförordning och dataskyddslagen

EU:s dataskyddsförordning Àr direkt tillÀmplig men förutsÀtter och tillÄter nationella bestÀmmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gÀller sÀrskilt sÄdan behandling som sker inom den offentliga sektorn. Enligt artikel 6.2 fÄr medlemsstaterna behÄlla eller införa mer specifika bestÀmmelser för att anpassa tillÀmpningen av bestÀmmelserna i förordningen nÀr det gÀller behandling som sker för att fullgöra en rÀttslig förpliktelse enligt artikel 6.1 c eller för en uppgift av allmÀnt intresse eller myndighetsutövning enligt 6.1 e. Detta fÄr ske genom att medlemsstaterna nÀrmare faststÀller specifika krav för personuppgiftsbehandlingen och andra ÄtgÀrder för att sÀkerstÀlla en laglig och rÀttvis behandling. I avsnitt 7.6.1 görs bedömningen att behandling av personuppgifter i ISF:s tillsyns- och granskningsverksamhet sker med stöd av den rÀttsliga grunden uppgift av allmÀnt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Det Àr dÀrför tillÄtet att införa nationella bestÀmmelser som anpassar tillÀmpningen av dataskyddsförordningen.

Enligt artikel 6.3 i EU:s dataskyddsförordning ska den rÀttsliga grunden faststÀllas i unionsrÀtten eller i nationell rÀtt vid behandling enligt artikel

6.1c eller e. Den rÀttsliga grunden kan innehÄlla sÀrskilda bestÀmmelser om bl.a. de allmÀnna villkor som ska gÀlla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna fÄr lÀmnas ut och för vilka ÀndamÄl, ÀndamÄlsbegrÀnsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet ÄtgÀrder för att tillförsÀkra en laglig och rÀttvis behandling. I enlighet med skÀl 8 i EU:s

Prop. 2023/24:146

23

Prop. 2023/24:146 dataskyddsförordning kan medlemsstaterna dessutom under vissa förutsÀttningar, och i den utstrÀckning det Àr nödvÀndigt för samstÀmmigheten och för att göra de nationella reglerna begripliga, införliva delar av förordningen i nationell rÀtt. Vissa rÀttigheter och skyldigheter enligt dataskyddsförordningen fÄr enligt artikel 23 begrÀnsas i den nationella rÀtten under förutsÀttning att det sker med respekt för de grundlÀggande rÀttigheterna och friheterna och utgör en nödvÀndig och proportionerlig ÄtgÀrd i ett demokratiskt samhÀlle.

Dataskyddslagen innehÄller bestÀmmelser som kompletterar EU:s dataskyddsförordning pÄ ett generellt plan i svensk rÀtt. Dataskyddslagen Àr subsidiÀr i förhÄllande till annan lag eller förordning, vilket gör det möjligt att ha avvikande bestÀmmelser i sektorsspecifika registerförfattningar.

Regleringen bör ske i lag

Som beskrivs i avsnitt 5.3 finns det i regeringsformen, förkortad RF, grundlÀggande bestÀmmelser till skydd för den personliga integriteten. Var och en Àr gentemot det allmÀnna skyddad mot betydande intrÄng i den personliga integriteten, om det sker utan samtycke och innebÀr övervakning eller kartlÀggning av den enskildes personliga förhÄllanden (2 kap. 6 § andra stycket RF). Begreppet enskildas personliga förhÄllanden har samma innebörd som i sekretesslagstiftningen och avser alltsÄ bl.a. namn och andra identifikationsuppgifter, adress, familjeförhÄllanden, hÀlsa, fotografisk bild, uppgift om anstÀllning och en persons ekonomi (propositionen En reformerad grundlag [prop. 2009/10:80 s. 177]).

Vid bedömningen av om en Ă„tgĂ€rd innebĂ€r kartlĂ€ggning ska Ă„tgĂ€rdens effekter snarare Ă€n det huvudsakliga syftet med Ă„tgĂ€rden beaktas (prop. 2009/10:80 s. 180–182). Som framgĂ„r av avsnitt 4.4 behandlar ISF stora mĂ€ngder uppgifter som rör enskildas personliga förhĂ„llanden inom sin tillsyns- och granskningsverksamhet. Uppgifterna kan avse enskilda i livets alla faser och röra bĂ„de privatliv och arbetsliv. Det handlar om allt frĂ„n olika demografiska och socioekonomiska uppgifter om Ă„lder, kön, boende, civilstĂ„nd, yrke och utbildning till uppgifter om sysselsĂ€ttning, löneinkomster, behov av ekonomiskt stöd och kĂ€nsliga personuppgifter. Uppgifterna hĂ€mtas frĂ„n flera olika myndigheter och organisationer och behandlingen berör bĂ„de en stor del av Sveriges befolkning och mĂ€nniskor i andra lĂ€nder. Syftet Ă€r att skapa en bred bild av individerna för analysĂ€ndamĂ„l. I dessa fall fĂ„r behandlingen av personuppgifter anses innebĂ€ra en kartlĂ€ggning av enskildas personliga förhĂ„llanden enligt regeringsformen.

Vad som utgör ett betydande intrĂ„ng avgörs utifrĂ„n bl.a. uppgifternas karaktĂ€r och omfattning samt Ă€ndamĂ„let med behandlingen (prop. 2009/10:80 s. 183 och 184). Även om ISF:s verksamhet har ett kvalitetsfokus och myndigheten inte fattar beslut som fĂ„r konsekvenser för enskilda, bör myndighetens personuppgiftsbehandling mot bakgrund av uppgifternas omfattning och behandlingens integritetskĂ€nsliga karaktĂ€r till övervĂ€gande del anses kunna utgöra ett betydande intrĂ„ng i den mening som avses i regeringsformen. Personuppgiftsbehandlingen bedöms dĂ€rmed utgöra ett sĂ„dant betydande integritetsintrĂ„ng som avses i 2 kap.

24

6 § andra stycket RF. Behandlingen sker i de flesta fall utan samtycke frÄn Prop. 2023/24:146 den enskilde.

Skyddet för den personliga integriteten Àr inte absolut och kan under vissa förutsÀttningar begrÀnsas med hÀnsyn till andra motstÄende intressen. En sÄdan begrÀnsning mÄste enligt 2 kap. 20 § RF göras genom lag. Integritetsskyddskommittén, som lÀmnade förslaget till grundlagsbestÀmmelsen i 2 kap. 6 § andra stycket RF, konstaterade att de frÄn integritetsskyddssynpunkt viktigaste momenten i hanteringen handlar om hur uppgifter om enskilda fÄr samlas in, ÀndamÄlet med behandlingen och i vilken utstrÀckning uppgifter pÄ grund av uppgiftsskyldighet, som alltsÄ bryter sekretess som gÀller för uppgifterna, ska lÀmnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skÀl (Skyddet för den personliga integriteten [SOU 2008:3 s. 272]). SÄdana bestÀmmelser bör dÀrmed meddelas i lag. Riksdagen och regeringen har tidigare ocksÄ uttalat att myndighetsregister med ett stort antal registrerade och ett sÀrskilt kÀnsligt innehÄll ska regleras sÀrskilt i lag (propositionen om offentlighet, integritet och ADB [prop. 1990/91:60 s. 58] och utskottsbetÀnkandet Offentlighet, integritet och ADB [bet. 1990/91:KU11 s. 11]). Uttalandena har med Ären kommit att tillÀmpas pÄ sÄvÀl regleringen av regelrÀtta register som myndigheters behandling av personuppgifter i stort (propositionen Personuppgiftslag [prop. 1997/98:44 s. 41], utskottsbetÀnkandet Personuppgiftslag [bet. 1997/98:KU18 s. 43], propositionen Registrering av fastighetsrÀttsliga förhÄllanden, m.m. [prop. 1999/2000:39 s. 78] och prop. 2009/10:80 s. 183).

En sÀrskild lag om behandling av personuppgifter vid Inspektionen för socialförsÀkringen

Det finns ett behov av att sÀrskilt reglera behandlingen av personuppgifter vid ISF. Regleringen bör faststÀlla en ram för personuppgiftsbehandlingen och innehÄlla anpassade skyddsÄtgÀrder som ger ISF möjlighet att behandla kÀnsliga personuppgifter i sin tillsyns- och granskningsverksamhet. Samtidigt ska regleringen sÀkerstÀlla ett tillfredsstÀllande skydd för den personliga integriteten. Regleringen bör ske i lag.

PÄ socialförsÀkringsomrÄdet samlas gÀllande lagstiftning i socialförsÀkringsbalken, förkortad SFB. I socialförsÀkringsbalken finns bl.a. regleringen av FörsÀkringskassans och Pensionsmyndighetens behandling av personuppgifter. Om Àven bestÀmmelser om ISF:s behandling av personuppgifter fördes in i socialförsÀkringsbalken skulle det ge en bra överblick över hanteringen av de personuppgifter som lÀmnas inom socialförsÀkringsomrÄdet. ISF granskar dock Àven andra myndigheter, bl.a. Skatteverket och Arbetsförmedlingen, vars personuppgiftsbehandling regleras i andra lagar. ISF Àr inte heller en del av socialförsÀkringens administration (jfr 2 kap. 2 § SFB). Med hÀnsyn till detta och för att markera att ISF Àr en fristÄende myndighet och inte en del av de verksamheter som myndigheten granskar, föreslÄr regeringen att regleringen inte ska ingÄ i socialförsÀkringsbalken utan införas i en sÀrskild lag om behandling av personuppgifter vid Inspektionen för socialförsÀkringen.

25

Prop. 2023/24:146 7 En lag om behandling av personuppgifter
  vid Inspektionen för socialförsÀkringen
7.1 Lagens tillÀmpningsomrÄde

Regeringens förslag: Lagen ska gÀlla vid behandling av personuppgifter i sÄdan verksamhet vid Inspektionen för socialförsÀkringen som avser systemtillsyn och effektivitetsgranskning.

Lagen ska gÀlla endast om behandlingen Àr helt eller delvis automatiserad eller om personuppgifterna ingÄr i eller kommer att ingÄ i ett register.

Promemorians förslag överensstÀmmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invÀnda mot

det.

SkÀlen för regeringens förslag

Lagen bör gÀlla i tillsyns- och granskningsverksamheten

Inspektionen för socialförsĂ€kringen (ISF) ska enligt förordningen (2009:602) med instruktion för Inspektionen för socialförsĂ€kringen, hĂ€r benĂ€mnd instruktionen, genom systemtillsyn och effektivitetsgranskning vĂ€rna rĂ€ttssĂ€kerheten och effektiviteten inom socialförsĂ€kringsomrĂ„det. Myndighetens uppgifter framgĂ„r av 1–4 §§ instruktionen och beskrivs i avsnitt 4. Enligt regeringen bör den nya lagens tillĂ€mpningsomrĂ„de omfatta personuppgiftsbehandling som utförs med anledning av dessa uppgifter. Lagen bör dĂ€rmed vara tillĂ€mplig vid behandling av personuppgifter i sĂ„dan verksamhet vid ISF som avser systemtillsyn och effektivitetsgranskning.

ISF behandlar ocksÄ personuppgifter med anledning av myndighetsintern administration. Det handlar bl.a. om personal- och lokalfrÄgor, ekonomiadministration och hantering av inkomna skrivelser frÄn enskilda som inte rör tillsyns- och granskningsverksamheten. Behandling av personuppgifter i den administrativa verksamheten har inte nÄgon nÀrmare koppling till fullgörandet av de uppgifter som myndigheten ska utföra enligt sin instruktion. Inte heller skiljer den sig nÀmnvÀrt frÄn den behandling som utförs av andra myndigheter eller enskilda företag. ISF:s behandling av personuppgifter inom den administrativa verksamheten bör dÀrför inte omfattas av lagen. I stÀllet bör den allmÀnna dataskyddsregleringen Àven fortsÀttningsvis tillÀmpas inom den verksamheten.

Lagen bör gÀlla automatiserad behandling och behandling i register

Europaparlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning), hÀr benÀmnd EU:s dataskyddsförordning, ska tillÀmpas pÄ sÄdan behandling av personuppgifter som helt eller delvis företas pÄ automatisk vÀg samt pÄ

annan behandling Àn automatisk av personuppgifter som ingÄr i eller

26

kommer att ingÄ i ett register (artikel 2.1). Med register avses en Prop. 2023/24:146
strukturerad samling av personuppgifter som Àr tillgÀnglig enligt sÀrskilda
kriterier, oavsett om samlingen Àr centraliserad, decentraliserad eller
spridd pÄ grundval av funktionella eller geografiska förhÄllanden (artikel
4.6). Regeringen anser att tillÀmpningsomrÄdet för den föreslagna lagen
bör följa tillÀmpningsomrÄdet för EU:s dataskyddsförordning och dÀrför
omfatta samma slags behandlingar.  
I registerförfattningar har ofta uttrycket ”en strukturerad samling av
personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning
enligt sĂ€rskilda kriterier” anvĂ€nts för att beteckna register. I register-
författningar frÄn senare Är anvÀnds dock uttrycket register utan att det
definieras i lagen, se t.ex. lagen (2019:663) om behandling av person-
uppgifter vid Myndigheten för arbetsmiljökunskap, lagen (2020:421) om
RĂ€ttsmedicinalverkets behandling av personuppgifter och 114 kap.
socialförsÀkringsbalken, förkortad SFB. Regeringen bedömer dÀrför att
uttrycket register bör anvÀndas Àven i den föreslagna lagen. Uttrycket bör
ha samma definition som i EU:s dataskyddsförordning och behöver inte
definieras i lagen. Lagen föreslÄs dÀrmed gÀlla om behandlingen Àr helt
eller delvis automatiserad eller om personuppgifterna ingÄr i eller kommer
att ingÄ i ett register.  
Helt manuell behandling av personuppgifter som inte ingÄr eller
kommer att ingÄ i ett register faller utanför den föreslagna lagens
tillÀmpningsomrÄde. Lagen kommer dÀrmed inte att gÀlla vid t.ex. helt
manuell granskning av Àrendeakter. DÀremot kommer en delvis
automatiserad granskning av Àrendeakter, nÀr ISF registrerar löpnummer
och ett urval av uppgifter frÄn Àrendeakterna i ett digitalt verktyg, att
omfattas av lagens tillÀmpningsomrÄde.  
7.2 FörhÄllandet till annan dataskyddsreglering  
   
Regeringens förslag: Lagen ska innehÄlla en upplysning om att den  
kompletterar EU:s dataskyddsförordning.  
I lagen ska det ocksÄ anges att dataskyddslagen och föreskrifter som  
har meddelats i anslutning till den lagen gÀller, om inte annat följer av  
den föreslagna lagen eller föreskrifter som har meddelats i anslutning  
till lagen.    
   
Promemorians förslag överensstÀmmer med regeringens förslag.  
Remissinstanserna tillstyrker förslaget eller har inget att invÀnda mot  
det. Justitiekanslern noterar att s.k. upplysningsbestÀmmelser förekommer  
i flera andra lagar som tar sikte pÄ behandling av personuppgifter inom  
den offentliga verksamheten och för fram att det i det fortsatta  
lagstiftningsarbetet kan finnas anledning att nÀrmare övervÀga det  
eventuella behovet av en sÀrskild upplysningsbestÀmmelse.  
SkÀlen för regeringens förslag: EU:s dataskyddsförordning Àr direkt  
tillÀmplig i varje medlemsstat och har företrÀde framför nationell  
lagstiftning. Av propositionen Ny dataskyddslag framgÄr att principen om  
unionsrÀttens företrÀde innebÀr att en bestÀmmelse i en registerförfattning  
fÄr tillÀmpas endast om den Àr förenlig med EU:s dataskyddsförordning  
och avser en frÄga som enligt förordningen fÄr sÀrregleras eller 27

Prop. 2023/24:146 specificeras genom nationell rÀtt (prop. 2017/18:105 s. 27). För att det ska bli tydligt för tillÀmparen hur de olika regleringarna förhÄller sig till varandra, bör en bestÀmmelse med upplysning om att den föreslagna lagen kompletterar EU:s dataskyddsförordning tas in i lagen.

Lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning, hÀr benÀmnd dataskyddslagen, kompletterar EU:s dataskyddsförordning pÄ en generell nivÄ. Dataskyddslagen Àr subsidiÀr och gÀller om inget annat följer av en annan lag eller förordning (1 kap. 6 §). Registerförfattningar innehÄller ofta en upplysning om att det kan finnas tillÀmpliga bestÀmmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av den aktuella lagen (jfr propositionen Dataskydd inom Socialdepartementets verksamhetsomrÄde

–en anpassning till EU:s dataskyddförordning [prop. 2017/18:171 s. 73]). Även den nu föreslagna lagen bör av tydlighetsskĂ€l innehĂ„lla en sĂ„dan upplysning.

Regeringen gör bedömningen att det inte kommer att bli aktuellt att meddela föreskrifter med stöd av regeringens restkompetens (8 kap. 7 § första stycket 2 regeringsformen, förkortad RF). Det saknas dĂ€rmed behov av en sĂ„dan upplysningsbestĂ€mmelse som Justitiekanslern avser. I likhet med bedömningen som görs i promemorian anser regeringen att det saknas behov av ett normgivningsbemyndigande. DĂ€remot kan regeringen komma att meddela föreskrifter om verkstĂ€llighet med stöd av 8 kap. 7 § första stycket 1 RF. Föreskrifter om verkstĂ€llighet kan meddelas utan att en upplysningsbestĂ€mmelse införs i den nya lagen. Även sĂ„dana föreskrifter bör ha företrĂ€de framför dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, vilket bör framgĂ„ uttryckligen av den nya lagen.

  7.3 Uppgifter om avlidna personer
   
  Regeringens förslag: Vid behandling av uppgifter om avlidna personer
  ska lagen och föreskrifter som har meddelats i anslutning till lagen,
  EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som har
  meddelats i anslutning till den lagen gÀlla i tillÀmpliga delar.
   
  Promemorians förslag överensstÀmmer med regeringens förslag.
  Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller
  har inget att invÀnda mot det. Skatteverket anser att det Àr mer
  ÀndamÄlsenligt att ange vilka bestÀmmelser som ska vara tillÀmpliga pÄ
  uppgifter om avlidna personer. Pensionsmyndigheten efterfrÄgar en
  redogörelse för vilka delar i lagen som blir tillÀmpliga pÄ uppgifter om
  avlidna personer. Enligt UmeÄ universitet bör det framgÄ av regleringen
  att efterlevande inte övertar de rÀttigheter som tillkom den avlidne nÀr
  denne var i livet.
  SkÀlen för regeringens förslag: NÀr uppgifter inhÀmtas frÄn bl.a.
  FörsÀkringskassan, Pensionsmyndigheten och Skatteverket i syfte att
  utgöra underlag vid tillsyn och granskningar, kan uppgifterna i viss
  utstrÀckning avse avlidna personer. SÄdana uppgifter omfattas ofta av
28 dataskyddsbestÀmmelser hos den utlÀmnande myndigheten. BestÀm-

melser i 114 kap. SFB, som reglerar behandling av personuppgifter i FörsÀkringskassans och Pensionsmyndighetens verksamheter, gÀller i tillÀmpliga delar för uppgifter om avlidna personer (114 kap. 5 § SFB). Av 1 kap. 1 § andra stycket lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och 1 kap. 1 § andra stycket lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet framgÄr att de bÄda lagarna gÀller till stor del för uppgifter om avlidna personer. Regeringen bedömer att det Àr lÀmpligt att uppgifter som ISF hÀmtar in frÄn FörsÀkringskassan, Pensionsmyndigheten och Skatteverket omfattas av dataskyddsbestÀmmelser Àven hos ISF. Eftersom ISF till övervÀgande del hanterar uppgifter som inte direkt kan hÀnföras till den registrerade, saknar myndigheten dessutom oftast möjlighet att sÀrskilja sÄdana uppgifter som avser avlidna personer frÄn övriga uppgifter. Regeringen föreslÄr dÀrför att den nya lagen och eventuella föreskrifter som meddelats i anslutning till lagen bör gÀlla för samtliga individrelaterade uppgifter, inklusive uppgifter om avlidna personer.

För att fÄ en enhetlig och heltÀckande reglering bör Àven EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen gÀlla för uppgifter om avlidna. EU:s dataskyddsförordning Àr inte tillÀmplig pÄ uppgifter om avlidna personer (skÀl 27) och medlemsstaterna fÄr alltsÄ sjÀlva bestÀmma vad som ska gÀlla för sÄdana uppgifter, t.ex. att behandlingen ska omfattas av samma krav som gÀller för personuppgifter enligt förordningen.

I huvudsak bör samma krav gÀlla för uppgifter om avlidna personer som för personuppgifter. Exempelvis bör ÀndamÄlsbestÀmmelser, krav för behandling av kÀnsliga personuppgifter och de principer som följer av artikel 5 i EU:s dataskyddsförordning gÀlla för uppgifter om avlidna personer. Regleringen bör emellertid inte gÀlla fullt ut för uppgifter om avlidna. Som regeringen konstaterar i propositionen StÀrkt integritet i RÀttsmedicinalverkets verksamhet Àr bestÀmmelser som pÄ nÄgot sÀtt krÀver den registrerades agerande eller medverkan i övrigt inte tillÀmpliga pÄ avlidna personer. NÄgon möjlighet för efterlevande eller andra att överta rÀttigheter som tillkom den avlidne nÀr denne var i livet finns inte heller (prop. 2019/20:106 s. 32). Det innebÀr t.ex. att bestÀmmelser om rÀtten till information, rÀtten till skadestÄnd och möjligheten att begÀra rÀttelse av registrerades personuppgifter inte Àr tillÀmpliga i förhÄllande till avlidna. Regeringen anser, till skillnad frÄn UmeÄ universitet, att detta inte uttryckligen behöver anges i lagen. Den lagtekniska lösningen Àr i linje med den som anvÀnds i t.ex. lagen om RÀttsmedicinalverkets behandling av personuppgifter, patientdatalagen (2008:355) och i 114 kap. 5 § SFB, dÀr tillÀmpningsomrÄdet utstrÀckts till att Àven omfatta personer som inte lÀngre Àr i livet. Regeringen bedömer att en sÄdan reglering Àr ÀndamÄlsenlig och att nÄgot sÄdant ytterligare förtydligande av vilka bestÀmmelser som ska gÀlla för uppgifter om avlidna personer, som Skatteverket och Pensionsmyndigheten efterfrÄgar, inte behövs.

Prop. 2023/24:146

29

Prop. 2023/24:146 7.4 BegrÀnsning av rÀtten att göra invÀndningar

Regeringens förslag: RÀtten att göra invÀndningar enligt artikel 21.1 i EU:s dataskyddsförordning ska inte gÀlla vid sÄdan behandling av personuppgifter som Àr tillÄten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen.

RÀtten att göra invÀndningar ska dock gÀlla nÀr personuppgifterna samlas in direkt frÄn den enskilde.

Promemorians förslag överensstÀmmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invÀnda mot det. Sveriges advokatsamfund anser att det, givet mÀngden personuppgifter och deras karaktÀr, Àr olÀmpligt att de registrerade generellt frÄntas sin rÀtt att invÀnda mot behandlingen.

SkÀlen för regeringens förslag

Den registrerades rÀtt att göra invÀndningar

Den registrerade har enligt EU:s dataskyddsförordning rÀtt att göra invÀndningar mot sÄdan behandling av personuppgifter avseende honom eller henne som grundar sig pÄ att behandlingen Àr nödvÀndig för att utföra en uppgift av allmÀnt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 21.1). RÀtten att invÀnda mot behandlingen av personuppgifter Àr begrÀnsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl i enlighet med artikel 89.1. I sÄdana fall har den registrerade bara rÀtt att göra invÀndningar om behandlingen inte Àr nödvÀndig för att utföra en uppgift av allmÀnt intresse (artikel 21.6). All forskning som ISF utför bedöms vara en uppgift av allmÀnt intresse (se avsnitt 7.7). Den registrerade har sÄledes inte rÀtt att göra invÀndningar mot sÄdan behandling av personuppgifter som motiveras av ISF:s forskning.

NÀr den registrerade invÀnder mot behandling av personuppgifter mÄste den personuppgiftsansvarige kunna visa tvingande berÀttigade skÀl för behandlingen som vÀger tyngre Àn den registrerades intressen (artikel 21.1). Om det saknas berÀttigade skÀl för behandlingen som vÀger tyngre, har den registrerade rÀtt att fÄ personuppgifterna raderade (artikel 17.1 c).

RÀtten att göra invÀndningar bör begrÀnsas

NÀr ISF inhÀmtar personuppgifter frÄn andra myndigheter, kodar den utlÀmnande myndigheten i de flesta fall uppgifterna genom att ersÀtta personuppgifter som direkt kan hÀnföras till den registrerade med ett löpnummer. NÀr sÄ sker behÄller den utlÀmnande myndigheten vanligtvis ocksÄ kodnyckeln. De personuppgifter som ISF behandlar saknar sÄledes ofta koppling till personnummer eller annan liknande identitetsbeteckning. För att hantera en invÀndning i frÄga om sÄdana uppgifter skulle ISF i praktiken vara tvungen att försöka hÀrleda uppgifter som Àr kopplade till löpnummer till en enskild person. En sÄdan ordning skulle i sig kunna innebÀra en integritetskrÀnkning och Àr i de flesta fall inte heller möjlig.

Det finns inte heller nÄgon skyldighet enligt EU:s dataskyddsförordning

30

att bevara, förvÀrva eller behandla ytterligare information för att identifiera den registrerade i syfte att hantera en invÀndning (artikel 11).

Det förekommer att ISF har behov av uppgifter som kan hĂ€nföras till ett personnummer eller liknande identitetsbeteckning. SĂ„ Ă€r fallet nĂ€r myndigheten hĂ€mtar in uppgifter frĂ„n flera olika objekt och sjĂ€lv ombesörjer samkörningar. Även vid bl.a. aktstudier behandlas personuppgifter som direkt kan hĂ€nföras till den registrerade. Enligt Sveriges advokatsamfund Ă€r det, givet mĂ€ngden personuppgifter och deras karaktĂ€r, olĂ€mpligt att de registrerade generellt frĂ„ntas sin rĂ€tt att invĂ€nda mot ISF:s behandling av personuppgifter. Regeringen anser att det Ă€r av stor betydelse att personuppgifter fĂ„r behandlas i ISF:s verksamhet oberoende av den registrerades instĂ€llning. Underlag vid olika undersökningar bör vĂ€ljas ut baserat pĂ„ statistiska urvalsmetoder utan att invĂ€ndningar frĂ„n registrerade pĂ„verkar urvalet. ISF:s berĂ€ttigade skĂ€l att behandla personuppgifter för att kunna utföra sitt uppdrag vĂ€ger sĂ„ledes i regel tyngre Ă€n den registrerades intressen. Det kan under sĂ„dana omstĂ€ndigheter, i likhet med vad regeringen har konstaterat i frĂ„ga om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och Institutet för arbetsmarknads- och utbildningspolitisk utvĂ€rdering, inte anses motiverat att ISF i varje enskilt fall ska behöva pĂ„visa tvingande berĂ€ttigade skĂ€l för behandlingen som vĂ€ger tyngre Ă€n den registrerades intressen innan myndigheten kan fortsĂ€tta behandla personuppgifterna (jfr propositionen Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap [prop. 2018/19:151 s. 17 och 18], propositionen Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvĂ€rdering [prop. 2011/12:176 s. 22 och 23], propositionen Anpassningar av registerförfattningar pĂ„ arbetsmarknadsomrĂ„det till EU:s dataskyddsförordning [prop. 2017/18:112 s. 51 och 52] och prop. 2023/24:29 s. 25).

Det Àr möjligt att i nationell rÀtt begrÀnsa rÀtten att göra invÀndningar om begrÀnsningen sker med respekt för andemeningen i de grundlÀggande rÀttigheterna och friheterna och utgör en nödvÀndig och proportionell ÄtgÀrd i ett demokratiskt samhÀlle i syfte att sÀkerstÀlla vissa upprÀknade intressen (artikel 23.1 i EU:s dataskyddsförordning). Dessa intressen innefattar bl.a. viktiga mÄl av generellt allmÀnt intresse, dÀribland folkhÀlsa och social trygghet (punkt e). ISF:s tillsyns- och granskningsverksamhet syftar till att vÀrna rÀttssÀkerheten och effektiviteten inom socialförsÀkringsomrÄdet, som Àr en del av det sociala trygghetssystemet. Regeringen har ansett att bedrivande av verksamhet inom bl.a. socialförsÀkring och pensioner, inklusive den administration dessa verksamheter krÀver, Àr ett sÄdant allmÀnt intresse som avses i artikel

23.1e i EU:s dataskyddsförordning (prop. 2017/18:171 s. 189). Eftersom ISF:s verksamhet avser att sÀkerstÀlla att socialförsÀkringen fungerar pÄ det sÀtt som Àr tÀnkt, anser regeringen att Àven myndighetens tillsyn och granskningar fÄr anses utgöra ett sÄdant allmÀnt intresse (jfr avsnitt 7.6.1). Som konstateras ovan vÀger ISF:s intresse av att behandla personuppgifter för att kunna utföra sitt uppdrag i regel tyngre Àn den registrerades intressen. ISF saknar ocksÄ i de flesta fall möjlighet att tillgodose en invÀndning som avser personuppgifter som inte direkt kan hÀnföras till en registrerad. En begrÀnsning av rÀtten att göra invÀndningar fÄr dÀrmed

Prop. 2023/24:146

31

Prop. 2023/24:146 anses bÄde nödvÀndig och proportionerlig i enlighet med artikel 23.1 e i EU:s dataskyddsförordning.

Vid en eventuell begrÀnsning enligt artikel 23.1 i EU:s dataskyddsförordning ska det, nÀr sÄ Àr relevant, finnas vissa specifika bestÀmmelser om bl.a. ÀndamÄlen med behandlingen eller kategorierna av behandling och lagringstiden samt tillgÀngliga skyddsÄtgÀrder med beaktande av behandlingens art, omfattning och ÀndamÄl eller kategorierna av behandling (artikel 23.2 i EU:s dataskyddsförordning). Förslaget till ny lag omfattar bestÀmmelser om bl.a. ÀndamÄl med behandlingen och ett flertal olika skyddsÄtgÀrder. Denna reglering anger en förhÄllandevis snÀv ram för personuppgiftsbehandlingen och minimerar risken för krÀnkning av den registrerades rÀttigheter och friheter. Den fÄr dÀrmed anses uppfylla de krav som uppstÀlls i artikel 23.2 i EU:s dataskyddsförordning.

Regeringen bedömer sammanfattningsvis att rÀtten att göra invÀndningar enligt artikel 21.1 i EU:s dataskyddsförordning som huvudregel inte bör gÀlla vid sÄdan behandling av personuppgifter som Àr tillÄten enligt den föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgifter som samlas in direkt frÄn den enskilde

Vid behandling av personuppgifter som samlats in direkt frÄn den enskilde, t.ex. genom enkÀt- eller intervjuförfaranden, vÀger skÀlen för ett undantag frÄn rÀtten att göra invÀndningar inte lika tungt som nÀr uppgifterna har samlats in frÄn nÄgon annan. En enskild som vÀljer att delta i en studie och lÀmna sina uppgifter till myndigheten bör sÄ lÄngt som möjligt ges inflytande över uppgifterna. SÄdana personuppgifter som samlas in frÄn den enskilde sjÀlv Àr dessutom ofta direkt hÀnförliga till den registrerade. Det innebÀr att det i större utstrÀckning Àr praktiskt möjligt att tillgodose rÀtten att göra invÀndningar. Direkt hÀnförliga personuppgifter bör i den mÄn det Àr möjligt ocksÄ omfattas av ett starkare skydd Àn andra uppgifter.

I avsnitt 7.13 föreslÄs att personuppgifter som samlas in direkt frÄn den enskilde endast ska fÄ behandlas om den enskilde har lÀmnat sitt uttryckliga medgivande till behandlingen. Ett medgivande ska kunna Äterkallas, varvid personuppgifter som omfattas av det Äterkallade medgivandet ska raderas. Samma skÀl som gör sig gÀllande vid den bedömningen Àr relevanta hÀr.

RÀtten att göra invÀndningar enligt artikel 21.1 i EU:s dataskyddsförordning bör enligt regeringen dÀrför inte begrÀnsas nÀr det gÀller sÄdana personuppgifter som samlas in direkt frÄn den enskilde.

7.5Personuppgiftsansvar

Regeringens förslag: Inspektionen för socialförsÀkringen ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.

Promemorians förslag överensstÀmmer med regeringens förslag.

32

Remissinstanserna tillstyrker förslaget eller har inget att invÀnda mot Prop. 2023/24:146 det.

SkÀlen för regeringens förslag: Uttrycket personuppgiftsansvarig Àr centralt inom all dataskyddsreglering. Den personuppgiftsansvarige Àr skyldig att se till att behandling av personuppgifter sker i enlighet med gÀllande bestÀmmelser och enskilda ska alltid kunna vÀnda sig till den personuppgiftsansvarige för att göra sina rÀttigheter gÀllande. Den personuppgiftsansvarige ska exempelvis ansvara för och kunna visa att de grundlÀggande principerna i artikel 5.1 i EU:s dataskyddsförordning efterlevs (artikel 5.2). DÀrutöver ska den personuppgiftsansvarige bl.a. genomföra lÀmpliga tekniska och organisatoriska ÄtgÀrder för att sÀkerstÀlla och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning (artikel 24.1) och för att sÀkerstÀlla en lÀmplig sÀkerhetsnivÄ (artikel 32.1).

Av definitionen i artikel 4.7 i EU:s dataskyddsförordning framgÄr att med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestÀmmer ÀndamÄlen och medlen för behandlingen av personuppgifter. Om ÀndamÄlen eller medlen för behandlingen bestÀms i unionsrÀtten eller medlemsstaternas nationella rÀtt, kan den personuppgiftsansvarige eller de sÀrskilda kriterierna för hur denne ska utses föreskrivas i unionsrÀtten eller i medlemsstaternas nationella rÀtt. Det Àr alltsÄ tillÄtet att i nationell rÀtt ange vem som Àr personuppgiftsansvarig för en viss behandling av personuppgifter.

Registerförfattningar innehÄller regelmÀssigt en reglering av vem som Àr personuppgiftsansvarig. NÀr ISF behandlar personuppgifter inom ramen för sin tillsyns- och granskningsverksamhet, finns det oftast inga oklarheter i frÄga om personuppgiftsansvaret. En bestÀmmelse om personuppgiftsansvar bidrar dock till tydlighet för bÄde myndigheten och de registrerade. Regeringen anser dÀrför att det bör framgÄ av den nya lagen att ISF Àr personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför inom lagens tillÀmpningsomrÄde.

7.6ÄndamĂ„l för behandling av personuppgifter

7.6.1 RÀttslig grund för behandlingen av  
  personuppgifter  
   
Regeringens bedömning: Den behandling av personuppgifter som  
Inspektionen för socialförsÀkringen behöver utföra med anledning av  
sitt uppdrag har stöd i den rÀttsliga grunden i artikel 6.1 e i EU:s  
dataskyddsförordning.  
   
Promemorians bedömning överensstÀmmer med regeringens  
bedömning.  
Remissinstanserna instÀmmer i bedömningen eller har inget att  
invÀnda mot den.  
SkÀlen för regeringens bedömning: All behandling av personuppgifter  
mĂ„ste ha stöd i nĂ„gon av de rĂ€ttsliga grunder som anges i artikel 6.1 a–f i  
EU:s dataskyddsförordning. Regeringen har bedömt att alla uppgifter som 33

Prop. 2023/24:146 riksdagen eller regeringen har gett i uppdrag Ät statliga myndigheter att utföra och sÄdan verksamhet som myndigheterna bedriver inom ramen för

  sin befogenhet i normalfallet Àr sÄdana uppgifter av allmÀnt intresse som
  avses i artikel 6.1 e (prop. 2017/18:105 s. 56 och 57). De uppgifter som
  ISF utför till följd av uppgifter i myndighetens instruktion, regleringsbrev,
  specifika regeringsuppdrag och myndighetsförordningen (2007:515) Àr
  sÄledes generellt uppgifter av allmÀnt intresse. De rÀttsliga grunderna Àr
  dock i viss mÄn överlappande och flera rÀttsliga grunder kan dÀrför vara
  tillÀmpliga för en och samma behandling (prop. 2017/18:105 s. 46).
  Personuppgifter fÄr ocksÄ behandlas om det i enlighet med den rÀttsliga
  grunden i artikel 6.1 c i EU:s dataskyddsförordning Àr nödvÀndigt för att
  fullgöra en rÀttslig förpliktelse som Ävilar den personuppgiftsansvarige.
  Det kan handla om bl.a. en rÀttsligt reglerad skyldighet att lÀmna uppgifter
  eller att utföra uppdrag enligt myndighetens instruktion. I normalfallet
  torde dock myndigheters uppgifter och uppdrag i första hand utgöra en
  rÀttslig grund för behandling av personuppgifter med stöd av artikel 6.1 e
  i EU:s dataskyddsförordning, dvs. pÄ grundval av att uppgiften eller
  uppdraget avser en uppgift av allmÀnt intresse (prop. 2017/18:105 s. 53
  och 54).
  En behandling enligt artikel 6.1 c eller e Àr bara tillÄten om den ocksÄ Àr
  nödvÀndig. Att behandlingen ska vara nödvÀndig innebÀr inte att det ska
  vara omöjligt att uppnÄ syftet med behandlingen utan att personuppgifter
  behandlas. Vanligtvis anses det nödvÀndigt att behandla personuppgifter
  elektroniskt eftersom en manuell informationshantering inte utgör ett
  realistiskt alternativ för vare sig myndigheter eller företag (prop.
  2017/18:105 s. 46 och 47 och EU-domstolens dom i mÄlet Huber mot
  Tyskland C-524/06, EU:C:2008:724). Kravet pÄ nödvÀndighet innebÀr
  dock att personuppgifter inte fÄr behandlas om syftet med behandlingen
  kan uppnÄs med andra medel, t.ex. genom att anonymisera uppgifterna
  (propositionen Brottsdatalag [prop. 2017/18:232 s. 117]). En bedömning
  av om nödvÀndighetskravet Àr uppfyllt mÄste göras inför varje behandling.
  De grunder för behandlingen som avses i artikel 6.1 c och e ska
  faststÀllas i enlighet med unionsrÀtten eller en medlemsstats nationella rÀtt
  som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket i
  EU:s dataskyddsförordning). Med detta avses, enligt skÀl 41 i EU:s
  dataskyddsförordning, inte att den rÀttsliga grunden nödvÀndigtvis mÄste
  faststÀllas i lag. DÀremot mÄste grunden vara faststÀlld i laga ordning pÄ
  ett konstitutionellt korrekt sÀtt (prop. 2017/18:105 s. 51). I 2 kap. 2 § 1
  dataskyddslagen finns en upplysningsbestÀmmelse som anger att person-
  uppgifter fÄr behandlas med stöd av artikel 6.1 e i EU:s dataskydds-
  förordning om behandlingen Àr nödvÀndig för att utföra en uppgift av
  allmÀnt intresse som följer av lag eller annan författning, av kollektivavtal
  eller av beslut som har meddelats med stöd av lag eller annan författning.
  ISF:s uppgifter regleras i instruktionen. Uppgifterna Àr sÄledes
  faststÀllda i förordning. För de sÀrskilda uppdrag som regeringen ger
  myndigheten anges det dessutom mer specifikt i regleringsbrev eller
  separata regeringsbeslut vad en granskning ska omfatta. Myndighetens
  verksamhet omfattas ocksÄ av allmÀn förvaltningsrÀttslig reglering, som
  förvaltningslagen (2017:900) och myndighetsförordningen. Den nu
  föreslagna lagen kommer dessutom att nÀrmare faststÀlla den rÀttsliga
34 grunden i den nationella rÀtten, bl.a. nÀr det gÀller de allmÀnna villkoren

för behandling av personuppgifter, för vilka ÀndamÄl personuppgifter fÄr Prop. 2023/24:146 behandlas och ÄtgÀrder för att tillförsÀkra en laglig och rÀttvis behandling.

Kravet pÄ att grunden för de behandlingar som myndigheten behöver utföra ska vara rÀttsligt faststÀlld i enlighet med artikel 6.3 i EU:s dataskyddsförordning fÄr dÀrmed enligt regeringen anses uppfyllt genom befintlig reglering och den lag som nu föreslÄs.

NÀr ÀndamÄl anges i en registerförfattning mÄste syftet med behandlingen av personuppgifter framgÄ redan av den rÀttsliga grunden nÀr den handlar om rÀttsliga förpliktelser eller vara nödvÀndigt för att myndigheten ska kunna utföra en uppgift av allmÀnt intresse eller som ett led i myndighetsutövning (jfr artikel 6.3 andra stycket). De ÀndamÄl som anges i den föreslagna lagen mÄste alltsÄ vara nödvÀndiga för att ISF ska kunna utföra sitt uppdrag. Detta krav fÄr anses uppfyllt sÄ lÀnge ÀndamÄlen knyts till ISF:s uppgifter enligt instruktionen och det inte finns nÄgon diskrepans mellan ÀndamÄlen och de uppgifter som myndigheten förvÀntas utföra.

Slutligen ska den rÀttsliga grunden ocksÄ uppfylla ett mÄl av allmÀnt intresse och vara proportionerlig mot det legitima mÄl som efterstrÀvas (artikel 6.3 andra stycket sista meningen). Uppgifter av allmÀnt intresse som har faststÀllts i enlighet med svensk rÀtt uppfyller genomgÄende dessa krav (prop. 2017/18:105 s. 50). Kravet pÄ proportionalitet kan ocksÄ tillgodoses genom sÀrskilt reglerade skyddsÄtgÀrder (jfr avsnitt 8).

Sammantaget bedömer regeringen att den behandling av personuppgifter som Inspektionen för socialförsÀkringen behöver utföra med anledning av sitt uppdrag har stöd i den rÀttsliga grunden i artikel 6.1 e i EU:s dataskyddsförordning.

7.6.2PrimÀra ÀndamÄl

Regeringens förslag: Inspektionen för socialförsÀkringen ska fÄ behandla personuppgifter om det Àr nödvÀndigt för undersökningar av förhÄllanden inom socialförsÀkringsomrÄdet eller inom verksamheter som grÀnsar till socialförsÀkringsomrÄdet.

Lagen ska innehÄlla en upplysning om att myndigheten Àven fÄr behandla personuppgifter för att framstÀlla statistik eller utföra forskning, om det sker inom ramen för en undersökning.

Promemorians förslag överensstÀmmer i sak med regeringens förslag. Promemorians förslag har en nÄgot annorlunda redaktionell utformning.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invĂ€nda mot det. Centrala studiestödsnĂ€mnden anser att ISF ska fĂ„ behandla personuppgifter om det Ă€r nödvĂ€ndigt för att myndigheten ska kunna utföra sina uppgifter enligt lag eller förordning. Myndigheten för vĂ„rd- och omsorgsanalys föreslĂ„r att paragrafens andra stycke förtydligas genom att ordet â€Ă€ven” lĂ€ggs till. Sveriges advokatsamfund framhĂ„ller att Ă€ndamĂ„l ska vara tydliga, förutsebara och uttömmande. UmeĂ„ universitet framför att det i förtydligande syfte kan övervĂ€gas att i Ă€ndamĂ„lsparagrafen ange att övriga förutsĂ€ttningar för behandlingen finns specificerade i lagen.

35

Prop. 2023/24:146

36

SkÀlen för regeringens förslag

Ett faststÀllt ÀndamÄl Àr en grundlÀggande förutsÀttning för behandlingen

Ett faststĂ€llt Ă€ndamĂ„l Ă€r enligt EU:s dataskyddsförordning en grundlĂ€ggande förutsĂ€ttning för att personuppgifter ska fĂ„ samlas in och i övrigt behandlas. Personuppgifter ska enligt artikel 5.1 b i EU:s dataskyddsförordning samlas in för sĂ€rskilda, uttryckligt angivna och berĂ€ttigade Ă€ndamĂ„l. Detta kallas principen om Ă€ndamĂ„lsbegrĂ€nsning. Möjligheten att senare behandla personuppgifterna för andra Ă€ndamĂ„l Ă€r begrĂ€nsad. Den registrerade skyddas dĂ€rigenom mot ovĂ€ntad och integritetskrĂ€nkande behandling av de personuppgifter som har samlats in. I skĂ€l 39 i EU:s dataskyddsförordning klargörs att de specifika Ă€ndamĂ„l som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestĂ€mts vid den tidpunkt dĂ„ personuppgifterna samlades in. UtifrĂ„n det faststĂ€llda Ă€ndamĂ„let avgörs vilka personuppgifter som fĂ„r behandlas (artikel 5.1 c) och den registrerade har rĂ€tt att fĂ„ information om Ă€ndamĂ„let för behandlingen av personuppgifterna (artiklarna 13–15). Även lĂ€mplig sĂ€kerhetsnivĂ„ bestĂ€ms utifrĂ„n bl.a. behandlingens Ă€ndamĂ„l (artikel 32). ÄndamĂ„let faststĂ€lls av den personuppgiftsansvarige, i EU-rĂ€tt eller i nationell rĂ€tt (artiklarna 4.7, 6.2 och 6.3). Lagstiftning som begrĂ€nsar tillĂ€mpningsomrĂ„det för de rĂ€ttigheter och skyldigheter som följer av EU:s dataskyddsförordning, dĂ€ribland rĂ€tten att invĂ€nda mot behandling, ska innehĂ„lla specifika Ă€ndamĂ„lsbestĂ€mmelser nĂ€r sĂ„ Ă€r relevant (artikel 23.2 a).

PrimÀra ÀndamÄl Àr sÄdana ÀndamÄl som avser myndigheters interna verksamhet. I registerförfattningar förekommer primÀra ÀndamÄl med varierande detaljeringsgrad. I vissa registerförfattningar Àr ÀndamÄlen utförligt upprÀknade, t.ex. studiestödsdatalagen (2009:287), utlÀnningsdatalagen (2016:27) och kustbevakningsdatalagen (2019:429). I andra registerförfattningar Àr ÀndamÄlen brett formulerade och snarast knutna till myndighetens generella uppdrag och tillÀmpningsomrÄdet för registerförfattningen, t.ex. lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering, kriminalvÄrdsdatalagen (2018:1235), lagen om RÀttsmedicinalverkets behandling av personuppgifter och lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. För att leva upp till kravet pÄ sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl i EU:s dataskyddsförordning behöver myndigheten dÄ normalt ocksÄ formulera mer preciserade ÀndamÄl för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet (prop. 2019/20:106 s. 39).

En bestÀmmelse om ÀndamÄl anger just tillÄtna ÀndamÄl för behandling av personuppgifter medan andra förutsÀttningar för behandlingen anges i övriga bestÀmmelser i lagen. Regeringen anser att det inte, pÄ det sÀtt som UmeÄ universitet föreslÄr, behöver anges i ÀndamÄlsbestÀmmelsen att fler krav för behandlingen framgÄr av övriga bestÀmmelser.

ISF gör undersökningar av förhÄllanden inom socialförsÀkringsomrÄdet och inom verksamheter som grÀnsar till socialförsÀkringsomrÄdet

ISF utövar systemtillsyn och utför effektivitetsgranskningar genom att undersöka olika förhÄllanden inom socialförsÀkringsomrÄdet och inom

verksamheter som grÀnsar till socialförsÀkringsomrÄdet. I 7 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, anges att statistiksekretess gÀller hos ISF nÀr myndigheten genomför undersökningar av rÀttstillÀmpning, handlÀggning och administration inom socialförsÀkringsomrÄdet och inom verksamheter med direkt anknytning till socialförsÀkringen. Statistiksekretessen enligt 7 § OSF gÀller ocksÄ nÀr ISF genomför undersökningar om effekter av förÀndringar inom socialförsÀkringsomrÄdet och om nyttjandet av socialförsÀkringen. Det finns ingen definition av vad som utgör en undersökning enligt offentlighets- och sekretessförordningen. Enligt Svensk ordbok utgiven av Svenska Akademien betyder ordet undersökning noggrant studium av nÄgot. Att undersöka definieras i Svensk ordbok som att noggrant studera för att skaffa fram fakta om en viss, vanligen sammansatt företeelse i frÄga om dess uppbyggnad, funktionssÀtt etc. En undersökning fÄr alltsÄ anses vara en aktivitet eller en process som syftar till att erhÄlla kunskap. BestÀmmelsen i 7 § OSF bör kunna ses som en konkretisering av myndighetens uppgifter enligt instruktionen. Uttrycket undersökning bör dÀrmed enligt regeringen anvÀndas för att beskriva myndighetens arbetsmetodik inom tillsyns- och granskningsverksamheten.

Undersökningarna medför behov av att samla in, systematisera, bearbeta och analysera stora mÀngder personuppgifter. Bedömningen av vilket urval av uppgifter som Àr nödvÀndigt att behandla görs mot bakgrund av ÀndamÄlet för den aktuella undersökningen. Det Àr sÄledes undersökningarna som Àr centrala för behandlingen av personuppgifter. Varje undersökning bör normalt ses som en behandling av personuppgifter, vilket innebÀr att ISF mÄste formulera preciserade ÀndamÄl för varje undersökning för att leva upp till kravet pÄ sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl i artikel 5.1 b i EU:s dataskyddsförordning. Detta ska dokumenteras pÄ ett sÄdant sÀtt att ISF kan visa att principen om ÀndamÄlsbegrÀnsning följs (artikel 5.2 i EU:s dataskyddsförordning). I dag sker dokumentationen, förutom i ett sÀrskilt register för behandlingar (artikel 30 i EU:s dataskyddsförordning) genom de projektplaner, projektbeslut och bestÀllningar av data som myndigheten tar fram för att genomföra regeringsuppdrag och egeninitierade uppdrag. Det Àr inte möjligt att i lag faststÀlla alla de olika ÀndamÄl som kan aktualiseras.

ISF utför i dagslÀget sina granskningar i projektform, och i den nya lagen föreslÄs att personuppgifter ska behandlas i projekt (avsnitt 7.11). Ett projekt kan omfatta flera olika undersökningar. Om syftet med ett projekt Àr att bedöma effekterna av en viss lagÀndring inom en socialförsÀkringsförmÄn, skulle det inom ramen för det projektet exempelvis kunna utföras tre olika undersökningar. En undersökning skulle kunna vara en kartlÀggning av rÀttspraxis pÄ omrÄdet, en annan undersökning skulle kunna vara en aktstudie för att undersöka vilken vikt som har lagts vid det Àndrade lagrekvisitet i handlÀggningen medan en tredje undersökning skulle kunna vara en registerstudie för att undersöka förÀndringar över tid inom den aktuella socialförsÀkringsförmÄnen. Eftersom en enskild undersökning kan vara en del av ett projekt, Àr det nödvÀndigt att bedöma behovet av undersökningen utifrÄn ett helhetsperspektiv. För att det ska vara möjligt att förstÄ ÀndamÄlet med den enskilda undersökningen och kunna bedöma behovet av behandlingen, föreslÄs i avsnitt 7.12 att ISF ska besluta om syftet med hela projektet

Prop. 2023/24:146

37

Prop. 2023/24:146 innan projektet inleds. ÄndamĂ„let för den enskilda undersökningen ska kunna knytas till det övergripande syftet med det projekt inom vilket undersökningen görs. Eftersom ISF:s systemtillsyn och effektivitetsgranskningar tĂ€cker hela socialförsĂ€kringsomrĂ„det och Ă€ven verksamheter som grĂ€nsar till socialförsĂ€kringsomrĂ„det och dĂ€rför kan ha mĂ„nga olika inriktningar, Ă€r det inte heller möjligt att precisera olika syften för projekt i lag.

38

Utformning av den primÀra ÀndamÄlsbestÀmmelsen

Utredningen om personuppgiftsbehandlingen vid ISF lĂ€mnade ett förslag till en lag om behandling av personuppgifter vid ISF med en Ă€ndamĂ„lsbestĂ€mmelse som utformats mot bakgrund av hur myndighetens uppgifter anges i instruktionen samt konkretiseringen av uppgifterna i 7 § OSF (SOU 2014:67 s. 99–103). Personuppgifter fĂ„r enligt det förslaget behandlas om det behövs för att fullgöra inspektionens uppdrag att vid sin systemtillsyn eller effektivitetsgranskning genomföra undersökningar av rĂ€ttstillĂ€mpning, handlĂ€ggning och administration inom socialförsĂ€kringsomrĂ„det och inom verksamheter med direkt anknytning till socialförsĂ€kringen, effekter av förĂ€ndringar inom socialförsĂ€kringsomrĂ„det, samt nyttjandet av socialförsĂ€kringen och av system som grĂ€nsar till socialförsĂ€kringen. Som konstaterats bestĂ„r ett projekt dock ofta av flera olika typer av undersökningar. Teoretiskt sett skulle dĂ€rmed samtliga Ă€ndamĂ„l kunna aktualiseras inom ramen för samma projekt. ÄndamĂ„len beskriver dessutom snarare vad som undersöks, t.ex. rĂ€ttstillĂ€mpningen eller handlĂ€ggningen, Ă€n syftet med behandlingen, dvs. varför ISF gör undersökningen. Det blir dĂ„ svĂ„rare att knyta ihop de olika behandlingarna till ett gemensamt syfte och skapa en projektstruktur dĂ€r det blir tydligt och transparent varför ISF samlar in och behandlar personuppgifter.

En annan teknik för att ange Ă€ndamĂ„l Ă€r att ange olika delmoment i verksamheten som olika Ă€ndamĂ„l, t.ex. insamling, utvĂ€rdering respektive analys av personuppgifter. Även om de olika delmomenten i sig medför behandling av personuppgifter, Ă€r det inte möjligt att utifrĂ„n sĂ„dana Ă€ndamĂ„l ta stĂ€llning till nödvĂ€ndighetsrekvisitet. Personuppgifterna samlas inte in för att samlas in, de samlas in för att anvĂ€ndas som underlag i en viss undersökning. Ytterligare en teknik Ă€r att ange olika typer av undersökningar, t.ex. dokumentstudier, rĂ€ttsutredningar, registerstudier, aktstudier och intervju- och enkĂ€tstudier. Inte heller utifrĂ„n sĂ„dana Ă€ndamĂ„l Ă€r det dock möjligt att avgöra varför personuppgifter behöver behandlas och om behandlingen Ă€r nödvĂ€ndig med hĂ€nsyn till Ă€ndamĂ„let.

Det kan sammantaget konstateras att det inte Àr lÀmpligt att, sÄ som Sveriges advokatsamfund förordar, uttömmande ange de situationer dÄ ISF fÄr behandla personuppgifter.

Det Àr viktigt att ISF kan utföra den tillsyn och de granskningar som följer av myndighetens uppdrag. En registerlag ska inte inskrÀnka myndighetens möjligheter att utföra sitt uppdrag utan syftar till att skapa vÀl avvÀgda möjligheter att utföra uppdraget med beaktande av behovet av skydd för den personliga integriteten. De ÀndamÄl som anges i lagen bör dÀrför spegla myndighetens behov av behandling av personuppgifter. Centrala studiestödsnÀmnden anser att bestÀmmelsen bör utformas pÄ sÄ sÀtt att ISF fÄr behandla personuppgifter om det Àr nödvÀndigt för att

myndigheten ska kunna utföra sina uppgifter enligt lag eller förordning. Prop. 2023/24:146 ISF:s uppgifter regleras i myndighetens instruktion och Àr dÀrmed

faststÀllda i förordning. Regeringen anser att det Àr tydligare att i den föreslagna lagen Äterge myndighetens uppgifter Àn att enbart hÀnvisa till lag och förordning.

ISF har ett brett uppdrag att utöva systemtillsyn och utföra effektivitetsgranskningar inom socialförsĂ€kringsomrĂ„det och inom verksamheter som grĂ€nsar till socialförsĂ€kringsomrĂ„det. Trots bredden handlar uppdraget alltid om att analysera förhĂ„llanden som anknyter till administrationen och tillĂ€mpningen av socialförsĂ€kringen. ÄndamĂ„let bör dĂ€rför uttrycka behovet av att behandla personuppgifter för att utföra undersökningar av förhĂ„llanden inom socialförsĂ€kringsomrĂ„det och inom verksamheter som grĂ€nsar till socialförsĂ€kringsomrĂ„det. Eftersom Ă€ndamĂ„let dĂ€rmed fĂ„r en rambetonad karaktĂ€r föreslĂ„r regeringen att Ă€ndamĂ„lsbestĂ€mmelsen kompletteras med ett krav pĂ„ att ISF som huvudregel ska behandla personuppgifter i projekt, för vilka det ska beslutas om sĂ€rskilda syften (avsnitt 7.11 och 7.12). DĂ€rutöver gĂ€ller kravet enligt EU:s dataskyddsförordning pĂ„ att faststĂ€lla Ă€ndamĂ„l för varje enskild behandling. I och med det skapas flera nivĂ„er av Ă€ndamĂ„l som i sista hand mĂ„ste kunna motiveras utifrĂ„n myndighetens uppdrag.

Sammanfattningsvis anser regeringen att ISF ska fÄ behandla personuppgifter om det Àr nödvÀndigt för undersökningar av förhÄllanden inom socialförsÀkringsomrÄdet och inom verksamheter som grÀnsar till socialförsÀkringsomrÄdet.

Det bör upplysas om att personuppgifter fÄr behandlas för statistik- och forskningsÀndamÄl

I 3 a § instruktionen anges att ISF, i de fall det Ă€r nödvĂ€ndigt, fĂ„r bedriva den forskning som behövs för att myndigheten ska kunna fullgöra sina uppgifter enligt 1–3 §§. I vissa projekt kan det sĂ„ledes vara aktuellt att anvĂ€nda forskning som metod för att myndigheten ska kunna fullgöra sina uppgifter.

ISF har inte i uppgift att ta fram statistik men anvĂ€nder sig av statistiska metoder för insamling, bearbetning, redovisning och analys av data. Uppgifterna hĂ€mtas huvudsakligen frĂ„n olika administrativa datakĂ€llor, bl.a. myndighetsregister. Tillsyn och granskningar syftar till att undersöka allmĂ€nna förhĂ„llanden och att analysera och följa upp viss verksamhet pĂ„ ett generellt plan. Det förekommer alltsĂ„ inte myndighetsutövning och inte heller nĂ„gon annan handlĂ€ggning eller beslutsfattande som rör enskilda personer eller organ. Resultatet av behandlingen av personuppgifter bestĂ„r inte heller av personuppgifter utan av avidentifierade och aggregerade personuppgifter. Stora delar av den analysverksamhet som ISF Ă€gnar sig Ă„t bör dĂ€rmed kunna anses ske för statistiska Ă€ndamĂ„l (jfr propositionen om förenklad statistikreglering [prop. 1991/92:118 s. 12–14], propositionen Ändringar av statistiksekretessen [prop. 2013/14:162 s. 8 och 11] och SOU 2018:52 s. 140–142 och 253–256). Regeringen har ocksĂ„ uttryckt att personuppgifter, med stöd av artikel 6.1 e i EU:s dataskyddsförordning, kan samlas in och i övrigt behandlas utan samtycke frĂ„n de registrerade vid sĂ„dan statistikverksamhet som Ă€r nödvĂ€ndig för att t.ex.

en myndighet ska kunna utföra sitt faststÀllda uppdrag, Àven om statistik

39

Prop. 2023/24:146 inte uttryckligen nÀmns i myndighetens uppdrag (prop. 2017/18:105 s. 122).

ISF behandlar personuppgifter för statistikÀndamÄl pÄ motsvarande sÀtt som myndigheten anvÀnder forskning, dvs. som en metod i arbetet med systemtillsyn och effektivitetsgranskning. För att det ska bli tydligt att ISF fÄr behandla personuppgifter för forsknings- och statistikÀndamÄl inom ramen för undersökningar av förhÄllanden inom socialförsÀkringsomrÄdet och inom verksamheter som grÀnsar till socialförsÀkringsomrÄdet, bör det upplysas om detta i ÀndamÄlsbestÀmmelsen. Regeringen anser i likhet med Myndigheten för vÄrd- och omsorgsanalys att paragrafens andra stycke bör omformuleras sÄ att det klart framgÄr att personuppgifter Àven fÄr behandlas för att framstÀlla statistik och utföra forskning.

Samverkan med tillsynsmyndigheter

ISF ska enligt 4 § instruktionen i sin systemtillsyn och effektivitetsgranskning samverka med de tillsynsmyndigheter som kan komma att beröras av inspektionens tillsyns- eller granskningsverksamhet. ISF har hittills inte genomfört nĂ„gon tillsyn eller granskning i samverkan med andra tillsynsmyndigheter. Om en tillsyn eller granskning skulle genomföras i sĂ„dan samverkan, skulle myndigheterna behöva förhĂ„lla sig till sina respektive uppdrag och behandla personuppgifter i den utstrĂ€ckning det Ă€r nödvĂ€ndigt med anledning av det egna uppdraget. Även vid eventuell samverkan skulle dĂ€rför ISF:s behandling av personuppgifter i första hand ske för myndighetens egna primĂ€ra Ă€ndamĂ„l, dvs. för att undersöka förhĂ„llanden inom socialförsĂ€kringsomrĂ„det och inom verksamheter som grĂ€nsar till socialförsĂ€kringsomrĂ„det. Om samverkan med andra tillsynsmyndigheter har angetts som en förutsĂ€ttning för den aktuella granskningen bör det anses nödvĂ€ndigt att, utöver uppgifter i de granskade verksamheterna, behandla kontaktuppgifter till tjĂ€nstemĂ€n pĂ„ de samverkande myndigheterna för det primĂ€ra Ă€ndamĂ„let. Om den samverkande myndigheten har behov av uppgifter, kan uppgifterna lĂ€mnas ut i den mĂ„n det Ă€r förenligt med de sekundĂ€ra Ă€ndamĂ„len (avsnitt 7.6.3) och gĂ€llande sekretesslagstiftning. Regeringen bedömer dĂ€rmed att det inte finns behov av ett sĂ€rskilt Ă€ndamĂ„l som avser samverkan med andra tillsynsmyndigheter.

  7.6.3 SekundÀra ÀndamÄl
   
  Regeringens förslag: Inspektionen för socialförsÀkringen ska fÄ
  behandla sÄdana personuppgifter som behandlas för primÀra ÀndamÄl
  för att fullgöra uppgiftslÀmnande som sker i överensstÀmmelse med lag
  eller förordning.
   
  Promemorians förslag överensstÀmmer med regeringens förslag.
  Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller
  har inget att invÀnda mot det. Centrala studiestödsnÀmnden anser att det
  inte bör regleras genom ÀndamÄlsbestÀmmelser i vilken utstrÀckning
  myndigheter fÄr lÀmna ut personuppgifter. Institutet för arbetsmarknads-
  och utbildningspolitisk utvÀrdering saknar en mer utförlig diskussion om
40 för vilka sekundÀra ÀndamÄl ISF bör lÀmna ut personuppgifter nÀr detta Àr
   

tillÄtet, men inte tvingande. Sveriges advokatsamfund anser att den föreslagna sekundÀra ÀndamÄlsbestÀmmelsen i kombination med ett ökande antal författningar som innebÀr att information ska lÀmnas ut leder till en urholkning av det skydd som EU:s dataskyddsförordning eller andra integritetsskyddande rÀttsakter ska ge.

SkÀlen för regeringens förslag: NÀr ISF lÀmnar ut personuppgifter frÄn myndigheten sker en behandling av personuppgifter. Behandlingen mÄste, i likhet med all annan behandling, ha stöd i en rÀttslig grund enligt artikel

6.1i EU:s dataskyddsförordning. Det Àr framför allt aktuellt att lÀmna ut uppgifter med anledning av de rÀttsliga grunderna i artikel 6.1 c och e (rÀttslig förpliktelse respektive uppgift av allmÀnt intresse). Den rÀttsliga grunden enligt artikel 6.1 c och e ska vara faststÀlld (artikel 6.3 första stycket), vilket innebÀr att uppgiftslÀmnandet mÄste ske i överensstÀmmelse med lag eller förordning. ISF omfattas inte av nÄgon sÄdan uttrycklig uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, men kan lÀmna ut uppgifter bl.a. i syfte att fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen eller skyldigheten enligt 6 kap. 5 § OSL för en myndighet att pÄ begÀran av en annan myndighet lÀmna uppgift som den förfogar över, om inte uppgiften Àr sekretessbelagd eller det skulle hindra arbetets behöriga gÄng (jfr propositionen Domstolsdatalag [prop. 2014/15:148 s. 41 och 42]).

Syftet med behandlingen nÀr personuppgifter lÀmnas ut kan förutsÀttas framgÄ av de bestÀmmelser som uppgiftslÀmnandet grundar sig pÄ, alternativt vara nödvÀndigt för utlÀmnandet (artikel 6.3 andra stycket i EU:s dataskyddsförordning).

En sekundÀr ÀndamÄlsbestÀmmelse ger stöd för den behandling av personuppgifter som sker vid ett utlÀmnande av personuppgifter. Stöd för utlÀmnandet finns dock i annan lagstiftning. Vid uppgiftslÀmnande Àr den viktigaste frÄgan ur ett integritetsperspektiv om uppgifterna över huvud taget ska lÀmnas ut. Den frÄgan aktualiseras redan nÀr den bestÀmmelse som faststÀller en skyldighet eller tillÄter ett utlÀmnande införs. Det fÄr förutsÀttas att det dÄ görs en avvÀgning mellan intresset av att uppgiften lÀmnas ut och intresset av att skydda enskilda personers integritet. Den avvÀgningen sÀkerstÀller att den rÀttsliga grunden uppfyller ett mÄl av allmÀnt intresse och Àr proportionerlig mot det legitima mÄl som efterstrÀvas (artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning). AvvÀgningen sÀkerstÀller ocksÄ att den behandling av personuppgifter som utlÀmnandet innebÀr Àr proportionerlig i enlighet med regeringsformens krav (2 kap. 6, 20 och 21 §§ RF).

Ett utlÀmnande av personuppgifter som sker i överensstÀmmelse med lag eller förordning fÄr alltsÄ anses uppfylla kraven enligt artikel 6 i EU:s dataskyddsförordning. En ÀndamÄlsbestÀmmelse med detta innehÄll fÄr införas i nationell rÀtt (artikel 6.2 och 6.3). En sÄdan bestÀmmelse ger stöd för den behandling av personuppgifter som ett utlÀmnande av uppgifter medför. Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering efterfrÄgar ledning för nÀr ISF bör lÀmna ut personuppgifter. Regeringen konstaterar att ISF mÄste göra en bedömning i varje enskilt fall av om och hur personuppgifter bör lÀmnas ut. Vid en sÄdan bedömning ska bl.a. frÄgor om sekretess och sÀkerhet beaktas.

Prop. 2023/24:146

41

Prop. 2023/24:146 ISF kan redan i dag lÀmna ut personuppgifter nÀr uppgiftslÀmnandet sker pÄ grund av skyldigheter respektive medgivanden att lÀmna uppgifter. En sekundÀr ÀndamÄlsbestÀmmelse som ger stöd för uppgiftslÀmnande som sker i överensstÀmmelse med lag eller förordning medför dÀrmed inte nÄgon utvidgning av myndighetens nuvarande möjligheter att elektroniskt lÀmna ut personuppgifter. DÀrmed bör det enligt regeringen inte heller finnas nÄgon risk för att bestÀmmelsen skulle leda till en sÄdan urholkning av integritetsskyddet som Sveriges advokatsamfund befarar.

42

Regeringen anser, till skillnad frÄn Centrala studiestödsnÀmnden, att den föreslagna lagen av tydlighetsskÀl bör innehÄlla en sekundÀr ÀndamÄlsbestÀmmelse. En bestÀmmelse som förhÄller sig till lag och förordning Àr ocksÄ i linje med annan motsvarande lagstiftning, jfr bl.a. 6 § lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering, 7 § lagen (2018:258) om behandling av personuppgifter i Arbetsmiljöverkets informationssystem om arbetsskador, 8 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 114 kap. 9 § 1 SFB om behandling av personuppgifter vid FörsÀkringskassan och Pensionsmyndigheten.

Sammanfattningsvis anser regeringen att ISF ska fÄ behandla sÄdana personuppgifter som behandlas för primÀra ÀndamÄl för att fullgöra uppgiftslÀmnande som sker i överensstÀmmelse med lag eller förordning.

7.6.4Finalitetsprincipen

Regeringens bedömning: Det bör inte införas en bestÀmmelse som ger uttryck för finalitetsprincipen.

Promemorians bedömning överensstÀmmer med regeringens bedömning.

Remissinstanserna instÀmmer i bedömningen eller har inget att invÀnda mot den.

SkÀlen för regeringens bedömning: Enligt artikel 5.1 b i EU:s dataskyddsförordning ska personuppgifter samlas in för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl och inte senare behandlas pÄ ett sÀtt som Àr oförenligt med dessa ÀndamÄl. Ytterligare behandling för arkivÀndamÄl av allmÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ÀndamÄlen. I artikel 6.4 i EU:s dataskyddsförordning beskrivs vad den personuppgiftsansvarige bör beakta för att faststÀlla om behandling för andra ÀndamÄl Àr förenlig med det ÀndamÄl för vilket personuppgifterna ursprungligen samlades in. Principen om att personuppgifter ska samlas in för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl och inte senare behandlas pÄ ett sÀtt som Àr oförenligt med dessa ÀndamÄl brukar kallas finalitetsprincipen.

I registerförfattningar finns ofta en bestÀmmelse som ger uttryck för finalitetsprincipen, se t.ex. 2 kap. 2 § lagen om RÀttsmedicinalverkets behandling av personuppgifter, 9 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap och 114 kap. 10 § SFB. Finalitetsprincipen gÀller dock oavsett om den uttrycks i svensk författning

eller inte. BestÀmmelser som ger uttryck för finalitetsprincipen har införts Prop. 2023/24:146 av tydlighetsskÀl och avser frÀmst att klargöra att det Àr tillÄtet att behandla

personuppgifter för andra ÀndamÄl Àn de som uttryckligen anges i lagen, sÄ lÀnge behandlingen inte Àr oförenlig med insamlingsÀndamÄlen (prop. 2018/19:151 s. 24, prop. 2019/20:106 s. 40 och propositionen En mer ÀndamÄlsenlig dataskyddsreglering för studiestödsverksamheten [prop. 2019/20:113 s. 23]). I den föreslagna lagen föreslÄs det primÀra ÀndamÄlet vara sÄ brett att det tÀcker ISF:s kÀrnuppdrag och dÀrmed lagens hela tillÀmpningsomrÄde. Som en följd av detta bör det inte finnas anledning att behandla personuppgifter för andra ÀndamÄl Àn de som anges i lagen. Det behöver dÀrför inte förtydligas att finalitetsprincipen gÀller i förhÄllande till ÀndamÄlsbestÀmmelsen i den föreslagna 6 §.

Det breda primÀra ÀndamÄlet i lagen avses att specificeras genom att ISF ska ange dels syftet med varje projekt, dels ÀndamÄlet med varje enskild undersökning. Av finalitetsprincipen följer inte bara att det Àr möjligt att behandla personuppgifter för andra ÀndamÄl Àn de som uttryckligen anges i lagen utan ocksÄ att det Àr möjligt att behandla personuppgifter för andra ÀndamÄl Àn de specificerade ÀndamÄl som ISF sjÀlv faststÀller vid insamlingstillfÀllet. I avsnitt 7.11 föreslÄs att personuppgifter ska fÄ behandlas i ett annat projekt Àn det som de samlats in för om behandlingen Àr nödvÀndig för att kunna helt eller delvis upprepa eller följa upp projektet. Behandling i bÄda projekten sker med stöd av samma ÀndamÄlsbestÀmmelse i den föreslagna lagen, men eftersom ISF faststÀller ÀndamÄl för varje enskild undersökning Àr en förutsÀttning för behandling i ett annat projekt trots detta att behandlingen ocksÄ Àr förenlig med finalitetsprincipen. Finalitetsprincipens tillÀmpning riskerar dÀrför att bli otydlig om det, i enlighet med utformningen i andra registerförfattningar, endast ges uttryck för den i förhÄllande till lagens ÀndamÄlsbestÀmmelser. HÀrtill kommer att det för tillÀmparen kan bli missvisande om endast vissa bestÀmmelser i EU:s dataskyddsförordning Äterges i lagen nÀr Àven övriga bestÀmmelser i förordningen gÀller. Det bör enligt regeringen dÀrför inte införas nÄgon bestÀmmelse som ger uttryck för finalitetsprincipen i lagen.

7.7Behandling av kÀnsliga personuppgifter

Regeringens förslag: KÀnsliga personuppgifter ska fÄ behandlas med stöd av artikel 9.2 g eller 9.2 j i EU:s dataskyddsförordning om det Àr nödvÀndigt med hÀnsyn till ÀndamÄlet med behandlingen.

Promemorians förslag överensstÀmmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invÀnda mot det. Sveriges advokatsamfund anser att uttrycket kÀnsliga personuppgifter bör förklaras i lagtexten genom en hÀnvisning till dataskyddslagen. VetenskapsrÄdet anser att det Àr en brist att det inte framgÄr i vilken utstrÀckning som behandling av kÀnsliga personuppgifter kommer att ske.

43

Prop. 2023/24:146

44

SkÀlen för regeringens förslag

SÀrskilda kategorier av uppgifter Àr samma sak som kÀnsliga personuppgifter

Personuppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hÀlsa eller uppgifter om en fysisk persons sexualliv eller sexuella lÀggning benÀmns i artikel 9.1 i EU:s dataskyddsförordning som sÀrskilda kategorier av uppgifter. I svensk rÀtt kallas uppgifterna kÀnsliga personuppgifter (se t.ex. 3 kap. 1 § dataskyddslagen). Enligt regeringen Àr uttrycket kÀnsliga personuppgifter vÀl inarbetat, Àven pÄ EU-nivÄ, och dessutom sprÄkligt enklare att anvÀnda och förstÄ, inte minst i författningstext (prop. 2017/18:105 s. 75). Av dessa skÀl Àr uttrycket lÀmpligt att anvÀnda Àven i den lag som nu föreslÄs.

Sveriges advokatsamfund anser att uttrycket kÀnsliga personuppgifter bör förklaras i lagtexten genom en hÀnvisning till 3 kap. 1 § dataskyddslagen. Regeringen bedömer att uttrycket förklaras genom hÀnvisningen till artikel 9.1 i EU:s dataskyddsförordning. NÄgon risk för missförstÄnd bör dÀrmed inte uppstÄ.

ISF har behov av att behandla kÀnsliga personuppgifter om hÀlsa

Enligt VetenskapsrÄdet Àr det en brist att det inte framgÄr i vilken utstrÀckning som ISF kommer att behandla kÀnsliga personuppgifter. Eftersom det inte Àr möjligt att förutse vilka granskningar som ISF kommer att behöva utföra, Àr det inte heller möjligt att ange en förvÀntad omfattning av behandlingen av kÀnsliga personuppgifter. DÀremot Àr det möjligt att konstatera att mÄnga av de personuppgifter som ISF har behov av att behandla Àr kÀnsliga personuppgifter, framför allt uppgifter om hÀlsa. Personuppgifter om hÀlsa definieras i artikel 4.15 i EU:s dataskyddsförordning som personuppgifter som rör en fysisk persons fysiska eller psykiska hÀlsa, inbegripet tillhandahÄllande av hÀlso- och sjukvÄrdstjÀnster, vilka ger information om dennes hÀlsostatus. OmstÀndigheten att nÄgon har ansökt om, beviljats eller fÄtt avslag pÄ en ansökan om sjukförsÀkringsförmÄner avslöjar ofta nÄgot om personens tidigare, nuvarande eller framtida hÀlsotillstÄnd. SÄdana uppgifter kan dÀrmed utgöra kÀnsliga personuppgifter om hÀlsa. NÀr ISF granskar förhÄllanden som rör sjukförsÀkringsförmÄner, behöver myndigheten ofta göra analyser som inkluderar uppgifter om individer som erhÄllit sÄdana förmÄner. Redan av detta följer att ISF har ett stort behov av att behandla kÀnsliga personuppgifter om hÀlsa.

Granskningarna krĂ€ver ocksĂ„ analyser av andra uppgifter om hĂ€lsa, t.ex. diagnos. ISF har exempelvis pĂ„ uppdrag av regeringen studerat i vilken utstrĂ€ckning utformningen av regelverk och sjukförsĂ€kringens administration har pĂ„verkat utvecklingen av sjukskrivningar med psykiatriska diagnoser samt i vilken utstrĂ€ckning nuvarande system Ă€r anpassat till dagens situation (SjukfrĂ„nvaro och psykiatriska diagnoser [ISF-rapport 2014:22]). Uppgifter om personkretstillhörighet enligt 1 § lagen (1993:387) om stöd och service till vissa funktionshindrade behöver ingĂ„ i analyser nĂ€r ISF undersöker förhĂ„llanden som rör assistansersĂ€ttningen (se t.ex. AssistansersĂ€ttningen – Brister i lagstiftning och

tillĂ€mpning [ISF-rapport 2015:9]). Uppgifter om sjukdomshistorik kan vara relevanta i undersökningar av rehabiliteringsĂ„tgĂ€rder och lĂ„nga sjukfall. Uppgifter om vĂ„rdbesök och lĂ€kemedelsförbrukning visar bl.a. om det handlar om en svĂ„rt sjuk person eller inte. SĂ„dana uppgifter kan anvĂ€ndas för att analysera sannolikheten för att bli sjukskriven eller vilka som blir sjukskrivna efter vĂ„rdbesök. Uppgifter om vĂ„rdbesök kan Ă€ven vara relevanta vid analyser av i vilken utstrĂ€ckning vĂ€ntetider i vĂ„rden kan pĂ„verka hur mycket ersĂ€ttning som betalas ut frĂ„n FörsĂ€kringskassan. Vid en granskning av de reformerade stöden till personer med funktionsnedsĂ€ttning har ISF i en registerstudie anvĂ€nt uppgifter om bl.a. utbetalningar av vĂ„rdbidrag och omvĂ„rdnadsbidrag, ersĂ€ttningsnivĂ„er och barnens diagnos (FrĂ„n vĂ„rdbidrag till omvĂ„rdnadsbidrag – En granskning av de reformerade stöden till personer med funktionsnedsĂ€ttning [ISF- rapport 2021:10]). I en analys av vilken effekt avgiftsfri tandvĂ„rd har pĂ„ hur unga vuxna besöker tandvĂ„rden har ISF analyserat bl.a. uppgifter om tandvĂ„rdsbesök och mĂ„tt pĂ„ tandhĂ€lsa, i form av hur mĂ„nga intakta tĂ€nder en person har och hur mĂ„nga tĂ€nder personen har kvar (Avgiftsfri tandvĂ„rd till unga vuxna – En analys av vilken effekt avgiftsfri tandvĂ„rd har pĂ„ hur unga vuxna besöker tandvĂ„rden [ISF-rapport 2021:4]). Ett annat exempel Ă€r en granskning av underutnyttjandet av den kollektivavtalade sjukförsĂ€kringen, dĂ€r ISF har anvĂ€nt bl.a. uppgifter om beviljad sjukpenning, sjukersĂ€ttning och aktivitetsersĂ€ttning, ersĂ€ttningsperioder frĂ„n avtalssjukförsĂ€kringen och ersĂ€ttning för inkomstbortfall frĂ„n arbetsskadeförsĂ€kringen (FörsĂ€krad men utan ersĂ€ttning – En granskning av underutnyttjandet av den kollektivavtalade sjukförsĂ€kringen [ISF- rapport 2018:7]). Behandlingen av kĂ€nsliga personuppgifter i de olika granskningarna bedöms ha varit nödvĂ€ndig för att ISF ska kunna utföra sitt uppdrag.

ISF har behov av att behandla kÀnsliga personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse och sexuell lÀggning

Regeringen konstaterade i kommittédirektiven till Utredningen om inrÀttande av ISF att det Àr angelÀget att rÀttssÀkerheten och effektiviteten inom socialförsÀkringsomrÄdet fortlöpande blir föremÄl för objektiv granskning. Den enskilde ska ha samma rÀtt till förmÄner oavsett var i landet han eller hon Àr bosatt, osakliga regionala skillnader ska inte förekomma, försÀkringen ska fungera pÄ samma sÀtt för alla försÀkrade och ingen ska diskrimineras genom socialförsÀkringens tillÀmpning (dir. 2007:24). Det har sÄledes redan initialt funnits en avsikt att ISF:s granskning ska omfatta likabehandlingsaspekter.

BestĂ€mmelser som syftar till att garantera saklighet och opartiskhet inom den offentliga förvaltningen finns i sĂ„vĂ€l grundlag som vanlig lag. Enligt 1 kap. 9 § RF ska domstolar samt förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter i sin verksamhet beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet. I 5 § förvaltningslagen ges uttryck för den s.k. objektivitetsprincipen genom att det stĂ€lls krav pĂ„ att myndigheten i sin verksamhet ska vara saklig och opartisk. I propositionen En modern och rĂ€ttssĂ€ker förvaltning – ny förvaltningslag anges att objektivitetsprincipen gĂ€ller all förvaltningsverksamhet, inklusive dĂ„ det Ă€r frĂ„ga om faktiskt handlande och ren

Prop. 2023/24:146

45

Prop. 2023/24:146 service (prop. 2016/17:180 s. 60). Vid ISF:s granskning av den verksamhet som bedrivs av de myndigheter som administrerar socialförsÀkringen Àr kraven pÄ likabehandling, saklighet och objektivitet sÄledes viktiga utgÄngspunkter. Brister i frÄga om likabehandling kan fÄ konsekvenser bÄde ur effektivitets- och rÀttssÀkerhetsperspektiv. NÀr bristerna finns pÄ systemnivÄ kan en felaktig handlÀggning i förlÀngningen pÄverka t.ex. integrationen eller kvinnors möjligheter att delta pÄ arbetsmarknaden. Det kan ocksÄ fÄ konsekvenser för hur olika socialförsÀkringsförmÄner interagerar med varandra och vilken effekt de har.

46

En förutsÀttning för att ISF ska kunna granska om det förekommer brister ur ett likabehandlingsperspektiv Àr att myndigheten kan behandla personuppgifter som kan utgöra grund för en osaklig hantering. Det kan exempelvis röra sig om personuppgifter om kön, etniskt ursprung, religiös eller filosofisk övertygelse och sexuell lÀggning. Myndigheten kan t.ex. ha anledning att göra studier som jÀmför samkönade respektive olikkönade pars uttag av förÀldrapenning. Det kan ocksÄ finnas anledning att i en enkÀtstudie stÀlla frÄgor som handlar om krÀnkningar kopplade till sexuell lÀggning eller etnisk tillhörighet. Utöver kÀnsliga personuppgifter om hÀlsa har ISF sÄledes behov av att behandla kÀnsliga personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse och sexuell lÀggning.

KÀnsliga personuppgifter kan utgöra överskottsinformation

Även nĂ€r syftet inte Ă€r att analysera kĂ€nsliga personuppgifter, kan ISF:s behandling av personuppgifter omfatta kĂ€nsliga personuppgifter. Det förekommer exempelvis att ISF jĂ€mför hanteringen av inrikes och utrikes födda. Regeringen har i propositionen Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten bedömt att en isolerad uppgift om medborgarskap inte avslöjar etniskt ursprung (prop. 2001/02:144 s. 42). I propositionen Integritet och effektivitet i polisens brottsbekĂ€mpande verksamhet har regeringen bedömt att en uppgift om nationalitet eller ursprungsland normalt inte ger upplysning om etniskt ursprung (prop. 2009/10:85 s. 325). Uppgifter om modersmĂ„l, som kan vara nödvĂ€ndiga att behandla i studier av om sprĂ„kliga faktorer pĂ„verkar hanteringen av ett Ă€rende, kan i vissa fall tillföra information som i kombination med andra uppgifter avslöjar etniskt ursprung.

Oavsiktlig behandling av kĂ€nsliga personuppgifter kan ocksĂ„ intrĂ€ffa nĂ€r ISF gör kopplingar mellan familjemedlemmar. SĂ„dana kopplingar kan avslöja bl.a. civilstĂ„nd, vilka personer som utgör en familj och vilka som har gemensamma barn. För- och efternamn pĂ„ make, sambo eller partner kan utgöra kĂ€nsliga personuppgifter enligt EU:s dataskyddsförordning om dessa indirekt avslöjar uppgifter om sexualliv eller sexuell lĂ€ggning (EU-domstolens dom i mĂ„let OT mot Vyriausioji tarnybinės etikos komisija C-184/20, EU:C:2022:601).

Det Àr inte helt ovanligt att tillsynsobjekten behandlar flera olika personuppgifter i ett sammanhang, t.ex. i en inkommen eller upprÀttad handling eller i en Àrendeakt. Som framgÄr av avsnitt 4.4 förekommer det att ISF granskar Àrendeakter och separata journalanteckningar i sina undersökningar. Dessa akter och journalanteckningar begÀrs ut frÄn tillsynsobjekten, oftast frÄn FörsÀkringskassan, Pensionsmyndigheten och Arbetsförmedlingen. Som regeringen konstaterar i propositionen En ny

dataskyddsreglering pÄ socialförsÀkringsomrÄdet Àr det inte Àr möjligt att Prop. 2023/24:146 förutse vilka uppgifter som kan behöva behandlas inom ramen för ett

Ă€rende (prop. 2023/24:29 s. 52). Ärendeakterna kan dĂ€rmed innehĂ„lla alla kategorier av kĂ€nsliga personuppgifter. Det kan t.ex. finnas lĂ€karintyg, som förutom uppgifter om hĂ€lsa kan innehĂ„lla uppgifter om bĂ„de religiös övertygelse och testresultat som avslöjar genetiska uppgifter. Motsvarande gĂ€ller i viss mĂ„n ocksĂ„ upprĂ€ttade journalanteckningar. NĂ€r ISF granskar Ă€rendeakter och journalanteckningar finns det sĂ€llan behov av att analysera samtliga personuppgifter i akterna respektive journalanteckningarna. Oftast Ă€r det dock varken möjligt eller lĂ€mpligt för ISF att begĂ€ra ut enbart de uppgifter som myndigheten behöver analysera. Det skulle i sĂ„ fall innebĂ€ra att den myndighet som Ă€r föremĂ„l för tillsyn mĂ„ste gĂ„ igenom samtliga akter som ISF begĂ€r ut och maskera uppgifter som inte ska lĂ€mnas ut. Det skulle innebĂ€ra en ny omfattande arbetsuppgift för de myndigheter som omfattas av ISF:s tillsynsuppdrag som inte framstĂ„r som proportionerlig i förhĂ„llande till den integritetsrisk den avser att reducera. Om den myndighet som Ă€r föremĂ„l för tillsyn skulle gĂ„ igenom samtliga akter och ta bort kĂ€nsliga personuppgifter som ISF inte har behov av, skulle det i sig dessutom innebĂ€ra ett intrĂ„ng i den personliga integriteten. En mer omfattande genomgĂ„ng som inkluderar bedömningar av vilka uppgifter ISF har behov av, riskerar ocksĂ„ att göra ISF beroende av den andra myndighetens egna urval av uppgifter. Det bör dĂ€rför vara möjligt för andra myndigheter att lĂ€mna ut, och för ISF att ta emot, materialet i sin helhet.

NÀr ISF anvÀnder sig av enkÀt- och intervjuförfaranden, kan svaren innehÄlla viss överskottsinformation i form av kÀnsliga personuppgifter som inte efterfrÄgas i den aktuella granskningen. Myndigheten bör, i enlighet med principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning, vidta ÄtgÀrder för att i den mÄn det Àr möjligt förhindra att fler personuppgifter Àn vad som behövs för granskningen samlas in. Det kan handla om att lÀmna tydlig information om vilka uppgifter myndigheten Àr intresserad av och att i intervjusituationer leda bort samtalet frÄn ovÀsentlig information. Det Àr dock inte möjligt för ISF att vid enkÀt- och intervjuförfaranden helt förhindra behandling av personuppgifter som inte behöver analyseras inom ramen för det aktuella projektet.

Det finns fler exempel pÄ situationer dÄ ISF kan fÄ in överskottsinformation som inte Àr relevant för en viss granskning, t.ex. nÀr domar innehÄller fler personuppgifter Àn de som myndigheten avser att analysera och nÀr begÀrda handlingar omfattar annan information Àn den förvÀntade. Det som kÀnnetecknar samtliga dessa situationer Àr att personuppgifter som ISF har behov av att analysera behandlas i nÀra anslutning till andra personuppgifter och att det inte Àr möjligt eller inte kan anses proportionerligt att separera uppgifterna frÄn varandra.

Behandling av kÀnsliga personuppgifter för ett viktigt allmÀnt intresse

Det Àr som huvudregel förbjudet att behandla kÀnsliga personuppgifter (artikel 9.1 i EU:s dataskyddsförordning). Förbudet kompletteras dock med ett antal undantag, som anger nÀr behandling av kÀnsliga

personuppgifter trots allt Àr tillÄten eller kan tillÄtas (artikel 9.2). NÄgra av

47

Prop. 2023/24:146 undantagen Àr direkt tillÀmpliga medan andra krÀver viss nationell
  reglering för att behandling av kÀnsliga personuppgifter ska vara tillÄten.
  KÀnsliga personuppgifter fÄr enligt artikel 9.2 g i EU:s dataskydds-
  förordning bl.a. behandlas om behandlingen Àr nödvÀndig av hÀnsyn till
  ett viktigt allmÀnt intresse, under förutsÀttning att det sker pÄ grundval av
  unionsrÀtten eller medlemsstaternas nationella rÀtt, vilken ska stÄ i
  proportion till det efterstrÀvade syftet, vara förenligt med det vÀsentliga
  innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga
  och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande
  rÀttigheter och intressen.    
  Vad som Àr ett allmÀnt intresse respektive ett viktigt allmÀnt intresse Àr
  inte definierat i EU:s dataskyddsförordning. Uttryckets innebörd har inte
  heller utvecklats nÀrmare av EU-domstolen. Regeringen har konstaterat att
  det Àr svÄrt att pÄ ett generellt plan definiera vad som skiljer ett allmÀnt
  intresse frÄn ett viktigt allmÀnt intresse men att det, nÀr det gÀller
  myndigheters behandling, mÄste anses utgöra ett viktigt allmÀnt intresse
  att svenska myndigheter kan bedriva den verksamhet som tydligt faller
  inom ramen för deras befogenheter pÄ ett korrekt, rÀttssÀkert och effektivt
  sÀtt (prop. 2017/18:105 s. 83). Den verksamhet som ISF bedriver inom
  ramen för sitt uppdrag har i avsnitt 7.6.1 bedömts utgöra sÄdana
  arbetsuppgifter av allmÀnt intresse som avses i artikel 6.1 e i EU:s
  dataskyddsförordning. Av samma skÀl fÄr myndighetens arbetsuppgifter
  ocksÄ anses utgöra ett viktigt allmÀnt intresse enligt artikel 9.2 g i EU:s
  dataskyddsförordning.      
  I dataskyddslagen har det införts ett för myndigheter generellt undantag
  frÄn förbudet mot att behandla kÀnsliga personuppgifter. KÀnsliga
  personuppgifter fÄr enligt 3 kap. 3 § första stycket dataskyddslagen
  behandlas av en myndighet med stöd av artikel 9.2 g i EU:s
  dataskyddsförordning om uppgifterna har lÀmnats till myndigheten och
  behandlingen krÀvs enligt lag, om behandlingen Àr nödvÀndig för
  handlÀggningen av ett Àrende eller i annat fall, om behandlingen Àr
  nödvÀndig med hÀnsyn till ett viktigt allmÀnt intresse och inte innebÀr ett
  otillbörligt intrÄng i den registrerades personliga integritet.
  ISF kan i viss utstrÀckning behandla kÀnsliga personuppgifter med stöd
  av dataskyddslagen. Det saknas dock stöd för den omfattande hanteringen
  av kÀnsliga personuppgifter i myndighetens tillsyns- och gransknings-
  verksamhet. KÀnnetecknande för ett Àrende Àr att det regelmÀssigt avslutas
  genom ett uttalande frÄn myndighetens sida som Àr avsett att fÄ faktiska
  verkningar för en mottagare i det enskilda fallet. Uttrycket handlÀggning
  innefattar alla ÄtgÀrder som en myndighet vidtar frÄn det att ett Àrende
  inleds till dess att det avslutas (prop. 2017/18:105 s. 87 och prop.
  2016/17:180 s. 23–25 och 286). ISF:s tillsyns- och gransknings-
  verksamhet har inslag av ÀrendehandlÀggning men den slutprodukt som
  tas fram Àr inte avsedd att ge faktiska verkningar för mottagaren.
  Myndighetens huvudsakliga syfte Àr att förse regeringen och myndigheter
  med kunskap för att kunna utveckla och förbÀttra socialförsÀkringen.
  DÀrmed kan myndighetens verksamhet inte anses utgöra sÄdan
  verksamhet som har anknytning till ett sÀrskilt Àrende i den mening som
  avses i 3 kap. 3 § första stycket 2 dataskyddslagen. Behandlingen av
  personuppgifter inom tillsyns- och granskningsverksamheten kan inte
48 heller ske med stöd av det undantag som avser behandling som Àr

nödvÀndig med hÀnsyn till ett viktigt allmÀnt intresse och inte innebÀr ett otillbörligt intrÄng i den registrerades personliga integritet, eftersom 3 kap. 3 § första stycket 3 dataskyddslagen inte Àr avsedd att tillÀmpas slentrianmÀssigt i den löpande verksamheten (prop. 2017/18:105 s. 194).

För att ISF ska kunna behandla kĂ€nsliga personuppgifter i myndighetens tillsyns- och granskningsverksamhet, krĂ€vs sĂ„ledes att en sĂ€rskild bestĂ€mmelse om detta införs i den föreslagna lagen. Kravet pĂ„ att grunden för behandlingen ska vara faststĂ€lld i enlighet med unionsrĂ€tten eller den nationella rĂ€tten innebĂ€r, i likhet med vad som gĂ€ller enligt artikel 6.3, att uppgiften av viktigt allmĂ€nt intresse ska ha stöd i rĂ€ttsordningen (prop. 2017/18:105 s. 49–52 och s. 84). För ISF Ă€r kravet pĂ„ en rĂ€ttslig grund uppfyllt i frĂ„ga om behandlingar som sker för de Ă€ndamĂ„l som anges i lagen (se avsnitt 7.6.2 och 7.6.3). Kravet pĂ„ att den rĂ€ttsliga grunden ska vara förenlig med det vĂ€sentliga innehĂ„llet i rĂ€tten till dataskydd bedöms inte tillföra nĂ„got utöver de krav som gĂ€ller enligt artikel 6 i EU:s dataskyddsförordning (prop. 2017/18:105 s. 84). Som framgĂ„r av avsnitt 8 bedöms kravet pĂ„ proportionalitet vara uppfyllt. LĂ€mpliga och sĂ€rskilda Ă„tgĂ€rder för att sĂ€kerstĂ€lla den registrerades grundlĂ€ggande intressen föreslĂ„s i avsnitt 7.10–7.15.

För att det ska vara tillĂ„tet att behandla kĂ€nsliga personuppgifter enligt artikel 9.2 g i EU:s dataskyddsförordning mĂ„ste behandlingen vara nödvĂ€ndig. Kravet pĂ„ nödvĂ€ndighet i artikel 9 innebĂ€r detsamma som kravet pĂ„ nödvĂ€ndighet i artikel 6 (prop. 2017/18:105 s. 75 och 76). Att behandlingen ska vara nödvĂ€ndig innebĂ€r sĂ„ledes inte att det mĂ„ste vara omöjligt att utföra uppdraget om inte kĂ€nsliga personuppgifter behandlas. Behandling av kĂ€nsliga personuppgifter kan anses nödvĂ€ndig om den medför effektivitetsvinster, Ă€ven om arbetsuppgiften skulle kunna utföras utan att personuppgifter behandlas pĂ„ visst sĂ€tt. NĂ€r behandlingen av kĂ€nsliga personuppgifter tillför relevant information till en undersökning och undersökningen inte kan utföras lika effektivt utan uppgifterna, fĂ„r behandlingen enligt regeringen anses nödvĂ€ndig i den mening som avses i artikel 9.2 g i EU:s dataskyddsförordning. Även sĂ„dana uppgifter som utgör överskottsinformation i förhĂ„llande till vad myndigheten behöver analysera fĂ„r anses nödvĂ€ndiga att behandla, om uppgifter som Ă€r nödvĂ€ndiga att analysera annars inte kan samlas in av myndigheten. Vad som Ă€r nödvĂ€ndigt med hĂ€nsyn till Ă€ndamĂ„let med behandlingen mĂ„ste avgöras i varje enskilt fall. Vid prövningen av nödvĂ€ndighetsrekvisitet ska de grundlĂ€ggande principerna om uppgiftsminimering och lagringsminimering enligt artikel 5.1 c och e i EU:s dataskyddsförordning sĂ€kerstĂ€lla att fler uppgifter Ă€n nödvĂ€ndigt inte samlas in.

En sÀrskild reglering om behandlingen av kÀnsliga personuppgifter sÀkerstÀller att ISF har stöd för den behandling av sÄdana uppgifter som Àr nödvÀndig i myndighetens verksamhet. En sÄdan bestÀmmelse uppfyller dessutom kravet pÄ reglering i lag vid sÄdant betydande intrÄng i den personliga integriteten som var och en gentemot det allmÀnna Àr skyddad mot enligt regeringsformen (jfr avsnitt 5.3). Enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning Àr det tillÄtet att ha bestÀmmelser om nÀr myndigheter fÄr behandla personuppgifter i nationell rÀtt för att reglera behandling som grundar sig pÄ en uppgift av allmÀnt intresse enligt artikel

6.1e i EU:s dataskyddsförordning. Regeringen föreslÄr dÀrför att det införs en bestÀmmelse i lagen som anger att kÀnsliga personuppgifter fÄr

Prop. 2023/24:146

49

Prop. 2023/24:146 behandlas med stöd av artikel 9.2 g i EU:s dataskyddsförordning om det Àr nödvÀndigt med hÀnsyn till ÀndamÄlet med behandlingen.

Behandling av kÀnsliga personuppgifter för forskningsÀndamÄl

KÀnsliga personuppgifter fÄr enligt artikel 9.2 j i EU:s dataskyddsförordning behandlas om behandlingen Àr nödvÀndig för arkivÀndamÄl av allmÀnt intresse, vetenskapliga eller historiska forskningsÀndamÄl eller statistiska ÀndamÄl i enlighet med artikel 89.1. I likhet med vad som gÀller vid behandling av personuppgifter för ett viktigt allmÀnt intresse ska behandlingen ske pÄ grundval av unionsrÀtten eller medlemsstaternas nationella rÀtt, vilken ska stÄ i proportion till det efterstrÀvade syftet, vara förenligt med det vÀsentliga innehÄllet i rÀtten till dataskydd och innehÄlla bestÀmmelser om lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsÀndamÄl ska omfattas av lÀmpliga skyddsÄtgÀrder för den registrerades rÀttigheter och friheter. SkyddsÄtgÀrderna ska sÀkerstÀlla att tekniska och organisatoriska ÄtgÀrder har införts för att se till att sÀrskilt principen om uppgiftsminimering iakttas.

Uttrycket vetenskapliga eller historiska forskningsÀndamÄl Àr ett EU-rÀttsligt uttryck. Enligt skÀl 159 i EU:s dataskyddsförordning bör uttrycket vetenskapliga forskningsÀndamÄl i förordningen ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillÀmpad forskning och privatfinansierad forskning. Den behandling av personuppgifter som aktualiseras vid forskning inom ramen för ISF:s granskningar fÄr anses ske för sÄdana forskningsÀndamÄl som avses i artikel 9.2 j i EU:s dataskyddsförordning.

ISF fĂ„r enligt 3 a § instruktionen, i de fall det Ă€r nödvĂ€ndigt, bedriva den forskning som behövs för att myndigheten ska kunna fullgöra vissa uppgifter enligt instruktionen. Att uppgiften framgĂ„r av instruktionen innebĂ€r att uppgiften kan förutsĂ€ttas vara av allmĂ€nt intresse (prop. 2017/18:105 s. 56 och 57). Regeringen har ocksĂ„ uttalat att presumtionen bör vara att uppgiften att forska Ă€r en uppgift av allmĂ€nt intresse (propositionen Behandling av personuppgifter för forskningsĂ€ndamĂ„l [prop. 2017/18:298 s. 33]). ISF kan sĂ„ledes behandla kĂ€nsliga personuppgifter vid forskning med stöd av ett viktigt allmĂ€nt intresse. Eftersom lagen föreslĂ„s vara tillĂ€mplig vid forskning (avsnitt 7.1 och 7.8) anser regeringen dock att stödet för behandling av personuppgifter vid forskning bör uttryckas i lagen. Grunden för behandlingen av personuppgifter Ă€r faststĂ€lld i ISF:s instruktion och lagen (2003:460) om etikprövning av forskning som avser mĂ€nniskor, hĂ€r benĂ€mnd etikprövningslagen, som anger under vilka förutsĂ€ttningar forskning fĂ„r bedrivas. LĂ€mpliga och sĂ€rskilda Ă„tgĂ€rder för att sĂ€kerstĂ€lla den registrerades grundlĂ€ggande intressen finns i form av krav pĂ„ etikprövning och dĂ€rutöver genom förslagen i avsnitt 7.10–7.15.

Regeringen föreslÄr dÀrför att det införs en bestÀmmelse i lagen som anger att kÀnsliga personuppgifter fÄr behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning om det Àr nödvÀndigt med hÀnsyn till ÀndamÄlet med behandlingen.

50

Behandling av kÀnsliga personuppgifter för andra undantag Àn viktigt Prop. 2023/24:146
allmÀnt intresse och forskningsÀndamÄl  

Som konstateras i avsnitt 7.6.2 kan ISF, trots att myndigheten inte Àr en statistikansvarig myndighet, samla in och behandla personuppgifter för statistiska ÀndamÄl med stöd av artikel 6.1 e i EU:s dataskyddsförordning (prop. 2017/18:105 s. 122). KÀnsliga personuppgifter fÄr enligt 3 kap. 7 § dataskyddslagen behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen Àr nödvÀndig för statistiska ÀndamÄl och samhÀllsintresset av det statistikprojekt dÀr behandlingen ingÄr klart vÀger över den risk för otillbörligt intrÄng i enskildas personliga integritet som behandlingen kan innebÀra. Villkoret att samhÀllsintresset av statistikprojektet klart ska vÀga över risken för otillbörligt integritetsintrÄng utgör en sÄdan lÀmplig och sÀrskild ÄtgÀrd som avses i artikel 9.2 j i EU:s dataskyddsförordning (prop. 2017/18:105 s. 124).

ISF kan, beroende pÄ omstÀndigheterna i det enskilda fallet, ocksÄ behandla kÀnsliga personuppgifter med stöd av andra undantag i artikel

9.2i EU:s dataskyddsförordning. Om giltigt samtycke (artikel 4.11) kan inhÀmtas, kan artikel 9.2 a utgöra stöd för behandlingen. I ett fÄtal situationer, frÀmst vid behandling av kÀnsliga personuppgifter som offentliggjorts i nyhetsartiklar eller dylikt, kan undantaget för offentliggjorda uppgifter i artikel 9.2 e i EU:s dataskyddsförordning tillÀmpas. I frÄga om undantaget för bl.a. förvaltning av hÀlso- och sjukvÄrdstjÀnster och social omsorg och av deras system i artikel 9.2 h i EU:s dataskyddsförordning har regeringen uttalat att uttrycket social omsorg omfattar uppgifter som utförs inom socialtjÀnsten, men att det i avsaknad av praxis Àr svÄrt att nÀrmare avgrÀnsa innebörden av uttrycken (prop. 2017/18:105 s. 93). Enligt 3 kap. 5 § dataskyddslagen fÄr kÀnsliga personuppgifter behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen Àr nödvÀndig för bl.a. förvaltning av hÀlso- och sjukvÄrdstjÀnster, social omsorg samt deras system och under förutsÀttning att kravet pÄ tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning Àr uppfyllt. Kravet pÄ tystnadsplikt Àr uppfyllt hos ISF nÀr uppgifterna omfattas av sekretess enligt 24 kap. 8 § andra stycket OSL och 7 § OSF.

ISF kan sÄledes under vissa förutsÀttningar behandla kÀnsliga personuppgifter med stöd av andra undantag Àn viktigt allmÀnt intresse och forskningsÀndamÄl.

7.8Etikprövning vid forskning

Regeringens förslag: Lagen ska innehÄlla en upplysning om att forskning som innefattar behandling av kÀnsliga personuppgifter eller personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden mÄste etikprövas.

Promemorians förslag överensstÀmmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invÀnda mot det. Etikprövningsmyndigheten anser att det

51

Prop. 2023/24:146 behöver klargöras vilka projekt som inte kommer att etikprövas samt hur de projekten Àr tÀnkta att bedrivas. Etikprövningsmyndigheten förordar

  ocksÄ en fördjupad analys av sannolikheten för att den föreslagna lagen
  och etikprövningslagen leder till olika slutsatser om hur en studie fÄr
  bedrivas och hur sÄdana regelkonflikter bör hanteras.
  SkÀlen för regeringens förslag: Etikprövningslagen innehÄller
  bestÀmmelser om etikprövning av forskning som avser mÀnniskor. Syftet
  med lagen Àr att skydda den enskilda mÀnniskan och respekten för
  mÀnniskovÀrdet vid forskning. Med forskning avses vetenskapligt
  experimentellt eller teoretiskt arbete eller vetenskapliga studier genom
  observation, om arbetet eller studierna görs för att hÀmta in ny kunskap,
  och utvecklingsarbete pÄ vetenskaplig grund, dock inte sÄdant arbete eller
  sÄdana studier som utförs endast inom ramen för högskoleutbildning pÄ
  grundnivÄ eller pÄ avancerad nivÄ (2 § etikprövningslagen).
  Etikprövningslagen ska tillÀmpas pÄ forskning som innefattar
  behandling av personuppgifter som avses i artikel 9.1 i EU:s dataskydds-
  förordning (kÀnsliga personuppgifter) eller personuppgifter om
  lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella
  tvÄngsmedel eller administrativa frihetsberövanden (3 §). Etikprövnings-
  myndigheten ska vid sin prövning göra en intresseavvÀgning dÀr riskerna
  för den personliga integriteten vÀgs mot forskningens vetenskapliga vÀrde
  (7–11 §§). Forskning fĂ„r utföras bara om den godkĂ€nts vid en
  etikprövning, och ett godkÀnnande ska avse ett visst projekt eller en del av
  ett projekt eller en pÄ nÄgot liknande sÀtt bestÀmd forskning (6 §).
  En etikprövning enligt etikprövningslagen uppfyller enligt regeringen
  det krav som EU:s dataskyddsförordning stÀller pÄ en objektiv bedömning
  av de risker personuppgiftsbehandlingen kan medföra för den
  registrerades grundlÀggande rÀttigheter och friheter (prop. 2017/18:298
  s. 87 och 88). Etikprövning anses dÀrmed vara en sÄdan i nationell rÀtt
  faststÀlld lÀmplig och sÀrskild ÄtgÀrd som krÀvs enligt artikel 9.2 j i EU:s
  dataskyddsförordning vid nödvÀndig behandling av kÀnsliga person-
  uppgifter för forskningsÀndamÄl.
  ISF mÄste för varje enskilt projekt ta stÀllning till om projektet mÄste
  etikprövas enligt etikprövningslagen. Detta bör myndigheten göra i
  samband med framtagandet av en projektplan och övrig projektplanering
  (jfr avsnitt 4.4). Det Àr inte möjligt att, som Etikprövningsmyndigheten
  efterfrÄgar, pÄ förhand klargöra vilka projekt som inte kommer att omfatta
  sÄdana forskningsmoment som förutsÀtter etikprövning. Det Àr en
  bedömning som mÄste göras i varje enskilt fall. Generellt kan dock
  konstateras att tillsynsprojekt sÀllan innehÄller tydliga forskningsinslag.
  Etikprövningsmyndigheten kan i samband med sitt godkÀnnande stÀlla
  villkor för personuppgiftsbehandlingen i ett forskningsprojekt. För att
  skyddsnivÄn inte ska bli lÀgre nÀr ISF behandlar personuppgifter i
  forskningsprojekt, bör dessa villkor gÀlla utöver de krav som stÀlls enligt
  den föreslagna lagen. Kraven enligt den föreslagna lagen bör sÄledes gÀlla
  för alla projekt, oavsett vilka villkor Etikprövningsmyndigheten stÀller, sÄ
  lÀnge behandlingen sker inom lagens tillÀmpningsomrÄde. Regeringen
  bedömer att detta inte bör ge upphov till nÄgra sÄdana regelkonflikter som
  Etikprövningsmyndigheten befarar. Eftersom syftet med etikprövnings-
  lagen Àr att skydda den enskilda mÀnniskan och respekten för
52 mÀnniskovÀrdet vid forskning (1 § etikprövningslagen) Àr det osannolikt

att Etikprövningsmyndighetens villkor och den föreslagna lagens krav Prop. 2023/24:146 skulle kunna leda till oförenliga slutsatser om hur en studie fÄr bedrivas

och vilket skydd som Àr nödvÀndigt.

Som en följd av att kraven enligt den föreslagna lagen gÀller oavsett vilka villkor Etikprövningsmyndigheten stÀller, kan ISF endast ansöka om etikprövning för forskning som omfattar sÄdana kÀnsliga personuppgifter som fÄr behandlas enligt den föreslagna lagen. Det mÄste sÄledes vara nödvÀndigt att behandla de kÀnsliga personuppgifterna med hÀnsyn till det primÀra ÀndamÄlet enligt den föreslagna lagen. Lagens begrÀnsningar för bl.a. sökningar mÄste ocksÄ beaktas. Det finns dÀrmed inte nÄgra andra skÀl att göra en ansökan om etikprövning Àn för att kunna bedriva ett projekt som forskning.

För att det ska bli tydligt vad som gÀller, föreslÄr regeringen att det i lagen införs en bestÀmmelse som upplyser om ordningen med obligatorisk etikprövning nÀr det Àr frÄga om forskning.

7.9Behandling av personuppgifter som rör lagövertrÀdelser

Regeringens bedömning: Möjligheterna att behandla uppgifter som rör lagövertrÀdelser bör inte begrÀnsas.

Promemorians bedömning överensstÀmmer med regeringens bedömning.

Remissinstanserna tillstyrker bedömningen eller har inget att invÀnda mot den.

SkÀlen för regeringens bedömning: Enligt artikel 10 i EU:s dataskyddsförordning fÄr behandling av personuppgifter som rör fÀllande domar i brottmÄl och lagövertrÀdelser som innefattar brott eller dÀrmed sammanhÀngande sÀkerhetsÄtgÀrder enligt artikel 6.1 endast utföras under kontroll av en myndighet eller dÄ sÄdan behandling Àr tillÄten enligt unionsrÀtten eller medlemsstaternas nationella rÀtt, dÀr lÀmpliga skyddsÄtgÀrder för de registrerades rÀttigheter och friheter faststÀlls. Den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet Àr direkt tillÀmplig och regeringen har bedömt att bestÀmmelsen i vart fall bör innebÀra att det Àr tillÄtet att behandla uppgifter som rör lagövertrÀdelser om den personuppgiftsansvarige Àr en myndighet (prop. 2017/18:105 s. 99). EU:s dataskyddsförordning innehÄller alltsÄ inga begrÀnsande regler för behandling av personuppgifter om lagövertrÀdelser om den personuppgiftsansvarige Àr en myndighet. I linje med detta anges i 3 kap. 8 § första stycket dataskyddslagen att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning fÄr behandlas av myndigheter. Det krÀvs dÀrmed inga sÀrskilda stÀllningstaganden för myndigheters behandling av personuppgifter som avser lagövertrÀdelser utöver de stÀllningstaganden som allmÀnt ska göras i frÄga om laglig grund. Personuppgifter om lagövertrÀdelser Àr dock av integritetskÀnslig karaktÀr och behandling av sÄdana uppgifter anses dÀrför som sÀrskilt riskfylld. Av det skÀlet Àr behandling av uppgifter om lagövertrÀdelser

53

Prop. 2023/24:146 sÀrskilt reglerad bÄde i EU:s dataskyddsförordning och i mÄnga myndighetsspecifika registerförfattningar.

ISF har i viss utstrĂ€ckning behov av att behandla personuppgifter om lagövertrĂ€delser. Det kan exempelvis förekomma uppgifter om lagövertrĂ€delser i Ă€rendeakter frĂ„n FörsĂ€kringskassan, bl.a. uppgifter om att den försĂ€krade Ă€r intagen i kriminalvĂ„rdsanstalt. I vissa granskningar inhĂ€mtas uppgifter om enskilda frĂ„n KriminalvĂ„rden i syfte att anvĂ€ndas som bakgrundsvariabler. Det kan ocksĂ„ vara relevant att hĂ€mta in domar om bidragsbrott och uppgifter om polisanmĂ€lningar vid granskningar av FörsĂ€kringskassans och Pensionsmyndighetens arbete för att motverka fusk och felaktigheter. Eftersom inget av tillsynsobjekten har nĂ„got brottsutredande uppdrag förekommer dock uppgifter om lagövertrĂ€delser generellt sett i mycket begrĂ€nsad omfattning i de granskade verksamheterna. Uppgifter om lagövertrĂ€delser aktualiseras dĂ€rmed sĂ€llan inom ramen för ISF:s tillsyns- och granskningsverksamhet. Som en följd av detta kommer det i mycket begrĂ€nsad utstrĂ€ckning vara relevant och adekvat att behandla uppgifter om lagövertrĂ€delser för den föreslagna lagens primĂ€ra Ă€ndamĂ„l (artikel 5.1 c i EU:s dataskyddsförordning). I de fall det Ă€ndĂ„ bedöms relevant att behandla uppgifter om lagövertrĂ€delser i en undersökning, mĂ„ste ISF förhĂ„lla sig till övriga begrĂ€nsningar som gĂ€ller för all behandling av personuppgifter enligt den föreslagna lagen (avsnitt 7.10–7.15). Exempelvis ska personuppgifter som direkt kan hĂ€nföras till en person behandlas separat frĂ„n övriga uppgifter. Uppgifter om lagövertrĂ€delser omfattas ocksĂ„ av absolut sekretess enligt 24 kap. 8 § andra stycket OSL och 7 § OSF.

För behandling av uppgifter om lagövertrÀdelser i forskningsprojekt krÀvs en ansökan om etikprövning enligt lagen om etikprövning av forskning som avser mÀnniskor. I avsnitt 7.8 lÀmnas förslag om en sÀrskild bestÀmmelse i lagen som upplyser om att forskning som innefattar behandling av kÀnsliga personuppgifter och personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden mÄste etikprövas. I avsnitt 7.12 föreslÄs ocksÄ att ISF, i samband med att syftet med ett projekt faststÀlls, ska faststÀlla vilka kategorier av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser som ska analyseras inom ramen för projektet. Detta gÀller Àven nÀr projektet inte ska bedrivas som forskning.

Ett starkt skydd för uppgifter om lagövertrÀdelser sÀkerstÀlls dÀrmed genom befintlig dataskyddsreglering och sekretessreglering samt de begrÀnsningar och skyddsÄtgÀrder som föreslÄs i den nya lagen. Regeringen anser dÀrför att det inte Àr ÀndamÄlsenligt att i den föreslagna lagen införa sÀrskilda begrÀnsningar av möjligheten att behandla personuppgifter om lagövertrÀdelser. För behandling av sÄdana uppgifter bör samma begrÀnsningar gÀlla som för behandling av andra personuppgifter som inte Àr kÀnsliga personuppgifter.

7.10SökbegrÀnsningar

54

Regeringens förslag: Sökningar ska inte fÄ utföras i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter.

Sökningar ska dock fÄ utföras i syfte att fÄ fram ett urval av personer grundat pÄ personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hÀlsa eller sexuell lÀggning om sökningen sker för primÀra ÀndamÄl.

Regeringens bedömning: Det bör inte införas sökbegrÀnsningar som avser personuppgifter om lagövertrÀdelser i lagen.

Promemorians förslag överensstÀmmer med regeringens förslag och bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och instÀmmer i bedömningen eller har inget att invÀnda mot dem. UmeÄ universitet anser att det bör övervÀgas om bestÀmmelsen i stÀllet kan utformas med utgÄngspunkt i en upprÀkning av de kategorier av kÀnsliga personuppgifter som ISF inte fÄr utföra sökningar pÄ.

SkÀlen för regeringens förslag och bedömning

Det bör införas en sökbegrÀnsning i lagen

I sin verksamhet med att utöva systemtillsyn och utföra effektivitetsgranskningar inhÀmtar ISF stora mÀngder personuppgifter i syfte att göra sammanstÀllningar och analyser. Hantering av stora informationsmÀngder förutsÀtter möjlighet att söka, sammanstÀlla och pÄ annat sÀtt sortera personuppgifter utifrÄn olika premisser och uppgiftskategorier. Det handlar sÀllan om enkla sökningar utifrÄn fristÄende sökbegrepp utan snarare om att filtrera information utifrÄn olika variabler och göra sammanstÀllningar för att se olika samband.

En sökning medför behandling av personuppgifter. De bestÀmmelser som anger under vilka förutsÀttningar personuppgifter fÄr behandlas gÀller dÀrmed vid sökningar. Det innebÀr att sökningen mÄste ske för ett ÀndamÄl som har stöd i lagen och att sökningen mÄste vara nödvÀndig för ÀndamÄlet. De skyddsÄtgÀrder som föreslÄs inom lagens tillÀmpningsomrÄde kommer ocksÄ att gÀlla, vilket innebÀr att det i de flesta fall inte kommer att vara tillÄtet att utföra sökningar i mer Àn en granskning Ät gÄngen (avsnitt 7.11), att uppgifterna i de flesta fall inte kommer att kunna hÀnföras direkt till den registrerade (avsnitt 7.14) och att endast den som behöver tillgÄng till uppgifterna i sitt arbete kommer att ha möjlighet att göra sökningar (avsnitt 7.15).

Det finns i EU:s dataskyddsförordning inget förbud mot att anvÀnda personuppgifter vid sökning, men vid behandling av kÀnsliga personuppgifter krÀvs lÀmpliga och sÀrskilda ÄtgÀrder för att sÀkerstÀlla den registrerades grundlÀggande rÀttigheter och intressen (artikel 9.2 g). Regeringen har bedömt att en sökbegrÀnsning Àr en sÄdan skyddsÄtgÀrd som sÀkerstÀller den registrerades grundlÀggande rÀttigheter och intressen (prop. 2017/18:105 s. 90). En sökbegrÀnsning utgör dÀrför mÄnga gÄnger en förutsÀttning för att behandling av kÀnsliga personuppgifter ska vara tillÄten enligt EU:s dataskyddsförordning. BestÀmmelser om skyddsÄtgÀrder Àr tillÄtna med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning nÀr det gÀller reglering av behandling som grundar sig pÄ en rÀttslig förpliktelse eller arbetsuppgift av allmÀnt intresse enligt artikel 6.1 c och e i EU:s dataskyddsförordning.

Prop. 2023/24:146

55

Prop. 2023/24:146 Vid utformningen av en sökbegrÀnsning mÄste en avvÀgning göras mellan Ä ena sidan intresset av effektivitet i en myndighets verksamhet och

56

Äandra sidan risken för integritetsintrÄng. Regler om begrÀnsning av tillÄtna sökbegrepp bör dÀrför ta sikte pÄ sÄdana sökningar som typiskt sett medför sÀrskilda integritetsrisker. I nyare lagstiftning har sökbegrÀnsningar utformats pÄ sÄ sÀtt att de utgÄr frÄn syftet med sökningen. Enligt dataskyddslagen och brottsdatalagen (2018:1177) Àr det förbjudet att utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter. Motsvarande modell anvÀnds i lagstiftning som tillkommit efter dataskyddslagen och brottsdatalagen, t.ex. 6 § kriminalvÄrdsdatalagen, 17 kap. 7 § spellagen (2018:1138), 2 kap. 21 § vÀgtrafikdatalagen, 2 kap. 3 § och 3 kap. 4 § lagen om RÀttsmedicinalverkets behandling av personuppgifter och 114 kap. 12 § SFB. Enligt regeringen bör motsvarande sökbegrÀnsning gÀlla för ISF:s behandling av personuppgifter.

Den sökbegrÀnsning som gÀller enligt dataskyddslagen Àr inte tillÀmplig nÀr kÀnsliga personuppgifter behandlas med stöd av bestÀmmelser i annan författning (prop. 2017/18:105 s. 91). Dataskyddslagens sökbegrÀnsning kommer dÀrmed inte att vara tillÀmplig nÀr behandling sker enligt den föreslagna lagen. Det bör dÀrför införas en bestÀmmelse i den nya lagen med innebörden att det som huvudregel ska vara förbjudet att göra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter.

TillÄtna sökningar med hÀnsyn till myndighetens behov

En bestÀmmelse om sökbegrÀnsningar, som ska vara en skyddsÄtgÀrd, mÄste utformas pÄ ett sÄdant sÀtt att den enskildes personliga integritet beaktas. Syftet Àr dock inte att omöjliggöra sÄdana sökningar som behövs för att myndighetens verksamhet ska kunna fungera. En sökbegrÀnsning som utgÄr frÄn syftet med sökningen hindrar inte sökningar som görs i ett annat syfte Àn att identifiera ett urval av individer, exempelvis för att ta fram verksamhetsstatistik eller för registervÄrd (prop. 2017/18:105 s. 195). DÀrutöver mÄste myndighetens intresse av att kunna utföra sitt uppdrag vÀgas mot intresset av att skydda den enskildes integritet. Förbud att göra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter kan kompletteras med undantag som bedöms som berÀttigade utifrÄn verksamhetens behov, se t.ex. 6 § andra stycket kriminalvÄrdsdatalagen, 13 § andra stycket kustbevakningsdatalagen, 2 kap. 4 § respektive 3 kap. 5 § lagen om RÀttsmedicinalverkets behandling av personuppgifter och 114 kap. 12 § andra stycket SFB.

I avsnitt 7.7 konstateras att ISF har behov av att inom ramen för sina undersökningar analysera kÀnsliga personuppgifter om hÀlsa, etniskt ursprung, religiös eller filosofisk övertygelse och sexuell lÀggning. Analys av uppgifter förutsÀtter ofta att uppgifterna kan anvÀndas för urval. Det Àr sÀrskilt fallet i s.k. registerstudier (se avsnitt 4.4), dÄ samtliga registeruppgifter anvÀnds som variabler. ISF kan t.ex. ha behov av att analysera om vissa yttre omstÀndigheter kan pÄverka benÀgenheten att ansöka om en viss socialförsÀkringsförmÄn. För en sÄdan analys kan det vara relevant att söka fram individer med en viss diagnos som har beviljats en viss socialförsÀkringsförmÄn. DÀrefter kan ISF behöva lÀgga till

variabler som exempelvis kommun, kön och bransch och pÄ sÄ sÀtt fÄ mer information om individen. UtifrÄn denna sammantagna information Àr det möjligt att bedöma olika samband. Motsvarande gÀller vid granskning utifrÄn sÄdana kÀnsliga personuppgifter som kan utgöra grund för osaklig hantering. DÄ behöver den kÀnsliga personuppgiften anvÀndas för att ett urval av personer ska kunna ligga till grund för undersökningen. För att ISF ska kunna utföra sitt uppdrag bör det dÀrför vara tillÄtet för myndigheten att utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hÀlsa eller sexuell lÀggning.

ISF föreslÄs ocksÄ fÄ behandla andra kÀnsliga personuppgifter om det Àr nödvÀndigt för ÀndamÄlet med behandlingen. Det kan handla om att andra kÀnsliga personuppgifter Àn de som ISF avser att analysera finns i Àrendeakter och andra handlingar som utgör underlag i en undersökning. Andra kÀnsliga personuppgifter Àn de som ISF avser att analysera utgör dock överskottsinformation och Àr nödvÀndiga att behandla endast dÀrför att de behandlas tillsammans med andra personuppgifter. Det innebÀr att det i de flesta fall endast kan anses nödvÀndigt att behandla sÄdana personuppgifter för insamling och lagring. Sökningar bör dÀrför inte fÄ utföras i syfte att fÄ fram ett urval av personer grundat pÄ andra kÀnsliga personuppgifter Àn uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hÀlsa eller sexuell lÀggning.

Genom att i lagen ange vilka kategorier av kÀnsliga personuppgifter som fÄr lÀggas till grund för ett urval blir det tydligt vilka kategorier av personuppgifter som kan komma att behandlas inom ramen för ISF:s tillsyns- och granskningsverksamhet. BestÀmmelsen bör dÀrför utformas som ett undantag frÄn huvudregeln om sökbegrÀnsning och inte, sÄ som UmeÄ universitet föreslÄr, som en upprÀkning av de kategorier av kÀnsliga personuppgifter som ISF inte fÄr utföra sökningar pÄ. En sÄdan ordning motsvarar dessutom utformningen av sökbegrÀnsningar i andra nyare registerlagstiftningar. Enligt regeringen blir regleringen tydligare om undantaget anger tillÄten behandling i stÀllet för otillÄten behandling.

I avsnitt 7.6.3 konstateras att ISF endast i begrÀnsad omfattning lÀmnar ut personuppgifter frÄn myndigheten. Myndigheten bedöms dÀrför inte ha behov av att kunna utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter för att fullgöra uppgiftslÀmnande som sker i överensstÀmmelse med lag eller förordning.

Sammanfattningsvis anser regeringen att ISF som huvudregel inte ska fÄ utföra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter. Sökningar ska dock fÄ utföras i syfte att fÄ fram ett urval av personer grundat pÄ personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hÀlsa eller sexuell lÀggning om sökningen sker för den föreslagna lagens primÀra ÀndamÄl.

Det bör inte införas sökbegrÀnsningar som avser uppgifter om lagövertrÀdelser i lagen

I avsnitt 7.9 anges skÀl till att det inte bedöms vara ÀndamÄlsenligt att i den föreslagna lagen införa sÀrskilda begrÀnsningar av möjligheten att behandla personuppgifter om lagövertrÀdelser. Regeringen bedömer att samma skÀl talar för att det inte heller bör införas nÄgra sÀrskilda

Prop. 2023/24:146

57

Prop. 2023/24:146 begrÀnsningar i frÄga om möjligheterna att behandla uppgifter om lagövertrÀdelser vid sökningar. Behovet av att göra sökningar som utgÄr frÄn uppgifter om lagövertrÀdelser bör generellt vara mycket begrÀnsat. I den mÄn det ÀndÄ förekommer Àr det inte möjligt att pÄ förhand i lag pÄ ett tydligt sÀtt avgrÀnsa i vilka typer av undersökningar eller utvÀrderingar eller för vilka konkreta ÀndamÄl det finns sÄdana behov.

Även om det inte föreslĂ„s nĂ„gon specifik sökbegrĂ€nsning för uppgifter om lagövertrĂ€delser sĂ€kerstĂ€lls ett starkt skydd för sĂ„dana uppgifter genom befintlig dataskyddsreglering och sekretesslagstiftning samt de begrĂ€nsningar och skyddsĂ„tgĂ€rder i övrigt som föreslĂ„s i lagen.

  7.11 Behandling av personuppgifter i projekt
   
  Regeringens förslag: Behandling av personuppgifter för primÀra
  ÀndamÄl ska ske inom ramen för ett projekt, utom nÀr behandling av
  personuppgifter utförs för omvÀrldsbevakning eller planering av
  verksamheten. Med projekt ska avses en planerad arbetsinsats som
  genomförs inom bestÀmda ramar.
  Personuppgifter som har samlats in inom ramen för ett projekt ska
  inte fÄ behandlas i ett annat projekt. Personuppgifter ska dock fÄ
  behandlas inom ramen för ett annat projekt Àn det de har samlats in för
  om behandlingen Àr nödvÀndig för att Inspektionen för
  socialförsÀkringen helt eller delvis ska kunna upprepa eller följa upp det
  tidigare projektet.
   
  Promemorians förslag överensstÀmmer med regeringens förslag.
  Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller
  har inget att invÀnda mot det. Institutet för arbetsmarknads- och
  utbildningspolitisk utvÀrdering anser att ISF:s arbete med omvÀrlds-
  bevakning och planering bör beskrivas mer utförligt.
  SkÀlen för regeringens förslag
  Behandling av personuppgifter bör ske i projekt
  I avsnitt 7.6.2 föreslÄs att ISF ska fÄ behandla personuppgifter om det Àr
  nödvÀndigt för undersökningar av förhÄllanden inom socialförsÀkrings-
  omrÄdet och inom verksamheter som grÀnsar till socialförsÀkrings-
  omrÄdet. Systemtillsyn och effektivitetsgranskning medför ofta behov av
  att undersöka förhÄllanden utifrÄn flera olika vinklar. Det Àr dÀrför inte
  ovanligt att ISF gör flera olika undersökningar inom ramen för en och
  samma granskning. En granskning kan exempelvis bestÄ av en aktstudie,
  en registerstudie och en intervjustudie. Det sammanhang som de olika
  undersökningarna tillsammans bildar för ett gemensamt syfte bör ges en
  gemensam benÀmning.
  Uttrycket projekt anvÀnds i flera andra lagstiftningar. Enligt 6 §
  etikprövningslagen ska ett etikgodkÀnnande avse ett visst projekt eller en
  del av ett projekt eller en pÄ nÄgot liknande sÀtt bestÀmd forskning. I
  förarbetena till etikprövningslagen konstateras att ett projekt oftast Àr
  avgrÀnsat med avseende pÄ den vetenskapliga frÄgestÀllningen, antalet
58 forskningspersoner som ska delta, forskningsledningen, antalet forskare

och annan personal som ska ingÄ i projektet, finansiering och budgetering osv. (propositionen Etikprövning av forskning [prop. 2002/03:50 s. 195]). I 15 § lagen (2001:99) om den officiella statistiken anvÀnds uttrycken forskningsprojekt och statistikprojekt och i 3 kap. 7 § dataskyddslagen finns ocksÄ uttrycket statistikprojekt. Myndigheten för arbetsmiljökunskap fÄr enligt 12 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap ha samlingar av personuppgifter om det Àr nödvÀndigt för ett sÀrskilt projekt.

Ett projekt Àr enligt Svenska Akademiens ordlista ett planerat arbete av större omfattning. Enligt Svensk ordbok betyder ordet projekt idé och utkast för metod att uppnÄ visst (större) resultat. I Nationalencyklopedin anges ett projekt vara en idé eller plan för uppnÄendet av ett visst resultat och ofta Àven arbetet med att genomföra planen inom vissa givna ramar, t.ex. i frÄga om tid och ekonomi. Uttrycket projekt Àr enligt regeringen dÀrmed lÀmpligt att anvÀnda för att tydligt avgrÀnsa vilken behandling som Àr nödvÀndig för en viss granskning.

I avsnitt 7.12 föreslÄs att ISF ska faststÀlla vissa ramar för de projekt myndigheten bedriver. Ramarna avser projektets syfte, vilka kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser som ska analyseras inom projektet och genomförandetiden för projektet. Det kan dock vara aktuellt att faststÀlla Àven andra ramar, t.ex. i frÄga om metod och resursÄtgÄng. Genom noggranna förberedelser och planeringsarbete kan lÀmpliga ramar utformas.

ISF:s projekt har en central betydelse för integritetsskyddet enligt den föreslagna lagen. Genom att knyta behandlingen av personuppgifter till olika projekt kan behandlingen avgrÀnsas och dÀrmed begrÀnsas pÄ olika sÀtt, bl.a. i frÄga om ÄteranvÀndning av personuppgifter, Ätkomst till personuppgifter och tid. Det bör dÀrför förtydligas vad som avses med projekt i den nya lagen. Mot bakgrund av projektets avgrÀnsande funktion och behovet av förberedelser bör ett projekt i den föreslagna lagens mening vara en planerad arbetsinsats som genomförs inom bestÀmda ramar.

Genom att varje projekt ges en tydlig mÄlbild och ramar att förhÄlla sig till skapas goda förutsÀttningar för en vÀl avvÀgd behandling av personuppgifter. De olika undersökningar som kan aktualiseras inom ramen för projektet mÄste ha som ÀndamÄl att besvara frÄgestÀllningar som Àr relevanta för den gemensamma mÄlbilden. För att sÀkerstÀlla att behandlingen av personuppgifter begrÀnsas pÄ ett ÀndamÄlsenligt sÀtt, bör behandlingen dÀrmed ske i projekt.

Personuppgifter bör som huvudregel behandlas inom ramen för det projekt de samlats in för

En viktig förutsĂ€ttning för att ISF ska kunna bedriva sin verksamhet Ă€r att myndigheten fĂ„r del av uppgifter för bearbetning och analyser. ISF har uppgett att myndigheten inte har behov av nĂ„gon egen databas eller att uppdatera samlingar av personuppgifter pĂ„ det sĂ€tt som sker hos Myndigheten för arbetsmiljökunskap och Institutet för arbetsmarknads- och utbildningspolitisk utvĂ€rdering (jfr prop. 2018/19:151 s. 32 och prop. 2011/12:176 s. 40–43). Behovet av uppgifter kan i stĂ€llet tillgodoses genom att myndigheten begĂ€r in de uppgifter som behövs i varje enskilt

Prop. 2023/24:146

59

Prop. 2023/24:146 projekt. PÄ sÄ sÀtt sÀkerstÀlls ocksÄ att uppgifterna Àr aktuella och korrekta utan att ISF mÄste ombesörja eventuell uppdatering och komplettering av uppgifterna.

NÀr stora mÀngder personuppgifter samlas in Àr det viktigt att behandlingen begrÀnsas och Àr förutsÀgbar. Det bör dÀrför som utgÄngspunkt endast vara tillÄtet att behandla de insamlade personuppgifterna inom ramen för det projekt som de samlats in för. PÄ sÄ sÀtt blir det tydligt bÄde för vilket ÀndamÄl uppgifterna samlas in och hur lÀnge uppgifterna kommer att behandlas (jfr avsnitt 7.16). Det begrÀnsar ocksÄ tillgÄngen till personuppgifterna, bÄde i frÄga om antal personer och tid. TillgÄng till personuppgifter som behandlas i ett projekt bör i huvudsak endast ges till personer som arbetar i det aktuella projektet under den tid projektet pÄgÄr (avsnitt 7.15). Dessutom begrÀnsas myndighetens möjlighet att söka och bearbeta personuppgifter som finns i verksamheten till att avse sÄdana uppgifter som behandlas inom ramen för aktuellt projekt.

En begrÀnsning av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begrÀnsning av finalitetsprincipens tillÀmplighet. BegrÀnsningen utgör en skyddsÄtgÀrd som Àr tillÄten att införa med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning.

I vissa fall kan det vara relevant att upprepa eller följa upp ett tidigare genomfört projekt. Tidigare underlag kan dĂ„ behövas som utgĂ„ngspunkt för arbetet eller för jĂ€mförande studier. Det kan sĂ„ledes finnas behov av att behandla personuppgifter som samlats in inom ramen för det tidigare genomförda projektet. Eftersom personuppgifter som direkt kan hĂ€nföras till den registrerade som huvudregel ska separeras frĂ„n övriga personuppgifter, Ă€r en eventuell Ă„teranvĂ€ndning av uppgifter dock ofta beroende av tillgĂ„ng till kodnyckel. I mĂ„nga fall har kodnyckeln skapats hos den myndighet som lĂ€mnat uppgifterna till ISF, t.ex. FörsĂ€kringskassan eller Statistiska centralbyrĂ„n (SCB). Dessa myndigheter gallrar nyckeln utifrĂ„n de regler som gĂ€ller för den egna myndigheten. NĂ€r ISF skapar en kodnyckel, ska den raderas nĂ€r det inte lĂ€ngre Ă€r tillĂ„tet att bevara den enligt EU:s dataskyddsförordning (avsnitt 7.16). Även utan kodnyckel kan det dock vara vĂ€rdefullt att jĂ€mföra registeruppgifter och tidigare resultat med uppgifter i en upprepande eller uppföljande granskning. Registeruppgifterna kan utgöra personuppgifter mot bakgrund av möjligheten att bakvĂ€gsidentifiera den registrerade.

Eftersom möjligheterna att koppla tidigare insamlade personuppgifter till nya uppgifter begrÀnsas av bÄde praktiska omstÀndigheter och skyddsÄtgÀrder, har personuppgifter sÀllan ett faktiskt anvÀndningsomrÄde i ett annat projekt Àn det de samlats in för. Det fÄr dock anses motiverat att myndigheten, i den utstrÀckning det ÀndÄ kan konstateras ett behov, kan vidarebehandla personuppgifter om det Àr nödvÀndigt för att upprepa eller följa upp ett tidigare projekt eller del av projekt. Att i sÄdana situationer krÀva att myndigheten pÄ nytt ska inhÀmta personuppgifter som den redan har samlat in i ett annat projekt skulle vara ineffektivt och onödigt betungande för sÄvÀl ISF som uppgiftslÀmnande myndigheter och enskilda. Eftersom avsikten Àr att ta tidigare resultat vidare i en kompletterande granskning, bör ÀndamÄlen för behandlingarna ligga relativt nÀra varandra. Vidarebehandlingen bör dÀrmed vara förenlig med finalitetsprincipen (artikel 5.1 b i EU:s dataskyddsförordning).

60

NÀr personuppgifter vidarebehandlas i ett nytt projekt blir samtliga Prop. 2023/24:146 skyddsÄtgÀrder enligt den föreslagna lagen tillÀmpliga. Vidarebehandlade

personuppgifter ska alltsÄ behandlas pÄ samma sÀtt som personuppgifter som samlas in frÄn externa aktörer till ett projekt.

Sammantaget anser regeringen att personuppgifter som samlats in inom ramen för ett projekt som huvudregel inte bör fÄ behandlas i ett annat projekt. Personuppgifter bör dock fÄ behandlas i ett annat projekt Àn det de har samlats in för om behandlingen Àr nödvÀndig för att ISF ska kunna helt eller delvis upprepa eller följa upp det tidigare projektet.

Undantag för omvÀrldsbevakning och planering av verksamheten

ISF utför omvÀrldsbevakning löpande och utan föregÄende planering eller förberedelse. Det kan handla om att myndighetens medarbetare lÀser domar, beslut, nyhetsbrev, artiklar, rapporter, litteratur och liknande. SÄdant material kan ocksÄ samlas i ett e-bibliotek. Syftet med omvÀrldsbevakning Àr att bevaka utvecklingen pÄ de omrÄden som ryms inom myndighetens uppdrag. Bevakningen Àr nödvÀndig för medarbetarnas kompetensutveckling och för att inhÀmta uppslag till nya granskningar. Myndigheten bör dÀrför ha möjlighet att samla in och behandla sÄdant material löpande utan att det finns en koppling till ett specifikt projekt.

Planering av verksamheten Àger rum innan myndigheten inleder ett projekt. Planeringen skapar förutsÀttningar för att arbete senare ska kunna ske i projektform. Det Àr dÀrför inte möjligt att krÀva att planering av verksamheten ska ske i projektform.

Viss del av den omvÀrldsbevakning och planering som ISF utför kommer inte att omfattas av lagens tillÀmpningsomrÄde. Det gÀller t.ex. nÀr avidentifierad statistik anvÀnds i stÀllet för personuppgifter eller nÀr omvÀrldsbevakning utförs genom att papperstidningar och annat tryckt material lÀses.

Behandling som undantas frÄn projektkravet kommer Àven att undantas frÄn övriga föreslagna skyddsÄtgÀrder som Àr knutna till projektramen. Det medför en ökad risk för intrÄng i den personliga integriteten. Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering efterfrÄgar med anledning av detta en mer utförlig beskrivning av omfattning och karaktÀr i frÄga om ISF:s arbete med omvÀrldsbevakning och planering av verksamheten. Regeringen vill framhÄlla att syftet med omvÀrldsbevakningen och planeringen av verksamheten Àr att ISF ska kunna inhÀmta kunskap och att fÄ uppslag till granskningar. Det rör sig dÀrför snarare om att göra stickprov Àn om att göra breda analyser. DÀrmed Àr det sÀllan nödvÀndigt för ISF att behandla nÄgra stora mÀngder personuppgifter för dessa ÀndamÄl. Enligt förslaget i avsnitt 7.14 ska dessutom personuppgifter som kan hÀnföras direkt till den registrerade som huvudregel separeras frÄn övriga personuppgifter. Ofta bör det vara möjligt att anvÀnda avidentifierade uppgifter eller statistikuppgifter vid omvÀrldsbevakning och planering. Riskerna för den personliga integriteten bedöms heller inte vara sÄ omfattande att behandling av personuppgifter i dessa fall bör kopplas till ett projekt.

Regeringen bedömer sammantaget att behandling av personuppgifter för omvÀrldsbevakning och planering av verksamheten bör undantas frÄn

61

Prop. 2023/24:146 kravet pÄ att all behandling av personuppgifter ska ske inom ramen för ett projekt.

  7.12 FaststÀllande av ramar för projekt
   
  Regeringens förslag: Innan personuppgifter fÄr behandlas inom ramen
  för ett projekt, ska Inspektionen för socialförsÀkringen faststÀlla syftet
  med projektet, vilka kategorier av kÀnsliga personuppgifter och
  personuppgifter om lagövertrÀdelser som ska analyseras i projektet och
  nÀr projektet senast ska vara avslutat. Det faststÀllda syftet ska inte fÄ
  Àndras.  
  Information om vad som har faststÀllts ska hÄllas tillgÀnglig pÄ
  myndighetens webbplats.
   
  Promemorians förslag överensstÀmmer med regeringens förslag.
  Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller
  har inget att invÀnda mot det. Institutet för arbetsmarknads- och
  utbildningspolitisk utvÀrdering föreslÄr att personuppgifter som direkt kan
  hÀnföras till den registrerade ska ingÄ i de ramar som ska faststÀllas för ett
  projekt sÄ att behandling av identitetsangivna personuppgifter tydliggörs.
  SkÀlen för regeringens förslag
  Projektets ramar bör faststÀllas
  Behandling av personuppgifter i ett projekt bör ske inom vissa, pÄ förhand
  angivna, ramar. För att dessa ramar ska bli tydliga, bör det i lagen införas
  ett formellt krav pÄ att ISF ska faststÀlla vissa förutsÀttningar för varje
  projekt. Genom ett formaliserat förfarande sÀkerstÀlls en tydlig
  dokumentation och risken för slentrianmÀssig behandling minskar.
  Dokumentationen kan ocksÄ ge stöd för myndigheten vid bedömningen av
  om en konsekvensbedömning avseende dataskydd behöver upprÀttas
  (artikel 35.1 i EU:s dataskyddsförordning).
  I första hand bör mÄlbilden för projektet klargöras genom att syftet med
  projektet faststÀlls. Det Àr viktigt att mÄlbilden Àr tydlig innan
  personuppgifter samlas in, eftersom Àven ÀndamÄl för behandlingen av
  personuppgifter ska faststÀllas och dessa ÀndamÄl ska knytas till syftet med
  projektet. Syftet med projektet utgör den yttersta ramen för möjliga
  ÀndamÄl för behandlingen av personuppgifter i projektet. NÀr syftet har
  faststÀllts bör det inte fÄ Àndras, eftersom syftet Àr helt avgörande för
  projektets avgrÀnsning och de ramar som faststÀlls i övrigt. Om syftet
  skulle Àndras, skulle det inte lÀngre röra sig om samma projekt och dÄ har
  förutsebarheten gÄtt förlorad.
  I samband med att syftet med ett projekt faststÀlls, bör myndigheten
  ocksÄ, i likhet med vad som gÀller vid en etikprövning av ett forsknings-
  projekt, redan frÄn början avgöra om kÀnsliga personuppgifter och
  uppgifter om lagövertrÀdelser behöver behandlas inom ramen för projektet
  (jfr 3 och 6 §§ lagen om etikprövning av forskning som avser mÀnniskor).
  Om projektet ska avse en sjukförsÀkringsförmÄn och det planeras en
  aktgranskning, Àr det redan frÄn början möjligt att förutse ett behov av
62 behandling av kÀnsliga personuppgifter om hÀlsa. Om projektet ska avse

uttag av förÀldrapenning och behandla aspekten samkönade par, bör det pÄ motsvarande sÀtt vara möjligt att förutse behovet av behandling av kÀnsliga personuppgifter om sexuell lÀggning. Redan i dag gör ISF en övergripande bedömning av vilka undersökningar som Àr nödvÀndiga att genomföra och vilka personuppgifter som Àr nödvÀndiga att behandla för ÀndamÄlet innan en projektplan beslutas. PÄ sÄ sÀtt anges en ram för behandlingen, vilket medför tydlighet och transparens.

Det Àr inte möjligt att helt förutse vilka personuppgifter som kan komma att behandlas inom ramen för en aktgranskning eller ett intervjuförfarande. Behandlingen kan Àven komma att omfatta kÀnsliga personuppgifter som inte behöver analyseras av ISF men som behandlas tillsammans med sÄdana uppgifter som behöver analyseras (jfr avsnitt 7.7). NÀr det inte Àr möjligt att pÄ förhand avgöra om vissa kÀnsliga personuppgifter kan komma att behandlas, bör det inte krÀvas att de ingÄr i den angivna ramen för projektet. Det bör dÀrför endast vara sÄdana kÀnsliga personuppgifter som ska analyseras inom ramen för projektet som behöver faststÀllas. Att uppgifterna ska analyseras innebÀr att myndigheten ska bearbeta, systematisera, strukturera och utifrÄn en analysmodell eller liknande anvÀnda uppgifterna i syfte att se samband, göra jÀmförelser och dra slutsatser.

Uttrycket personuppgifter om lagövertrÀdelser bör avse samma uppgifter som avses i etikprövningslagen, dvs. personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden. Uppgifter om administrativa frihetsberövanden omfattas inte av nÄgon sÀrskild reglering enligt EU:s dataskyddsförordning (jfr artikel 10) men eftersom sÄdana uppgifter förutsÀtter en etikprövning Àr det viktigt att de utgör en del av den faststÀlla ramen för projektet.

Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering föreslÄr att ISF, pÄ motsvarande sÀtt som föreslÄs gÀlla för behandling av kÀnsliga personuppgifter och personuppgifter om lagövertrÀdelser, Àven ska faststÀlla behovet av behandling av personuppgifter som direkt kan hÀnföras till den registrerade innan ett projekt inleds. Regeringen anser att personuppgifter som direkt kan hÀnföras till den registrerade krÀver ett sÀrskilt skydd. Eftersom behovet av sÄdana personuppgifter ofta Àr beroende av i vilken utstrÀckning ISF kan fÄ löpnummerbaserade uppgifter frÄn andra myndigheter, bl.a. FörsÀkringskassan och SCB, kan det dock vara svÄrt att fastslÄ behovet pÄ ett sÄ tidigt stadium. Personuppgifter som direkt kan hÀnföras till den registrerade skyddas dessutom av ett sÀrskilt krav pÄ att sÄdana uppgifter som huvudregel ska separeras frÄn övriga personuppgifter (avsnitt 7.14). Mot bakgrund av detta anser regeringen att det inte bör införas ett krav pÄ att ISF ska faststÀlla behovet av personuppgifter som direkt kan hÀnföras till den registrerade redan nÀr projektets ramar fastslÄs.

En annan ram för behandlingen av personuppgifter i ett projekt Àr tidsaspekten. Behandling av personuppgifter som pÄgÄr under lÄng tid Àr mer kÀnslig Àn behandling som relativt snart kan avslutas. För att behandling av personuppgifter inte ska dra ut onödigt lÄngt i tid, bör ISF redan innan behandlingen pÄbörjas faststÀlla nÀr projektet senast ska vara avslutat.

Prop. 2023/24:146

63

Prop. 2023/24:146 Regeringen anser att projektets syfte, kategorier av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser samt tidsramarna för projektet bör ha faststÀllts innan personuppgifter behandlas i projektet. UtgÄngspunkten bör vara att det som faststÀllts nÀr projektet inleds ska gÀlla under hela projektet, för att i möjligaste mÄn skapa förutsebarhet för den registrerade. Om förutsÀttningarna Àndras under arbetets gÄng, bör myndigheten dock kunna faststÀlla fler och Àndrade kategorier av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser som ska analyseras samt justera tidsramen. Syftet för projektet bör, i enlighet med vad som angetts ovan, inte fÄ Àndras efter att det faststÀllts.

Information om projekt bör publiceras pÄ myndighetens webbplats

Eftersom ISF hanterar stora mÀngder integritetskÀnsliga uppgifter Àr det viktigt att myndigheten Àr transparent med hur uppgifterna anvÀnds. För att ge registrerade, allmÀnheten, tillsynsmyndigheten och aktörer som lÀmnar uppgifter till ISF möjlighet att ta del av information om de behandlingar av personuppgifter som myndigheten utför, bör det införas en skyldighet för ISF att informera om myndighetens projekt. Eftersom myndigheten ska faststÀlla varje projekts syfte, vilka kategorier av kÀnsliga personuppgifter och personuppgifter om lagövertrÀdelser som ska analyseras inom ramen för projektet samt tidsramarna för projektet, finns information om detta tillgÀnglig hos myndigheten. Informationen bör enkelt kunna sammanstÀllas för publicering.

Redan i dag publicerar ISF information om pÄgÄende projekt pÄ sin webbplats. Den informationen avser frÀmst projektens syfte, bakgrunden till olika projekt samt tidsplaner. Ur ett integritetsperspektiv Àr Àven information om behandling av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser relevant att ta del av. Det bör enligt regeringen dÀrför införas ett krav i lagen pÄ att ISF pÄ sin webbplats ska hÄlla information tillgÀnglig om alla projekt som myndigheten bedriver. Informationen ska omfatta faststÀllt syfte med projektet, vilka kategorier av kÀnsliga personuppgifter och personuppgifter om lagövertrÀdelser som ska analyseras inom ramen för projektet, och nÀr projektet senast ska vara avslutat. Skyldigheten att hÄlla information tillgÀnglig avser att komplettera skyldigheten att lÀmna information enligt artikel 13 och 14 i EU:s dataskyddsförordning men inte att ersÀtta den.

7.13Medgivande till behandling av personuppgifter

  Regeringens förslag: Om personuppgifter samlas in direkt frÄn den
  enskilde, ska de fÄ behandlas endast om den enskilde har lÀmnat sitt
  uttryckliga medgivande till behandlingen. Den registrerade ska ha rÀtt
  att nÀr som helst Äterkalla ett lÀmnat medgivande. Personuppgifter som
  omfattas av ett Äterkallat medgivande ska raderas.
  Om ett medgivande Äterkallas ska behandlingen dock fÄ fortsÀtta om
  Inspektionen för socialförsÀkringen inte kan hÀnföra uppgifterna till
  den registrerade utan att bevara, förvÀrva eller behandla ytterligare
  personuppgifter. Behandlingen ska ocksÄ fÄ fortsÀtta om person-
64 uppgifterna finns i handlingar som har tagits om hand för arkivering.
 

Promemorians förslag överensstÀmmer i huvudsak med regeringens förslag. I promemorian föreslÄs endast att behandling av personuppgifter som omfattas av ett Äterkallat medgivande ska upphöra.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invÀnda mot det. ISF anser att det finns behov av att förtydliga att medgivande kan lÀmnas genom ett s.k. konkludent handlande nÀr intervjuer med myndighetspersonal dokumenteras genom inspelning. Myndigheten för delaktighet framhÄller vikten av att ett funktionshinderperspektiv beaktas nÀr nya bestÀmmelser om samtycke tas fram. Riksarkivet anser att det bör framgÄ av bestÀmmelsen att personuppgifterna ska raderas om ett medgivande Äterkallas samt att undantag bör gÀlla för arkiverade personuppgifter i avslutade projekt. Sveriges advokatsamfund anser att uttrycket samtycke bör anvÀndas i stÀllet för uttrycket medgivande.

SkÀlen för regeringens förslag

Det bör i vissa fall krÀvas medgivande frÄn den enskilde

Det förekommer att ISF samlar in uppgifter till undersökningar genom intervju- och enkÀtförfaranden. Personuppgifter samlas dÄ in direkt frÄn den enskilde. Det ligger i sakens natur att samtycke i praktiken normalt Àr en förutsÀttning för insamling av uppgifter genom för deltagarna frivilliga enkÀter eller intervjuer. ISF intervjuar dock tjÀnstemÀn pÄ bl.a. FörsÀkringskassan och Pensionsmyndigheten. Eftersom tjÀnstemÀnnen svarar pÄ frÄgor frÄn ISF pÄ uppdrag av sin arbetsgivare, kan det ifrÄgasÀttas om de helt frivilligt lÀmnar uppgifter.

Samtycke bör inte utgöra en rÀttslig grund för ISF:s insamling av personuppgifter direkt frÄn den enskilde. I likhet med övrig behandling av personuppgifter som ISF utför med anledning av sin tillsyns- och granskningsverksamhet bör behandlingen vara nödvÀndig för en uppgift av allmÀnt intresse (avsnitt 7.6.1). Ett samtycke kan dock Àven utgöra en integritetshöjande ÄtgÀrd, vars syfte Àr att ge uppgiftslÀmnaren ökat inflytande över behandlingen av personuppgifterna. Ett sÄdant samtycke kan anvÀndas ocksÄ i ojÀmlika situationer, t.ex. nÀr samtycket inhÀmtas frÄn en enskild av en myndighet (jfr prop. 2017/18:171 s. 140). BestÀmmelser om integritetshöjande samtycke Àr sÄdana mer specifika, eller sÀrskilda, bestÀmmelser som det enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning Àr tillÄtet att ha i nationell rÀtt för att reglera behandling som grundar sig pÄ en rÀttslig förpliktelse eller en arbetsuppgift av allmÀnt intresse eller som ett led i myndighetsutövning enligt artikel 6.1 c eller e i förordningen (prop. 2017/18:171 s. 141).

Genom att det stÀlls krav pÄ samtycke, blir det tydligt för uppgiftslÀmnaren att han eller hon kan vÀlja att lÀmna uppgifter eller inte. Detta gÀller Àven nÀr en tjÀnsteman pÄ en myndighet lÀmnar uppgifter. Samtycke som integritetshöjande ÄtgÀrd anvÀnds ocksÄ ofta av Etikprövningsmyndigheten som en förutsÀttning för personuppgiftsbehandling i forskningsprojekt. Det Àr dÀrför lÀmpligt att krÀva samtycke nÀr uppgifter samlas in direkt frÄn den registrerade. För att den integritetshöjande ÄtgÀrden inte ska uppfattas som den rÀttsliga grunden för behandlingen av personuppgifter anser regeringen, till skillnad frÄn

Prop. 2023/24:146

65

Prop. 2023/24:146 Sveriges advokatsamfund, att uttrycket medgivande bör anvÀndas i lagen i stÀllet för samtycke.

66

Medgivandet bör vara uttryckligt, vilket bör ha motsvarande innebörd som uttryckligt samtycke i artikel 9.2 a i EU:s dataskyddsförordning. Kravet pÄ att samtycket ska vara uttryckligt kan uppfyllas genom att samtycket t.ex. lÀmnas skriftligen, i ett elektroniskt formulÀr, i ett e-postmeddelande med en elektronisk underskrift eller i vissa fall muntligen (jfr Europeiska dataskyddsstyrelsens [EDPB] riktlinjer 05/2020 om samtycke enligt förordning [EU] 2016/679, version 1.1, antagna den 4 maj 2020, s. 21). Regeringen bedömer att integritetsskyddet pÄverkas negativt om medgivanden, pÄ det sÀtt som ISF föresprÄkar, tillÄts lÀmnas genom s.k. konkludent handlande. Enligt regeringen bör det varken medföra ett integritetsintrÄng eller en omotiverat stor administrativ börda för ISF om ett medgivande samlas in i anslutning till en inspelad intervju.

Regeringen föreslÄr dÀrmed att om uppgifterna samlas in direkt frÄn den enskilde ska personuppgifter fÄ behandlas endast om den enskilde har lÀmnat sitt uttryckliga medgivande till behandlingen.

Ett lÀmnat medgivande bör fÄ Äterkallas

Syftet med ett medgivande Àr att den enskilde sjÀlv ska fÄ möjlighet att pÄverka behandlingen av personuppgifter. För att den enskildes inflytande över behandlingen av personuppgifter inte ska upphöra efter det att behandlingen pÄbörjats, bör ett medgivande ocksÄ kunna Äterkallas. Om den enskilde Ängrar ett lÀmnat medgivande bör han eller hon sÄledes kunna kontakta ISF och meddela detta. ISF bör dÄ inte lÀngre fÄ behandla de personuppgifter som omfattas av det Äterkallade medgivandet. Eftersom Àven radering utgör behandling av personuppgifter bör det, i enlighet med vad Riksarkivet framför, förtydligas i lagtexten att personuppgifterna ska raderas (jfr avsnitt 7.16).

Det Àr endast sÄdana personuppgifter som omfattas av det Äterkallade medgivandet som bör fÄ raderas. Om medgivandet endast delvis Äterkallas, t.ex. om uppgiftslÀmnaren Ängrar att han eller hon lÀmnat vissa uppgifter men kan tÀnka sig att ISF Àven fortsÀttningsvis behandlar övriga lÀmnade uppgifter, behöver ISF sÄledes inte radera de övriga uppgifterna. PÄ sÄ sÀtt ges den registrerade ökad kontroll bÄde över uppgiftslÀmnande och ISF:s fortsatta behandling.

Ett Äterkallande av ett medgivande bör inte pÄverka tillÄtligheten av sÄdan behandling som skett innan medgivandet Äterkallades. Konsekvensen av att Äterkalla ett lÀmnat medgivande blir dÀrmed densamma som nÀr ett samtycke Äterkallas enligt artiklarna 7.3 och 17.1 b i EU:s dataskyddsförordning.

I avsnitt 7.14 föreslÄs att ISF ska förvara personuppgifter som direkt kan hÀnföras till den registrerade separat frÄn övriga personuppgifter. Redan i dag transkriberar myndigheten inspelade intervjuer med tjÀnstemÀn och behÄller i samband med detta inte kopplingen till individerna. Om den registrerade Äterkallar sitt medgivande efter att en intervju som innehÄller personuppgifter transkriberats, kan det i vissa fall vara svÄrt att Äterfinna vilka uppgifter som den registrerade har lÀmnat. DÄ bör ISF, i likhet med vad som gÀller enligt artikel 11 i EU:s dataskyddsförordning, inte behöva behandla ytterligare information i syfte att identifiera den registrerade.

Eftersom bestÀmmelserna i EU:s dataskyddsförordning inte gÀller integritetshöjande ÄtgÀrder som införs i nationell rÀtt, bör detta uttryckas i lagen. För att tillgodose intresset av att bevara allmÀnna handlingar, bör personuppgifter som finns i handlingar som har tagits om hand för arkivering, i enlighet med vad Riksarkivet framför, inte heller raderas. Som en följd av att ISF inte behöver behandla ytterligare information i syfte att identifiera den registrerade blir det dÀrmed i praktiken endast sÄdana uppgifter som kan hÀnföras till den registrerade och som behandlas inom ramen för pÄgÄende projekt som kommer att raderas vid ett Äterkallat medgivande.

I avsnitt 7.4 föreslÄs att rÀtten att göra invÀndningar ska gÀlla nÀr personuppgifter samlas in direkt frÄn den registrerade. NÀr rÀtten att göra invÀndningar tillÀmpas fÄr det samma effekt som nÀr ett medgivande Äterkallas, eftersom behandlingen av personuppgifter dÄ ska upphöra. En invÀndning kan dock göras först nÀr personuppgifter behandlas, medan ett medgivande ska lÀmnas redan innan behandlingen. En invÀndning leder inte heller alltid till att behandlingen av personuppgifter upphör. Om behandlingen sker för forskningsÀndamÄl eller om ISF:s skÀl för behandlingen vÀger tyngre Àn den registrerades, kan behandlingen fortsÀtta trots invÀndning. RÀtten att göra invÀndningar kan dÀrför inte ersÀtta ett krav pÄ medgivande och en möjlighet att Äterkalla medgivandet. Genom att krav pÄ medgivande regleras separat frÄn bestÀmmelsen om undantaget frÄn rÀtten att göra invÀndningar minskar risken för att de olika bestÀmmelserna blandas ihop (jfr prop. 2017/18:112 s. 53).

Sammanfattningsvis anser regeringen att den registrerade nÀr som helst bör kunna Äterkalla ett lÀmnat medgivande, varvid de personuppgifter som omfattas av det Äterkallade medgivandet ska raderas. Personuppgifterna bör dock fÄ fortsÀtta att behandlas om ISF har arkiverat uppgifterna eller om ISF i övrigt inte utan att bevara, förvÀrva eller behandla ytterligare personuppgifter kan hÀnföra uppgifterna till den registrerade.

Information vid medgivande

Myndigheten för delaktighet framhÄller vikten av ett funktionshinderperspektiv nÀr bestÀmmelser om samtycke tas fram. Regeringen instÀmmer i att det Àr viktigt att beakta den enskildes förmÄga att ta tillvara sina rÀttigheter. För att den enskilde ska kunna ta stÀllning till ett medgivande krÀvs framför allt information om behandlingen av personuppgifter. Den personuppgiftsansvarige Àr enligt artikel 13 i EU:s dataskyddsförordning skyldig att tillhandahÄlla information nÀr personuppgifter samlas in direkt frÄn den registrerade. Informationen ska enligt artikel 12.1 i EU:s dataskyddsförordning tillhandahÄllas i en koncis, klar och tydlig, begriplig och lÀtt tillgÀnglig form, med anvÀndning av klart och tydligt sprÄk. Det Àr ISF:s uppgift att se till att medgivandet lÀmnas frivilligt och informerat, vilket bl.a. innebÀr att myndigheten mÄste anpassa sin information om behandlingen och om innebörden av ett medgivande utifrÄn den enskildes förutsÀttningar att ta till sig informationen. I förordningen (2001:526) om de statliga myndigheternas ansvar för genomförande av funktionshinderspolitiken regleras dessutom en generell skyldighet för myndigheter under regeringen att verka för att bl.a. information Àr tillgÀnglig för personer med funktionsnedsÀttning.

Prop. 2023/24:146

67

Prop. 2023/24:146 Regeringen bedömer att det inte krÀvs nÄgon reglering i den nya lagen som sÀrskilt gÀller personer med funktionsnedsÀttning.

7.14BegrÀnsning av möjligheterna att identifiera den registrerade

Regeringens förslag: Personuppgifter som direkt kan hÀnföras till den registrerade ska förvaras separat frÄn övriga personuppgifter. SÄdana personuppgifter ska dock fÄ behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig anstrÀngning eller motverka syftet med behandlingen.

Kravet pÄ att personuppgifter som direkt kan hÀnföras till den registrerade ska förvaras separat frÄn övriga personuppgifter ska dock inte hindra att personuppgifter som inte direkt kan hÀnföras till den registrerade Àr försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.

Promemorians förslag överensstÀmmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invÀnda mot det. VetenskapsrÄdet anser att uttrycket pseudonymisering bör anvÀndas i lagen.

SkÀlen för regeringens förslag

Pseudonymisering och kryptering kan öka skyddsnivÄn

Behandling av personuppgifter som direkt kan hÀnföras till den registrerade Àr förenad med större integritetsrisker Àn behandling av personuppgifter som endast genom kompletterande uppgifter kan kopplas till den registrerade. Genom pseudonymisering eller kryptering av personuppgifterna Àr det dÀrmed möjligt att minska riskerna för de registrerade och bidra till att sÀkerstÀlla en tillrÀcklig skyddsnivÄ (skÀl 28 och 83 i EU:s dataskyddsförordning). BÄde pseudonymisering och kryptering tillgodoser principen om uppgiftsminimering enligt artikel

5.1c i EU:s dataskyddsförordning samt bidrar till att uppfylla principen om integritet och konfidentialitet enligt artikel 5.1 f. Pseudonymisering och kryptering nÀmns ocksÄ i artikel 32.1 i EU:s dataskyddsförordning som sÄdana tekniska och organisatoriska ÄtgÀrder som ska sÀkerstÀlla en lÀmplig sÀkerhetsnivÄ vid behandling av personuppgifter. DÀrutöver minskar behovet av att behandla uppgifter om personnummer och samordningsnummer nÀr pseudonymisering och kryptering anvÀnds. SÄdana uppgifter fÄr behandlas utan samtycke endast nÀr det Àr klart motiverat med hÀnsyn till ÀndamÄlet med behandlingen, vikten av en sÀker identifiering eller nÄgot annat beaktansvÀrt skÀl (artikel 87 i EU:s dataskyddsförordning och 3 kap. 10 § dataskyddslagen).

Pseudonymisering Àr enligt definitionen i artikel 4.5 i EU:s dataskyddsförordning behandling av personuppgifter pÄ ett sÀtt som innebÀr att personuppgifterna inte lÀngre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter anvÀnds, under förutsÀttning att dessa kompletterande uppgifter förvaras separat och Àr föremÄl för tekniska och

68

organisatoriska ÄtgÀrder som sÀkerstÀller att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. Av definitionen följer alltsÄ krav pÄ att all information som direkt kan identifiera en person ersÀtts med en pseudonym, t.ex. ett löpnummer. Utöver detta bör det krÀvas att annan information som kan anvÀndas för att indirekt identifiera personen hanteras sÄ att detta inte lÀngre Àr möjligt. ISF behandlar stora mÀngder personuppgifter i olika variabler. Variabler som kön, bostadsort och diagnos kan alltsÄ behöva tas bort, om de möjliggör bakvÀgsidentifiering.

EU:s dataskyddsförordning innehÄller ingen definition av vad som ska anses utgöra kryptering. Med kryptering avses dock vanligtvis att genom anvÀndning av ett kodsystem eller ett chiffer kasta om bokstÀver och siffror och dÀrigenom göra en text olÀslig. För att göra informationen lÀslig igen krÀvs dekryptering, som förutsÀtter tillgÄng till kodsystemet eller chiffret. Det Àr vanligt att kÀnslig information krypteras nÀr den skickas elektroniskt.

Personuppgifter som direkt kan hÀnföras till den registrerade bör separeras frÄn övriga personuppgifter

ISF har ett begrÀnsat behov av att behandla personuppgifter som direkt kan hÀnföras till den registrerade. Uppgifter som namn, personnummer och samordningsnummer har inte nÄgot vÀrde i myndighetens analysarbete och bör sÄ lÄngt det Àr möjligt inte vara tillgÀngliga i klartext i det underlag som myndigheten baserar sina undersökningar pÄ. Det Àr dock viktigt att kunna sÀtta samman olika variabler i ISF:s granskningsarbete. Genom att utgÄ frÄn flera olika variabler Àr det möjligt att undersöka hur olika grundförutsÀttningar pÄverkar exempelvis nyttjandet av socialförsÀkringen. Eftersom det inte Àr möjligt att i förvÀg helt förutse om en kombination av variabler kan komma att medge bakvÀgsidentifiering kan det vara svÄrt för ISF att uppnÄ full pseudonymisering. Regeringen bedömer att det dÀrför inte Àr lÀmpligt att, som VetenskapsrÄdet föreslÄr, anvÀnda uttrycket pseudonymisering i lagen. Med hÀnsyn till att det saknas en legaldefinition av vad som ska anses utgöra kryptering och att den föreslagna lagen bör hÄllas teknikneutral, bedöms det inte heller lÀmpligt att införa ett krav pÄ kryptering av personuppgifter. Det finns dock inget som hindrar ISF frÄn att anvÀnda pseudonymisering och kryptering i de fall myndigheten bedömer detta vara lÀmpligt. Det bör ocksÄ vara möjligt att anvÀnda alternativa skyddsÄtgÀrder som ger ett likartat skydd.

Som framgÄr av avsnitt 4 kan ISF, framför allt vid registerstudier, fÄ löpnummerbaserade uppgifter frÄn bl.a. FörsÀkringskassan och SCB. Kodnyckeln behÄlls hos den utlÀmnande myndigheten. DÄ behöver ISF över huvud taget inte hantera personuppgifter som direkt kan hÀnföras till den registrerade. Ett sÄdant tillvÀgagagÄngssÀtt Àr i linje med principen om uppgiftsminimering i EU:s dataskyddsförordning (artikel 5.1 c) och ISF bör dÀrför anvÀnda sig av det nÀr det Àr möjligt. Dessutom fÄr personnummer och samordningsnummer enligt 3 kap. 10 § dataskyddslagen behandlas utan samtycke endast nÀr det Àr klart motiverat med hÀnsyn till ÀndamÄlet med behandlingen, vikten av en sÀker identifiering eller nÄgot annat beaktansvÀrt skÀl. ISF kan dock inte krÀva att den utlÀmnande myndigheten ska ersÀtta personuppgifter som direkt kan hÀnföras till den

Prop. 2023/24:146

69

Prop. 2023/24:146 registrerade med löpnummer, och hanteringen Àr dÀrför beroende av den utlÀmnande myndighetens förmÄga och bistÄnd. I vissa fall kan ISF ocksÄ sjÀlv ha behov av att koppla ihop uppgifter frÄn flera olika myndigheter och enskilda. Det kan dÄ vara nödvÀndigt att hantera personnummer och samordningsnummer. Det Àr dÀrför inte möjligt att krÀva att ISF endast behandlar löpnummerbaserade uppgifter. För att i sÄ stor utstrÀckning som möjligt förhindra behandling av personuppgifter som direkt kan hÀnföras till den registrerade, bör dock ISF separera sÄdana personuppgifter frÄn övriga personuppgifter. Detta kan ske genom olika tekniska och organisatoriska ÄtgÀrder.

Enligt förslaget i avsnitt 7.15 ska tillgÄngen till personuppgifter begrÀnsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Om ett projekt inte omfattar akt-, enkÀt- eller intervjustudier, torde medarbetarnas behov av att ha tillgÄng till personuppgifter som direkt kan hÀnföras till den registrerade vara mycket litet. Genom att uppgifterna hÄlls separerade kan tillgÄngen begrÀnsas. Uppgifterna bör dÀrför separeras sÄ snart som möjligt nÀr uppgifterna kommer in till myndigheten.

Det bör vara möjligt att anvÀnda en kodnyckel

Regeringen anser att det bör vara möjligt att i ett senare skede koppla de separerade personuppgifterna till varandra, t.ex. för att samköra uppgifter som kommer frÄn olika kÀllor, om det med hÀnsyn till ÀndamÄlet med behandlingen av uppgifterna kan konstateras ett behov av det. Personuppgifter som inte direkt kan hÀnföras till den registrerade bör dÀrför fÄ vara försedda med en beteckning som kan kopplas till den enskilde. En sÄdan beteckning kan t.ex. vara ett löpnummer. Genom kompletterande uppgifter i form av en kodnyckel, som beskriver relationen mellan t.ex. personnummer och löpnummer, Àr det möjligt att koppla uppgifterna till varandra. Innan uppgifter som direkt kan hÀnföras till den registrerade separeras frÄn övriga personuppgifter, bör myndigheten sÄledes fÄ koda uppgifterna och skapa en kodnyckel.

AnvÀndningen av löpnummer eller andra beteckningar utgör, genom att löpnumret kan kopplas till en viss person, sÄledes ett undantag frÄn huvudregeln om att personuppgifter som direkt kan hÀnföras till den registrerade ska förvaras separat frÄn övriga personuppgifter. Enligt LagrÄdet framstÄr denna innebörd inte som helt klar i den föreslagna 15 §. Regeringen anser i likhet med LagrÄdet att bestÀmmelsen bör förtydligas och föreslÄr dÀrför att 15 § i huvudsak utformas enligt LagrÄdets förslag. Regeringen bedömer dock att det av bestÀmmelsen bör framgÄ att det Àr till personnummer eller motsvarande identitetsbeteckning som en beteckning kan kopplas. Regeringen föreslÄr dÀrför ett sÄdant tillÀgg till LagrÄdets förslag. Det bör sÀrskilt noteras att en kodnyckel bestÄr av personuppgifter som direkt kan hÀnföras till den registrerade. Myndigheten bör sÄledes hÄlla kodnyckeln med direkt hÀnförliga personuppgifter skild frÄn övriga personuppgifter. TillgÄngen till kodnyckeln begrÀnsas genom förslaget i avsnitt 7.15.

70

En begrÀnsad form av pseudonymisering och kryptering

Genom den föreslagna hanteringen skapas ett krav pÄ en begrÀnsad form av pseudonymisering och kryptering. Det finns en ÄterstÄende risk för bakvÀgsidentifiering av individer i analysmaterial Àven om det inte innehÄller direkt hÀnförliga personuppgifter, sÀrskilt nÀr stora mÀngder uppgifter behandlas i materialet. Det skulle t.ex. kunna vara fallet om uppgifter om en mycket ovanlig diagnos behandlas i kombination med uppgifter om kön, bostadsort och Älder. Risken för detta bedöms dock vara lÄg. Att personuppgifter som direkt kan hÀnföras till den registrerade förvaras separat borgar dÀrför för ett gott skydd för personuppgifterna, eftersom det avsevÀrt minskar möjligheterna att identifiera de registrerade.

Sammantaget föreslÄr regeringen att det i lagen införs ett krav pÄ att personuppgifter som direkt kan hÀnföras till den registrerade som huvudregel ska förvaras separat frÄn övriga personuppgifter. Personuppgifter som inte direkt kan hÀnföras till den registrerade bör fÄ vara försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Kravet utgör en sÄdan skyddsÄtgÀrd som det enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning Àr tillÄtet att införa i nationell lagstiftning.

Undantag frÄn separering vid oproportionerlig anstrÀngning eller om syftet motverkas

I vissa fall kan en separering av personuppgifter som direkt kan hÀnföras till den registrerade frÄn övriga personuppgifter kraftigt försvÄra eller i det nÀrmaste omöjliggöra ISF:s arbete. Vid exempelvis aktstudier hÀmtar ISF in kompletta Àrendeakter för granskning. Eftersom Àrendeakter innehÄller mÄnga personuppgifter som direkt kan hÀnföras till den registrerade Àr det oundvikligt att ISF behandlar sÄdana personuppgifter. Att separera personuppgifter som direkt kan hÀnföras till den registrerade frÄn övriga uppgifter nÀr det rör sig om stora mÀngder Àrendeakter, skulle i dagslÀget medföra en mycket omfattande arbetsinsats eftersom det mÄste ske manuellt. Det skulle ocksÄ förutsÀtta en noggrann genomgÄng av akterna, vilket i sig skulle utgöra en mycket integritetskÀnslig hantering. En sÄdan arbetsinsats kan, i synnerhet med hÀnsyn till den tveksamma vinsten ur integritetshÀnseende, inte anses proportionerlig i förhÄllande till det integritetsskydd den medför.

I andra fall kan kravet pÄ separering av uppgifter motverka syftet med behandlingen. Vid exempelvis intervju- och enkÀtstudier mÄste ISF i ett inledande skede hantera kontaktuppgifter till de registrerade för att bl.a. bestÀmma tid för intervju och för att kunna skicka ut enkÀter. Det skulle ocksÄ motverka syftet med behandlingen om uppgifter om namn inte skulle kunna hanteras i e-bibliotek, kÀllhÀnvisningar i myndighetens rapporter och liknande.

För att kravet pÄ separering inte ska förhindra sitt egna syfte bör det sÄledes finnas möjlighet till undantag. Ett sÄdant undantag bör gÀlla om en separering skulle medföra en oproportionerlig anstrÀngning eller motverka syftet med behandlingen. Vid bedömningen av om huruvida anstrÀngningen Àr proportionerlig eller inte bör anstrÀngningen vÀgas mot det integritetsskydd som en separering skulle medföra.

Prop. 2023/24:146

71

Prop. 2023/24:146 Möjligheten till undantag bör bedömas i förhĂ„llande till varje enskild behandling. Även om det bedöms medföra en oproportionerlig arbetsinsats att separera personuppgifter i Ă€rendeakter bör exempelvis inte all behandling av personuppgifter som ingĂ„r i akter omfattas av undantaget. NĂ€r personuppgifter som ingĂ„r i Ă€rendeakter registreras i sĂ€rskilda analysverktyg, anvĂ€nder ISF redan i dag löpnummer i stĂ€llet för personuppgifter som direkt kan hĂ€nföras till den registrerade. I det fallet kan det sĂ„ledes inte anses medföra en oproportionerlig anstrĂ€ngning att separera personuppgifter som direkt kan hĂ€nföras till den registrerade frĂ„n övriga personuppgifter. NĂ€r granskningen Ă€r slutförd bör kopplingen till Ă€rendeakten tas bort varvid resultatet frĂ„n aktgranskningen kan baseras helt pĂ„ löpnummer.

Det bör enligt regeringen sÄledes införas ett undantag till den föreslagna huvudregeln om att personuppgifter som direkt kan hÀnföras till den registrerade ska förvaras separat frÄn övriga personuppgifter. Undantaget bör ha innebörden att uppgifterna fÄr behandlas tillsammans om en separering skulle medföra en oproportionerlig anstrÀngning eller motverka syftet med behandlingen.

  7.15 BegrÀnsning av tillgÄngen till personuppgifter
   
  Regeringens förslag: TillgÄngen till personuppgifter ska begrÀnsas till
  det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
  Åtkomsten till personuppgifter ska kontrolleras och följas upp
  regelbundet.
   
  Promemorians förslag överensstÀmmer med regeringens förslag.
  Remissinstanserna tillstyrker förslaget eller har inget att invÀnda mot
  det.  
  SkÀlen för regeringens förslag
  Krav pÄ tekniska och organisatoriska ÄtgÀrder följer av EU:s
  dataskyddsförordning
  Den som Àr personuppgiftsansvarig Àr enligt EU:s dataskyddsförordning
  skyldig att vidta tekniska eller organisatoriska ÄtgÀrder för att sÀkerstÀlla
  lÀmplig sÀkerhet för personuppgifterna, inbegripet bl.a. skydd mot
  obehörig eller otillÄten behandling. I artikel 5.1 c uttrycks den grund-
  lÀggande principen att personuppgifter som behandlas ska vara adekvata,
  relevanta och inte för omfattande i förhÄllande till de ÀndamÄl för vilka de
  behandlas (principen om uppgiftsminimering). Enligt artikel 24.1 ska den
  personuppgiftsansvarige, med beaktande av bl.a. behandlingens art,
  omfattning, ÀndamÄl och riskerna, genomföra lÀmpliga tekniska och
  organisatoriska ÄtgÀrder för att sÀkerstÀlla och kunna visa att behandlingen
  utförs i enlighet med EU:s dataskyddsförordning. Enligt artikel 25.2 ska
  den personuppgiftsansvarige ocksÄ genomföra lÀmpliga tekniska och
  organisatoriska ÄtgÀrder för att sÀkerstÀlla att endast personuppgifter som
  Àr nödvÀndiga för varje specifikt ÀndamÄl för behandlingen behandlas.
  Den skyldigheten gÀller mÀngden insamlade personuppgifter, behand-
72 lingens omfattning, tiden för lagringen av dem och deras tillgÀnglighet.

Framför allt ska dessa ÄtgÀrder sÀkerstÀlla att personuppgifter i Prop. 2023/24:146 normalfallet inte utan den enskildes medverkan görs tillgÀngliga för ett

obegrÀnsat antal fysiska personer. Enligt artikel 32 i EU:s dataskyddsförordning har den personuppgiftsansvarige vidare en skyldighet att se till att en lÀmplig sÀkerhetsnivÄ för behandlingen av personuppgifter upprÀtthÄlls. Detta ska ske bl.a. genom lÀmpliga tekniska och organisatoriska ÄtgÀrder. Den personuppgiftsansvariges skyldigheter i detta avseende Äterfinns Àven i de allmÀnna principer för personuppgiftsbehandling som framgÄr av artikel 5.1 f.

Det följer sÄledes direkt av EU:s dataskyddsförordning att den personuppgiftsansvarige Àr skyldig att pÄ olika sÀtt begrÀnsa tillgÄngen till personuppgifter. Mer specifika krav pÄ att vidta ÄtgÀrder kan faststÀllas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning utan att den personuppgiftsansvariges eget ansvar för att vidta lÀmpliga ÄtgÀrder för den skull upphör (jfr prop. 2017/18:171 s. 138).

TillgÄngen till personuppgifter bör begrÀnsas

ISF behandlar en stor mÀngd personuppgifter, varav mÄnga Àr kÀnsliga personuppgifter eller i övrigt integritetskÀnsliga uppgifter. Vem som har rÀtt att ta del av uppgifterna och hur uppgifterna sprids Àr omstÀndigheter som pÄverkar risken för intrÄng i den personliga integriteten. Det Àr dÀrför viktigt att motverka spridning av uppgifterna. För att minska risken för obefogade intrÄng i den personliga integriteten vid ISF:s behandling av personuppgifter bör det dÀrför införas en bestÀmmelse som begrÀnsar den krets av personer som fÄr ha tillgÄng till personuppgifter.

TillgÄngen till personuppgifter kan begrÀnsas pÄ olika sÀtt. Det kan handla om bÄde tekniska och organisatoriska ÄtgÀrder. Vilka ÄtgÀrder som Àr lÀmpligast beror bl.a. pÄ vilka tekniska möjligheter myndigheten har och hur myndighetens organisation ser ut. Nya it-system ger ofta ökade möjligheter att skrÀddarsy och begrÀnsa olika roller i systemen. Ju mer information det finns i ett it-system, desto större krav stÀlls pÄ behörighetstilldelningen och rutinerna för behörighetsstyrning. Det framstÄr dÀrför inte som ÀndamÄlsenligt att reglera vilka konkreta ÄtgÀrder som ska vidtas för att begrÀnsa tillgÄngen.

ISF behandlar personuppgifter för att kunna utföra sitt uppdrag att utöva systemtillsyn och utföra effektivitetsgranskning. I förlÀngningen utförs uppdraget av myndighetens medarbetare, som följaktligen behöver ha tillgÄng till personuppgifter för att kunna utföra sitt arbete. Den enskilde medarbetaren bör dock inte ha tillgÄng till fler personuppgifter Àn vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter.

I bl.a. 1 kap. 11 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten, 2 kap. 5 § lagen om RÀttsmedicinalverkets behandling av personuppgifter och 114 kap. 13 § SFB anges att tillgÄngen till personuppgifter ska begrÀnsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Detta fÄr anses vara en rimlig och naturlig avvÀgning mellan effektivitet och integritet. Regeringen bedömer att samma begrÀnsning bör gÀlla för ISF.

En behovsbaserad tillgÄng till personuppgifter förutsÀtter att myndig-

heten aktivt tar stÀllning till vilket informationsbehov ett tjÀnsteÄliggande

73

Prop. 2023/24:146 eller uppdrag medför och att nödvÀndig behörighet tilldelas utifrÄn det. Det blir dÄ tjÀnsteÄliggandena och inte den faktiska möjligheten att ta del av uppgifter som anger den yttersta ramen för den egentliga behörigheten. Tilldelningen av behörighet bör ske under sÄdana former att det otvetydigt kan konstateras dels vilken behörighet som tilldelats en person, dels att denne faktiskt tagit del av och förstÄtt innebörden av tilldelningen av behörigheten och de angivna ramarna för behörigheten.

74

Åtkomsten bör kontrolleras och följas upp

Den personuppgiftsansvarige ska enligt artikel 24 och 32 i EU:s dataskyddsförordning bl.a. sÀkerstÀlla och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Myndigheter ska dessutom enligt myndighetsförordningen löpande följa upp sina verksamheter i syfte att se till att de bedrivs effektivt och lagenligt. Det kan dÀrför hÀvdas att en skyldighet att regelbundet kontrollera och följa upp Ätkomsten av personuppgifter redan följer av befintlig reglering.

Med anledning av den stora mÀngden personuppgifter som ISF hanterar, anser regeringen att det Àr lÀmpligt att det i den föreslagna lagen uttryckligen anges att Ätkomsten till personuppgifter regelbundet ska kontrolleras och följas upp. Liknande regleringar finns i andra registerförfattningar, t.ex. 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten, 1 kap. 9 § andra stycket studiestödsdatalagen och 114 kap. 13 § andra stycket SFB. Det bör vara upp till myndigheten att nÀrmare bestÀmma formerna för kontrollen och uppföljningen men den bör exempelvis kunna ske genom uppföljning av loggar. Kontroll och uppföljning bör genomföras regelbundet, dvs. systematiskt och Äterkommande, och inte endast om myndigheten av nÄgon orsak har fÄtt anledning att misstÀnka att obehörig Ätkomst har förekommit.

7.16LÀngsta tid som personuppgifter fÄr behandlas

Regeringens bedömning: Det bör inte införas en bestÀmmelse om gallring eller lÀngsta tid för behandling av personuppgifter i lagen.

Promemorians bedömning överensstÀmmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser instÀmmer i bedömningen eller har inget att invÀnda mot den. Enligt Pensionsmyndigheten bör det införas en generell bestÀmmelse om lÀngsta tid för behandling av personuppgifter i lagen.

SkÀlen för regeringens bedömning: Enligt artikel 5.1 e i EU:s dataskyddsförordning fÄr personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under lÀngre tid Àn vad som Àr nödvÀndigt för de ÀndamÄl för vilka personuppgifterna behandlas. Personuppgifter fÄr lagras under en lÀngre period i den mÄn uppgifterna enbart behandlas för arkivÀndamÄl av allmÀnt intresse eller för vetenskapliga och historiska forskningsÀndamÄl eller statistiska ÀndamÄl i enlighet med artikel 89.1 i EU:s dataskyddsförordning. Det förutsÀtter

dock att de lÀmpliga tekniska och organisatoriska ÄtgÀrder som krÀvs enligt EU:s dataskyddsförordning genomförs för att garantera den registrerades fri- och rÀttigheter.

I arkivlagen (1990:782) och arkivförordningen (1991:446) finns bestÀmmelser om bevarande av uppgifter hos myndigheter och vissa andra organ. UtgÄngspunkten i arkivlagen Àr att allmÀnna handlingar ska bevaras men under vissa förutsÀttningar fÄr gallras. Vid gallring ska det dock alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som ÄterstÄr ska kunna tillgodose rÀtten att ta del av allmÀnna handlingar, behovet av information för rÀttskipningen och förvaltningen, samt forskningens behov (10 § arkivlagen). Medan utgÄngspunkten i EU:s dataskyddsförordning Àr att uppgifter inte ska behandlas lÀngre Àn det behövs för ÀndamÄlet, bygger alltsÄ utgÄngspunkten i det arkivrÀttsliga regelverket pÄ tanken att uppgifter ska bevaras. Gallring enligt det arkivrÀttsliga regelverket syftar till att begrÀnsa arkivens omfattning, bl.a. för att öka deras tillgÀnglighet, medan lagringsminimering enligt det dataskyddsrÀttsliga regelverket syftar till att skydda enskildas personliga integritet.

Enligt dataskyddslagen ska EU:s dataskyddsförordning inte tillÀmpas i den utstrÀckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (1 kap. 7 §). Arkivlagstiftningen har sÄledes i frÄga om allmÀnna handlingar företrÀde framför bestÀmmelser om bevarandetid i EU:s dataskyddsförordning. Fortsatt behandling för arkivÀndamÄl Àr tillÄten i enlighet med artikel 5.1 e i EU:s dataskyddsförordning och krÀver inte nÄgon annan rÀttslig grund Àn den med stöd av vilken insamlingen av personuppgifter medgavs (skÀl 50). Arkivlagens bestÀmmelser om gallring Àr dock subsidiÀra i förhÄllande till annan lagstiftning, och tidigare har det ofta införts gallringsbestÀmmelser i myndighetsspecifika registerförfattningar. SÄdana bestÀmmelser har motiverats av skÀl som hÀnför sig till skydd för den personliga integriteten men har trots detta en arkivrÀttslig innebörd.

Regeringen har bedömt att uttrycken bevarande och gallring enbart bör anvĂ€ndas i den betydelse de har i arkivlagstiftningen för att tydligare skilja mellan arkivrĂ€ttsliga regler och regler om skydd för personuppgifter (prop. 2017/18:232 s. 164). Vid anpassningen av lagstiftning som kompletterar brottsdatalagen uttalade regeringen att regleringen bör ange den yttersta grĂ€nsen för hur lĂ€nge personuppgifterna fĂ„r behandlas nĂ€r syftet med bestĂ€mmelserna Ă€r att skydda den personliga integriteten (propositionen Brottsdatalag – kompletterande lagstiftning [prop. 2017/18:269 s. 120 och 121]). Orden bevarande och gallring anvĂ€nds dĂ€rför inte i t.ex. brottsdatalagen eller lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens omrĂ„de, om inte arkivrĂ€ttsliga regler avses.

FörÀndringen har delvis fÄtt genomslag Àven i lagstiftning som kompletterar EU:s dataskyddsförordning. BestÀmmelser om lÀngsta tid för behandling av personuppgifter finns i t.ex. 20 § lagen (2021:319) om Transportstyrelsens olycksdatabas, 7 kap. 8 § lagen (2021:890) om skydd för personer som rapporterar om missförhÄllanden och 4 kap. lagen om behandling av personuppgifter vid Utbetalningsmyndigheten.

Den nu föreslagna lagen avser behandling av personuppgifter. Syftet med samtliga begrÀnsande bestÀmmelser Àr att skydda den personliga

Prop. 2023/24:146

75

Prop. 2023/24:146 integriteten. Av samma skÀl som regeringen tidigare valt att inte införa gallringsbestÀmmelser i lagar som kompletterar EU:s dataskyddsförordning bör det inte heller i den föreslagna lagen införas en bestÀmmelse om gallring.

Uttryckliga tidsgrÀnser för nÀr personuppgifter ska upphöra att behandlas kan göra det mer tydligt för sÄvÀl den registrerade som den berörda myndigheten att överblicka hur lÀnge personuppgifter fÄr behandlas. I avsnitt 7.6.2 och 7.12 föreslÄs dock att lagens ÀndamÄl ska anges pÄ en rambetonad nivÄ och att myndigheten sjÀlv ska faststÀlla syfte respektive ÀndamÄl för projekt och enskilda undersökningar. Det blir dÀrför upp till myndigheten att konkretisera ÀndamÄlet för varje behandling inom ramen för det i lagen föreslagna ÀndamÄlet. SÄ lÀnge ÀndamÄlet med behandlingen inte har konkretiserats, Àr det inte möjligt att avgöra hur lÀnge det Àr nödvÀndigt att behandla personuppgifter med hÀnsyn till ÀndamÄlet. Detta mÄste avgöras frÄn fall till fall med hÀnsyn till vilka uppgifter och vilket projekt det handlar om. Det kan dÀrför inte anses ÀndamÄlsenligt att föreslÄ mer konkreta tidsgrÀnser Àn sÄdana som bygger pÄ principen om lagringsminimering i artikel 5.1 e i EU:s dataskyddsförordning. Eftersom det följer direkt av EU:s dataskyddsförordning att personuppgifter inte fÄr behandlas under lÀngre tid Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlet med behandlingen anser regeringen att det ocksÄ saknas anledning att, sÄ som Pensionsmyndigheten föreslÄr, införa en sÄdan bestÀmmelse i lagen.

8Samlad integritets- och proportionalitetsanalys

8.1Krav pÄ proportionalitet

Regeringens bedömning: Den personuppgiftsbehandling som möjliggörs av den föreslagna lagen utgör en proportionerlig inskrÀnkning av det skydd för den personliga integriteten som finns i regeringsformen, den europeiska konventionen om skydd för de mÀnskliga rÀttigheterna och de grundlÀggande friheterna samt Europeiska unionens stadga om de grundlÀggande rÀttigheterna. Förslaget Àr förenligt med kravet pÄ proportionalitet i EU:s dataskyddsförordning.

Promemorians bedömning överensstÀmmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser, bl.a. Integritetsskyddsmyndigheten och Riksdagens ombudsmÀn, instÀmmer i bedömningen eller har inget att invÀnda mot den. Myndigheten för delaktighet framhÄller att det finns risk för icke informerade medgivanden frÄn enskilda med nedsatt beslutsförmÄga eller kognitiv funktionsnedsÀttning. VetenskapsrÄdet anser att effekten av kravet pÄ medgivande förtas om personuppgifterna till övervÀgande del inhÀmtas frÄn andra kÀllor. Sveriges advokatsamfund

76

efterfrÄgar en analys av sÀkerhetsfrÄgor och lyfter fram risken för att Prop. 2023/24:146 personuppgifter, till följd av otydliga begrÀnsningar, kommer att

behandlas i konflikt med grundlagsskyddet i 2 kap. 6 § regeringsformen.

SkÀlen för regeringens bedömning

NÄgra utgÄngspunkter vid bedömningen av hur förslaget pÄverkar den personliga integriteten

I avsnitt 6 konstateras att den behandling av personuppgifter som Inspektionen för socialförsĂ€kringen (ISF) behöver utföra, och som möjliggörs genom den föreslagna lagen, i vissa fall kan innebĂ€ra ett betydande intrĂ„ng i den enskildes personliga integritet. I flera av de tidigare avsnitten beskrivs hur de föreslagna bestĂ€mmelserna bedöms bidra till att skydda den personliga integriteten (se t.ex. avsnitt 7.10–7.15). Även de behov som ligger till grund för förslagen redovisas, inbegripet bl.a. en bedömning av att ISF utför en uppgift av allmĂ€nt intresse. Det kan i sammanhanget nĂ€mnas att inskrĂ€nkningar i skyddet för den personliga integriteten tidigare har godtagits bl.a. nĂ€r syftet har varit att ge analysmyndigheter möjlighet att behandla sĂ„dana personuppgifter som behövs i deras verksamheter (se t.ex. propositionen Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvĂ€rdering [prop. 2011/12:176 s. 62] och propositionen Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap [prop. 2018/19:151 s. 31]).

I detta avsnitt ges en bredare och mer samlad bedömning av integritets- och proportionalitetsaspekter av lagförslaget.

Respekten för individens sjĂ€lvbestĂ€mmande och integritet Ă€r grundlĂ€ggande i en demokrati. NĂ„gon enhetlig definition av begreppet personlig integritet finns inte. Regeringen har dock i propositionen En reformerad grundlag, med anledning av utvidgningen av integritetsskyddet i regeringsformen, uttalat att en rimlig utgĂ„ngspunkt för bedömningen av behovet av ett utökat skydd för den personliga integriteten Ă€r den enskildes intresse av att skydda information om sina personliga förhĂ„llanden (prop. 2009/10:80 s. 175). Vissa faktorer har ansetts sĂ€rskilt viktiga att ta hĂ€nsyn till nĂ€r det gĂ€ller att bedöma integritetskĂ€nsligheten vid automatiserad behandling av personuppgifter. Det gĂ€ller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna anvĂ€nds samt mĂ€ngden uppgifter som samlas pĂ„ ett och samma stĂ€lle eller som pĂ„ nĂ„got annat sĂ€tt Ă€r tillgĂ€ngliga för bearbetningar och sammanstĂ€llningar (propositionen Översyn av personuppgiftslagen [prop. 2005/06:173 s. 15]). Även rĂ„dande samhĂ€llsvĂ€rderingar kan ha viss pĂ„verkan pĂ„ vilken reglering och begrĂ€nsning av behandlingen av personuppgifter som Ă€r nödvĂ€ndig för att skydda den personliga integriteten (propositionen Utbetalningsmyndigheten [prop. 2022/23:34 s. 162]).

Det behöver göras en proportionalitetsbedömning

I avsnitt 6 görs bedömningen att behandlingen av personuppgifter inom ISF:s tillsyns- och granskningsverksamhet utgör ett sÄdant betydande

intrÄng i den personliga integriteten som omfattas av skyddet enligt 2 kap.

77

Prop. 2023/24:146 6 § andra stycket regeringsformen, förkortad RF. Skyddet för den personliga integriteten Àr inte absolut och kan under vissa förutsÀttningar begrÀnsas med hÀnsyn till andra motstÄende intressen. En begrÀnsning, som mÄste ske genom lag (2 kap. 20 § RF), fÄr dock göras endast för att tillgodose ÀndamÄl som Àr godtagbara i ett demokratiskt samhÀlle och fÄr aldrig gÄ utöver vad som Àr nödvÀndigt med hÀnsyn till det ÀndamÄl som har föranlett den (2 kap. 21 § RF). Vid en begrÀnsning ska det dÀrför göras en proportionalitetsbedömning dÀr integritetsriskerna med personuppgiftsbehandlingen vÀgs mot de fördelar som behandlingen kan leda till. En behandling Àr bara tillÄten om fördelarna med den stÄr i rimlig proportion till nackdelarna. I detta ingÄr att bedöma om behandlingen av personuppgifterna Àr nödvÀndig utifrÄn det avsedda ÀndamÄlet med behandlingen och om det finns alternativ som Àr mindre integritetskÀnsliga.

Även EU:s dataskyddsförordning förutsĂ€tter en proportionalitetsbedömning vid behandling av personuppgifter. Den nationella rĂ€tt som faststĂ€ller grunden för personuppgiftsbehandlingen ska uppfylla ett mĂ„l av allmĂ€nt intresse och vara proportionell mot det legitima mĂ„l som efterstrĂ€vas (artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning). Behandling av kĂ€nsliga personuppgifter Ă€r tillĂ„ten om behandlingen Ă€r nödvĂ€ndig av hĂ€nsyn till ett viktigt allmĂ€nt intresse pĂ„ grundval av unionsrĂ€tten eller medlemsstaternas nationella rĂ€tt, vilken ska stĂ„ i proportion till det efterstrĂ€vade syftet, vara förenligt med det vĂ€sentliga innehĂ„llet i rĂ€tten till dataskydd och innehĂ„lla bestĂ€mmelser om lĂ€mpliga och sĂ€rskilda Ă„tgĂ€rder för att sĂ€kerstĂ€lla den registrerades grundlĂ€ggande rĂ€ttigheter och intressen (artikel 9.2 g i EU:s dataskyddsförordning).

Behandling av personuppgifter berör vidare rÀtten till respekt för privatlivet enligt artikel 8.1 i den europiska konventionen om skydd för de mÀnskliga rÀttigheterna och de grundlÀggande friheterna, hÀr benÀmnd Europakonventionen. Enligt denna artikel har var och en rÀtt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen gÀller som svensk lag (lagen [1994:1219] om den europeiska konventionen angÄende skydd för de mÀnskliga rÀttigheterna och de grundlÀggande friheterna). Enligt 2 kap. 19 § RF fÄr inte lag eller annan föreskrift meddelas i strid med Sveriges Ätaganden pÄ grund av Europakonventionen. Enligt artikel 8.2 i Europakonventionen fÄr rÀtten till skydd för privatlivet inte inskrÀnkas annat Àn med stöd av lag och om det i ett demokratiskt samhÀlle Àr nödvÀndigt med hÀnsyn till den nationella sÀkerheten, den allmÀnna sÀkerheten, landets ekonomiska vÀlstÄnd eller till förebyggande av oordning eller brott eller skydd för hÀlsa eller moral eller för andra personers fri- och rÀttigheter.

I artiklarna 3, 7 och 8 i Europeiska unionens stadga om de grundlÀggande rÀttigheterna (2010/C 83/02), hÀr benÀmnd EU:s rÀttighetsstadga, slÄs det fast att var och en har rÀtt till fysisk och mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel

52.3i stadgan följer att i den mÄn stadgan omfattar rÀttigheter som motsvarar sÄdana som garanteras av Europakonventionen ska de ha

  samma innebörd och rÀckvidd som enligt konventionen, men att
78 bestÀmmelsen inte hindrar unionsrÀtten frÄn att tillförsÀkra ett mer

lÄngtgÄende skydd. I EU:s rÀttighetsstadga Àr utgÄngspunkten att en Prop. 2023/24:146 inskrÀnkning av rÀttigheter och friheter enligt stadgan endast fÄr göras i

lag och mÄste vara förenlig med det vÀsentliga innehÄllet i de rÀttigheter och friheter som erkÀnns i stadgan. BegrÀnsningar fÄr med beaktande av proportionalitetsprincipen endast göras om de Àr nödvÀndiga och faktiskt svarar mot mÄl av allmÀnt samhÀllsintresse som erkÀnns av unionen eller behovet av skydd för andra mÀnniskors rÀttigheter och friheter (artikel 52.1).

För att det ska vara motiverat att införa de möjligheter till behandling av personuppgifter som föreslÄs mÄste alltsÄ behovet av behandlingen vÀga tyngre Àn den enskildes intresse av skydd för den personliga integriteten. För att en proportionalitetsbedömning ska kunna göras behöver riskerna för intrÄng i den personliga integriteten kartlÀggas. Genom att införa skyddsÄtgÀrder som begrÀnsar den tillÄtna behandlingen kan behovet av behandling balanseras mot intresset av integritetsskydd.

Omfattande behandling av personuppgifter frÄn andra myndigheter medför risker

Inom socialförsĂ€kringsomrĂ„det och inom verksamheter som grĂ€nsar till socialförsĂ€kringsomrĂ„det behandlas stora mĂ€ngder personuppgifter. Det rör sig bl.a. om kĂ€nsliga personuppgifter, framför allt om hĂ€lsa, men Ă€ven om enskildas ekonomiska förutsĂ€ttningar och levnadsomstĂ€ndigheter. Behandling av kĂ€nsliga personuppgifter Ă€r förenad med sĂ€rskilda integritetsrisker. Även behandling av andra personuppgifter kan medföra risker. Den föreslagna lagen ger vissa möjligheter till sammanstĂ€llning och systematisering. NĂ€r stora mĂ€ngder personuppgifter samlas pĂ„ ett sĂ„dant sĂ€tt att informationen enkelt kan sammanstĂ€llas och systematiseras, ges möjlighet till kontroll över och kartlĂ€ggning av individer. Även personuppgifter som normalt uppfattas som relativt harmlösa eller Ă€r av mindre kĂ€nslig karaktĂ€r kan tillsammans skapa en integritetskĂ€nslig sammanstĂ€llning av uppgifter om en person.

De personuppgifter som ISF behandlar kommer huvudsakligen frÄn andra myndigheter och organisationer. Behandlingen av personuppgifter sker dÀrmed för ett annat ÀndamÄl Àn det som de ursprungligen samlades in för. Det innebÀr i sig en integritetsrisk eftersom den registrerade inte alltid kan förvÀntas förutse behandlingen och dÀrmed kan ha svÄrt att bedöma risker med behandlingen. Det kan ocksÄ vara svÄrt för den registrerade att behÄlla kontrollen över sina uppgifter. NÀr den enskilde uppsöker vÄrd för att fÄ ett intyg som krÀvs vid ansökan om sjukpenning, kan det exempelvis vara svÄrt att förutse att ISF kan komma att anvÀnda uppgiften om diagnos vid en granskning av FörsÀkringskassans verksamhet. NÀr personuppgifter delas mellan flera myndigheter, fÄr dessutom fler personuppgiftsansvariga och enskilda anvÀndare Ätkomst till uppgifterna. En stor spridning av personuppgifter utgör i sig, sÀrskilt nÀr det rör sig om kÀnsliga personuppgifter, en integritetsrisk. Ju fler personer som kan ta del av uppgifterna desto större blir riskerna för otillÄten och krÀnkande hantering. Det finns ocksÄ en risk att myndighetens personal eller anvÀndare av it-systemen kan ta del av mer information Àn vad de behöver för att kunna utföra sina arbetsuppgifter, vilket ocksÄ ökar risken för

otillÄten behandling, obehörigt röjande och andra former av missbruk.

79

Prop. 2023/24:146 Behandling av personnummer och andra personuppgifter som direkt kan hÀnföras till den enskilde kan utgöra en integritetsrisk eftersom det möjliggör samkörning av uppgifter.

Grupper med behov av sÀrskilt skydd

Det finns sÀrskilt stora risker för personer med skyddade personuppgifter och personer som i övrigt Àr utsatta för vÄld eller förtryck. Spridning av uppgifter nÀr det gÀller sÄdana personer kan fÄ förödande konsekvenser. Barns personuppgifter förtjÀnar ocksÄ sÀrskilt skydd, eftersom barn kan vara mindre medvetna om risker, följder och skyddsÄtgÀrder samt om sina rÀttigheter nÀr det gÀller behandling av personuppgifter (skÀl 38 i EU:s dataskyddsförordning). Barns personuppgifter kan behandlas i undersökningar som rör t.ex. barnbidrag och förÀldrapenning.

Även personer med vissa kognitiva funktionsnedsĂ€ttningar, bl.a. psykiskt sjuka personer och Ă€ldre personer, anses sĂ€rskilt sĂ„rbara (jfr Artikel 29-gruppens riktlinjer om konsekvensbedömning avseende dataskydd och faststĂ€llande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, 2017, s. 11 och 12). Eftersom ISF:s uppdrag avser hela socialförsĂ€kringsomrĂ„det kan det, beroende pĂ„ projekt, bli aktuellt att behandla uppgifter om sĂ„dana personer, t.ex. i undersökningar av utvecklingen av sjukskrivningar med psykiatriska diagnoser och undersökningar som avser pensioner.

Risk för personuppgiftsincidenter

Det finns risk för att myndigheten genom en personuppgiftsincident förlorar kontrollen över uppgifterna. Vid förlorad kontroll över uppgifterna skulle de kunna komma i utomstÄendes hÀnder och anvÀndas för exempelvis negativ sÀrbehandling, övervakning, kartlÀggning av enskildas personliga förhÄllanden eller för att utsÀtta de registrerade för fara eller krÀnkningar. Vid förlorad kontroll över uppgifterna skulle hÀlsouppgifter exempelvis kunna vidareförmedlas till nÄgon som anvÀnder dem för att selektera bort personer med vissa hÀlsotillstÄnd i anstÀllningsprocesser eller liknande. Uppgifter om etniskt ursprung skulle kunna vidareförmedlas till nÄgon som har ett intresse av att kartlÀgga och förfölja ett visst lands medborgare eller en viss etnisk grupp. LikasÄ kan vissa ha ett intresse av att förfölja personer med en viss sexuell lÀggning eller en viss religiös övertygelse.

Risker vid intervjuer och enkÀter

Vid insamling av vissa typer av personuppgifter direkt frÄn den registrerade, t.ex. genom enkÀter eller intervjuer, uppstÄr vissa sÀrskilda risker. Av 2 kap. 2 § RF följer ett skydd för de s.k. negativa opinionsfriheterna, vilket bl.a. innebÀr att myndigheter aldrig fÄr tvinga nÄgon att ge till kÀnna sin ÄskÄdning i politiskt, religiöst, kulturellt eller annat sÄdant hÀnseende. Det Àr frivilligt att lÀmna uppgifter till ISF, vilket myndigheten ocksÄ Àr skyldig att informera om enligt artikel 13.1 e i EU:s dataskyddsförordning, men det finns ÀndÄ en risk för att enskilda kan uppleva insamlingen av vissa uppgifter som krÀnkande.

80

SkyddsÄtgÀrder minskar riskerna med behandlingen

Riskerna med behandlingen av personuppgifter kan begrÀnsas genom olika skyddsÄtgÀrder. En grundlÀggande begrÀnsning av all personuppgiftsbehandling Àr faststÀllande av ÀndamÄl för behandlingen. ISF föreslÄs fÄ behandla personuppgifter om det Àr nödvÀndigt för undersökningar av förhÄllanden inom socialförsÀkringsomrÄdet och inom verksamheter som grÀnsar till socialförsÀkringsomrÄdet. Det brett formulerade ÀndamÄlet i lagen föreslÄs konkretiseras dels genom att det ska faststÀllas ett syfte för projektet som personuppgifter behandlas inom, dels genom att ÀndamÄl ska faststÀllas för respektive undersökning i enlighet med EU:s dataskyddsförordnings krav.

KÀnsliga personuppgifter föreslÄs som utgÄngspunkt fÄ behandlas om det Àr nödvÀndigt för ÀndamÄlet men sökningar fÄr enligt förslaget inte utföras i syfte att fÄ fram ett urval av personer grundat pÄ andra kÀnsliga personuppgifter Àn uppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hÀlsa eller sexuell lÀggning. För att det över huvud taget ska vara tillÄtet att göra sökningar i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter krÀvs ocksÄ att sökningen görs för ISF:s interna behov (primÀra ÀndamÄl). SökbegrÀnsningen sÀkerstÀller att endast sÄdana personuppgifter som myndigheten har behov av som underlag i sina undersökningar anvÀnds för att sammanstÀlla urval. SÄdana personuppgifter som samlas in för att de behandlas tillsammans med sÄdana personuppgifter som ISF har behov av att analysera (avsnitt 7.7) kommer dÀrmed inte att behandlas pÄ annat sÀtt Àn genom insamling och lagring.

För att tydligt avgrÀnsa behandlingen av personuppgifter föreslÄs att ISF som huvudregel ska behandla personuppgifter i projekt. Uppgifterna ska behandlas i det projekt som de samlats in för och fÄr ÄteranvÀndas i ett annat projekt endast om behandlingen Àr nödvÀndig för att ISF ska kunna helt eller delvis upprepa eller följa upp det ursprungliga projektet. PÄ sÄ sÀtt kan ÀndamÄlet med behandlingen av personuppgifter alltid hÀrledas till syftet med ett visst projekt och behandlingen blir dÀrmed överskÄdlig och begriplig. Projektets ramar i frÄga om syfte, vilka kategorier av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser som behöver behandlas samt under vilken tidsperiod uppgifterna förvÀntas behandlas ska faststÀllas pÄ förhand och offentliggöras. Detta borgar för vÀl genomarbetade projektplaner och en transparens och tydlighet gentemot de registrerade, allmÀnheten, tillsynsmyndigheten och andra intresserade. OmvÀrldsbevakning och planering av verksamheten förvÀntas medföra begrÀnsad behandling av personuppgifter och föreslÄs av praktiska skÀl undantas frÄn kravet pÄ behandling i projekt.

Personuppgifter som samlas in direkt frÄn den registrerade föreslÄs fÄ behandlas endast efter det att den registrerade lÀmnat sitt uttryckliga medgivande. Den registrerade ska ha rÀtt att nÀr som helst Äterkalla ett lÀmnat medgivande, varvid behandling av personuppgifter som omfattas av det Äterkallade medgivandet ska raderas. Detta ger den registrerade kontroll över de uppgifter som han eller hon lÀmnar till ISF och möjlighet att Ängra sig Àven efter det att uppgifterna lÀmnats. Eftersom myndigheten utövar systemtillsyn och utför granskningar pÄ en övergripande nivÄ och inte har nÄgon pÄverkan pÄ enskilda personers Àrenden, torde registrerade

Prop. 2023/24:146

81

Prop. 2023/24:146 som medverkar i en intervju- eller enkĂ€tundersökning eller pĂ„ annat sĂ€tt lĂ€mnar uppgifter till myndigheten normalt inte befinna sig i nĂ„gon beroendestĂ€llning till myndigheten. Medgivanden bör dĂ€rmed som utgĂ„ngspunkt kunna lĂ€mnas helt frivilligt. Personer som av olika skĂ€l har nedsatt beslutsförmĂ„ga eller kognitiva funktionsnedsĂ€ttningar kan dock inte alltid lĂ€mna ett uttryckligt medgivande. Även barn kan ha svĂ„rt att lĂ€mna ett uttryckligt medgivande, beroende pĂ„ bl.a. barnets Ă„lder och mognad och behandlingens art. Ett sĂ„dant medgivande utgör dock, som en integritetshöjande Ă„tgĂ€rd, en förutsĂ€ttning för personuppgiftsbehandling nĂ€r uppgifter samlas in direkt frĂ„n den enskilde, t.ex. vid enkĂ€t- eller intervjustudier. Det Ă€r myndighetens uppgift att se till att medgivandet lĂ€mnas frivilligt och informerat (se avsnitt 7.13), vilket bl.a. innebĂ€r att myndigheten mĂ„ste anpassa sin information om behandlingen och om innebörden av ett medgivande utifrĂ„n den enskildes förutsĂ€ttningar att ta till sig informationen. Mot bakgrund av detta bedömer regeringen, till skillnad frĂ„n Myndigheten för delaktighet, att risken Ă€r lĂ„g att ett medgivande inte Ă€r frivilligt eller informerat, Ă€ven om den enskilde har nedsatt beslutsförmĂ„ga eller en kognitiv funktionsnedsĂ€ttning. Trots att personuppgifter, som VetenskapsrĂ„det pĂ„pekar, Ă€ven hĂ€mtas frĂ„n andra kĂ€llor, medför skyddsĂ„tgĂ€rden sammantaget ett gott skydd i de fall de inhĂ€mtas direkt frĂ„n den registrerade.

Behandling av personuppgifter som direkt kan hÀnföras till den registrerade för med sig större integritetsrisker Àn behandling av personuppgifter som kan kopplas till den registrerade endast med hjÀlp av kompletterande uppgifter (kodnyckel). Att förhindra behandling av personuppgifter som direkt kan hÀnföras till den registrerade Àr sÄledes en effektiv skyddsÄtgÀrd. Eftersom ISF till stor del men inte helt kan utföra sitt uppdrag utan behandling av personuppgifter som direkt kan hÀnföras till den registrerade Àr det inte möjligt att helt förbjuda sÄdan behandling. I stÀllet föreslÄs att sÄdana personuppgifter som huvudregel ska separeras frÄn övriga personuppgifter. Genom separeringen möjliggörs en begrÀnsning av behandlingen, bÄde nÀr det gÀller generell anvÀndning av uppgifterna och i frÄga om Ätkomst till uppgifterna och bevarande. Ofta kan en kodnyckel raderas innan övriga uppgifter upphör att behandlas.

Genom förslag om begrÀnsad tillgÄng till personuppgifter sÀkerstÀlls ett aktivt arbete med behörighetsstyrning. Endast den begrÀnsade krets av medarbetare som arbetar i ett visst projekt bör normalt fÄ ta del av de personuppgifter som behandlas i projektet. Om det finns kompletterande uppgifter som möjliggör identifiering, bör sÄ fÄ personer som möjligt tilldelas behörighet att ta del av dessa. Ett krav pÄ att Ätkomsten regelbundet ska kontrolleras och följas upp avser att skapa förutsÀttningar för tidig upptÀckt av och möjlighet att förebygga missbruk av behörigheter, intrÄng och andra sÀkerhetsrisker.

ISF har tidigare bedrivit projekt som innefattar behandling av kÀnsliga personuppgifter som forskningsprojekt. All behandling av kÀnsliga personuppgifter har dÀrmed föregÄtts av en etikprövning, vilket har tillgodosett skydd för uppgifterna. De föreslagna skyddsÄtgÀrderna bedöms ge ett minst lika gott skydd som en etikprövning. För forskningsprojekt föreslÄs dessutom att bÄde registerlagen och kravet pÄ etikprövning ska gÀlla, vilket innebÀr ett utökat skydd.

82

Den generella dataskyddsregleringen och sekretessbestÀmmelser ger skydd

Utöver de skyddsÄtgÀrder som följer av den föreslagna lagen gÀller de krav som följer av den generella dataskyddsregleringen. Av 3 kap. 10 § dataskyddslagen följer exempelvis att ISF mÄste se till att behandling av personnummer och samordningsnummer Àr klart motiverad. I övrigt ska den personuppgiftsansvarige vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att sÀkerstÀlla och kunna visa att behandlingen sker i enlighet med EU:s dataskyddsförordning. Sveriges advokatsamfund efterfrÄgar en analys av vilka sÀrskilda sÀkerhetsÄtgÀrder som ISF kan behöva vidta. Regeringen vill framhÄlla att ISF har ett ansvar för att vidta tillrÀckliga sÀkerhetsÄtgÀrder utöver de skyddsÄtgÀrder som följer av den föreslagna lagen. En bedömning av behovet av ÄtgÀrder ska göras utifrÄn bl.a. behandlingens art, omfattning, sammanhang och ÀndamÄl samt föreliggande risker (artiklarna 24 och 32 i EU:s dataskyddsförordning).

Den sekretess som gÀller för ISF:s undersökningar ger ocksÄ ett gott skydd för personuppgifterna. Sekretess gÀller hos ISF avseende undersökningar av rÀttstillÀmpning, handlÀggning och administration inom socialförsÀkringsomrÄdet och inom verksamheter med direkt anknytning till socialförsÀkringen, undersökningar om effekter av förÀndringar inom socialförsÀkringsomrÄdet och om utnyttjandet av socialförsÀkringen för uppgifter som avser en enskilds personliga eller ekonomiska förhÄllanden och som kan hÀnföras till den enskilde (24 kap. 8 § andra stycket OSL och 7 § OSF). Sekretess gÀller sÄledes som huvudregel för personuppgifter som behandlas i sÄdan verksamhet som omfattas av den föreslagna lagen. Uppgift som behövs för forsknings- eller statistikÀndamÄl och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhÄllande Àr direkt hÀnförlig till den enskilde fÄr dock lÀmnas ut, om det stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider skada eller men (24 kap. 8 § tredje stycket OSL). Utöver statistiksekretessen gÀller Àven tillsynssekretessen enligt 11 kap. 1 § OSL. Det samlade sekretesskyddet bedöms vara mycket starkt.

Behandlingen av personuppgifter bedöms vara proportionerlig

ISF har till uppgift att genom systemtillsyn och effektivitetsgranskning vĂ€rna rĂ€ttssĂ€kerheten och effektiviteten inom socialförsĂ€kringsomrĂ„det och inom verksamheter som grĂ€nsar till socialförsĂ€kringsomrĂ„det. NĂ€r myndigheten bildades bedömdes det finnas ett behov av en extern och oberoende myndighet, med sĂ„vĂ€l bred som djup sakkompetens, som utför systematisk och löpande granskning av socialförsĂ€kringen. SkĂ€len som angavs för detta var bl.a. behovet av ett ökat fokus pĂ„ rĂ€ttssĂ€kerhet och enhetlig handlĂ€ggning, bristande förmĂ„ga att upptĂ€cka felaktiga utbetalningar, beslutens stora betydelse för enskildas grundlĂ€ggande försörjningsvillkor, vĂ€rdet av en extern granskning för att upprĂ€tthĂ„lla och stĂ€rka tilltron till socialförsĂ€kringen och dess administration och avsaknaden av en aktör med ansvar för att följa upp och utvĂ€rdera olika samverkansinitiativ (SOU 2008:10 s. 31–41). Flertalet av dessa skĂ€l Ă€r fortfarande relevanta och det Ă€r dĂ€rför viktigt att ISF kan bedriva en kvalitativ tillsyns- och granskningsverksamhet.

Prop. 2023/24:146

83

Prop. 2023/24:146 Redan i samband med att ISF bildades konstaterades ett behov av att
  hantera uppgifter om bl.a. enskildas personliga och ekonomiska
  förhÄllanden, dvs. personuppgifter (SOU 2008:10 s. 99 och 100 och tvÄ
  skrivelser frÄn Utredningen för inrÀttandet av Inspektionen för
  socialförsÀkringen, S2009/4622 och S2009/5373). Det har dÀrefter tagits
  fram en departementspromemoria med förslag till en sÀrskild lagreglering
  för behandlingen av personuppgifter vid ISF (Ds 2011:4) och tillsatts en
  statlig utredning som konstaterat behov av och lÀmnat förslag om en ny
  lag om behandling av personuppgifter vid ISF (SOU 2014:67). I
  förhÄllande till sÄvÀl FörsÀkringskassan och Pensionsmyndigheten som
  Skatteverket har regeringen infört sekretessbrytande skyldigheter att
  lÀmna personuppgifter till ISF (4 § förordningen [1980:995] om
  skyldighet för FörsÀkringskassan och Pensionsmyndigheten att lÀmna
  uppgifter till andra myndigheter och 7 b § förordningen [2001:588] om
  behandling av uppgifter i Skatteverkets beskattningsverksamhet). Enligt
  7 § OSF gÀller dessutom statistiksekretess i undersökningar hos ISF för
  uppgifter som avser en enskilds personliga eller ekonomiska förhÄllanden
  och som kan hÀnföras till den enskilde. Regeringen ger ofta ISF uppdrag
  som förutsÀtter behandling av uppgifter om individer. Exempel pÄ detta
  under senare Är Àr bl.a. ett uppdrag att kartlÀgga konsekvenser pÄ
  individnivÄ av förÀndringar i sjukförsÀkringen (S2021/07173). Ett annat
  exempel Àr ett uppdrag att granska och analysera hur FörsÀkringskassan
  tillÀmpar bestÀmmelsen om utredningsskyldighet i 110 kap. 13 §
  socialförsÀkringsbalken vid handlÀggningen av Àrenden som gÀller
  sjukpenning och aktivitetsersÀttning dÀr ansökan om ersÀttning har
  avslagits (S2019/03411). Ytterligare ett exempel Àr ett uppdrag att
  utvÀrdera reformen om reformerade stöd till personer med funktions-
  nedsÀttning, vilket bl.a. omfattar en analys av reformens effekter för
  berörda kvinnor respektive mÀn vad gÀller t.ex. ersÀttningsnivÄer samt
  regelverkens tydlighet och transparens (S2020/08254). SÄdana uppdrag
  ligger i linje med ISF:s uppgifter enligt instruktionen och motiveras av de
  behov som angavs som skÀl för att bilda myndigheten.
  Inom socialförsÀkringsomrÄdet behandlas stora mÀngder kÀnsliga
  personuppgifter om hÀlsa. Inom mÄnga förmÄner utgör uppgifter om allt
  frÄn ansökningar, vÄrdbesök och lÀkarintyg till uppgifter om beslut och
  utbetalningar uppgifter om hÀlsa. Att ISF fÄr möjlighet att behandla sÄdana
  uppgifter fÄr anses vara en förutsÀttning för att myndigheten ska kunna
  granska socialförsÀkringsomrÄdet. Redan nÀr ISF bildades lyfte
  regeringen fram vikten av en objektiv granskning av rÀttssÀkerheten och
  effektiviteten inom socialförsÀkringsomrÄdet och att ingen ska
  diskrimineras genom socialförsÀkringens tillÀmpning (dir. 2007:24).
  Granskning av socialförsÀkringens tillÀmpning utifrÄn vissa grunder för
  osaklig hantering förutsÀtter behandling av bl.a. kÀnsliga personuppgifter
  om etniskt ursprung, religiös eller filosofisk övertygelse, hÀlsa och sexuell
  lÀggning.      
  ISF:s systemtillsyn och effektivitetsgranskningar syftar till att vÀrna
  rÀttssÀkerhet och effektivitet. ISF ska alltsÄ inte följa verksamheten pÄ
  individnivÄ och granska Àrenden i det enskilda fallet. I stÀllet handlar
  uppdraget om att göra övergripande analyser utifrÄn aggregerade data,
  Àven nÀr inhÀmtningen av information sker genom aktgranskningar. För
84 att sÄdana analyser ska vara möjliga, mÄste myndigheten behandla

personuppgifter i stora volymer. Det Ă€r ur ett effektivitetsperspektiv inte Prop. 2023/24:146 möjligt – och inte heller befogat – att göra sĂ„dana analyser manuellt. För

att myndigheten ska kunna utföra sitt uppdrag krÀvs sÄledes anvÀndning av digitala verktyg och en automatiserad behandling av personuppgifter. Det bedöms inte finnas nÄgra alternativ som Àr mindre integritetskÀnsliga. Automatiserad behandling av personuppgifter fÄr dÀrmed anses vara nödvÀndig för att ISF ska kunna undersöka förhÄllanden inom socialförsÀkringsomrÄdet och inom verksamheter som grÀnsar till socialförsÀkringsomrÄdet.

Sammantaget kan det konstateras att ISF har ett stort behov av att behandla personuppgifter. Uppgiften att vÀrna rÀttssÀkerheten och effektiviteten inom socialförsÀkringsomrÄdet syftar till att leda till förbÀttringar som ska vara till nytta för bÄde enskilda och samhÀllet. Den nya reglering som nu föreslÄs syftar till att skapa en balans mellan ISF:s behov av ÀndamÄlsenliga och effektiva arbetsformer och ett starkt skydd för enskildas personliga integritet. Till skillnad frÄn Sveriges advokatsamfund, anser regeringen att de föreslagna begrÀnsningarna i lagen inte Àr otydliga. Som redogjorts för ovan föreslÄs ett flertal ÄtgÀrder för att minska risker med behandlingen och skydda den personliga integriteten. Föreslagna ÄtgÀrder bedöms kraftigt minska risken för integritetsintrÄng. Det kan ocksÄ noteras att Integritetsskyddsmyndigheten anser att det i promemorian gjorts en gedigen integritetsanalys och tillstyrker förslaget om en registerlag. Vid en avvÀgning mellan det allmÀnintresse som ligger till grund för ISF:s verksamhet och intresset av att upprÀtthÄlla skyddet för den personliga integriteten fÄr intrÄnget anses vara motiverat och proportionerligt. Sammantagna övervÀger fördelarna med att kunna behandla personuppgifter i verksamheten nackdelarna. DÀrmed bedömer regeringen att den personuppgiftsbehandling som möjliggörs av den föreslagna lagen utgör en proportionerlig inskrÀnkning av det skydd för den personliga integriteten som finns i regeringsformen, den europeiska konventionen om skydd för de mÀnskliga rÀttigheterna och de grundlÀggande friheterna samt Europeiska unionens stadga om de grundlÀggande rÀttigheterna. Regeringen bedömer ocksÄ att förslaget Àr förenligt med kravet pÄ proportionalitet i EU:s dataskyddsförordning.

ISF ska göra konsekvensbedömningar

Inspektionen för socialförsÀkringen ska, nÀr det Àr nödvÀndigt, göra en konsekvensbedömning avseende dataskyddet och en framstÀllan om förhandssamrÄd till Integritetsskyddsmyndigheten (artiklarna 35 och 36 i EU:s dataskyddsförordning). De övervÀganden som redovisas hÀr Àr alltsÄ inte avsedda att utgöra en sÄdan konsekvensbedömning som ersÀtter kravet pÄ en konsekvensbedömning avseende dataskydd enligt EU:s dataskyddsförordning. Det Àr ytterst upp till myndigheten att besluta om de nÀrmare förutsÀttningarna för behandlingen av personuppgifter, t.ex. nÀr det gÀller vilken teknik och vilka sÀkerhetslösningar som ska anvÀndas.

85

Prop. 2023/24:146 9 IkrafttrÀdande- och
  övergÄngsbestÀmmelser

Regeringens förslag: Lagen ska trÀda i kraft den 1 januari 2025. BestÀmmelserna om behandling av personuppgifter i projekt och

medgivande till behandling av personuppgifter ska inte tillÀmpas pÄ projekt som har inletts före ikrafttrÀdandet.

Promemorians förslag överensstÀmmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invÀnda mot det.

SkÀlen för regeringens förslag: Den föreslagna lagen bör trÀda i kraft sÄ snart som möjligt för att tillgodose ISF:s behov av att behandla personuppgifter för att dÀrigenom kunna utföra sitt uppdrag pÄ ett ÀndamÄlsenligt sÀtt. Den 1 januari 2025 bedöms vara den tidigaste tidpunkten det kan ske.

ISF bedöms redan i dag uppfylla merparten av de krav som stĂ€lls i den föreslagna lagen. Vissa krav ska dock uppfyllas innan personuppgifter behandlas i projekt. Dessa krav kan inte förutsĂ€ttas vara uppfyllda för projekt som har inletts innan lagen trĂ€der i kraft. PĂ„ motsvarande sĂ€tt kan det inte förutsĂ€ttas att den enskilde alltid har lĂ€mnat sitt uttryckliga medgivande till behandlingen nĂ€r personuppgifter har samlats in direkt frĂ„n den enskilde. För att ISF inte ska tvingas upphöra med pĂ„gĂ„ende behandlingar i förtid, bör bestĂ€mmelserna om behandling av personuppgifter i projekt och medgivande till behandling av personuppgifter i 12–14 §§ inte tillĂ€mpas pĂ„ projekt som har inletts före ikrafttrĂ€dandet.

  10 Konsekvenser
  10.1 Ekonomiska konsekvenser
  Inspektionen för socialförsÀkringen (ISF) har hittills behandlat person-
  uppgifter med stöd av den generella dataskyddslagstiftningen, vilket har
  medfört viss osÀkerhet och otydlighet i frÄga om vilket utrymme
  myndigheten har att samla in och bearbeta personuppgifter. Förslagen som
  lÀmnas i denna proposition förtydligar de rÀttsliga krav som ISF har att
  förhÄlla sig till och ger dÀrmed myndigheten bÀttre möjlighet att organisera
  sin verksamhet inom förutsÀgbara ramar. Samtidigt medger förslagen en
  tillrÀcklig flexibilitet för att ISF ska ha möjlighet att fortlöpande utveckla
  och anpassa sina it-system utan att det krÀvs författningsÀndringar.
  Sammantaget kan förslagen förvÀntas ge förutsÀttningar för en effektiv
  och digital informationshantering.
  Förslagen kan förvÀntas leda till att myndigheten vidtar vissa
  förÀndringar i frÄga om organisation och arbetssÀtt. Behovet av tekniska
  anpassningar för att uppfylla föreslagna krav pÄ skyddsÄtgÀrder bedöms
  dock vara begrÀnsat. ISF arbetar redan i dag i projektform och hÀmtar
  huvudsakligen in löpnummerbaserade uppgifter. NÀr personuppgifter
86 samlas in direkt frÄn den registrerade, inhÀmtas samtycke frÄn den
   

registrerade. Myndigheten tillÀmpar ocksÄ behörighetsstyrning för Prop. 2023/24:146 Ätkomst till personuppgifter. För att det ska vara möjligt att regelbundet

kontrollera och följa upp Ätkomsten till personuppgifter kan det krÀvas viss anpassning av myndighetens it-system och arbetssÀtt. Det finns dock redan i dag krav pÄ intern styrning och kontroll vid myndigheter och pÄ att personuppgiftsansvariga ska sÀkerstÀlla och kunna visa att principerna om integritet och konfidentialitet uppfylls (4 § 4 myndighetsförordningen [2007:515] och artikel 5.1 f och 5.2 i Europaparlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning), hÀr benÀmnd EU:s dataskyddsförordning). Förslagen stÀller inte heller nÄgra krav pÄ hur kontrollen och uppföljningen ska utformas. Eventuella kostnader för sÄdana anpassningar som krÀvs med anledning av den föreslagna lagen bedöms dÀrmed vara begrÀnsade och rymmas inom befintliga anslag.

Det kan initialt komma att krÀvas viss utbildning för de medarbetare vid myndigheten som ska tillÀmpa de nya reglerna. Nya interna styrdokument kan ocksÄ behöva tas fram och implementeras. Eventuella kostnader för utbildning och styrande dokument fÄr dock anses ingÄ i myndighetens ordinarie uppgifter och bedöms rymmas inom befintliga anslag.

Förslagen kan underlÀtta den prövning som andra myndigheter mÄste göra innan de överlÀmnar underlag till ISF. I övrigt bedöms förslagen inte fÄ nÄgra ekonomiska konsekvenser för andra statliga myndigheter, kommuner, regioner, företag eller andra enskilda.

Regeringen bedömer sammanfattningsvis att förslagen inte medför nÄgra kostnadsmÀssiga eller andra ekonomiska konsekvenser.

10.2Konsekvenser för den personliga integriteten

UtgĂ„ngspunkten för förslagen Ă€r att de ska utgöra en lĂ€mplig avvĂ€gning mellan skyddet för den enskildes personliga integritet och kravet pĂ„ effektiv och Ă€ndamĂ„lsenlig tillsyns- och granskningsverksamhet hos ISF. Förslagen ger ISF rĂ€ttsligt stöd för att behandla stora mĂ€ngder personuppgifter, varav en del Ă€r kĂ€nsliga personuppgifter, Ă€ven nĂ€r det innebĂ€r ett betydande intrĂ„ng i den personliga integriteten. Genom föreslagna krav pĂ„ skyddsĂ„tgĂ€rder och befintlig reglering om sekretess sĂ€kerstĂ€lls dock ett lĂ„ngsiktigt och hĂ„llbart integritetsskydd. De skyddsĂ„tgĂ€rder som föreslĂ„s kommer att gĂ€lla vid sĂ„dan behandling av personuppgifter som myndigheten kan utföra redan i dag med stöd av den generella dataskyddslagstiftningen. För sĂ„dan behandling medför sĂ„ledes förslagen ett bĂ€ttre skydd för den personliga integriteten Ă€n vad som gĂ€ller i dag. Även för den ytterligare behandling som möjliggörs genom förslagen bedöms ett gott skydd för den personliga integriteten uppnĂ„s. Sammantaget bedömer regeringen att förslagen tillgodoser ISF:s behov av personuppgiftsbehandling samtidigt som hĂ€nsyn tas till behovet av ett starkt och likvĂ€rdigt integritetsskydd.

För en mer utförlig integritetsanalys hÀnvisas till avsnitt 8.

87

Prop. 2023/24:146 10.3 Övriga konsekvenser

Förslagen bedöms inte fÄ nÄgra konsekvenser för den kommunala sjÀlvstyrelsen. Förslagen bedöms inte heller fÄ nÄgra konsekvenser för sysselsÀttning och offentlig service i olika delar av landet eller för smÄ eller stora företag.

Förslagen skapar förutsÀttningar för tillsyn och granskning av arbetet med att sÀkerstÀlla att felaktiga utbetalningar inte görs och motverka bidragsbrott inom socialförsÀkringsomrÄdet och inom verksamheter som grÀnsar till socialförsÀkringsomrÄdet. Det kan i sin tur leda till ökad kunskap om arbetet mot felaktiga utbetalningar och bidragsbrott, vilket i förlÀngningen kan bidra till att arbetet utvecklas. Brottsligheten och det brottsförebyggande arbetet förvÀntas i övrigt inte pÄverkas av förslagen.

Författningsförslagen Àr könsneutralt utformade och förvÀntas inte fÄ nÄgra negativa konsekvenser för jÀmstÀlldheten mellan kvinnor och mÀn. Förslagen bedöms inte heller fÄ nÄgra negativa konsekvenser för möjligheten att nÄ de integrationspolitiska mÄlen. Med förslagen bedöms ISF fÄ goda möjligheter att genomföra analyser pÄ jÀmstÀlldhets- och integrationsomrÄdena, vilket bör ge goda förutsÀttningar för vÀlgrundade beslut inom dessa politikomrÄden med Ätföljande positiva konsekvenser för integrationen och jÀmstÀlldheten mellan kvinnor och mÀn.

ISF kan i vissa fall behandla personuppgifter om barn. Enligt FN:s konvention om barnets rÀttigheter fÄr barn inte utsÀttas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp pÄ sin heder och sitt anseende (artikel 16.1). Vid alla ÄtgÀrder som rör barn, vare sig de vidtas av offentliga eller privata sociala vÀlfÀrdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ, ska i första hand beaktas vad som bedöms vara barnets bÀsta (artikel 3.1). I skÀl 38 i EU:s dataskyddsförordning anges att barns personuppgifter förtjÀnar sÀrskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsÄtgÀrder samt om sina rÀttigheter nÀr det gÀller behandling av personuppgifter. Regeringen bedömer att de begrÀnsningar och skyddsÄtgÀrder som föreslÄs gÀlla nÀr ISF behandlar personuppgifter inom ramen för den föreslagna lagen, i kombination med det skydd som följer av övrig dataskydds- och sekretessreglering, tillgodoser barns behov av skydd mot integritetsintrÄng. Lagförslaget kan ocksÄ bidra till en förbÀttrad tillsyn och granskning av sÄdana förhÄllanden inom socialförsÀkringsomrÄdet som berör barn.

Det föreslĂ„s inte nĂ„gon reglering som gĂ„r utöver vad som Ă€r tillĂ„tet enligt EU:s dataskyddsförordning. I respektive avsnitt har det gjorts en bedömning av vilken nationell reglering som Ă€r möjlig att införa med beaktande av EU:s dataskyddsförordning som Ă€r direkt tillĂ€mplig i medlemsstaterna. Även i övrigt bedöms förslagen vara förenliga med EU- rĂ€tten.

88

11 Författningskommentar Prop. 2023/24:146
 

Förslaget till lag om behandling av personuppgifter vid Inspektionen för socialförsÀkringen

Lagens tillÀmpningsomrÄde

1 § Denna lag gÀller vid behandling av personuppgifter i sÄdan verksamhet vid Inspektionen för socialförsÀkringen som avser systemtillsyn och effektivitetsgranskning.

Lagen gÀller endast om behandlingen Àr helt eller delvis automatiserad eller om personuppgifterna ingÄr i eller kommer att ingÄ i ett register.

Paragrafen anger lagens tillĂ€mpningsomrĂ„de. ÖvervĂ€gandena finns i avsnitt 7.1.

Av första stycket framgĂ„r att lagen gĂ€ller vid behandling av personuppgifter i sĂ„dan verksamhet som avser systemtillsyn och effektivitetsgranskning hos Inspektionen för socialförsĂ€kringen (ISF). Definitioner av uttrycken behandling och personuppgifter finns i artikel 4 i EU:s dataskyddsförordning. TillĂ€mpningsomrĂ„det motsvarar ISF:s uppdrag enligt 1–4 §§ förordningen (2009:602) med instruktion för Inspektionen för socialförsĂ€kringen, hĂ€r benĂ€mnd instruktionen. Behandling av personuppgifter i övrig verksamhet vid myndigheten, t.ex. ekonomi- och personaladministration, faller utanför lagens tillĂ€mpningsomrĂ„de.

I andra stycket begrÀnsas lagens tillÀmpningsomrÄde till att avse helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter som ingÄr i eller kommer att ingÄ i ett register. Av artikel 2.1 i EU:s dataskyddsförordning framgÄr att förordningen ska tillÀmpas pÄ sÄdan behandling av personuppgifter som helt eller delvis företas pÄ automatisk vÀg samt pÄ annan behandling Àn automatisk av personuppgifter som ingÄr i eller kommer att ingÄ i ett register. Ett register Àr enligt definitionen i artikel 4.6 i EU:s dataskyddsförordning en strukturerad samling av personuppgifter som Àr tillgÀnglig enligt sÀrskilda kriterier, oavsett om samlingen Àr centraliserad, decentraliserad eller spridd pÄ grundval av funktionella eller geografiska förhÄllanden. Den föreslagna lagens tillÀmpningsomrÄde motsvarar sÄledes i denna del helt dataskyddsförordningens tillÀmpningsomrÄde. Det innebÀr att manuell behandling av personuppgifter som inte ingÄr eller kommer att ingÄ i ett register faller utanför lagens tillÀmpningsomrÄde. Exempelvis faller en helt manuell hantering av Àrendeakter utanför lagens tillÀmpningsomrÄde.

FörhÄllandet till annan dataskyddsreglering

2 § Denna lag kompletterar Europaparlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning), hÀr benÀmnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gÀller lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning och föreskrifter som

89

Prop. 2023/24:146 har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen anger lagens förhĂ„llande till annan dataskyddsreglering. ÖvervĂ€gandena finns i avsnitt 7.2.

Första stycket upplyser om att lagen innehÄller bestÀmmelser som kompletterar EU:s dataskyddsförordning. Dataskyddsförordningen Àr direkt tillÀmplig men förutsÀtter och tillÄter i vissa avseenden nationella bestÀmmelser som kompletterar förordningen.

Av andra stycket framgÄr lagens förhÄllande till lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning, hÀr benÀmnd dataskyddslagen. Dataskyddslagen, som kompletterar EU:s dataskyddsförordning pÄ nationell generell nivÄ, Àr subsidiÀr i förhÄllande till denna lag. BestÀmmelsen innebÀr att om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen, gÀller dataskyddslagen.

Uppgifter om avlidna personer

3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gÀlla i tillÀmpliga delar:

1.denna lag och föreskrifter som har meddelats i anslutning till lagen,

2.EU:s dataskyddsförordning, och

3.lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

I paragrafen anges vilken reglering som gĂ€ller vid behandling av uppgifter om avlidna personer. ÖvervĂ€gandena finns i avsnitt 7.3.

EU:s dataskyddsförordning och dataskyddslagen gÀller inte för uppgifter om avlidna personer. Genom bestÀmmelsen utvidgas sÄledes lagens tillÀmpningsomrÄde i förhÄllande till EU:s dataskyddsförordning.

BestÀmmelser som pÄ nÄgot sÀtt krÀver den registrerades agerande eller medverkan i övrigt Àr inte tillÀmpliga pÄ avlidna personer. NÄgon möjlighet för efterlevande eller andra att överta rÀttigheter som tillkom den avlidne nÀr denne var i livet finns inte heller. Det innebÀr exempelvis att bestÀmmelser om rÀtten att göra invÀndningar, rÀtten till information, rÀtten till skadestÄnd och möjligheten att begÀra rÀttelse av registrerades personuppgifter inte Àr tillÀmpliga i förhÄllande till avlidna. DÀremot gÀller bl.a. de krav för behandling av uppgifter och de principer som följer av artikel 5 i EU:s dataskyddsförordning.

En mÀnniska Àr död, dvs. avliden, nÀr hjÀrnans samtliga funktioner totalt och oÄterkalleligt har fallit bort (1 § lagen [1987:269] om kriterier för bestÀmmande av mÀnniskans död).

BegrÀnsning av rÀtten att göra invÀndningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rÀtten att göra invÀndningar gÀller inte vid sÄdan behandling av personuppgifter som Àr tillÄten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

RÀtten att göra invÀndningar gÀller dock nÀr personuppgifterna samlas in direkt frÄn den enskilde.

90

I paragrafen begrĂ€nsas rĂ€tten att göra invĂ€ndningar enligt EU:s Prop. 2023/24:146 dataskyddsförordning (artikel 21.1). ÖvervĂ€gandena finns i avsnitt 7.4.

Paragrafens första stycke Àr utformat som ett undantag frÄn artikel 21.1 i EU:s dataskyddsförordning. Av artikel 21.1 följer att den registrerade har rÀtt att nÀr som helst invÀnda mot myndigheters behandling av personuppgifter avseende honom eller henne som grundar sig pÄ sÄdan behandling som Àr nödvÀndig för att utföra en uppgift av allmÀnt intresse (artikel 6.1 e). Undantaget Àr en sÄdan begrÀnsning i den nationella rÀtten av den registrerades rÀttigheter som Àr tillÄten enligt artikel 23 i EU:s dataskyddsförordning. HÀnvisningen till EU:s dataskyddsförordning Àr dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gÀllande lydelse.

Andra stycket innebÀr att artikel 21.1 i EU:s dataskyddsförordning om rÀtten att göra invÀndningar gÀller nÀr uppgifterna samlas in direkt frÄn den enskilde, exempelvis vid insamling av personuppgifter i intervju- eller enkÀtundersökningar.

Personuppgiftsansvar

5 § Inspektionen för socialförsÀkringen Àr personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Paragrafen reglerar ISF:s personuppgiftsansvar. ÖvervĂ€gandena finns i avsnitt 7.5.

Paragrafen anger att ISF Àr personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. I artikel 4.7 i EU:s dataskyddsförordning finns definitionen av personuppgiftsansvarig.

ÄndamĂ„l för behandling av personuppgifter

6 § Inspektionen för socialförsÀkringen fÄr behandla personuppgifter om det Àr nödvÀndigt för undersökningar av förhÄllanden inom socialförsÀkringsomrÄdet eller inom verksamheter som grÀnsar till socialförsÀkringsomrÄdet.

Inom ramen för sÄdana undersökningar fÄr personuppgifter behandlas Àven för att framstÀlla statistik eller utföra forskning.

I paragrafen anges för vilka primĂ€ra Ă€ndamĂ„l personuppgifter fĂ„r behandlas inom lagens tillĂ€mpningsomrĂ„de. ÖvervĂ€gandena finns i avsnitt 7.6.2.

Av första stycket framgĂ„r att personuppgifter fĂ„r behandlas om det Ă€r nödvĂ€ndigt för att undersöka förhĂ„llanden inom socialförsĂ€kringsomrĂ„det eller inom verksamheter som grĂ€nsar till socialförsĂ€kringsomrĂ„det. ÄndamĂ„let Ă„terspeglar myndighetens behov av att samla in, systematisera, bearbeta och analysera personuppgifter för att utföra sitt uppdrag enligt 1– 4 §§ instruktionen. ÄndamĂ„let Ă€r brett formulerat och ISF mĂ„ste dĂ€rför normalt precisera Ă€ndamĂ„let för varje undersökning för att leva upp till kravet pĂ„ sĂ€rskilda, uttryckligt angivna och berĂ€ttigade Ă€ndamĂ„l i artikel

5.1b i EU:s dataskyddsförordning. ÄndamĂ„let preciseras ocksĂ„ genom det syfte som enligt 13 § ska faststĂ€llas för alla projekt. Att behandlingen ska vara nödvĂ€ndig innebĂ€r inte ett krav pĂ„ att behandlingsĂ„tgĂ€rden ska vara oundgĂ€nglig. Regeringen har i propositionen Ny dataskyddslag uttalat att

behandlingen kan anses nödvÀndig om den leder till effektivitetsvinster 91
 

Prop. 2023/24:146 (prop. 2017/18:105 s. 189). Om behandlingen av personuppgifter tillför relevant information till en undersökning och undersökningen inte kan utföras lika effektivt utan uppgifterna, fĂ„r behandlingen anses nödvĂ€ndig. Även sĂ„dana uppgifter som visar sig utgöra överskottsinformation i förhĂ„llande till vad myndigheten behöver analysera fĂ„r anses nödvĂ€ndiga att behandla, om uppgifter som Ă€r nödvĂ€ndiga att analysera annars inte kan samlas in av myndigheten. Exempelvis fĂ„r det anses nödvĂ€ndigt att behandla samtliga personuppgifter i en Ă€rendeakt som samlats in för en aktstudie, Ă€ven om samtliga personuppgifter inte behöver analyseras i studien. Det fĂ„r ocksĂ„ anses nödvĂ€ndigt att behandla samtliga personuppgifter i ett enkĂ€tsvar, Ă€ven i de fall samtliga personuppgifter inte Ă€r relevanta för Ă€ndamĂ„let med enkĂ€ten. Vad som Ă€r nödvĂ€ndigt med hĂ€nsyn till Ă€ndamĂ„let med behandlingen mĂ„ste dock avgöras i varje enskilt fall. Vid en sĂ„dan prövning ska de grundlĂ€ggande principerna om uppgiftsminimering och lagringsminimering i artikel 5.1 c och e i EU:s dataskyddsförordning beaktas. Kravet pĂ„ nödvĂ€ndighet innebĂ€r att personuppgifter inte fĂ„r behandlas om syftet med behandlingen kan uppnĂ„s med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117).

I paragrafens andra stycke finns en upplysning om att personuppgifter Ă€ven fĂ„r behandlas för att framstĂ€lla statistik eller utföra forskning inom ramen för en sĂ„dan undersökning som avses i första stycket. ISF har inget statistikuppdrag och fĂ„r endast bedriva den forskning som Ă€r nödvĂ€ndig för att myndigheten ska kunna fullgöra sina uppgifter enligt 1–4 §§ instruktionen. Myndigheten fĂ„r sĂ„ledes inte behandla personuppgifter för statistik eller forskning som sjĂ€lvstĂ€ndiga Ă€ndamĂ„l. DĂ€remot fĂ„r myndigheten ta fram statistik och utföra forskning som en del i den behandling som sker för de Ă€ndamĂ„l som anges i första stycket.

7 § Personuppgifter som behandlas enligt 6 § fÄr Àven behandlas för att fullgöra uppgiftslÀmnande som sker i överensstÀmmelse med lag eller förordning.

Paragrafen anger för vilka sekundĂ€ra Ă€ndamĂ„l ISF fĂ„r behandla personuppgifter inom lagens tillĂ€mpningsomrĂ„de. ÖvervĂ€gandena finns i avsnitt 7.6.3.

Personuppgifter som behandlas för primÀra ÀndamÄl fÄr ocksÄ behandlas för att fullgöra uppgiftslÀmnande som sker i överensstÀmmelse med lag eller förordning. Med detta avses att uppgiftslÀmnandet sker med stöd av bestÀmmelser som pÄbjuder eller tillÄter utlÀmnande. Det kan t.ex. röra sig om en uttrycklig uppgiftsskyldighet (10 kap. 28 § offentlighets- och sekretesslagen [2009:400], förkortad OSL) eller uppgiftslÀmnande som sker i syfte att fullgöra serviceskyldigheten gentemot enskilda enligt förvaltningslagen (2017:900) eller som följer av skyldigheten för en myndighet att pÄ begÀran av en annan myndighet lÀmna uppgift som den förfogar över, om inte uppgiften Àr sekretessbelagd eller det skulle hindra arbetets behöriga gÄng (6 kap. 5 § OSL).

92

KÀnsliga personuppgifter och uppgifter om lagövertrÀdelser Prop. 2023/24:146

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (kÀnsliga personuppgifter) fÄr behandlas med stöd av artikel 9.2 g eller 9.2 j i förordningen om det Àr nödvÀndigt med hÀnsyn till ÀndamÄlet med behandlingen.

Paragrafen anger att kĂ€nsliga personuppgifter fĂ„r behandlas med stöd av artikel 9.2 g eller j i EU:s dataskyddsförordning om det Ă€r nödvĂ€ndigt med hĂ€nsyn till Ă€ndamĂ„let med behandlingen. ÖvervĂ€gandena finns i avsnitt 7.7.

KÀnsliga personuppgifter Àr sÄdana sÀrskilda kategorier av uppgifter som rÀknas upp i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hÀlsa eller uppgifter om en fysisk persons sexualliv eller sexuella lÀggning. HÀnvisningen till EU:s dataskyddsförordning Àr dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gÀllande lydelse.

Behandling av kÀnsliga personuppgifter för de ÀndamÄl som anges i 6 och 7 §§ sker för ett viktigt allmÀnt intresse och för vetenskapliga forskningsÀndamÄl i enlighet med artikel 9.2 g och j i EU:s dataskyddsförordning. KÀnsliga personuppgifter fÄr dÀrmed behandlas under förutsÀttning att det Àr nödvÀndigt med hÀnsyn till ÀndamÄlet med behandlingen. Med uttrycket ÀndamÄlet med behandlingen avses behandling som utförs bÄde med stöd av den primÀra och den sekundÀra ÀndamÄlsbestÀmmelsen. NödvÀndighetsrekvisitet har samma innebörd som i 6 § (jfr prop. 2017/18:105 s. 75 och 76). En bedömning av om kravet pÄ nödvÀndighet Àr uppfyllt mÄste göras i varje enskilt fall. Av 2 § andra stycket följer att denna lag har företrÀde framför lagen med kompletterande bestÀmmelser till EU:s dataskyddsförordning. I den lagen saknas dock bestÀmmelser om forskning.

9 § Av lagen (2003:460) om etikprövning av forskning som avser mÀnniskor följer att forskning som innefattar behandling av kÀnsliga personuppgifter eller personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden (uppgifter om lagövertrÀdelser) mÄste etikprövas.

Paragrafen upplyser om att viss forskning mĂ„ste etikprövas enligt lagen (2003:460) om etikprövning av forskning som avser mĂ€nniskor. ÖvervĂ€gandena finns i avsnitt 7.8.

Kravet pÄ etikprövning gÀller forskning som innefattar behandling av kÀnsliga personuppgifter eller personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden (3 § lagen om etikprövning av forskning som avser mÀnniskor).

Uttrycket uppgifter om lagövertrÀdelser har getts en nÄgot bredare innebörd Àn den som finns i artikel 10 i EU:s dataskyddsförordning, som inte omfattar friande domar i brottmÄl och administrativa frihetsberövanden (jfr prop. 2017/18:298 s. 99).

93

Prop. 2023/24:146 10 § Sökningar fÄr inte utföras i syfte att fÄ fram ett urval av personer grundat pÄ
  kÀnsliga personuppgifter.
  Sökningar fÄr dock utföras i syfte att fÄ fram ett urval av personer grundat pÄ
  personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hÀlsa
  eller sexuell lÀggning om sökningen sker för ÀndamÄl enligt 6 §.
  Paragrafen reglerar sökbegrĂ€nsningar. ÖvervĂ€gandena finns i avsnitt 7.10.
  I första stycket anges att sökningar inte fÄr utföras i syfte att fÄ fram ett
  urval av personer grundat pÄ kÀnsliga personuppgifter. Definitionen av
  kÀnsliga personuppgifter finns i 8 §, som hÀnvisar till artikel 9.1 i EU:s
  dataskyddsförordning. Sökförbudet avser alla tekniska ÄtgÀrder som
  innebÀr att uppgifter anvÀnds för att strukturera eller systematisera
  information i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga
  personuppgifter. DÀremot hindrar bestÀmmelsen inte sökningar som görs
  i ett annat syfte Àn att identifiera ett urval av individer, t.ex. för att ta fram
  verksamhetsstatistik eller för registervÄrd (jfr prop. 2017/18:105 s. 195).
  Enligt andra stycket Àr det, som undantag frÄn huvudregeln i första
  stycket, tillÄtet att utföra sökningar i syfte att fÄ fram ett urval av personer
  grundat pÄ personuppgifter om etniskt ursprung, religiös eller filosofisk
  övertygelse, hÀlsa eller sexuell lÀggning. För att undantaget ska vara
  tillÀmpligt gÀller att sökningen ska ske för primÀra ÀndamÄl enligt 6 §. Det
  innebÀr ocksÄ att sökningen mÄste vara nödvÀndig för ÀndamÄlet.
  Behandling av personuppgifter i projekt
  11 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom
  bestÀmda ramar.
  I paragrafen anges vad som avses med projekt i lagen. ÖvervĂ€gandena
  finns i avsnitt 7.11.
  Av paragrafen framgÄr att med projekt avses i lagen en planerad arbets-
  insats som genomförs inom bestÀmda ramar. Att arbetsinsatsen ska vara
  planerad medför ett krav pÄ att varje projekt ska föregÄs av vissa
  förberedelser. Förberedelserna bör omfatta att bestÀmma vilka ramar som
  ska gÀlla för projektet. Ramarna kan avse det som ska faststÀllas enligt
  13 § men ocksÄ andra förutsÀttningar, t.ex. nÀr det gÀller metod och
  resursÄtgÄng.
  12 § Behandling av personuppgifter enligt 6 § ska ske inom ramen för ett projekt.
  Personuppgifter som har samlats in för att behandlas inom ramen för ett projekt fÄr
  inte behandlas i ett annat projekt.
  Personuppgifter fÄr dock behandlas inom ramen för ett annat projekt Àn det som
  uppgifterna samlats in för, om behandlingen Àr nödvÀndig för att Inspektionen för
  socialförsÀkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare
  projektet.
  Behandling av personuppgifter som utförs för omvÀrldsbevakning eller
  planering av Inspektionen för socialförsÀkringens verksamhet behöver inte ske
  inom ramen för ett projekt.
  Paragrafen reglerar behandling av personuppgifter i projekt.
  ÖvervĂ€gandena finns i avsnitt 7.11.
  I första stycket föreskrivs dels att all behandling av personuppgifter för
94 primÀra ÀndamÄl ska ske inom ramen för ett projekt, dels att

personuppgifter som har samlats in för att behandlas i ett projekt inte fÄr Prop. 2023/24:146 behandlas i ett annat projekt. Vad som avses med projekt framgÄr av 11 §.

BegrÀnsningen av möjligheterna att vidarebehandla personuppgifter utgör i praktiken en begrÀnsning av finalitetsprincipens tillÀmplighet (artikel 5.1 b i EU:s dataskyddsförordning).

I andra stycket görs undantag frÄn förbudet att behandla personuppgifter i ett annat projekt Àn det som uppgifterna samlats in för. Personuppgifter fÄr, trots det som anges i första stycket, behandlas inom ramen för ett annat projekt om behandlingen Àr nödvÀndig för att ISF helt eller delvis ska kunna upprepa eller följa upp ett tidigare projekt. Ett exempel pÄ en uppföljning Àr att resultat som genereras inom ramen för ett projekt jÀmförs med resultat frÄn ett tidigare projekt. Eftersom avsikten Àr att ta tidigare resultat vidare i en kompletterande granskning bör ÀndamÄlen för behandlingarna oftast ligga relativt nÀra varandra. Vidarebehandlingen fÄr i dessa fall ske med stöd av finalitetsprincipen enligt artikel 5.1 b i EU:s dataskyddsförordning.

I tredje stycket görs undantag frÄn kravet att behandla personuppgifter inom ramen för ett projekt. Personuppgifter som behandlas för omvÀrldsbevakning eller planering av ISF:s verksamhet behöver inte behandlas inom ramen för ett projekt och kan dÀrmed ocksÄ vidarebehandlas med stöd av finalitetsprincipen. Syftet med omvÀrldsbevakning och planering av verksamheten Àr att inhÀmta kunskap och att fÄ uppslag till granskningar. OmvÀrldsbevakning sker löpande och utan föregÄende planering eller förberedelse. Det kan handla om att medarbetarna pÄ myndigheten lÀser domar, beslut, nyhetsbrev, artiklar, rapporter, litteratur eller att sÄdant material samlas i ett e-bibliotek. Planering av verksamheten Àger rum innan myndigheten inleder ett projekt och skapar förutsÀttningar för fortsatt arbete i projektform. Genom att behandling av personuppgifter för omvÀrldsbevakning och planering av verksamheten undantas frÄn kravet pÄ behandling i projekt, undantas behandlingen ocksÄ frÄn övriga föreslagna skyddsÄtgÀrder som Àr knutna till projektramen.

13 § Innan personuppgifter fÄr behandlas inom ramen för ett projekt ska Inspektionen för socialförsÀkringen faststÀlla

1.syftet med projektet,

2.vilka kategorier av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser som ska analyseras i projektet, och

3.nÀr projektet senast ska vara avslutat.

Det faststÀllda syftet fÄr inte Àndras.

Information om vad som har faststÀllts ska hÄllas tillgÀnglig pÄ Inspektionen för socialförsÀkringens webbplats.

I paragrafen regleras vissa ramar som ska faststĂ€llas för de projekt som personuppgifter ska behandlas i. ÖvervĂ€gandena finns i avsnitt 7.12.

I första stycket anges vilka ramar som ska faststÀllas innan personuppgifter behandlas. Först och frÀmst ska syftet med projektet faststÀllas. Syftet anger mÄlbilden för projektet och utgör den yttersta ramen för möjliga ÀndamÄl för behandlingen av personuppgifter i projektet. DÀrutöver ska de kategorier av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser som ska analyseras i projektet faststÀllas.

95

Prop. 2023/24:146 Definitionen av kÀnsliga personuppgifter finns i 8 §, som hÀnvisar till artikel 9.1 i EU:s dataskyddsförordning. Vad som avses med uppgifter om lagövertrÀdelser i denna lag framgÄr av 9 § som anknyter till den upprÀkning av personuppgifter om lagövertrÀdelser som finns i 3 § 2 lagen om etikprövning av forskning som avser mÀnniskor. Med analysera uppgifterna avses att myndigheten bearbetar, systematiserar, strukturerar och utifrÄn en analysmodell eller liknande anvÀnder uppgifterna i syfte att se samband, göra jÀmförelser och dra slutsatser. Slutligen ska Àven tidpunkten för nÀr projektet senast ska vara avslutat faststÀllas.

Projektramarna ska faststÀllas innan personuppgifter behandlas, dvs. innan projektet inleds eller innan en tillÄten Àndring vidtas.

Enligt andra stycket fĂ„r ett faststĂ€llt syfte inte Ă€ndras. Det innebĂ€r att ett projekt bör avslutas om syftet med projektet inte lĂ€ngre Ă€r relevant. Övriga ramar kan vid behov justeras medan projektet pĂ„gĂ„r.

Information om vad som har faststÀllts ska enligt tredje stycket hÄllas tillgÀnglig pÄ ISF:s webbplats. Kravet pÄ att hÄlla information tillgÀnglig pÄverkar inte informationskraven enligt artiklarna 13 och 14 i EU:s dataskyddsförordning.

Medgivande till behandling av personuppgifter

14 § Om personuppgifter samlas in direkt frÄn den enskilde, fÄr de behandlas endast om den enskilde har lÀmnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rÀtt att nÀr som helst Äterkalla ett lÀmnat medgivande. Personuppgifter som omfattas av ett Äterkallat medgivande ska raderas.

Om ett medgivande Äterkallas fÄr behandlingen av personuppgifter dock fortsÀtta om Inspektionen för socialförsÀkringen inte kan hÀnföra uppgifterna till den registrerade utan att bevara, förvÀrva eller behandla ytterligare personuppgifter. Behandlingen fÄr ocksÄ fortsÀtta om personuppgifterna finns i

  handlingar som har tagits om hand för arkivering.
  I paragrafen anges vad som gÀller i frÄga om medgivande och Äterkallelse
  av medgivande i vissa fall. ÖvervĂ€gandena finns i avsnitt 7.13.
  Av första stycket framgÄr att det krÀvs ett uttryckligt medgivande frÄn
  den enskilde om personuppgifter samlas in direkt frÄn honom eller henne.
  Kravet pÄ medgivande Àr en integritetshöjande ÄtgÀrd och inte ett sÄdant
  samtycke som kan utgöra rÀttslig grund för behandling av personuppgifter.
  Även personuppgifter som samlas in med stöd av bestĂ€mmelsen behandlas
  sÄledes med stöd av samma rÀttsliga grund som övrig behandling, dvs. för
  att fullgöra en uppgift av allmÀnt intresse enligt artikel 6.1 e i EU:s
  dataskyddsförordning. Med uttryckligt medgivande bör avses detsamma
  som ett uttryckligt samtycke enligt artikel 9.2 a i EU:s dataskydds-
  förordning, Àven om utrymmet för att bedöma medgivandet som frivilligt
  Àr större Àn nÀr ett samtycke utgör den rÀttsliga grunden för behandlingen
  (se prop. 2021/22:177 s. 116). Kravet pÄ uttrycklighet kan uppfyllas
  genom att medgivandet lÀmnas skriftligen, i ett elektroniskt formulÀr, ett
  e-postmeddelande med en elektronisk underskrift eller i vissa fall
  muntligen (jfr Europeiska dataskyddsstyrelsens [EDPB] riktlinjer 05/2020
  om samtycke enligt förordning [EU] 2016/679, version 1.1. antagna den
  4 maj 2020, s. 21).
  Enligt andra stycket har den registrerade rÀtt att nÀr som helst Äterkalla
96 ett lÀmnat medgivande. Medgivandet kan Äterkallas helt eller delvis. NÀr
 
ett medgivande Ă„terkallas, ska de personuppgifter som omfattas av det Prop. 2023/24:146
Äterkallade medgivandet raderas.  
Enligt tredje stycket fÄr behandlingen fortsÀtta, trots att ett medgivande  
har Äterkallats, om myndigheten inte kan hÀnföra uppgifterna till den  
registrerade. I likhet med vad som gÀller enligt artikel 11 i EU:s  
dataskyddsförordning, behöver ISF inte bevara, förvÀrva eller behandla  
ytterligare personuppgifter i syfte att identifiera rÀtt uppgifter för att kunna  
radera dem. Om uppgifterna inte kan hÀnföras till den registrerade behöver  
ISF sĂ„ledes inte upphöra med behandlingen. Återkallandet pĂ„verkar inte  
tillÄtligheten av sÄdan behandling som skett innan medgivandet Äter-  
kallades. Konsekvensen av att Äterkalla ett lÀmnat medgivande motsvarar  
dÀrmed konsekvensen av ett Äterkallat samtycke enligt artiklarna 7.3 och  
17.1 b i EU:s dataskyddsförordning.  
Behandlingen av personuppgifter fÄr ocksÄ fortsÀtta om person-  
uppgifterna finns i handlingar som har tagits om hand för arkivering. Det  
innebÀr att personuppgifter som finns i arkiverade Àrenden inte ska  
raderas.  
BegrÀnsning av möjligheterna att identifiera den registrerade  
15 § Personuppgifter som direkt kan hÀnföras till den registrerade ska förvaras  
separat frÄn övriga personuppgifter. Personuppgifter som direkt kan hÀnföras till  
den registrerade fÄr dock behandlas tillsammans med övriga personuppgifter, om  
en separering skulle medföra en oproportionerlig anstrÀngning eller motverka  
syftet med behandlingen.  
Det som sÀgs i första stycket hindrar inte att personuppgifter som inte direkt kan  
hÀnföras till den registrerade Àr försedda med en beteckning som kan kopplas till  
ett personnummer eller motsvarande identitetsbeteckning.  
Paragrafen innehÄller bestÀmmelser som begrÀnsar möjligheterna att  
identifiera den registrerade. ÖvervĂ€gandena finns i avsnitt 7.14.  
Paragrafen utformas i huvudsak enligt LagrÄdets förslag.  
I första stycket anges att personuppgifter som direkt kan hÀnföras till den  
registrerade ska förvaras separat frÄn övriga personuppgifter.  
Personuppgifter som direkt kan hÀnföras till den registrerade Àr framför  
allt uppgifter om namn, personnummer och samordningsnummer. SÄdana  
uppgifter ska sÄledes avskiljas frÄn övriga personuppgifter för att  
motverka en direkt identifiering av den registrerade. Undantag frÄn kravet  
pÄ att uppgifterna ska förvaras separat kan dock göras om separeringen  
skulle medföra en oproportionerlig anstrÀngning eller motverka syftet med  
behandlingen. Vid bedömningen av om huruvida anstrÀngningen Àr  
proportionerlig eller inte ska anstrÀngningen vÀgas mot det integritets-  
skydd som en separering skulle medföra. En anstrÀngning kan anses  
oproportionerlig nÀr den Àr mycket omfattande, t.ex. medför manuell  
genomgÄng av stora mÀngder Àrendeakter. Syftet med behandlingen kan  
anses motverkas nÀr personuppgifter som direkt kan hÀnföras till den  
registrerade Àr centrala för behandlingen, t.ex. nÀr uppgifterna behövs för  
att myndigheten ska kunna kontakta registrerade eller göra kÀll-  
hÀnvisningar.  
Enligt andra stycket fÄr personuppgifter som inte direkt kan hÀnföras till  
den registrerade, utan hinder av vad som sÀgs i första stycket, vara  
försedda med en beteckning som kan kopplas till ett personnummer eller 97

Prop. 2023/24:146 motsvarande identitetsbeteckning. Det innebÀr att personuppgifter i myndighetens analysmaterial kan vara försedda med löpnummer, som behÄller kopplingen till den registrerade.

TillgÄng till personuppgifter

16 § TillgÄngen till personuppgifter ska begrÀnsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsÀkringen.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Paragrafen reglerar tillgĂ„ngen till personuppgifter hos ISF. ÖvervĂ€gandena finns i avsnitt 7.15.

Av första stycket framgÄr att tillgÄngen till personuppgifter ska begrÀnsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid ISF. Uttrycket var och en inkluderar sÄvÀl tillsvidareanstÀlld personal som t.ex. personer med en tidsbegrÀnsad anstÀllning eller uppdragstagare. Myndigheten ska aktivt ta stÀllning till vilket informationsbehov ett tjÀnsteÄliggande eller uppdrag medför och tilldela den behörighet som behövs utifrÄn det. TillgÄngen kan begrÀnsas genom tekniska och organisatoriska ÄtgÀrder (jfr artikel 32 i EU:s dataskyddsförordning). BegrÀnsningen avser tillgÄngen till personuppgifter inom den verksamhet som omfattas av lagens tillÀmpningsomrÄde.

Enligt andra stycket ska myndigheten regelbundet kontrollera och följa upp Ätkomsten till personuppgifter. Det Àr upp till myndigheten att nÀrmare bestÀmma formerna för kontrollen och uppföljningen. Den kan exempelvis ske genom uppföljning av loggar. Kontroll och uppföljning ska genomföras regelbundet, dvs. systematiskt och Äterkommande, och inte endast om myndigheten av nÄgon orsak har fÄtt anledning att misstÀnka att obehörig Ätkomst har förekommit.

IkrafttrÀdande- och övergÄngsbestÀmmelser

1.Denna lag trÀder i kraft den 1 januari 2025.

2.BestĂ€mmelserna i 12–14 §§ tillĂ€mpas inte pĂ„ projekt som har inletts före ikrafttrĂ€dandet.

ÖvervĂ€gandena finns i avsnitt 9.

Lagen trÀder enligt punkt 1 i kraft den 1 januari 2025.

Av punkt 2 framgÄr att bestÀmmelserna om behandling av personuppgifter i projekt enligt 12 och 13 §§ samt bestÀmmelsen om medgivande till behandling av personuppgifter enligt 14 § inte ska tillÀmpas pÄ projekt som har inletts före ikrafttrÀdandet. För sÄdana projekt ska dock övriga bestÀmmelser i lagen tillÀmpas.

98

Sammanfattning av promemorian En registerlag för Inspektionen för socialförsÀkringen

I promemorian föreslÄs en lag om behandling av personuppgifter vid Inspektionen för socialförsÀkringen (ISF). Lagen syftar till att ge ISF möjlighet att behandla personuppgifter nÀr det Àr nödvÀndigt för att myndigheten ska kunna utföra sitt uppdrag pÄ ett ÀndamÄlsenligt sÀtt samtidigt som behovet av skydd för enskildas personliga integritet tillgodoses.

Lagen ska komplettera Europaparlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning) och gÀlla vid behandling av personuppgifter i verksamhet vid ISF som avser systemtillsyn och effektivitetsgranskning. Personuppgifter ska fÄ behandlas om det Àr nödvÀndigt för undersökningar av förhÄllanden inom socialförsÀkringsomrÄdet och verksamheter som grÀnsar till socialförsÀkringsomrÄdet samt för att fullgöra uppgiftslÀmnande som sker i överensstÀmmelse med lag eller förordning.

Den föreslagna lagen innehÄller flera olika skyddsÄtgÀrder som avser att ge enskildas personliga integritet ett tillfredsstÀllande skydd. För att tydligt avgrÀnsa behandlingen av personuppgifter ska ISF som huvudregel behandla personuppgifter i projekt. Uppgifterna ska behandlas i det projekt som de samlats in för och fÄr ÄteranvÀndas i ett annat projekt endast om behandlingen Àr nödvÀndig för att ISF helt eller delvis ska kunna upprepa eller följa upp det ursprungliga projektet. Personuppgifter som direkt kan hÀnföras till den registrerade ska som huvudregel separeras frÄn övriga personuppgifter. Endast vissa kategorier av kÀnsliga personuppgifter ska fÄ ligga till grund för sökningar i syfte att fÄ fram ett urval av personer. Dessutom innehÄller den föreslagna lagen bestÀmmelser om bl.a. personuppgiftsansvar, krav pÄ den enskildes medgivande vid viss personuppgiftsbehandling samt begrÀnsningar av tillgÄngen till personuppgifter.

Lagen föreslÄs trÀda i kraft den 1 januari 2025.

Prop. 2023/24:146 Bilaga 1

99

Prop. 2023/24:146 Bilaga 2

Promemorians lagförslag

Förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsÀkringen

HÀrigenom föreskrivs följande.

Lagens tillÀmpningsomrÄde

1 § Denna lag gÀller vid behandling av personuppgifter i verksamhet vid Inspektionen för socialförsÀkringen som avser systemtillsyn och effektivitetsgranskning.

Lagen gÀller endast om behandlingen Àr helt eller delvis automatiserad eller om personuppgifterna ingÄr i eller kommer att ingÄ i ett register.

FörhÄllandet till annan dataskyddsreglering

2 § Denna lag kompletterar Europaparlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning), hÀr benÀmnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gÀller lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Uppgifter om avlidna personer

3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gÀlla i tillÀmpliga delar:

1.denna lag och föreskrifter som har meddelats i anslutning till lagen,

2.EU:s dataskyddsförordning, och

3.lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

BegrÀnsning av rÀtten att göra invÀndningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rÀtten att göra invÀndningar gÀller inte vid sÄdan behandling av personuppgifter som Àr tillÄten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

RÀtten att göra invÀndningar gÀller dock nÀr personuppgifterna samlas in direkt frÄn den enskilde.

100

Personuppgiftsansvar

5 § Inspektionen för socialförsÀkringen Àr personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

ÄndamĂ„l för behandling av personuppgifter

6 § Inspektionen för socialförsÀkringen fÄr behandla personuppgifter om det Àr nödvÀndigt för undersökningar av förhÄllanden inom socialförsÀkringsomrÄdet och verksamheter som grÀnsar till socialförsÀkringsomrÄdet.

Inom ramen för sÄdana undersökningar fÄr personuppgifter behandlas för att framstÀlla statistik eller utföra forskning.

7 § Personuppgifter som behandlas enligt 6 § fÄr Àven behandlas för att fullgöra uppgiftslÀmnande som sker i överensstÀmmelse med lag eller förordning.

KÀnsliga personuppgifter och uppgifter om lagövertrÀdelser

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (kÀnsliga personuppgifter) fÄr behandlas med stöd av artikel 9.2 g eller

9.2j i förordningen om det Àr nödvÀndigt med hÀnsyn till ÀndamÄlet med behandlingen.

9 § Av lagen (2003:460) om etikprövning av forskning som avser mÀnniskor följer att forskning som innefattar behandling av kÀnsliga personuppgifter eller personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden (uppgifter om lagövertrÀdelser) mÄste etikprövas.

SökbegrÀnsningar

10 § Sökningar fÄr inte utföras i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter.

Sökningar fÄr dock utföras i syfte att fÄ fram ett urval av personer grundat pÄ personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hÀlsa eller en fysisk persons sexuella lÀggning om sökningen sker för ÀndamÄl enligt 6 §.

Behandling av personuppgifter i projekt

11 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestÀmda ramar.

12 § Behandling av personuppgifter enligt 6 § ska ske i projekt. Personuppgifter som samlas in för att behandlas i ett projekt fÄr inte behandlas i ett annat projekt.

Personuppgifter fÄr dock behandlas i ett annat projekt Àn det som uppgifterna samlats in i, om behandlingen Àr nödvÀndig för att

Prop. 2023/24:146 Bilaga 2

101

Prop. 2023/24:146 Bilaga 2

102

Inspektionen för socialförsÀkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

Behandling av personuppgifter som utförs för omvÀrldsbevakning eller planering av Inspektionen för socialförsÀkringens verksamhet behöver inte ske i projekt.

13 § Innan personuppgifter behandlas i ett projekt ska Inspektionen för socialförsÀkringen faststÀlla

1.syftet med projektet,

2.vilka kategorier av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser som ska analyseras inom ramen för projektet, och

3.nÀr projektet senast ska vara avslutat.

Det faststÀllda syftet fÄr inte Àndras.

Information om vad som har faststÀllts ska hÄllas tillgÀnglig pÄ Inspektionen för socialförsÀkringens webbplats.

Medgivande till behandling av personuppgifter

14 § Om personuppgifter samlas in direkt frÄn den enskilde, fÄr de behandlas endast om den enskilde har lÀmnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rÀtt att nÀr som helst Äterkalla ett lÀmnat medgivande. Om ett medgivande Äterkallas, ska den behandling av personuppgifter som omfattas av det Äterkallade medgivandet upphöra. Behandlingen fÄr dock fortsÀtta om Inspektionen för socialförsÀkringen inte kan hÀnföra uppgifterna till den registrerade utan att bevara, förvÀrva eller behandla ytterligare personuppgifter.

BegrÀnsning av möjligheterna att identifiera den registrerade

15 § Personuppgifter som direkt kan hÀnföras till den registrerade ska förvaras separat frÄn övriga personuppgifter. Personuppgifter som direkt kan hÀnföras till den registrerade fÄr dock behandlas tillsammans med övriga personuppgifter om en separering skulle medföra en oproportionerlig anstrÀngning eller motverka syftet med behandlingen.

Personuppgifter som inte direkt kan hÀnföras till den registrerade fÄr vara försedda med en beteckning som kan hÀnföras till ett personnummer eller motsvarande identitetsbeteckning.

TillgÄng till personuppgifter

16 § TillgÄngen till personuppgifter ska begrÀnsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsÀkringen.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

1.Denna lag trÀder i kraft den 1 januari 2025.

2.BestĂ€mmelserna i 12–14 §§ ska inte tillĂ€mpas pĂ„ projekt som har inletts före ikrafttrĂ€dandet.

Förteckning över remissinstanserna

Prop. 2023/24:146 Bilaga 3

Efter remiss har yttranden kommit in frÄn Arbetsförmedlingen, Arbetsgivarverket, Arbetsmiljöverket, Barnombudsmannen, Brottsförebyggande rÄdet, Centrala studiestödsnÀmnden, Domstolsverket, E- hÀlsomyndigheten, Etikprövningsmyndigheten, ForskningsrÄdet för hÀlsa, arbetsliv och vÀlfÀrd, FörsÀkringskassan, FörvaltningsrÀtten i Göteborg, Göteborgs universitet, Inspektionen för arbetslöshetsförsÀkringen, Inspektionen för socialförsÀkringen, Inspektionen för vÄrd och omsorg, Institutet för arbetsmarknads- och utbildningspolitisk utvÀrdering, Integritetsskyddsmyndigheten, Justitiekanslern, JÀmstÀlldhetsmyndigheten, KammarrÀtten i Jönköping, Karolinska institutet, KriminalvÄrden, Kronofogdemyndigheten, Myndigheten för arbetsmiljökunskap, Myndigheten för delaktighet, Myndigheten för vÄrd- och omsorgsanalys, Pensionsmyndigheten, Riksarkivet, Riksdagens ombudsmÀn, Skatteverket, Socialstyrelsen, Statens institutionsstyrelse, Statens tjÀnstepensionsverk, Statistiska centralbyrÄn, Statskontoret, Stockholms universitet, Svenska ILO-kommittén, Sveriges advokatsamfund, Sveriges a-kassor, TandvÄrd- och lÀkemedelsförmÄnsverket, UmeÄ universitet och VetenskapsrÄdet.

Följande remissinstanser har inte svarat eller angett att de avstÄr frÄn att lÀmna nÄgra synpunkter. Diskrimineringsombudsmannen, FunktionsrÀtt Sverige, Institutet för framtidsstudier, Karlstads universitet, Landsorganisationen i Sverige, PensionÀrernas riksorganisation, Riksrevisionen, Sveriges akademikers centralorganisation, Skolverket, TjÀnstemÀnnens centralorganisation och VÄrdföretagarna.

103

Prop. 2023/24:146 Bilaga 4

LagrÄdsremissens lagförslag

Förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsÀkringen

HÀrigenom föreskrivs följande.

Lagens tillÀmpningsomrÄde

1 § Denna lag gÀller vid behandling av personuppgifter i sÄdan verksamhet vid Inspektionen för socialförsÀkringen som avser systemtillsyn och effektivitetsgranskning.

Lagen gÀller endast om behandlingen Àr helt eller delvis automatiserad eller om personuppgifterna ingÄr i eller kommer att ingÄ i ett register.

FörhÄllandet till annan dataskyddsreglering

2 § Denna lag kompletterar Europaparlamentets och rÄdets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskyddsförordning), hÀr benÀmnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gÀller lagen

(2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Uppgifter om avlidna personer

3 § Vid behandling av uppgifter om avlidna personer ska följande reglering gÀlla i tillÀmpliga delar:

1.denna lag och föreskrifter som har meddelats i anslutning till lagen,

2.EU:s dataskyddsförordning, och

3.lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

BegrÀnsning av rÀtten att göra invÀndningar

4 § Artikel 21.1 i EU:s dataskyddsförordning om rÀtten att göra invÀndningar gÀller inte vid sÄdan behandling av personuppgifter som Àr tillÄten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

RÀtten att göra invÀndningar gÀller dock nÀr personuppgifterna samlas in direkt frÄn den enskilde.

104

Personuppgiftsansvar

5 § Inspektionen för socialförsÀkringen Àr personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

ÄndamĂ„l för behandling av personuppgifter

6 § Inspektionen för socialförsÀkringen fÄr behandla personuppgifter om det Àr nödvÀndigt för undersökningar av förhÄllanden inom socialförsÀkringsomrÄdet och inom verksamheter som grÀnsar till socialförsÀkringsomrÄdet.

Personuppgifter fÄr Àven behandlas för att framstÀlla statistik eller utföra forskning inom ramen för sÄdana undersökningar.

7 § Personuppgifter som behandlas enligt 6 § fÄr Àven behandlas för att fullgöra uppgiftslÀmnande som sker i överensstÀmmelse med lag eller förordning.

KÀnsliga personuppgifter och uppgifter om lagövertrÀdelser

8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (kÀnsliga personuppgifter) fÄr behandlas med stöd av artikel 9.2 g eller

9.2j i förordningen om det Àr nödvÀndigt med hÀnsyn till ÀndamÄlet med behandlingen.

9 § Av lagen (2003:460) om etikprövning av forskning som avser mÀnniskor följer att forskning som innefattar behandling av kÀnsliga personuppgifter eller personuppgifter om lagövertrÀdelser som innefattar brott, domar i brottmÄl, straffprocessuella tvÄngsmedel eller administrativa frihetsberövanden (uppgifter om lagövertrÀdelser) mÄste etikprövas.

10 § Sökningar fÄr inte utföras i syfte att fÄ fram ett urval av personer grundat pÄ kÀnsliga personuppgifter.

Sökningar fÄr dock utföras i syfte att fÄ fram ett urval av personer grundat pÄ personuppgifter om etniskt ursprung, religiös eller filosofisk övertygelse, hÀlsa eller sexuell lÀggning om sökningen sker för ÀndamÄl enligt 6 §.

Behandling av personuppgifter i projekt

11 § Med projekt avses i denna lag en planerad arbetsinsats som genomförs inom bestÀmda ramar.

12 § Behandling av personuppgifter enligt 6 § ska ske i projekt. Personuppgifter som samlas in för att behandlas i ett projekt fÄr inte behandlas i ett annat projekt.

Personuppgifter fÄr dock behandlas i ett annat projekt Àn det som uppgifterna samlats in för, om behandlingen Àr nödvÀndig för att Inspektionen för socialförsÀkringen helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.

Prop. 2023/24:146 Bilaga 4

105

Prop. 2023/24:146 Bilaga 4

106

Behandling av personuppgifter som utförs för omvÀrldsbevakning eller planering av Inspektionen för socialförsÀkringens verksamhet behöver inte ske i projekt.

13 § Innan personuppgifter behandlas i ett projekt ska Inspektionen för socialförsÀkringen faststÀlla

1.syftet med projektet,

2.vilka kategorier av kÀnsliga personuppgifter och uppgifter om lagövertrÀdelser som ska analyseras inom ramen för projektet, och

3.nÀr projektet senast ska vara avslutat.

Det faststÀllda syftet fÄr inte Àndras.

Information om vad som har faststÀllts ska hÄllas tillgÀnglig pÄ Inspektionen för socialförsÀkringens webbplats.

Medgivande till behandling av personuppgifter

14 § Om personuppgifter samlas in direkt frÄn den enskilde, fÄr de behandlas endast om den enskilde har lÀmnat sitt uttryckliga medgivande till behandlingen.

Den registrerade har rÀtt att nÀr som helst Äterkalla ett lÀmnat medgivande. Personuppgifter som omfattas av ett Äterkallat medgivande ska raderas.

Om ett medgivande Äterkallas fÄr behandlingen av personuppgifter dock fortsÀtta om Inspektionen för socialförsÀkringen inte kan hÀnföra uppgifterna till den registrerade utan att bevara, förvÀrva eller behandla ytterligare personuppgifter. Behandlingen fÄr ocksÄ fortsÀtta om personuppgifterna finns i handlingar som har tagits om hand för arkivering.

BegrÀnsning av möjligheterna att identifiera den registrerade

15 § Personuppgifter som direkt kan hÀnföras till den registrerade ska förvaras separat frÄn övriga personuppgifter. Personuppgifter som direkt kan hÀnföras till den registrerade fÄr dock behandlas tillsammans med övriga personuppgifter, om en separering skulle medföra en oproportionerlig anstrÀngning eller motverka syftet med behandlingen.

Personuppgifter som inte direkt kan hÀnföras till den registrerade fÄr vara försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.

TillgÄng till personuppgifter

16 § TillgÄngen till personuppgifter ska begrÀnsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter vid Inspektionen för socialförsÀkringen.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

1.Denna lag trÀder i kraft den 1 januari 2025.

2.BestĂ€mmelserna i 12–14 §§ tillĂ€mpas inte pĂ„ projekt som har inletts före ikrafttrĂ€dandet.

LagrÄdets yttrande

Utdrag ur protokoll vid sammantrÀde 2024-04-12

NÀrvarande: F.d. justitierÄdet Sten Andersson samt justitierÄden Ulrik von Essen och Cecilia Renfors

En registerlag för Inspektionen för socialförsÀkringen

Prop. 2023/24:146 Bilaga 5

Enligt en lagrÄdsremiss den 4 april 2024 har regeringen (Socialdepartementet) beslutat inhÀmta LagrÄdets yttrande över förslag till lag om behandling av personuppgifter vid Inspektionen för socialförsÀkringen.

Förslaget har inför LagrÄdet föredragits av kanslirÄdet Jenny Gaudio, bitrÀdd av Àmnessakkunniga HélÚne Runsten.

Förslaget föranleder följande yttrande.

Enligt 15 § första stycket i lagförslaget ska personuppgifter som direkt kan hÀnföras till den registrerade förvaras separat frÄn övriga personuppgifter och fÄr dÀrmed, som huvudregel, inte förvaras tillsammans med övriga personuppgifter. I paragrafens andra stycke sÀgs att personuppgifter som inte direkt kan hÀnföras till den registrerade fÄr vara försedda med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning.

Innebörden i paragrafen framstÄr inte som helt klar och ger nÀrmast intryck av att de bÄda styckena handlar om tvÄ helt olika saker, trots att sÄ inte synes vara fallet.

SÄvitt LagrÄdet förstÄr avser det första stycket att uttrycka att personuppgifter som kan hÀnföras direkt till en enskild, sÄsom namn, personnummer och liknande identitetsbeteckningar, som huvudregel inte fÄr förvaras tillsammans med övriga personuppgifter. Vid analysen av exempelvis uppgifter om en sjukdomsdiagnos ska det alltsÄ inte vara möjligt att direkt utlÀsa vem eller vilka diagnosen hÀnför sig till. BestÀmmelsen i andra stycket synes vara avsedd att medge att det trots första stycket fÄr förekomma en koppling mellan det ena och det andra slaget av personuppgifter pÄ sÄ vis att exempelvis en uppgift om en persons sjukdomsdiagnos fÄr vara försedd med löpnummer eller liknande som gör det möjligt att nÀr sÄ krÀvs knyta uppgiften till en viss person.

Enligt LagrÄdets mening skulle innebörden bli tydligare om andra stycket formulerades enligt följande.

Det som sÀgs i första stycket hindrar inte att personuppgifter som inte direkt kan hÀnföras till den registrerade Àr försedda med en beteckning som kan kopplas till den registrerade.

LagrÄdet lÀmnar i övrigt förslaget utan erinran. 107
 

Prop. 2023/24:146

108

Socialdepartementet

Utdrag ur protokoll vid regeringssammantrÀde den 23 maj 2024

NÀrvarande: statsminister Kristersson, ordförande, och statsrÄden Busch, Billström, Svantesson, Ankarberg Johansson, Edholm, J Pehrson, Waltersson Grönvall, Strömmer, Roswall, Forssmed, Tenje, Slottner, Wykman, Malmer Stenergard, Kullgren, Pourmokhtari

Föredragande: statsrÄdet Tenje

Regeringen beslutar proposition En registerlag för Inspektionen för socialförsÀkringen