Regeringens proposition 2023/24:29

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 19 oktober 2023

Tobias Billström

Acko Ankarberg Johansson (Socialdepartementet)

Propositionens huvudsakliga innehåll

I propositionen lämnas förslag till en ny dataskyddsreglering för Försäkringskassan och Pensionsmyndigheten. Förslagen syftar till att skapa en teknikneutral lagstiftning som möjliggör en digitaliserad och effektiv verksamhet och som värnar den enskildes personliga integritet.

De ändamål för vilka Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter föreslås utvidgas på så sätt att myndigheterna får möjlighet att behandla personuppgifter om det är nödvändigt för att vidta kontrollåtgärder. Ändamålet för kontrollåtgärder är avsett att tillämpas när personuppgifter behandlas vid sidan av ärendehandläggningen i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.

De särskilda begränsningar som gäller för utlämnande av personuppgifter på medium för automatiserad behandling (annat elektroniskt utlämnande av personuppgifter än genom direktåtkomst) föreslås slopas. Försäkringskassan och Pensionsmyndigheten ska få lämna ut personuppgifter elektroniskt på andra sätt än genom direktåtkomst under förutsättning att utlämnande kan ske med stöd i de ändamål som anges i lagen och med beaktande av krav på säkerhet och sekretess.

Därutöver föreslås bl.a. att uttrycket socialförsäkringsdatabasen ska utmönstras och att sökbegränsningar ska utgå från syftet med sökningen i stället för från otillåtna sökbegrepp.

Lagändringarna föreslås träda i kraft den 15 februari 2024.

1

Härigenom föreskrivs i fråga om socialförsäkringsbalken1 dels att 114 kap. ska upphöra att gälla,

dels att det ska införas ett nytt kapitel, 114 kap., av följande lydelse.

114 kap. Behandling av personuppgifter

Innehåll

1 § I detta kapitel finns bestämmelser om

–tillämpningsområdet i 2 §,

–förhållandet till annan reglering i 3 och 4 §§,

–uppgifter om avlidna personer i 5 §,

–begränsning av rätten att göra invändningar i 6 §,

–personuppgiftsansvar i 7 §,

–ändamål för behandling av personuppgifter i 8–10 §§,

–känsliga personuppgifter i 11 och 12 §§,

–tillgång till personuppgifter i 13 §,

–direktåtkomst i 14 §,

–gallring i 15 §,

–avgifter i 16 §, och

–tystnadsplikt i 17 §.

Tillämpningsområdet

2 § Detta kapitel gäller vid behandling av personuppgifter i verksamhet som avser förmåner enligt denna balk samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten.

Kapitlet gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

1Senaste lydelse av

Försäkringskassan och Pensionsmyndigheten lämnade i december 2020 en hemställan till Socialdepartementet om ändringar i 114 kap. socialförsäkringsbalken, förkortad SFB, och förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration (S2020/09443). En sammanfattning av hemställan finns i bilaga 1. Hemställans lagförslag finns i bilaga 2. Hemställan har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Socialdepartementet (S2020/09443).

Vid remissbehandlingen av hemställan efterfrågade flera remissinstanser en oberoende belysning av frågorna med mer utförliga analyser av integritetsrisker och proportionalitet. Som ett led i den fortsatta beredningen av hemställan utarbetades ett utkast till lagrådsremiss. I utkastet behandlas hemställans olika förslag till ändringar utifrån kompletterande integritets- och proportionalitetsanalyser, och det lämnas ett samlat förslag till ett nytt 114 kap. SFB. En sammanfattning av utkastet till lagrådsremiss finns i bilaga 4. Lagförslaget i utkastet till lagrådsremiss finns i bilaga 5. Utkastet till lagrådsremiss har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 6. Remissvaren finns tillgängliga i Socialdepartementet (S2022/04816).

I propositionen behandlas hemställans förslag i fråga om 114 kap. SFB och förslagen i utkastet till lagrådsremiss.

Lagrådet

Regeringen beslutade den 21 september 2023 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8. Lagrådet lämnade förslaget utan erinran. I förhållande till lagrådsremissen har vissa språkliga och redaktionella ändringar gjorts.

9

Försäkringskassan deltar sedan 2009 i en myndighetsgemensam Prop. 2023/24:29 satsning mot den organiserade brottsligheten. Därutöver ingår Försäkringskassan i flera myndighetsnätverk som syftar till att minska

felaktiga utbetalningar och motverka bidragsbrott.

Försäkringskassan har som statistikansvarig myndighet ansvar för att producera och publicera officiell och annan statistik inom områdena stöd till barnfamiljer och stöd vid sjukdom och handikapp. Därutöver ansvarar Försäkringskassan för en kvalificerad kunskapsuppbyggnad inom sitt verksamhetsområde. Det innebär att myndigheten följer och analyserar socialförsäkringssystemets utveckling och effekter för enskilda och samhället. Resultaten av analyserna förmedlas genom rapporter och på andra sätt till regeringen och allmänheten. Försäkringskassan ansvarar också för utbyte av kunskap med andra länder samt för att stödja regeringen i det internationella arbetet. Informationshanteringen sker bl.a. i it-systemet STORE som innefattar Försäkringskassans datalager samt beslutsstöds- och analysplattform. STORE används för att ta fram produktionsinformation, ledningsinformation, ärendestatistik, resultatmått, försäkringsstatistik, riktade kontroller, officiell statistik, utgiftsprognoser, ärendeprognoser och analysdata för forskare m.fl. STORE innehåller uppgifter som huvudsakligen kommer från handläggningen av socialförsäkringsärenden men där finns även uppgifter som hämtats in från andra, bl.a. Skatteverket och Statistiska centralbyrån.

4.2Pensionsmyndighetens verksamhet

Pensionsmyndigheten har i uppdrag att administrera och betala ut pensioner och andra förmåner som administreras av myndigheten. I arbetet används ett flertal olika it-stöd. Viss handläggning sker automatiserat i it-systemen. Den automatiserade handläggningen kompletteras också med manuell handläggning i de fall då uppgifter i ärendet kräver särskilda åtgärder eller ställningstaganden. Informationsutbytet med andra myndigheter sker i ökande utsträckning elektroniskt. En stor del av Pensionsmyndighetens personuppgiftsbehandling sker med hjälp av it-system som finns hos Försäkringskassan.

Pensionsmyndigheten tillhandahåller e-tjänster på Mina sidor, där pensionärer och pensionssparare kan sköta sina kontakter med myndigheten digitalt. Det är möjligt att välja att få post från myndigheten digitalt i stället för genom pappersutskick. Myndigheten är också ansluten till tjänsten Mina meddelanden, den digitala infrastrukturen för förmedling av myndighetspost.

En av Pensionsmyndighetens uppgifter är att ge pensionssparare och pensionärer korrekt information om och en samlad bild av hela pensionen. Myndigheten samverkar med bolaget Min Pension AB i syfte att tillhandahålla enkel, detaljerad och samlad pensionsinformation till användarna. Pensionsmyndigheten ska också stärka pensionssparares och pensionärers ställning som konsumenter inom pensionsområdet genom att ge vägledning som är anpassad till individens behov och livssituation.

För att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott görs både manuella och maskinella kontroller i

11

Prop. 2023/24:29 Pensionsmyndighetens förmånshandläggning. Myndigheten deltar också i externa myndighetsnätverk som syftar till att minska felaktiga utbetalningar och motverka bidragsbrott.

Pensionsmyndigheten har som statistikansvarig myndighet ansvar för att producera och publicera officiell och annan statistik inom området stöd vid ålderdom. Därutöver ansvarar Pensionsmyndigheten för att följa, analysera och förmedla ålderspensionssystemets utveckling och effekter för enskilda och samhälle. Resultaten av analyserna förmedlas genom rapporter och på andra sätt till regeringen och allmänheten. Pensionsmyndigheten ansvarar också för utbyte av kunskap med andra länder samt för att stödja regeringen i det internationella arbetet. Informationshanteringen sker i datalagret Pedal. Inom Pedal samlas uppgifter från förmånssystemen inom socialförsäkringen. Där samlas även information från andra myndigheter, t.ex. Skatteverket och Statistiska centralbyrån.

4.3Gällande rätt

4.3.1Europakonventionen

Enligt artikel 8 i den europiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, benämnd Europakonventionen, har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

När det gäller laglighetskriteriet krävs bl.a. att den nationella författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar, och de ska vara allmänt tillgängliga. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse som åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.

Europakonventionen gäller som lag i Sverige (lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Av regeringsformen, förkortad RF, framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen (2 kap. 19 §).

12

Prop. 2023/24:29 ursprungliga ändamålet, den s.k. finalitetsprincipen. Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering (artiklarna 5.1 b och 6.4).

Artiklarna 5 och 6 är grundläggande och kumulativa. Det innebär att någon av de rättsliga grunderna i artikel 6 måste vara tillämplig, samtidigt som samtliga principer i artikel 5 ska följas.

EU:s dataskyddsförordning både förutsätter och medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Detta gäller särskilt sådan behandling som sker inom den offentliga sektorn. Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Bestämmelserna får innehålla specifika krav för behandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling.

Av artikel 6.3 framgår att den rättsliga grunden, vid behandling enligt artikel 6.1 c och e, ska fastställas i unionsrätten eller i nationell rätt. Syftet med behandlingen ska i sin tur fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i EU:s dataskyddsförordning, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.

Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjuden. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Från huvudregeln att dessa särskilda kategorier av personuppgifter inte får behandlas finns flera undantag angivna (artikel 9.2). Sådan behandling är bl.a. tillåten om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder måste ske under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs (artikel 10).

14

EU:s dataskyddsförordning föreskriver ett antal rättigheter för den Prop. 2023/24:29 registrerade och motsvarande skyldigheter för den personuppgifts-

ansvarige. Den registrerade har t.ex. rätt att få omfattande information från den personuppgiftsansvarige (artiklarna 12–14). Den registrerade kan också begära registerutdrag med information om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få felaktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artiklarna 16–18). Rätten till radering gäller dock inte för behandling som sker med stöd av grunderna i artikel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning). Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behandlingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning (artikel 21). En ytterligare rättighet för den registrerade är att slippa bli föremål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22).

Vissa av de rättigheter och skyldigheter som föreskrivs i förordningen får begränsas i nationell rätt. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23.1, t.ex. en medlemsstats viktiga mål av generellt allmänt intresse.

Den personuppgiftsansvarige ansvarar för att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken samt för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning (artiklarna 24, 25 och 32). Den personuppgiftsansvarige ska också föra ett register över alla behandlingar med uppgift om bl.a. ändamål och vilka kategorier av personuppgifter som behandlas (artikel 30) samt göra särskilda konsekvensbedömningar om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 35).

Om EU:s dataskyddsförordning föreskriver att förtydliganden eller begränsningar av dess bestämmelser kan göras i medlemsstaternas nationella rätt kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8). Regeringen har gjort bedömningen att detta innebär att förordningen ger medlemsstaterna möjlighet att i lagar på nationell nivå föreskriva vissa anpassade bestämmelser (propositionen Ny dataskyddslag [prop. 2017/18:105] s. 21–23). Principen om unionsrättens företräde innebär dock att bestämmelser i sådana författningar måste vara förenliga med EU:s dataskyddsförordning.

15

I regeringsformens målsättningsstadgande i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och värdighet. Vidare anges i dess fjärde stycke att det allmänna bl.a. ska värna den enskildes privatliv och familjeliv. Grundläggande bestämmelser till skydd för den personliga integriteten som gäller i förhållandet mellan enskilda och staten finns i 2 kap. RF. Av 2 kap. 6 § andra stycket RF följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

4.3.4Dataskyddslagen

Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Inom ramen för det utrymme som EU:s dataskyddsförordning ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, särskilda kategorier av personuppgifter (som i nationell lagstiftning benämns känsliga personuppgifter), tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är, på samma sätt som den tidigare personuppgiftslagen var, subsidiär i förhållande till annan lag eller förordning. Det gör det möjligt att ha bestämmelser som avviker från dataskyddslagen i sektorsspecifika registerförfattningar.

4.3.5 114 kap. socialförsäkringsbalken

Försäkringskassan och Pensionsmyndigheten är personuppgifts- Prop. 2023/24:29 ansvariga för den behandling som respektive myndighet utför (6 a §).

Personuppgifter får behandlas om det är nödvändigt för ett antal ändamål. Det handlar bl.a. om att tillgodose behovet av underlag för att bedöma eller fastställa rättigheter eller skyldigheter, handlägga ärenden, planera, följa upp och utvärdera verksamheten samt ta fram statistik. Personuppgifter får också lämnas ut för olika sekundära ändamål (8 och 9 §§). Finalitetsprincipen sätter den yttersta ramen för de tillåtna ändamålen (10 §). Känsliga personuppgifter och uppgifter om lagöverträdelser får i olika utsträckning behandlas för de olika ändamålen (11 och 12 §§).

Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt utgör socialförsäkringsdatabasen (5 §). Det finns bestämmelser om vilka uppgifter som får behandlas i socialförsäkringsdatabasen (14–16 §§). Behörighet för åtkomst till socialförsäkringsdatabasen ska begränsas till vad som behövs för att den enskilda tjänstemannen ska kunna fullgöra sina arbetsuppgifter (17 §). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i socialförsäkringsdatabasen (27 och 28 §§). Direktåtkomst till socialförsäkringsdatabasen är tillåten endast i den utsträckning som anges i lag eller förordning (18–22 §§), och personuppgifter får lämnas ut på medium för automatiserad behandling från socialförsäkringsdatabasen till andra än den registrerade endast om det behövs för något av de sekundära ändamålen (24–26 a §§).

Två rättigheter enligt EU:s dataskyddsförordning har inskränkts genom 114 kap. SFB. Sådan behandling av personuppgifter som är tillåten enligt kapitlet får utföras även om den registrerade motsätter sig behandlingen (3 §) och rätten till registerutdrag är begränsad på så sätt att personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende inledningsvis inte behöver ingå i utdraget om den registrerade tagit del av uppgifterna (30 §).

Kapitlet innehåller också bl.a. en gallringsbestämmelse (31 §) och en bestämmelse om att Försäkringskassan och Pensionsmyndigheten ska kontrollera efterlevnaden av kapitlet (34 §).

4.3.6 Sekretess i Försäkringskassans och Pensionsmyndighetens verksamheter

Prop. 2023/24:29 sekretess ska iakttas. Även uppgifter om individers sjukskrivningsfrekvens bör vanligtvis omfattas av sekretess, i vart fall när den som begär uppgifterna är en arbetsgivare som överväger att anställa den som uppgifterna avser (prop. 1979/80:2 Del A s. 190).

Sekretess gäller också hos Försäkringskassan och Pensionsmyndigheten för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs (28 kap. 3 § OSL).

I 21 kap. OSL regleras ett generellt sekretesskydd som gäller personuppgifter hos alla myndigheter. För uppgifter som rör en enskilds hälsa eller sexualliv gäller sekretess om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs (21 kap. 1 § OSL). Bestämmelsen gäller inte om det finns en annan bestämmelse som ger starkare skydd för uppgifterna (7 kap. 3 § och 11 kap. 8 § OSL). Sekretess gäller också för personuppgifter som efter ett utlämnande kan antas komma att behandlas i strid med bl.a. EU:s dataskyddsförordning eller dataskyddslagen (21 kap. 7 § OSL).

5Modernisering av dataskyddsregleringen på socialförsäkringsområdet

5.1Behovet av en översyn

Regeringens bedömning: Dataskyddsregleringen på socialförsäkringsområdet bör ses över och moderniseras.

Hemställans bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den. Integritetsskyddsmyndigheten ser positivt på att en översyn görs för att förenkla och förtydliga regleringen och bidra till ökad transparens men anser att den här typen av genomgripande förslag på ändringar förtjänar en bred belysning genom att det tillsätts en särskild utredare som analyserar frågorna vidare. Förvaltningsrätten i Malmö ifrågasätter inte det identifierade behovet av en reformerad lagstiftning men anser att det hade varit bättre om ett förslag till förändrad lagstiftning på området hade tagits fram på ett mer sedvanligt sätt, dvs. genom tillsättande av en utredning som har dels uppställda direktiv att förhålla sig till, dels tillgång till bl.a. oberoende experter på området. Förvaltningsrätten anser också att övervägandena och lagförslagen i hemställan måste genomgå ytterligare granskning innan det är möjligt att i detalj kommentera dem. Statskontoret lämnar inga synpunkter i sak men anger att de tillstyrker hemställan i princip, liksom myndigheternas utgångspunkter för densamma. Myndigheternas förmåga att, enskilt och tillsammans med andra, identifiera och föreslå förändringar

18

Prop. 2023/24:29 Det är av stor vikt att de möjligheter som digitaliseringen för med sig för samhället – för individer, näringsliv, civilsamhälle och offentlig förvaltning – både främjas och används. Digitaliseringen av den offentliga förvaltningen ska leda till en enklare vardag för medborgare, en öppnare förvaltning som stöder innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten. En enklare, öppnare och effektivare service ska kunna erbjudas till alla, oavsett om användaren befinner sig i Sverige eller i utlandet. Myndigheterna bör därför ges förutsättningar att utveckla e-tjänster och it-lösningar som ökar tillgängligheten och effektiviteten. Väl utvecklade system för informationshantering minskar också risken för felaktiga beslut. Samtidigt måste den enskildes berättigade krav på skydd för den personliga integriteten beaktas.

Det kan sammanfattningsvis konstateras att den nu gällande dataskyddsregleringen på socialförsäkringsområdet inte är anpassad till den mer avancerade och omfattande automatiserade behandling av personuppgifter som i dag förväntas av myndigheterna. Bestämmelserna i 114 kap. SFB bör därför ses över och moderniseras.

Bör det tillsättas en utredning?

Frågor om integritetsskydd är av komplex natur, och Integritetsskyddsmyndigheten anser i sitt remissvar över hemställan att den här typen av genomgripande förslag på ändringar förtjänar en bred belysning genom att det tillsätts en särskild utredare som analyserar frågorna. Även Förvaltningsrätten i Malmö påpekar att det hade varit bättre om ett förslag till förändrad lagstiftning tagits fram av en särskilt tillsatt utredning. Statskontoret framhåller å sin sida att myndigheternas förmåga att identifiera och föreslå förändringar som kan bidra till en mer tidsenlig, effektiv och ändamålsenlig verksamhet bör uppmuntras. Regeringen vill framhålla att Försäkringskassan och Pensionsmyndigheten gemensamt har tagit fram en hemställan och i det arbetet gjort avstämningar med andra berörda myndigheter och organ. Hemställan har sänts på remiss till 57 instanser. Bland remissinstanserna finns 18 myndigheter, inklusive Integritetsskyddsmyndigheten, Justitieombudsmannen och Justitiekanslern. Det finns även 30 kommuner bland remissinstanserna. Ingen remissinstans har invändningar mot att regelverket ses över och moderniseras. Ingen av remissinstanserna har heller avstyrkt förslaget om att revidera 114 kap. SFB.

Förvaltningsrätten i Malmö anser att övervägandena och lagförslagen i hemställan måste genomgå ytterligare granskning innan det är möjligt att i detalj kommentera dem. Sådan ytterligare granskning av förslagen i hemställan har gjorts inom ramen för framtagandet av utkastet till lagrådsremiss. Regeringen bedömer att de mer utförliga analyser av integritetsrisker och proportionalitet som gjorts i utkastet till lagrådsremiss är tillräckliga för de förslag som lämnas i propositionen. Sammantaget bedömer regeringen att det inte finns behov av att tillsätta en utredning.

20

Regeringens förslag: Nuvarande 114 kap. socialförsäkringsbalken, som reglerar Försäkringskassans och Pensionsmyndighetens behandling av personuppgifter, ska upphävas och ersättas med ett nytt kapitel med samma nummer och namn.

Hemställans förslag överensstämmer delvis med regeringens förslag. I hemställan föreslås en omarbetning av nuvarande 114 kap. SFB, men i bilaga 4 till hemställan finns också ett förslag till ett nytt 114 kap. SFB.

Remissinstanserna lämnar inte några synpunkter på hemställans förslag.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: När en översyn av en lagstiftning får till följd att ett flertal paragrafer ändras och upphävs, kan detta leda till att lagstiftningen blir svåröverskådlig. Det är då fördelaktigt att upphäva den tidigare lagstiftningen och ersätta den med en ny. En sammanhållen lagstiftning gör regleringen mer pedagogisk och överblickbar. När 114 kap. SFB ses över bör därför kapitlet omarbetas i sin helhet, både när det gäller innehåll och struktur. Nuvarande 114 kap. SFB bör således upphävas och ersättas med ett nytt kapitel med samma nummer och namn.

6Ett nytt kapitel i socialförsäkringsbalken om Försäkringskassans och Pensionsmyndighetens behandling av personuppgifter

6.1Kapitlets tillämpningsområde

Regeringens förslag: Socialförsäkringsbalkens bestämmelser om personuppgiftsbehandling ska gälla vid behandling av personuppgifter i verksamhet som avser förmåner enligt socialförsäkringsbalken samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Försäkringskassan eller Pensionsmyndigheten. Kapitlet ska gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Hemställans förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot

det.

21

Det bedöms inte lämpligt att två närliggande uttryck endast delvis har samma innebörd i ett och samma regelverk. För att undvika otydligheter om vad som avses i de enskilda bestämmelserna i det nya 114 kap. SFB bör uttrycket socialförsäkringens administration inte längre användas i det kapitlet. I stället bör det i de enskilda bestämmelserna uttryckligen anges vilken verksamhet som avses.

Prop. 2023/24:29 behandling av personuppgifter för statistikändamål (se avsnitt 6.8.1). Det är därför viktigt att det är tydligt att särskild reglering gäller för sådan behandling som omfattas av lagen om den officiella statistiken. Motsvarande upplysningsbestämmelse bör därför föras in i det nya 114 kap. SFB. Vid framställning av annan statistik än officiell statistik är både 114 kap. SFB och lagen om den officiella statistiken tillämpliga (1 § tredje stycket lagen om den officiella statistiken). Kraven på personuppgiftsbehandlingen bedöms vara lika omfattande i båda lagstiftningarna (jfr prop. 2002/03:135 s. 46).

Lagförslag

Förslaget innebär att två nya paragrafer införs, 114 kap. 3 och 4 §§. Bestämmelsen i den nya 3 § motsvarar nuvarande 114 kap. 6 § SFB, och bestämmelsen i den nya 4 § motsvarar i sak nuvarande 114 kap. 4 § SFB.

6.4Uppgifter om avlidna personer

Regeringens förslag: Vid behandling av uppgifter om avlidna personer ska 114 kap. socialförsäkringsbalken och föreskrifter som har meddelats i anslutning till kapitlet, EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla i tillämpliga delar.

Hemställans förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det. Förvaltningsrätten i Malmö anser att det måste tydliggöras vad som menas med att regleringen ska gälla i tillämpliga delar vid behandling av uppgifter om avlidna.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Skatteverket anser att det är mer ändamålsenligt att ange vilka bestämmelser som ska vara tillämpliga på uppgifter om avlidna personer.

Skälen för regeringens förslag: I nuvarande 114 kap. SFB finns det flera bestämmelser som i tillämpliga delar gäller för uppgifter om avlidna personer. Det huvudsakliga argumentet för att låta bestämmelser i 114 kap. SFB omfatta även uppgifter om avlidna personer är den stora mängden uppgifter om avlidna som behandlas inom de aktuella verksamheterna (prop. 2002/03:135 s. 45). EU:s dataskyddsförordning är inte tillämplig på uppgifter om avlidna personer (skäl 27) och medlemsstaterna får alltså själva bestämma vad som ska gälla för sådana uppgifter, t.ex. att behandlingen ska omfattas av samma krav som gäller för personuppgifter. För att få en enhetlig och heltäckande reglering bör även EU:s dataskyddsförordning samt dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen gälla för uppgifter om avlidna (jfr propositionen Stärkt integritet i Rättsmedicinalverkets verksamhet [prop. 2019/20:106] s. 32).

24

personuppgifter vid Myndigheten för arbetsmiljökunskap). Bestämmelsen Prop. 2023/24:29 i det nya 114 kap. bör enligt regeringen utformas på motsvarande sätt för

att tydliggöra vilken rättighet den begränsar. Den ändrade utformningen är inte avsedd att innebära någon ändring i sak i förhållande till vad som gäller enligt nuvarande reglering.

Lagförslag

Förslaget innebär att en ny paragraf, 114 kap. 6 §, införs som i sak motsvarar nuvarande 114 kap. 3 § SFB.

6.6Socialförsäkringsdatabasen

Regeringens bedömning: Uttrycket socialförsäkringsdatabasen bör inte användas i det nya 114 kap. socialförsäkringsbalken.

Hemställans förslag överensstämmer med regeringens bedömning. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det. Integritetsskyddsmyndigheten anser att det av hemställan inte framgår på ett tydligt sätt vilka risker för den personliga integriteten det finns med att utmönstra uttrycket socialförsäkringsdatabasen.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning: Med socialförsäkringsdatabasen avses den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i sådan verksamhet som omfattas av tillämpningsområdet för 114 kap. (114 kap. 5 § SFB). Socialförsäkringsdatabasen är en juridisk konstruktion som utgör underlag för en gemensam reglering av sådana behandlingar som omfattas av uttrycket (prop. 2002/03:135 s. 47– 51 och 130). Den gemensamma regleringen utgörs av särskilda skyddsåtgärder (114 kap. 14–28 §§ SFB).

Socialförsäkringsdatabasen omfattar större delen av den personuppgiftsbehandling som sker hos Försäkringskassan och Pensionsmyndigheten. Hos myndigheterna sker dock även annan behandling av personuppgifter, t.ex. behandling som utförs av en enskild tjänsteman eller en begränsad grupp av personer. Det kan bl.a. handla om dataanalyser som sker avgränsat från övrig verksamhet utan möjlighet till åtkomst för andra medarbetare. För sådan behandling gäller inte de särskilda skyddsåtgärderna trots att behandlingen kan omfatta stora mängder personuppgifter. I hemställan anförs att det saknas skäl att behålla uppdelningen mellan socialförsäkringsdatabasen och annan behandling.

Som utgångspunkt bör skyddet för fysiska personer vara teknikneutralt och inte beroende av den teknik som används hos myndigheten (skäl 15 i EU:s dataskyddsförordning). Uttrycket socialförsäkringsdatabasen bygger förvisso inte på tekniska avgränsningar eller utformningar i övrigt av uppgiftshanteringen (prop. 2002/03:135 s. 130). Likväl har uttrycket databas en stark teknisk anknytning och leder tanken till ett visst och i

27

Prop. 2023/24:29 tekniskt avseende avgränsat informationssystem. Som framgår av hemställan består socialförsäkringsdatabasen av ett flertal olika uppgiftssamlingar och informationshanteringssystem hos myndigheterna.

EU:s dataskyddsförordning ställer inte några krav på särskilda skyddsåtgärder för behandling av personuppgifter som används gemensamt i en verksamhet. Kraven på säkerhet utgår i stället från behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter (artikel 32 i EU:s dataskyddsförordning). Vid behandling av känsliga personuppgifter gäller krav på skyddsåtgärder oavsett om myndigheter behandlar uppgifterna i gemensamma verksamhetssystem eller i ett begränsat utrymme (artikel 9.2 g i EU:s dataskyddsförordning). Risken för obehörig spridning av personuppgifterna är självfallet större i ett gemensamt it-system där personuppgifterna görs tillgängliga för en vidare krets än när uppgifterna finns i ett system med begränsad åtkomst. Det är dock inte bara tillgängligheten som avgör om behandlingen är integritetskänslig. Också mängden uppgifter och framför allt uppgifternas karaktär är viktiga faktorer vid bedömningen av om behandlingen är integritetskänslig. Den behandling av personuppgifter som omfattas av tillämpningsområdet för 114 kap. SFB avser ofta, oavsett om det sker i gemensamma it-system eller inte, uppgifter om hälsa och andra personliga förhållanden. Skyddsnivån för sådana uppgifter bör vara lika hög oavsett tillgänglighet.

Sammantaget finns det enligt regeringen inte längre några skäl att skilja på behandling av personuppgifter i socialförsäkringsdatabasen och annan behandling. Samma skyddsåtgärder bör i stället gälla för all behandling av personuppgifter som sker inom tillämpningsområdet för det nya 114 kap. SFB. För att uppnå detta bör uttrycket socialförsäkringsdatabasen utmönstras ur dataskyddsregleringen på socialförsäkringsområdet. Detta bör inte ge upphov till några sådana risker för den personliga integriteten som Integritetsskyddsmyndigheten efterfrågar en redogörelse för.

Prop. 2023/24:29 uppdrag att förvalta socialförsäkringen och andra förmåner och ersättningar som enligt lag eller förordning ska administreras av myndigheterna. En sådan ändamålsbestämmelse skulle enligt hemställan skapa flexibilitet och ge Försäkringskassan och Pensionsmyndigheten förutsättningar att hålla jämna steg med samhällsutvecklingen. Det andra alternativet innebär att nuvarande struktur med detaljerade ändamål behålls och att några nya ändamål läggs till i uppräkningen samt att ett ändamål tas bort.

Ett fastställt ändamål är enligt EU:s dataskyddsförordning en grundläggande förutsättning för att personuppgifter ska få samlas in och behandlas. Utifrån det fastställda ändamålet avgörs vilka personuppgifter som får behandlas (artikel 5.1 c) och den registrerade har rätt att få information om ändamålet (artiklarna 13–15). Även lämplig säkerhetsnivå bestäms utifrån bl.a. behandlingens ändamål (artikel 32). Ändamålet fastställs av den personuppgiftsansvarige, i EU-rätt eller i nationell rätt (artiklarna 4.7, 6.2 och 6.3). Lagstiftning som begränsar tillämpningsområdet för de rättigheter och skyldigheter som följer av EU:s dataskyddsförordning, däribland rätten att invända mot behandling, ska innehålla specifika ändamålsbestämmelser när så är relevant (artikel 23.2 a). Ändamål ska vara särskilda, uttryckligt angivna och berättigade (artikel 5.1 b i EU:s dataskyddsförordning).

Försäkringskassan, Pensionsmyndigheten, Skatteverket, Arbetsförmedlingen, Riksarkivet, Centrala studiestödsnämnden, Ekonomistyrningsverket, Myndigheten för digital förvaltning och Arbetsgivarverket förordar en bred ändamålsbestämmelse. Flera av myndigheterna hänvisar till e-samverkansprogrammet Esams promemoria En modern registerförfattning (ES2022/06), där det rekommenderas en ändamålsbestämmelse som anger att personuppgifter får behandlas om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter enligt lag eller förordning. Enligt regeringen ligger det i sakens natur att ändamål kan behöva ges en förhållandevis generell utformning när de regleras i en författning (propositionen Utbetalningsmyndigheten [prop. 2022/23:34] s. 125). Regeringen har dock hittills ansett att primära ändamål bör ge uttryck för myndighetens uppgifter (t.ex. prop. 2019/20:106 s. 39 och prop. 2022/23:34 s. 124–126).

Det framgår inte av Försäkringskassans och Pensionsmyndighetens remissvar att den föreslagna ändamålsbestämmelsen skulle hindra myndigheterna att utföra sina nuvarande uppdrag. Pensionsmyndigheten konstaterar uttryckligen att myndighetens nuvarande behov tillgodoses med ett tillkommande ändamål som avser att vidta kontrollåtgärder. Försäkringskassan och Pensionsmyndigheten anger i stället behovet av att kunna hantera oförutsedda situationer som skäl för en bred ändamålsbestämmelse. Även Myndigheten för digital förvaltning och Centrala studiestödsnämnden framhåller i sina remissvar behovet av en flexibilitet i regleringen. Förvaltningsrätten i Malmö anser däremot att det är olämpligt att i praktiken överlämna till de ansvariga myndigheterna att närmare bestämma det primära ändamålet. Regeringen konstaterar att Försäkringskassan och Pensionsmyndigheten, trots en förändrad omvärld och delvis nya förutsättningar för myndigheterna, har kunnat utföra sina uppdrag med stöd av befintlig registerlagstiftning.

32

• framställa statistik i fråga om verksamhet som avser handläggning av ärenden och planering av verksamhet, resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet.

Vid behandling för återsökning av vägledande avgöranden får inte uppgifter som direkt pekar ut den registrerade användas.

I hemställan föreslås det att om nuvarande primära ändamål behålls, ska det primära ändamålet som avser att återsöka vägledande avgöranden tas bort på grund av bristande behov. Med återsökning av vägledande avgöranden avses exempelvis sökning i samlingar av domar och beslut som upprättats för ledning angående praxis (prop. 2002/03:135 s. 61). Remissinstanserna lämnar inga synpunkter på förslaget i hemställan att ta bort ändamålet. Skatteverket framhåller i remissvar på utkastet till lagrådsremiss att ändamålet att återsöka vägledande avgöranden riskerar att skapa osäkerhet för andra myndigheter när motsvarande ändamål inte finns angivet i den dataskyddsreglering som de ska tillämpa. I hemställan konstateras att Försäkringskassan och Pensionsmyndigheten kan behandla personuppgifter i vägledande avgöranden med stöd av andra primära ändamål t.ex. för att handlägga ärenden och för att genomföra resultatuppföljning och utvärdering av verksamheten. När myndigheterna hanterar rättspraxis i syfte att skapa ett generellt rättsligt stöd som ska leda till en enhetlig tillämpning, bedöms behandlingen enligt hemställan falla utanför tillämpningsområdet för 114 kap. SFB. Motsvarande hantering av rättspraxis sker, som Skatteverket framhåller, även på andra myndigheter. Regeringen anser mot denna bakgrund att det saknas anledning att ange återsökning av vägledande avgöranden som ett särskilt ändamål i 114 kap. SFB.

I hemställan föreslås det också vissa redaktionella ändringar i den nuvarande bestämmelsen. Enligt regeringen är ändamålen i huvudsak tillräckligt tydligt angivna med nuvarande formuleringar. Nuvarande punkt 5, som avser att planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet, bör dock delas upp i två punkter av språkliga skäl. Någon ändring i sak är inte avsedd. Skäl till andra ändringar av de primära ändamålen har inte framkommit. Tidigare bedömningar av behovet av ändamål vid behandling av personuppgifter i Försäkringskassans och Pensionsmyndighetens verksamheter får anses vara relevanta även fortsättningsvis (prop. 2002/03:135 s. 60–67).

Nuvarande primära ändamål bör alltså även fortsättningsvis anges som primära ändamål, med undantag för ändamålet att återsöka vägledande avgöranden som tas bort.

34

Förslaget innebär att en ny paragraf, 114 kap. 8 §, införs som delvis motsvarar nuvarande 114 kap. 7 § SFB.

6.8.2Kontrollåtgärder

Regeringens förslag: Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter om det är nödvändigt för att vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.

Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter om det är nödvändigt för att framställa statistik i fråga om sådan verksamhet som avser kontrollåtgärder.

Hemställans förslag överensstämmer i huvudsak med regeringens förslag. I hemställans förslag används uttrycket vidta kontroll- och analysåtgärder.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Förvaltningsrätten i Malmö har i och för sig inte något att invända mot förslaget, men anser att ytterligare överväganden bör göras. Integritetsskyddsmyndigheten efterfrågar en beskrivning av integritetsrisker och en proportionalitetsbedömning. Integritetsskyddsmyndigheten påpekar också att ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad för att intrånget ska kunna vara förutsebart.

Förslaget i utkastet till lagrådsremiss överensstämmer i huvudsak med regeringens förslag. I utkastets förslag används enbart uttrycket vidta kontrollåtgärder.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten anser att ändamålet bör preciseras och komma till uttryck i lagförslaget genom att det anges att personuppgifter får behandlas för att ”vidta kontrollåtgärder som syftar till att förmåner och ersättningar beviljas och utbetalas i enlighet med tillämplig lagstiftning” för att på så sätt göra intrånget förutsebart. Även Sveriges advokatsamfund framhåller att ändamålet bör preciseras och ange för vilka syften kontroller får äga rum. Försäkringskassan och Ekonomistyrningsverket föreslår att uttrycket ”vidta kontrollåtgärder” byts ut mot ”förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott”. Skatteverket föreslår att ändamålet formuleras på följande sätt: ”Uppgifter får behandlas för att tillhandahålla information som behövs för att vidta kontrollåtgärder i syfte att förbygga, förhindra och upptäcka felaktiga uppgifter när förmåner och ersättningar beviljas och utbetalas i enlighet med tillämplig lagstiftning”. Skatteverket föreslår också en kompletterande skyddsåtgärd i form av ett dokumentationskrav för de kontrollåtgärder som vidtas. Kammarrätten i Stockholm påpekar att ett primärt ändamål för att vidta kontrollåtgärder inte kan anses omfatta ett uppgiftsutlämnande inklusive förberedelser inför uppgiftsutlämnande till andra myndigheter.

35

Prop. 2023/24:29 uppgifter med stöd av det ändamål som avser att tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar enligt socialförsäkringsbalken ska kunna bedömas eller fastställas (prop. 2012/13:1 utg.omr. 9 avsnitt 7.16.3). Ett kontrolländamål skulle dock ge ett tydligare stöd för Försäkringskassan att både samla in och utföra de systematiska kontroller som uppgiftsskyldigheten är tänkt att möjliggöra. Motsvarande gäller för det statliga tandvårdsstödet. Detta stöd är uppbyggt utifrån föresatsen att kontrollinsatser bör kunna ske i form av systematisk bearbetning av elektroniska data, där uppgifter som lämnas i samband med behandling och som av någon anledning avviker från vad som kan anses normalt eller av andra skäl bör uppmärksammas, ska kontrolleras särskilt. Sådana kontroller bör kunna genomföras utifrån särskilda kontrollprogram, där utpekade åtgärder eller åtgärdsgrupper granskas särskilt under en viss kontrollperiod (prop. 2007/08:49 s. 98). Vidare kan vårdgivare som tidigare uppgett felaktiga uppgifter eller försökt få statlig ersättning på felaktiga grunder också i högre utsträckning bli föremål för riktade kontroller. I dag sker sådan behandling av personuppgifter huvudsakligen med stöd av ändamålet att handlägga ärenden. Också för dessa kontroller skulle ett uttryckligt kontrolländamål ge ett tydligare stöd för behandlingen av personuppgifter hos Försäkringskassan.

Utöver det informationsutbyte mellan myndigheter som sker inom ramen för vanlig handläggning av ärenden, förväntas myndigheterna ta emot och lämna information till andra myndigheter vid misstanke om felaktigheter. Som Kammarrätten i Stockholm påpekar kan ett primärt ändamål inte anses innefatta utlämnande av personuppgifter, inklusive förberedelser inför sådant utlämnande. Uppgiftslämnande sker med stöd av det sekundära ändamålet (avsnitt 6.8.4). När uppgifter tas emot och innan uppgifter lämnas, krävs dock viss utvärdering av uppgifterna innan myndigheten vidtar åtgärder. Det är inte alltid tydligt var gränsen går mellan åtgärder som har ett primärt respektive ett sekundärt ändamål. Ett uttryckligt kontrolländamål skulle därför ge ett tydligare och bättre stöd för en sådan behandling av personuppgifter som sker i anslutning till att uppgifter lämnas till och från myndigheterna med stöd av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen, lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet och andra skyldigheter att lämna uppgifter i syfte att förhindra felaktiga utbetalningar och motverka bidragsbrott. Även behandlingen av sådana uppgifter som behövs för lagföring av bidragsbrott behöver ett mer tydligt stöd i lag. Försäkringskassan och Pensionsmyndigheten är skyldiga att polisanmäla ett misstänkt bidragsbrott (6 § bidragsbrottslagen [2007:612]). Det är emellertid oklart i vilken utsträckning som myndigheterna får sammanställa och bevara de personuppgifter som de brottsförebyggande myndigheterna behöver med anledning av en polisanmälan (jfr prop. 2019/20:117 s. 59). Det är också oklart i vilken utsträckning myndigheterna kan bevara eventuell återkoppling eller domar med anledning av gjorda polisanmälningar. Även detta är skäl till att förtydliga Försäkringskassans och Pensionsmyndighetens möjligheter att behandla personuppgifter för kontrolländamål.

38

Prop. 2023/24:29 heternas arbete (2 § 3 förordningen med instruktion för Försäkringskassan och 2 § 6 förordningen med instruktion för Pensionsmyndigheten).

När ändamål anges i en registerförfattning måste syftet framgå redan av den rättsliga grunden när den handlar om rättsliga förpliktelser eller vara nödvändigt för att myndigheten ska kunna utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.3 andra stycket). För att Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter för kontrolländamål, som är ett allmänt intresse, måste behandlingen alltså vara nödvändig för uppdraget att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott. Detta ska inte tolkas som att kontrollåtgärderna måste vara avgränsade så att de bara kan utföras på ett visst sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv (prop. 2017/18:105 s. 60). Försäkringskassans och Pensionsmyndighetens särskilda kontrolluppdrag förutsätter olika åtgärder, både av förebyggande och upptäckande karaktär. Trots riktade insatser, och ett aktivt utvecklingsarbete inom myndigheterna, kvarstår problem med att de resurser som fördelas från de offentliga välfärdssystemen riskerar att användas för andra ändamål än de är avsedda för. För att motverka detta är det angeläget att myndigheterna har möjlighet att vidareutveckla redan vidtagna åtgärder och sätta in nya insatser mot missbruk av offentliga medel och felaktiga utbetalningar. Ur ett samhällsekonomiskt perspektiv är det även av stor vikt att det finns ett träffsäkert och effektivt kontrollsystem som säkerställer korrekta utbetalningar och motverkar bidragsbrott och andra felaktigheter. Att Försäkringskassan och Pensionsmyndigheten behandlar personuppgifter för kontrolländamål får anses vara en ändamålsenlig, effektiv och proportionerlig åtgärd för att de ska kunna vidta åtgärder och kontroller för att säkerställa att förmåner och ersättningar betalas ut i enlighet med gällande rätt.

Slutligen ska den rättsliga grunden också uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Uppgifter av allmänt intresse som har fastställts i enlighet med svensk rätt uppfyller genomgående dessa krav (prop. 2017/18:105 s. 50).

Är en behandling av personuppgifter för kontrolländamål proportionerlig?

Som utvecklas i avsnitt 4.3.3 finns det i regeringsformen, förkortad RF, grundläggande bestämmelser till skydd för den personliga integriteten. Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket RF). Vad som utgör ett betydande intrång avgörs utifrån bl.a. uppgifternas karaktär och omfattning samt ändamålet med behandlingen (prop. 2009/10:80 s. 184). Vid bedömningen av om en åtgärd innebär kartläggning ska åtgärdens effekter snarare än det huvudsakliga syftet med åtgärden beaktas (s. 181).

40

Prop. 2023/24:29 ändamålet ligger också i linje med de synpunkter som Integritetsskydds-

myndigheten och Sveriges advokatsamfund framför.

I den föreslagna bestämmelsen ska med uttrycket kontrollåtgärder förstås åtgärder som innebär att övervaka, granska eller undersöka Försäkringskassans och Pensionsmyndighetens handläggning och utbetalningar av förmåner och ersättningar. Det följer av tillämpningsområdet för 114 kap. SFB att alla kontrollåtgärder måste avse sådana förmåner eller ersättningar som handläggs av Försäkringskassan eller Pensionsmyndigheten. Detta behöver således inte preciseras i ändamålsbestämmelsen.

Försäkringskassan och Pensionsmyndigheten bör således få behandla personuppgifter om det är nödvändigt för att vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.

Statistik

I hemställan föreslås att Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter för att framställa statistik i fråga om sådan verksamhet som avser kontrollåtgärder. Behandling för statistiska ändamål anses generellt inte vara oförenlig med det ursprungliga ändamålet (artikel 5.1 b i EU:s dataskyddsförordning). I 114 kap. SFB har det likväl bedömts motivera ett särskilt ändamål. Ändamålet avser dels verksamhetsstatistik, som bl.a. tar sikte på måluppfyllelse i fråga om ärendehantering, dels statistik som är hänförlig till myndigheternas uppdrag att analysera utvecklingen inom de olika förmånsslagen m.m. (prop. 2002/03:135 s. 66 och 67). Det är viktigt att myndigheterna kan följa upp den verksamhet som avses med det nya kontrolländamålet genom att ta fram statistik. Sådan uppföljning är nära knuten till den ursprungliga behandlingen och utgör också en förutsättning för att myndigheterna ska kunna utveckla sin verksamhet. Till skydd för behandlingen gäller de skyddsåtgärder som gäller för övrig behandling (jfr artikel 89.1 i EU:s dataskyddsförordning). Sammantaget bedöms den nytta för verksamheten som behandlingen medför överväga eventuella risker för den personliga integriteten (2 kap. 6, 20 och 21 §§ RF). Statistikändamålet bör därför omfatta även sådan verksamhet som avser kontrollåtgärder.

Lagförslag

Förslaget förs in som en punkt 4 i den nya 114 kap. 8 § SFB. Förslaget innebär också att det görs en hänvisning till nämnda punkt i 114 kap. 8 § 7 SFB.

44

Prop. 2023/24:29 tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Redan inom ramen för EU:s dataskyddsförordning ställs alltså krav på åtgärder som avser testverksamhet.

Behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndigheters förvaltning och funktion är rättsligt grundad i den mening som avses i artikel 6 i EU:s dataskyddsförordning (prop. 2017/18:105 s. 60 och 61). När en myndighet genom utförande av testverksamhet säkerställer att den har väl fungerande it-system för att i förlängningen kunna fullgöra de åligganden som vilar på myndigheten i dess verksamhet, rör det sig om sådana administrativa åtgärder som är nödvändiga för myndigheters förvaltning och funktion (prop. 2019/20:113 s. 19 och 20). Det krävs inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt men de måste vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter. Dessa uppgifter måste i sin tur vara fastställda i enlighet med gällande rätt. För Försäkringskassans och Pensionsmyndighetens del framgår uppgifterna av bl.a. myndigheternas instruktioner, myndighetsförordningen och socialförsäkringsbalken.

I tidigare lagstiftningsarbete har det bedömts vara en slags huvudprincip att testverksamhet inte behöver regleras som ett särskilt ändamål, oavsett om registerförfattningen innehåller en uttömmande ändamålsreglering eller inte (prop. 2019/20:113 s. 20 och prop. 2015/16:65 s. 64). Någon särskild ändamålsbestämmelse som gäller testverksamhet bör mot denna bakgrund enligt regeringen inte införas i 114 kap. SFB.

Det bör framhållas att det inte är möjligt att fastslå att testverksamhet alltid är en tillåten åtgärd. Myndigheten behöver alltid göra en bedömning av om testningen behövs för att myndigheten ska kunna utföra verksamheten på det effektiva sätt som krävs enligt myndighetsförordningen. Ändamålet ska också vara tillräckligt preciserat, och testverksamheten måste utföras i enlighet med övriga bestämmelser om dataskydd, t.ex. bestämmelserna om sökbegränsningar (föreslagna 114 kap. 12 § SFB) och begränsningar i fråga om tillgång till personuppgifter (föreslagna 13 §).

6.8.4Sekundära ändamål

Regeringens förslag: Personuppgifter som Försäkringskassan och Pensionsmyndigheten behandlar för primära ändamål ska få behandlas av myndigheterna även för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning eller följer av unionsrätten, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.

Hemställans förslag överensstämmer delvis med regeringens förslag. I hemställan föreslås att uppgifter ska få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning eller följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller

46

behandlas för att fullgöra uppgiftslämnande som följer av Sveriges Prop. 2023/24:29 medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt en

internationell konvention som Sverige har tillträtt eller enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation. Enligt regeringen är det dock tillräckligt om det, i enlighet med vad som gäller i dag, är möjligt att lämna uppgifter till följd av sådan skyldighet att lämna ut uppgifter som följer av unionsrätten, eller åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller i avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater (nuvarande 114 kap. 9 § 3 och 4 SFB).

Lagförslag

Förslaget innebär att en ny paragraf, 114 kap. 9 §, införs som i sak motsvarar nuvarande 114 kap. 9 § SFB.

6.8.5 Finalitetsprincipen

Regeringens förslag: Personuppgifter som behandlas för de primära eller sekundära ändamål som anges i 114 kap. socialförsäkringsbalken ska få behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Hemställans bedömning överensstämmer med regeringens förslag. Remissinstanserna tillstyrker eller har inget att invända mot

bedömningen.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Myndigheten för digital förvaltning anser att det som huvudregel bör hänvisas till finalitetsprincipen endast när principen inte ska gälla. Sveriges advokatsamfund anser att det tas alltför lättvindigt på finalitetsprincipen och risken för ändamålsglidning.

Skälen för regeringens förslag: Personuppgifter som behandlas för de primära eller sekundära ändamål som anges i 114 kap. SFB får enligt nuvarande reglering behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (114 kap. 10 § SFB). Bestämmelsen ger uttryck för den s.k. finalitetsprincipen och infördes ursprungligen i syfte att tydliggöra att de i övrigt angivna ändamålen inte är att ses som uttömmande (prop. 2002/03:135 s. 131 och 132). I samband med anpassningen till EU:s dataskyddsförordning bedömdes det av tydlighetsskäl finnas anledning att i 114 kap. SFB behålla en hänvisning till finalitetsprincipen (prop. 2017/18:171 s. 89 och 192). Motsvarande klargörande bestämmelser finns i många andra registerförfattningar, se t.ex. 2 kap. 2 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 1 kap. 8 § i lagen om behandling av personuppgifter

Prop. 2023/24:29 bestämmelse som klargör att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen.

Vid tillämpning av finalitetsprincipen ska kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna har samlats in, personuppgifternas art, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen och förekomsten av lämpliga skyddsåtgärder beaktas (artikel 6.4 i EU:s dataskyddsförordning). Finalitetsprincipen kan alltså inte tillämpas utan avvägningar som i praktiken innebär att de nya ändamålen kommer att behöva ligga mycket nära de ursprungliga ändamålen eller kunna ses som en förlängning av de ursprungliga ändamålen. I fråga om behandling av känsliga personuppgifter med stöd av finalitetsprincipen föreslås ytterligare begränsningar i avsnitt 6.9. Vid eventuellt utlämnande av personuppgifter gäller dessutom bestämmelser om sekretess. Tillämpning av finalitetsprincipen bör således inte medföra sådana risker som Sveriges advokatsamfund befarar.

En bestämmelse som motsvarar nuvarande 114 kap. 10 § SFB bör därför föras in i det nya 114 kap. SFB.

Lagförslag

Förslaget innebär att en ny paragraf, 114 kap. 10 §, införs som motsvarar nuvarande 114 kap. 10 § SFB.

6.9Känsliga personuppgifter

Regeringens förslag: Känsliga personuppgifter ska få behandlas om uppgifterna lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter ska även få behandlas om det är nödvändigt för att fullgöra uppgiftslämnande som

•sker i överensstämmelse med lag eller förordning, eller

•följer av unionsrätten, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra

stater.

Känsliga personuppgifter om hälsa ska därutöver få behandlas om det är nödvändigt för att

Prop. 2023/24:29 socialförsäkringsförmåner. För behandling av känsliga personuppgifter för kontrollåtgärder, verksamhetsplanering, uppföljning, utvärdering och statistik (föreslagna 114 kap. 8 § 4–7 SFB) ska det endast vara tillåtet att behandla sådana uppgifter som redan behandlas eller har behandlats för att tillgodose behov av underlag, för att informera om förmåner och ersättningar eller för handläggning (föreslagna 114 kap. 8 § 1–3 SFB). Dessutom gäller förvaltningsrättsliga begränsningar i fråga om när uppgifter kan inhämtas om enskilda i ärenden (bl.a. 110 kap. 14 och 31 §§ SFB). Sammantaget ringar dessa begränsningar, även utan krav på särskilt stöd i lag eller förordning, in vilka uppgifter som är adekvata och relevanta för ändamålet (artikel 5.1 c i EU:s dataskyddsförordning). Ändamålen har i sin tur fastställts utifrån myndigheternas behov av att behandla personuppgifter för att kunna fullgöra sina uppdrag. Därtill gäller sökbegränsningar för sökningar som omfattar känsliga personuppgifter (föreslagna 114 kap. 12 § SFB), begränsningar i fråga om tillgång till personuppgifter (föreslagna 114 kap. 13 § SFB), begränsningar för direktåtkomst (föreslagna 114 kap. 14 § SFB) och krav på gallring (föreslagna 114 kap. 15 § SFB). Ytterligare begränsningar av möjligheterna att behandla känsliga personuppgifter bedöms inte nödvändiga. Regeringen anser, till skillnad från Sveriges advokatsamfund, att det saknas behov av ytterligare kartläggning av integritetsrisker och proportionalitetsbedömning.

Skyddsåtgärderna får sammantaget också anses uppfylla de krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs enligt EU:s dataskyddsförordning (artikel 9.2 g i EU:s dataskyddsförordning). Skyddsåtgärden i nuvarande 114 kap. 15 § andra stycket SFB kan därför utmönstras ur dataskyddsregleringen utan att det påverkar behandlingens proportionalitet.

Bestämmelsens utformning

Integritetsskyddsmyndigheten förordar att det, i syfte att göra bestämmelsen om känsliga personuppgifter tydligare både för den registrerade och den personuppgiftsansvarige, införs en hänvisning till artikel 9.2 g i EU:s dataskyddsförordning på samma sätt som görs i 3 kap. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Regeringen bedömer att en sådan hänvisning inte tillför något i fråga om tydlighet. Till skillnad från Skatteverket anser regeringen att bestämmelsen bör utformas i enlighet med förslaget i utkastet till lagrådsremiss.

Lagförslag

Förslaget innebär att en ny paragraf, 114 kap. 11 §, införs som delvis motsvarar nuvarande 114 kap. 11 § SFB.

58

Prop. 2023/24:29 den mån det kan konstateras ett behov och det finns grund för att tillåta behandlingen.

Försäkringskassan och Pensionsmyndigheten får även fortsättningsvis anses ha behov av att behandla personuppgifter om lagöverträdelser om det är nödvändigt för att handlägga ärenden och för sekundära ändamål (prop. 2002/03:135 s. 81). Det kan därutöver konstateras att särskilda bestämmelser gäller enligt socialförsäkringsbalken för den som är häktad eller intagen i kriminalvårdsanstalt. Exempelvis lämnas inte sjukpenning för tid när den försäkrade är häktad eller intagen i kriminalvårdsanstalt (106 kap. 12 § 3 SFB). Kriminalvården ska enligt 1 § 2 förordningen (2018:1747) om viss underrättelseskyldighet för Kriminalvården lämna underrättelse till Försäkringskassan om bl.a. tidpunkt för frihetsberövande på grund av häktning eller hävande av häktningsbeslut och tidpunkt för intagning i eller avgång från kriminalvårdsanstalt eller tidpunkt då verkställighet av fängelsestraff på annat sätt påbörjades och beslutad tidpunkt för avgång från kriminalvårdsanstalt. Eftersom sådana underrättelser lämnas till Försäkringskassan oavsett om det finns ett pågående förmånsärende, behöver uppgifterna behandlas inte bara i ärendehandläggningen utan även för att tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar som omfattas av tillämpningsområdet för 114 kap. SFB ska kunna bedömas eller fastställas.

I avsnitt 6.8.2 föreslås att Försäkringskassan och Pensionsmyndigheten ska få behandla personuppgifter för att vidta kontrollåtgärder. Ändamålet är avsett att tillämpas bl.a. när myndigheterna gör urval för att identifiera ärenden som behöver kontrolleras. Det kan i vissa fall vara relevant att behandla uppgifter om tidigare begångna bidragsbrott, dvs. uppgifter om lagöverträdelser, vid sådana urval. Vidare kan sådana uppgifter som utbyts vid samarbete enligt lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet vara uppgifter om lagöverträdelser. Det föreslagna kontrolländamålet avser att ge ett tydligare och bättre stöd för sådan behandling av personuppgifter som sker när uppgifter tas emot och innan uppgifter lämnas med stöd av den lagen.

Försäkringskassan och Pensionsmyndigheten är skyldiga att polisanmäla ett misstänkt bidragsbrott (6 § bidragsbrottslagen). Sammanställning och bevarande av personuppgifter som de brottsförebyggande myndigheterna behöver med anledning av en polisanmälan förutsätter behandling av uppgifter om lagöverträdelser. Även återkoppling med anledning av gjorda polisanmälningar och hantering av meddelade domar medför behandling av uppgifter om lagöverträdelser. För att följa upp, kvalitetssäkra och utvärdera gjorda polisanmälningar samt för att ta fram intern statistik behöver myndigheterna kunna behandla uppgifter om polisanmälningar och bidragsbrott.

Regeringen anser att Försäkringskassan och Pensionsmyndigheten således har behov av att behandla personuppgifter om lagöverträdelser för flertalet primära ändamål.

60

Prop. 2023/24:29 därmed utmönstras ur dataskyddsregleringen utan att integritetsskyddet och behandlingens proportionalitet påverkas.

Prop. 2023/24:29 bestämmelse som utgår från syftet med den enskilda sökningen kan bli mindre förutsägbar för den enskilde än ett förbud att använda vissa sökbegrepp, tas samtidigt möjligheten för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag bort (jfr nuvarande 114 kap. 28 § SFB). Regleringen i sin helhet kommer alltså att återfinnas i bestämmelsen vilket bör bli tydligare för den enskilde.

Bestämmelser som anger under vilka förutsättningar känsliga personuppgifter får behandlas gäller vid sökningar. Även övriga skyddsåtgärder gäller vid sökningar. Skyddet för de enskilda tillgodoses alltså också genom de generella begränsningar som gäller för all behandling av känsliga personuppgifter och andra personuppgifter. I avsnitt 6.6 görs bedömningen att skyddsåtgärder i 114 kap. SFB bör omfatta all behandling enligt kapitlet. Sökbegränsningarna bör i enlighet med denna bedömning omfatta alla sökningar inom tillämpningsområdet för 114 kap. SFB, vilket innebär att skyddsåtgärden får ett vidgat tillämpningsområde i förhållande till vad som gäller enligt nuvarande reglering. I fråga om uppgifter om lagöverträdelser bedöms sådan behandling vara proportionerlig utan särskilda begränsningar (avsnitt 6.10). Sammantaget bedöms den förändrade utformningen av sökbegränsningen inte påverka behandlingens proportionalitet. Regeringen bedömer, till skillnad från Sveriges advokatsamfund, att det saknas behov av ytterligare kartläggning av integritetsrisker och proportionalitetsbedömning.

Lagförslag

Förslaget innebär att en ny paragraf, 114 kap. 12 §, införs som delvis motsvarar nuvarande 114 kap. 27 och 28 §§ SFB. Paragrafen motsvarar också delvis nuvarande 6 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration.

följas upp. Liknande regleringar finns i andra registerförfattningar, t.ex. Prop. 2023/24:29 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalnings-

myndigheten och 1 kap. 9 § andra stycket studiestödsdatalagen. Det bör vara upp till myndigheterna att närmare bestämma formerna för kontrollen och uppföljningen men den kan exempelvis ske genom uppföljning av loggar. Kontroll och uppföljning bör genomföras regelbundet, dvs. systematiskt och återkommande, och inte endast om myndigheterna av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit.

Lagförslag

Förslaget innebär att en ny paragraf, 114 kap. 13 §, införs som delvis motsvarar nuvarande 114 kap. 17 § andra stycket och 19 § andra meningen SFB.

6.14Direktåtkomst

6.14.1Direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten

Regeringens förslag: Direktåtkomst till personuppgifter i verksamhet inom tillämpningsområdet för 114 kap. socialförsäkringsbalken ska vara tillåten endast i den utsträckning som anges i lag eller förordning.

Det ska upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vem som får medges direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten och vilka uppgifter som då får omfattas av direktåtkomsten.

Hemställans förslag överensstämmer delvis med regeringens förslag. I hemställan föreslås det inte någon upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om direktåtkomst.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Integritetsskyddsmyndigheten efterfrågar en fullständig integritetsanalys som belyser de risker för den personliga integriteten som förslaget ger upphov till.

Förslaget i utkastet till lagrådsremiss överensstämmer i huvudsak med regeringens förslag. I utkastet till lagrådsremiss föreslås en upplysningsbestämmelse om att regeringen kan meddela föreskrifter om direktåtkomst till personuppgifter för en förvaltningsmyndighet.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Försäkringskassan och Pensionsmyndigheten framhåller behov av direktåtkomst till varandras personuppgifter och att de bör ges möjlighet att meddela föreskrifter om direktåtkomsten. I anslutning till detta framför båda myndigheterna att det finns behov av en sekretessbrytande bestämmelse. Försäkringskassan och Pensionsmyndigheten hänvisar till hemställan och vidhåller att förmyndare, förvaltare, god man och ombud för en registrerad bör ges samma direkt-

73

Prop. 2023/24:29 åtkomst som den registrerade själv. Enligt Försäkringskassan är det därutöver angeläget att Försäkringskassans statistikverksamhet får ha direktåtkomst till personuppgifter i Försäkringskassans kärnverksamhet. Pensionsmyndigheten anser att det uttryckligen av lag bör framgå vilka som kan ges direktåtkomst.

Sveriges advokatsamfund anser att utlämnande av personuppgifter aldrig bör ske genom direktåtkomst. Myndigheten för digital förvaltning för fram att det inte bör regleras hur åtkomst till uppgifter ska ges.

Skälen för regeringens förslag: Direktåtkomst till socialförsäkringsdatabasen är i dag tillåten endast i den utsträckning som anges i lag eller förordning (114 kap. 18 § SFB). Direktåtkomst anses särskilt känslig ur integritetssynpunkt eftersom uppgifter som görs tillgängliga för direktåtkomst anses förvarade hos den mottagande myndigheten (2 kap. 6 § första stycket tryckfrihetsförordningen). Det finns också en risk för att den mottagande myndigheten tar del av överskottsinformation. Den utlämnande myndigheten saknar möjlighet att påverka hur den mottagande myndigheten använder direktåtkomsten. Genom krav på särskild reglering i lag eller förordning, begränsas Försäkringskassans och Pensionsmyndighetens möjligheter att lämna ut uppgifter med direktåtkomst.

Myndigheten för digital förvaltning för fram att det inte bör regleras hur åtkomst till uppgifter ska ges medan Sveriges advokatsamfund anser att utlämnande av personuppgifter aldrig bör ske genom direktåtkomst. Regeringen anser att direktåtkomst som huvudregel bör undvikas av integritetsskäl men att det inte kan uteslutas att viss direktåtkomst ändå kan vara motiverad. Motsvarande krav på särskild reglering i lag eller förordning som gäller enligt nuvarande reglering bör därför införas i det nya 114 kap. SFB. Bestämmelsen utgör en skyddsåtgärd och medför därmed inga sådana integritetsrisker som Integritetsskyddsmyndigheten efterfrågar en redogörelse för.

I avsnitt 6.6 föreslås att uttrycket socialförsäkringsdatabasen ska utmönstras ur dataskyddsregleringen. Kravet på särskild reglering i lag eller förordning bör därför i stället avse direktåtkomst till sådana personuppgifter hos Försäkringskassan och Pensionsmyndigheten som omfattas av tillämpningsområdet för 114 kap. SFB.

Försäkringskassan och Pensionsmyndigheten framhåller att det finns visst behov av direktåtkomst till personuppgifter hos myndigheterna. Regeringen kan med stöd av sin restkompetens meddela föreskrifter om vem som får medges direktåtkomst och vilka uppgifter som får omfattas av direktåtkomsten. Eventuellt behov av direktåtkomst samt därtill nödvändiga sekretessbrytande bestämmelser kan således tillgodoses genom bestämmelser i förordning. Direktåtkomst kan medges bl.a. fysiska personer i enlighet med de behov som Försäkringskassan och Pensionsmyndigheten pekar på.

Bestämmelsen i lag bör på vanligt sätt utformas så att den upplyser om hur normgivningsmakten enligt regeringsformen är fördelad på restkompetensens område (8 kap. 7 och 11 §§ RF). Eftersom direktåtkomst bör användas restriktivt är dock avsikten från regeringens sida att normgivningsmakt inte ska delegeras till en förvaltningsmyndighet när det gäller föreskrifter om direktåtkomst.

74

Förslaget innebär att en ny paragraf, 114 kap. 14 §, införs som delvis motsvarar nuvarande 114 kap. 18 § SFB.

6.14.2Centrala studiestödsnämnden, arbetslöshetskassorna och socialnämnderna bör inte medges direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten

Regeringens bedömning: Centrala studiestödsnämnden, arbetslöshetskassorna och socialnämnderna har inte något behov av direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten.

Hemställans förslag överensstämmer med regeringens bedömning. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det. Inspektionen för arbetslöshetsförsäkringen (IAF) avstyrker förslaget att ta bort arbetslöshetskassornas möjlighet till direktåtkomst och framhåller att det inte går att utesluta att frågeställningar om vad som är direktåtkomst respektive utlämnande på elektroniskt medium aktualiseras på nytt i samband med framtida systemutvecklingar. Direktåtkomst kan enligt IAF vara en förutsättning för mer utvecklade kontroller och i vart fall bör möjligheten till direktåtkomst behållas tills det är klarlagt vilka behov en ny arbetslöshetsförsäkring för med sig. Sveriges Kommuner och Regioner (SKR) konstaterar att personuppgifter i och för sig lämnas till kommuner på medium för automatiserad behandling i dagsläget men att det, för att framtidssäkra informationsutbyten, behövs en teknikneutral lagstiftning som fokuserar på sekretess och dataskydd oavsett teknik. SKR är därför av åsikten att kombinationen av direktåtkomst och automatiserad behandling behövs och att ett borttagande av möjlighet till direktåtkomst blir hämmande för den digitala utvecklingen. Filipstads kommun, Luleå kommun och Vänersborgs kommun instämmer i de synpunkter som SKR lämnar. Även Arbetsförmedlingen ser behov av en teknikneutral lagstiftning och anser att en kombination av direktåtkomst och automatiserad behandling behövs till dess en samlad översyn och ändring görs av myndigheters registerförfattningar i denna del. Förvaltningsrätten i Malmö anser att det är tveksamt att låta bestämmelserna om direktåtkomst ändras med hänsyn främst till hur myndigheterna för närvarande valt att arbeta. Integritetsskyddsmyndigheten efterfrågar en fullständig integritetsanalys som belyser de risker för den personliga integriteten som förslaget ger upphov till.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen, bl.a. Sveriges Kommuner och Regioner (SKR) och Centrala studiestödsnämnden, eller har inget att invända mot den. Sveriges advokatsamfund instämmer i bedömningen och anser att det ger ett bättre skydd för de registrerades integritet. Inspektionen för arbetslöshetsförsäkringen (IAF)

75

upphov till. Utlämnande genom direktåtkomst medför generellt sett större Prop. 2023/24:29 integritetsrisker än annat utlämnande eftersom den utlämnande myndig-

heten vid direktåtkomst saknar kontroll över vilka uppgifter som lämnas ut vid varje enskilt utlämnande. Direktåtkomst kan också orsaka problem med överskottsinformation. Minskad direktåtkomst bör därmed minska riskerna för den personliga integriteten.

Sammanfattningsvis får det anses utrett att Centrala studiestödsnämndens, arbetslöshetskassornas och socialnämndernas behov av personuppgifter från Försäkringskassan och Pensionsmyndigheten tillgodoses genom annat elektroniskt utlämnande än direktåtkomst. Centrala studiestödsnämnden, arbetslöshetskassorna och socialnämnderna saknar därmed i nuläget behov av direktåtkomst till sådana uppgifter, och sådan möjlighet bör därför inte införas i det nya 114 kap. SFB. Regeringen anser att det finns starka skäl att vara återhållsam med att tillåta myndigheter och andra utanför socialförsäkringens administration att ha direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten. Om ett behov av direktåtkomst ändå skulle uppstå i framtiden kan regeringen med stöd av restkompetensen meddela föreskrifter om att direktåtkomst ska vara tillåten och vilka uppgifter som då får omfattas.

6.15Gallring

Regeringens förslag: Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de primära ändamålen.

Det ska upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Hemställans förslag överensstämmer inte med regeringens förslag. I hemställan föreslås att personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för det ändamål de behandlas för.

Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Förslaget i utkastet till lagrådsremiss överensstämmer med regeringens förslag.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Försäkringskassan och Pensionsmyndigheten vidhåller den inställning som framförs i hemställan och föreslår att samma gallringsregel ska gälla oavsett för vilket ändamål personuppgifterna behandlas. Riksarkivet avstyrker förslaget och anser, i likhet med Skatteverket och Kammarrätten i Stockholm att arkivrättsliga bestämmelser inte ska blandas samman med bestämmelser om dataskydd.

Skälen för regeringens förslag: De personuppgifter som Försäkringskassan och Pensionsmyndigheten behandlar ska enligt nuvarande reglering gallras när de inte längre är nödvändiga för de primära ändamålen, om inte regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller

79

analys bör det i det nya 114 kap. SFB införas en bestämmelse som Prop. 2023/24:29 motsvarar nuvarande bestämmelse om gallring.

Lagförslag

Förslaget innebär att en ny paragraf, 114 kap. 15 §, införs som motsvarar nuvarande 114 kap. 31 § SFB.

6.16Avgifter och tystnadsplikt

Regeringens förslag: Försäkringskassan och Pensionsmyndigheten ska få ta ut avgifter för utlämnande av uppgifter och handlingar från sådan verksamhet som omfattas av tillämpningsområdet för 114 kap. socialförsäkringsbalken. Det ska upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om uttagandet av avgifter. Det ska också upplysas om att rätten att ta ut avgifter inte får innebära någon inskränkning i rätten att ta del av och mot fastställd avgift få en kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.

Den som, genom sin befattning med personuppgifter som har inhämtats från sådan verksamhet som omfattas av tillämpningsområdet för 114 kap. socialförsäkringsbalken till det för kommunerna och regionerna gemensamma organet för administration av personalpensioner, får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden ska inte obehörigen få röja dessa uppgifter.

Hemställans förslag överensstämmer i huvudsak med regeringens förslag. I hemställan föreslås dock att tystnadsplikten ska avse uppgifter som inhämtats från Försäkringskassan och Pensionsmyndigheten. I fråga om avgifter föreslås att det ska upplysas om en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning. I hemställan föreslås också att bestämmelserna om avgifter och tystnadsplikt ska placeras i ett nytt 114 a kap.

Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Förslaget i utkastet till lagrådsremiss överensstämmer i sak med regeringens förslag.

Remissinstanserna tillstyrker förslaget eller har inget att invända mot det.

Skälen för regeringens förslag: Avgifter får enligt nuvarande reglering tas ut för utlämnande av uppgifter och handlingar från socialförsäkringsdatabasen (114 kap. 32 § SFB). Avsikten är att möjligheten att ta ut avgift ska omfatta uppgifter och handlingar som hanteras elektroniskt inom socialförsäkringens administration (prop. 2002/03:135 s. 123). Socialförsäkringens administration avser Försäkringskassans och Pensionsmyndighetens administration inom tillämpningsområdet för 114 kap. SFB (114 kap. 2 § SFB). Det bör även i fortsättningen finnas en möjlighet att ta ut avgift för vissa utlämnanden av uppgifter och handlingar. I stället för att avse utlämnanden från socialförsäkringsdatabasen bör dock möjligheten att ta ut avgift avse uppgifter och handlingar som lämnas ut från sådan

81

Prop. 2023/24:29 verksamhet som omfattas av tillämpningsområdet för 114 kap. SFB. Lagrådet har i tidigare lagstiftningsarbete föreslagit att det ska framgå av lagtexten att rätten att ta ut avgifter inte får innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen (prop. 2002/03:135 s. 123 och 124). Detta bör framgå även av det nya 114 kap. SFB. Det bör också upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om uttagandet av avgifter (prop. 2008/09:200 s. 378, 379 och 585).

Den registrerade själv har enligt EU:s dataskyddsförordning rätt att utan kostnad få tillgång till de personuppgifter som behandlas om honom eller henne (artikel 12.5 och 15). I avsnitt 6.3 föreslås att 114 kap. SFB ska innehålla en upplysning om att bestämmelserna i kapitlet kompletterar EU:s dataskyddsförordning. En särskild upplysning om artiklarna 12.5 och 15 bedöms därmed inte behövas i det nya 114 kap. SFB.

I 114 kap. finns också en bestämmelse om att den som, genom sin befattning med personuppgifter som inhämtats från socialförsäkringsdatabasen till det för kommunerna och regionerna gemensamma organet för administration av personalpensioner (KPA Pension AB), får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden inte obehörigen får röja dessa uppgifter (114 kap. 35 § SFB). En sådan tystnadsplikt bör finnas även fortsättningsvis. Uppgifterna bedöms inte kunna utnyttjas utan att röjas. Tystnadsplikten behöver därmed inte omfatta förbud mot utnyttjande. De uppgifter som avses i nuvarande bestämmelse behandlas inom socialförsäkringens administration (prop. 2002/03:135 s. 126 och 127) och tystnadsplikten bör därför avse uppgifter som inhämtats från sådan verksamhet som omfattas av tillämpningsområdet för 114 kap. SFB.

Bestämmelserna om tystnadsplikt och avgifter anknyter till personuppgifter som behandlas inom tillämpningsområdet för 114 kap. SFB. Det saknas därför skäl att placera bestämmelserna i ett nytt 114 a kap.

Lagförslag

Förslaget innebär att två nya paragrafer införs, 114 kap. 16 § om avgifter, som delvis motsvarar nuvarande 114 kap. 32 § SFB och 114 kap. 17 § om tystnadsplikt, som delvis motsvarar nuvarande 114 kap. 35 § SFB.

Prop. 2023/24:29 dataskyddsförordning och dataskyddslagen, och krav på säkerhet enligt EU:s dataskyddsförordning. Det finns heller ingen skyldighet för myndigheterna att lämna ut uppgifter elektroniskt om de skulle bedöma att det är olämpligt. Av samma skäl saknas anledning att göra skillnad på utlämnande av personuppgifter till myndigheter respektive enskilda. Försäkringskassan och Pensionsmyndigheten har behov av att lämna personuppgifter till många olika enskilda, t.ex. den registrerade själv, ombud, ställföreträdare, arbetsgivare, försäkringsbolag, Min Pension i Sverige AB och vid begäran om allmän handling. Oavsett mottagare får personuppgifter lämnas ut endast när det kan ske på ett säkert sätt och utan hinder av sekretess.

Pensionsmyndigheten och i synnerhet Försäkringskassan behandlar i stor utsträckning känsliga personuppgifter. För en proportionerlig behandling av dessa uppgifter krävs det skyddsåtgärder (artikel 9.2 g i EU:s dataskyddsförordning). Begränsningar av möjligheten att elektroniskt lämna ut personuppgifter utgör en skyddsåtgärd. Som Integritetsskyddsmyndigheten påpekar, påverkas det sammantagna skyddet för de personuppgifter som behandlas om en sådan begränsning tas bort. Eftersom alternativet till att lämna ut uppgifterna elektroniskt oftast inte är att inte lämna ut uppgifterna alls, utan att lämna dem manuellt, måste dock skyddsvärdet i att uppgifterna inte lämnas ut elektroniskt bedömas med beaktande av risken att begränsningen ger upphov till en manuell hantering som inte uppnår motsvarande skyddsnivå. När uppgifter måste registreras manuellt i mottagarens it-system ökar riskerna för överföringsfel, vilket i sig kan utgöra ett integritetsproblem. Även den omständigheten att ett manuellt förfarande i större utsträckning förutsätter att fysiska personer tar del av uppgifterna bör beaktas. Ett manuellt utlämnande är därför inte alltid, vare sig ur effektivitets- eller integritetshänseende, att eftersträva.

Sammantaget får fördelarna med att annat elektroniskt utlämnande av personuppgifter än direktåtkomst inte begränsas anses överväga riskerna. Som Sveriges advokatsamfund framhåller måste allt informationsutbyte ske i enlighet med de krav som följer av EU:s dataskyddsförordning. EU:s dataskyddsförordning som innehåller bl.a. krav på adekvata tekniska och organisatoriska åtgärder tillsammans med övriga begränsningar enligt 114 kap. SFB och föreliggande sekretesslagstiftning bör säkerställa en proportionerlig behandling av personuppgifter vid denna form av utlämnande. Bestämmelser om begränsningar av annat elektroniskt utlämnande än direktåtkomst bedöms inte heller nödvändiga för att upprätthålla en tillräcklig skyddsnivå för känsliga personuppgifter enligt EU:s dataskyddsförordnings krav eller för att säkerställa en proportionerlig behandling i enlighet med de krav som gäller enligt regeringsformen (2 kap. 6, 20 och 21 §§ RF). Den aktuella bestämmelsen om begränsning av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling bör därför utmönstras ur dataskyddsregleringen för Försäkringskassan och Pensionsmyndigheten. Att, som Arbetsförmedlingen och Centrala studiestödsnämnden efterfrågar, se över bestämmelser om utlämnande i andra registerförfattningar än 114 kap. socialförsäkringsbalken omfattas inte av detta lagstiftningsärende.

86

Prop. 2023/24:29 Enligt Kammarrätten i Stockholm redovisas inte några skäl för att upphäva bestämmelsen om utlämnande av personuppgifter som behövs för att möjliggöra kontroll av användningen av assistansersättning. Till följd av förslaget att utmönstra begränsningar av annat elektroniskt utlämnande än direktåtkomst ur dataskyddsregleringen blir dock en sådan bestämmelse överflödig.

6.18 Överföring till tredjeland

Regeringens bedömning: Det bör inte finnas några bestämmelser om utlämnande av personuppgifter till tredjeland i 114 kap. socialförsäkringsbalken.

och en personuppgiftsansvarig som vill föra över uppgifter till tredjeland Prop. 2023/24:29 måste alltid försäkra sig om att förutsättningarna för överföringen är

uppfyllda. Eftersom bestämmelsen inte ger något självständigt stöd för behandling och dessutom kan vara missvisande, bör den inte införas i det nya 114 kap. SFB.

6.19Information på begäran av den registrerade (registerutdrag)

Regeringens bedömning: Det bör inte införas några bestämmelser om begränsning av rätten till sådan information som avses i artikel 15 i EU:s dataskyddsförordning i 114 kap. socialförsäkringsbalken.

Hemställans förslag överensstämmer inte med regeringens bedömning. I hemställan föreslås att bestämmelsen om begränsningar av skyldigheten att lämna information ska ändras på så sätt att personuppgifter som den registrerade har tagit del av och som behandlas i löpande text i ärenden behöver tas med i sådan information endast om den registrerade begär det. Enligt förslaget ska det av informationen dock framgå i vilka ärenden det behandlas personuppgifter i löpande text.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Privatliv och Dataskydd Sverige anför att begränsningen inte är förenlig med artikel 23 i EU:s dataskyddsförordning.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning: Den registrerade har enligt artikel 15 i EU:s dataskyddsförordning rätt att av den personuppgiftsansvarige få viss information om de personuppgifter som behandlas. Enligt 114 kap. 30 § SFB gäller denna skyldighet i ett första skede inte personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende, om den registrerade tagit del av handlingens innehåll. Då behöver Försäkringskassan eller Pensionsmyndigheten endast lämna information om vilka sådana handlingar som behandlas. Om den registrerade sedan begär att få information om personuppgifter i en sådan handling och anger vilken handling som avses, ska registerutdraget omfatta även dessa uppgifter om inte annat följer av bestämmelser om sekretess. Bestämmelsen i 114 kap. 30 § SFB reglerar således en viss begränsning av den registrerades rätt att på begäran få information från den personuppgiftsansvarige. Den begränsade rättigheten har motiverats med att det rör sig om stora mängder information, att en obegränsad skyldighet att lämna uppgifter skulle medföra en stor arbetsbelastning för myndigheten och att den enskilde egentligen inte är intresserad av all information eftersom det rör sig om handlingar som den enskilde själv lämnat till myndigheten eller som redan expedierats till honom eller henne inom ramen för handläggningen av ett ärende (prop. 2000/01:69 s. 29). Begränsningen har bedömts ha stöd i EU:s dataskyddsförordning (prop. 2017/18:171 s. 198 och 199).

89

Prop. 2023/24:29 En liknande begränsning av rätten till information fanns tidigare i Skatteverkets, Kronofogdemyndighetens och Tullverkets registerförfattningar. Begränsningen togs bort i samband med att författningarna anpassades till EU:s dataskyddsförordning (prop. 2017/18:95 s. 71 och 72). Regeringen konstaterade att den personuppgiftsansvarige, om denne behandlar en stor mängd uppgifter om den registrerade, kan efterfråga vilken information eller vilken behandling som en begäran om information enligt artikel 15 i EU:s dataskyddsförordning avser, innan informationen lämnas ut (skäl 63). Den personuppgiftsansvarige kan också ta ut en rimlig avgift eller vägra tillmötesgå en begäran, om den är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art (artikel 12.5 i EU:s dataskyddsförordning). Mot den bakgrunden bedömde regeringen att det inte fanns skäl att göra undantag från artikel 15 i EU:s dataskyddsförordning.

Av dataskyddslagen följer vissa begränsningar av rätten till information enligt artikel 15 i EU:s dataskyddsförordning. Rätten gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning (5 kap. 1 §). Som huvudregel gäller rätten till information inte heller personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande (5 kap. 2 §).

Av hemställan framgår att Försäkringskassan och Pensionsmyndigheten numera behandlar personuppgifter helt elektroniskt i större utsträckning än tidigare och att funktioner för registerutdrag finns integrerade i it-systemen. Mängden personuppgifter påverkar därför inte myndigheternas arbetsbelastning vid framtagning av registerutdrag på samma sätt som tidigare. I likhet med vad regeringen har anfört i fråga om bl.a. Skatteverket (prop. 2017/18:95 s. 71och 72), bör Försäkringskassan och Pensionsmyndigheten själva kunna efterfråga vad den registrerades begäran avser i syfte att avgränsa sådan information som den registrerade inte är intresserad av. Det saknas därmed skäl att införa en begränsning av rätten till information enligt artikel 15 i EU:s dataskyddsförordning i det nya 114 kap. SFB.

Skälen för regeringens bedömning: Försäkringskassan och Pensions- Prop. 2023/24:29 myndigheten ska genom särskilda åtgärder kontrollera efterlevnaden av

114 kap. SFB (114 kap. 34 § SFB). Bestämmelsen avsåg vid sin tillkomst att vara en konkretisering av den då gällande 31 § personuppgiftslagen (1998:204) (prop. 2002/03:135 s. 126). Enligt personuppgiftslagen skulle den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skulle åstadkomma en säkerhetsnivå som är lämplig med beaktande av tekniska möjligheter, kostnader, särskilda risker med behandlingen av personuppgifterna och personuppgifternas känslighet.

Krav på den personuppgiftsansvarige att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas gäller numera enligt EU:s dataskyddsförordning (artiklarna 24 och 32). Bland annat ska den personuppgiftsansvarige säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Myndigheterna ska enligt myndighetsförordningen också löpande följa upp sina verksamheter i syfte att se till att de bedrivs effektivt och lagenligt. Ett särskilt krav på kontroll av att bestämmelserna i 114 kap. följs bedöms därmed inte tillföra något utökat skydd utöver vad som redan gäller. Att inte ange ett sådant särskilt krav bör av samma anledning inte ge upphov till några sådana risker för den personliga integriteten som Integritetsskyddsmyndigheten efterfrågar en redogörelse för. En bestämmelse om krav på kontroll av att bestämmelserna i 114 kap. följs får därför enligt regeringen anses obehövlig.

6.21Förslag i hemställan som inte bör genomföras

Regeringens bedömning: Det bör inte införas ett nytt 114 a kap. i socialförsäkringsbalken.

Bestämmelser i förordning bör inte föras över till lag.

Hemställans förslag överensstämmer inte med regeringens bedömning. I hemställan föreslås ett nytt 114 a kap. i socialförsäkringsbalken och att vissa bestämmelser som i dag finns i förordning i stället ska finnas i lag.

Remissinstanserna tillstyrker förslagen eller har inget att invända mot dem.

Bedömningen i utkastet till lagrådsremiss överensstämmer med regeringens bedömning.

Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning: I hemställan föreslås att det ska införas ett nytt kapitel, 114 a kap., i SFB till vilket bestämmelserna om avgift och gallring ska föras över. Regeringen bedömer dock att dessa bestämmelser även fortsättningsvis bör finnas i 114 kap. eftersom de har ett nära samband med övriga bestämmelser i det kapitlet.

I hemställan föreslås också att vissa bestämmelser som finns i förordning ska föras över till lag. Regeringen bedömer att det inte är lämpligt att föra över dessa bestämmelser till lag. Behovet av förordningsändringar behandlas inte i denna proposition.

91

Regeringens förslag: Lagändringarna ska träda i kraft den 15 februari 2024.

Regeringens bedömning: Det behövs inte några övergångsbestämmelser.

Hemställans förslag och bedömning överensstämmer i huvudsak med regeringens förslag och bedömning. I hemställan anges att de föreslagna ändringarna ska träda i kraft så snart som möjligt.

Remissinstanserna: Ingen remissinstans har yttrat sig särskilt om tidpunkten för ikraftträdande eller behovet av övergångsbestämmelser.

Förslaget och bedömningen i utkastet till lagrådsremiss överensstämmer delvis med regeringens förslag och bedömning. I utkastet till lagrådsremiss föreslås att lagändringarna ska träda i kraft den 1 januari 2024.

Remissinstanserna: Ingen remissinstans har yttrat sig särskilt om tidpunkten för ikraftträdande eller behovet av övergångsbestämmelser.

Skälen för regeringens förslag och bedömning: Lagändringarna bör träda i kraft så snart som möjligt för att tillgodose Försäkringskassans och Pensionsmyndighetens behov av en modern och verksamhetsanpassad dataskyddsreglering. Den 15 februari 2024 bedöms vara den tidigaste tidpunkt det kan ske.

Några särskilda övergångsbestämmelser bedöms inte behövas, då den behandling av personuppgifter som är tillåten i dag även fortsättningsvis kommer att vara tillåten för myndigheterna enligt förslaget.

8 Konsekvenser

8.1 Ekonomiska konsekvenser

myndigheternas ordinarie uppgifter. Förslagen har inte några ekonomiska Prop. 2023/24:29 konsekvenser för andra statliga myndigheter, kommuner, regioner, företag

eller andra enskilda. Regeringen bedömer därför att förslagen inte kommer att medföra några kostnadsmässiga eller andra ekonomiska konsekvenser.

8.2Konsekvenser för den personliga integriteten

Bestämmelserna i 114 kap. socialförsäkringsbalken, förkortad SFB, kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd EU:s dataskyddsförordning. Ändamålsbestämmelserna i kapitlet anger en ram för tillåten behandling av personuppgifter och säkerställer på så sätt att personuppgiftsbehandlingen är förenlig med EU:s dataskyddsförordning. De olika skyddsåtgärderna i kapitlet begränsar behandlingen ytterligare. Den behandling av personuppgifter som med dessa begränsningar är tillåten enligt 114 kap. SFB utgör ett undantag från det grundlagsreglerade kravet på skydd för den personliga integriteten (jfr 2 kap. 6, 20 och 21 §§ regeringsformen).

De förslag som lämnas i propositionen medför en viss utvidgning av Försäkringskassans och Pensionsmyndighetens möjligheter att behandla personuppgifter. Mot det integritetsintrång en utvidgad behandling medför får ställas myndigheternas behov att kunna bedriva en ändamålsenlig verksamhet. Försäkringskassan och Pensionsmyndigheten måste ges förutsättningar att utnyttja de möjligheter som digitaliseringen ger för att administrera socialförsäkringen, fatta materiellt korrekta beslut och säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott. Det är angeläget att komma till rätta med felaktiga utbetalningar och missbruk av de offentliga medlen, som inte bara medför ekonomiska förluster för det allmänna utan också riskerar att skada legitimiteten i välfärdssystemet. Väl utvecklade system för informationshantering minskar risken för felaktiga utbetalningar. Myndigheterna måste också ges rättsliga förutsättningar att vid behov utveckla e-tjänster och it-lösningar som ökar tillgängligheten och effektiviteten.

Den enskildes skydd för den personliga integriteten tillgodoses genom flera olika skyddsåtgärder som regleras i lag. Regleringen i det nya 114 kap. SFB innehåller förutom den grundläggande ändamålsbegränsningen även begränsningar av möjligheterna att behandla känsliga personuppgifter, begränsningar av tillgången till personuppgifter, begränsningar av direktåtkomst och krav på gallring. EU:s dataskyddsförordning ställer bl.a. krav på lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Tillsammans med det dataskyddsrättsliga regelverket i övrigt samt sekretesslagstiftning och förvaltningsrättslig reglering ger bestämmelserna i det nya 114 kap. SFB ett tillfredsställande skydd för den personliga integriteten.

Förslagen till ändringar ger ett tydligare och mer överskådligt regelverk som blir både enklare att tillämpa och i delar mer transparent för den

93

Prop. 2023/24:29 registrerade. Det korresponderar också med flertalet andra motsvarande författningar. Sammantaget bedöms förslagen tillgodose behovet av en utökad personuppgiftsbehandling och en tidsenlig reglering samtidigt som hänsyn tas till behovet av ett starkt och likvärdigt integritetsskydd. Regleringen bedöms mot bakgrund av detta uppfylla regeringsformens krav på proportionalitet (2 kap. 20 och 21 §§ regeringsformen).

8.3Övriga konsekvenser

Förslagen bedöms vara förenliga med EU-rätten. Förslagen bedöms inte få några effekter för den kommunala självstyrelsen. Förslagen bedöms inte heller ha någon inverkan på jämställdheten mellan kvinnor och män, möjligheterna att nå de integrationspolitiska målen eller miljön.

94

Prop. 2023/24:29 eller sammanställning enligt särskilda kriterier. Den nya bestämmelsen har formulerats om och kortats ned. Vad som avses med register framgår av artikel 4.6 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd EU:s dataskyddsförordning. Någon ändring i sak är inte avsedd.

Förhållandet till annan reglering

3 § Detta kapitel innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt detta kapitel gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

Paragrafen beskriver hur kapitlet förhåller sig till annan reglering. Paragrafen motsvarar nuvarande 6 § (prop. 2017/18:171 s. 235). Övervägandena finns i avsnitt 6.3.

4 § I fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen (2001:99) om den officiella statistiken och i föreskrifter som har meddelats i anslutning till den lagen.

Paragrafen upplyser om att lagen (2001:99) om den officiella statistiken och föreskrifter som har meddelats i anslutning till den lagen gäller för behandling av personuppgifter inom ramen för den officiella statistiken. Paragrafen motsvarar nuvarande 4 § (prop. 2002/03:135 s. 130). Övervägandena finns i avsnitt 6.3.

Uppgifter om avlidna personer

5 § Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:

1.detta kapitel och föreskrifter som har meddelats i anslutning till kapitlet,

2.EU:s dataskyddsförordning, och

3.lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

avlidna personer. Någon möjlighet för efterlevande eller andra att överta Prop. 2023/24:29 rättigheter som tillkom den avlidne när denne var i livet finns inte heller

(prop. 2019/20:106 s. 32). Det innebär exempelvis att bestämmelser om rätten till information, rätten till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna. Däremot gäller bl.a. ändamålsbestämmelser, krav för behandling av känsliga personuppgifter och de principer som följer av artikel 5 i EU:s dataskyddsförordning. Till skillnad från vad som framgår av nuvarande 2 § tredje stycket, ska begränsningar avseende direktåtkomst och krav på begränsad tillgång till personuppgifter också omfatta uppgifter om avlidna. En människa är död, dvs. avliden, när hjärnans samtliga funktioner totalt och oåterkalleligt har fallit bort (1 § lagen [1987:269] om kriterier för bestämmande av människans död).

Begränsning av rätten att göra invändningar

6 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

I paragrafen görs ett undantag från rätten att göra invändningar enligt EU:s dataskyddsförordning (artikel 21.1). Paragrafen motsvarar i sak nuvarande 3 § (prop. 2017/18:171 s. 188 och 189). Övervägandena finns i avsnitt 6.5.

I förhållande till nuvarande bestämmelse förtydligas det vilken rättighet i EU:s dataskyddsförordning som begränsas. Någon ändring i sak är inte avsedd.

Personuppgiftsansvar

7 § Försäkringskassan och Pensionsmyndigheten är personuppgiftsansvariga för behandling av personuppgifter i sina respektive verksamheter.

Paragrafen anger vem som är personuppgiftsansvarig för sådan behandling av personuppgifter som utförs inom tillämpningsområdet för kapitlet. Paragrafen motsvarar i sak nuvarande 6 a § (prop. 2017/18:171 s. 190–192 och författningskommentaren till 6 § i prop. 2002/03:135 s. 130 och 131). Övervägandena finns i avsnitt 6.7.

I förhållande till nuvarande bestämmelse ändras lydelsen på så sätt att myndigheternas personuppgiftsansvar, i stället för att knytas till den myndighet som utför behandlingen, omfattar all behandling av personuppgifter i myndighetens egen verksamhet. Pensionsmyndigheten är t.ex. alltid ansvarig för den behandling av personuppgifter som sker i myndighetens verksamhet. Om Försäkringskassan utför behandling av personuppgifter för Pensionsmyndighetens räkning, gör Försäkringskassan detta i egenskap av personuppgiftsbiträde och inte med ett eget personuppgiftsansvar. Den ändrade formuleringen är ett förtydligande och någon ändring i sak är inte avsedd.

Med Försäkringskassans och Pensionsmyndighetens verksamheter avses den verksamhet som ryms inom tillämpningsområdet för kapitlet.

97

Prop. 2023/24:29 Ändamål för behandling av personuppgifter

8 § Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter om det är nödvändigt för att

1.tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar ska kunna bedömas eller fastställas,

2.informera om förmåner och ersättningar,

3.handlägga ärenden,

4.vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott,

5.planera sina respektive verksamheter,

6.inom sina respektive verksamheter genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn, eller

7.framställa statistik i fråga om verksamhet enligt 3–6.

samverkan mot viss organiserad brottslighet samt när myndigheterna Prop. 2023/24:29 behandlar personuppgifter med anledning av en polisanmälan. Det måste

vara nödvändigt att behandla personuppgifter i syfte att vidta kontrollåtgärder för att behandlingen ska vara tillåten. Nödvändighetskravet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten, om behandlingen leder till effektivitetsvinster. Att behandlingen skulle kunna ske manuellt, dvs. utan tekniska hjälpmedel, medför därför normalt inte att automatisk behandling inte anses nödvändig.

Ändamålen som avser att planera verksamhet och genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn av respektive verksamhet delas upp i två punkter, 5 och 6. Någon ändring i sak är inte avsedd.

I punkt 7 görs i förhållande till motsvarande punkt i nuvarande 7 § ett tillägg. Tillägget innebär att personuppgifter också får behandlas för att framställa statistik i fråga om sådan verksamhet som avser kontrollåtgärder.

9 § Personuppgifter som behandlas för ändamål som anges i 8 § får behandlas av Försäkringskassan och Pensionsmyndigheten även för att fullgöra uppgiftslämnande som

1.sker i överensstämmelse med lag eller förordning, eller

2.följer av unionsrätten, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.

Prop. 2023/24:29 2002/03:135 s. 131 och 132 och prop. 2017/18:171 s. 192). Övervägandena finns i avsnitt 6.8.5.

Känsliga personuppgifter

11 § Sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får också behandlas om det är nödvändigt för något av de ändamål som anges i 9 §.

Känsliga personuppgifter om hälsa får även behandlas om det är

1.nödvändigt för något av de ändamål som anges i 8 § 1 och 2,

2.nödvändigt för något av de ändamål som anges i 8 § 4–7 och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 § 1–3, eller

3.absolut nödvändigt för behandling med stöd av 10 § och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 § 1–3.

I andra fall får känsliga personuppgifter inte behandlas.

I paragrafen regleras uttömmande när det är tillåtet att behandla känsliga personuppgifter. Paragrafen motsvarar delvis nuvarande 11 § (författningskommentarerna till 10 § i prop. 2002/03:135 s. 132 och prop. 2017/18:171 s. 193 och 194). Övervägandena finns i avsnitt 6.9.

I andra stycket görs, i förhållande till nuvarande 11 §, tillägget att känsliga personuppgifter om hälsa får behandlas om det är nödvändigt för att vidta kontrollgärder eller om det är absolut nödvändigt för behandling med stöd av finalitetsprincipen, och uppgifterna behandlas eller har behandlats för att rättigheter eller skyldigheter ska kunna bedömas eller fastställas, för att informera om förmåner och ersättningar eller för att handlägga ärenden. Känsliga personuppgifter om hälsa får alltså inte hämtas in till Försäkringskassan eller Pensionsmyndigheten i syfte att behandlas för att vidta kontrollgärder eller för behandling med stöd av finalitetsprincipen. Kravet på att behandling med stöd av finalitetsprincipen ska vara absolut nödvändig innebär inte att känsliga personuppgifter får behandlas endast i absoluta undantagsfall, utan avser att markera att behandlingen ska ske med restriktivitet och att behovet av att behandla personuppgiften ska prövas noga i det enskilda ärendet (jfr prop. 2015/16:65 s. 81 och prop. 2019/20:113 s. 28 och 29). Utrymmet för vidarebehandling av känsliga personuppgifter begränsas även av artikel

6.4i EU:s dataskyddsförordning som bl.a. anger att personuppgifternas art, särskilt om känsliga personuppgifter behandlas, ska beaktas vid bedömningen av om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.

Bestämmelsen är, i likhet med nuvarande 11 §, uttömmande i fråga om när det är tillåtet att behandla känsliga personuppgifter. Det framgår av tredje stycket.

12 § Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

För de ändamål som anges i 8 § får dock sökningar utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa, om uppgiften avser förmån eller ersättning eller om urvalet ska användas för att

1.vidta åtgärder i handläggningen,

2.planera, följa upp eller utvärdera handläggningen, eller

100

I paragrafen regleras sökbegränsningar. Paragrafen motsvarar delvis nuvarande 27 och 28 §§ (författningskommentarerna till 24 och 25 §§ i prop. 2002/03:135 s. 135 och 136 och författningskommentaren till 28 § i prop. 2008/09:200 s. 585). Paragrafen motsvarar också delvis nuvarande 6 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration. Övervägandena finns i avsnitt 6.12.

I första stycket anges att sökningar inte får utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter, till skillnad från nuvarande 27 § som inte tillåter användning av känsliga personuppgifter som sökbegrepp. Definitionen av känsliga personuppgifter finns i 11 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Det är som huvudregel alltså inte tillåtet att göra t.ex. en sammanställning av personer med en viss diagnos eller funktionsnedsättning. Till skillnad från vad som gäller enligt nuvarande reglering omfattar sökbegränsningen inte uppgifter om lagöverträdelser.

I andra stycket, som saknar motsvarighet i nuvarande reglering i socialförsäkringsbalken, anges att sökningar alltid får utföras för de primära ändamålen i syfte att få fram ett urval av personer grundat på sådana känsliga personuppgifter om hälsa som avser förmån eller ersättning. Ett exempel på ett sådant urval kan vara en sammanställning av personer som erhåller sjukpenning eller sjukersättning, som är förmåner som baseras på uppgifter om den registrerades hälsa. Det anges också att sökningar får utföras för de primära ändamålen i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa under förutsättning att uppgiften ska användas för att vidta åtgärder i handläggningen, planera, följa upp eller utvärdera handläggningen eller vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Det kan vara fråga om att använda uppgifter om t.ex. diagnos eller funktionsnedsättning vid en automatisering av handläggningen. Det kan också vara fråga om sökningar i syfte att göra urval för att fördela ärenden, för att följa upp t.ex. sjukpenningärenden där den försäkrade har en viss diagnos eller för att vidta kontrollåtgärder.

Tillgång till personuppgifter

13 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Paragrafen reglerar tillgången till personuppgifter internt hos Försäkringskassan och Pensionsmyndigheten. Paragrafen motsvarar delvis nuvarande 17 § andra stycket och 19 § andra meningen (författningskommentarerna till 16 och 18 §§ i prop. 2002/03:135 s. 133 och 134). Övervägandena finns i avsnitt 6.13.

I första stycket anges att tillgången till personuppgifter ska begränsas till det som var och en behöver för att fullgöra sina arbetsuppgifter. Till skillnad från nuvarande begränsning, som avser behörighet för åtkomst till

101

Prop. 2023/24:29 socialförsäkringsdatabasen och till personuppgifter hos Migrationsverket, gäller begränsningen tillgången till personuppgifter inom den verksamhet som omfattas av tillämpningsområdet för kapitlet. Tillgången till personuppgifter kan begränsas genom tekniska och organisatoriska åtgärder (jfr artikel 32 i EU:s dataskyddsförordning). Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning eller uppdragstagare.

Andra stycket anger att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Det är upp till myndigheten att bestämma de närmare formerna för kontroll och uppföljning. Med uttrycket regelbundet avses att kontroll och uppföljning genomförs systematiskt och återkommande, dvs. inte endast om myndigheterna av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit.

Direktåtkomst

14 § Direktåtkomst till personuppgifter i sådan verksamhet som avses i 2 § är tillåten endast i den utsträckning som anges i lag eller förordning.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av

8 kap. 7 § regeringsformen meddela föreskrifter om vem som får medges direktåtkomst och vilka uppgifter som då får omfattas av direktåtkomsten.

I paragrafen begränsas möjligheten till direktåtkomst till personuppgifter hos Försäkringskassan och Pensionsmyndigheten. Paragrafen motsvarar delvis nuvarande 18 § (författningskommentaren till 17 § i prop. 2002/03:135 s. 133). Övervägandena finns i avsnitt 6.14.

Första stycket motsvarar i huvudsak nuvarande 18 § men reglerar direktåtkomst till personuppgifter i sådan verksamhet som omfattas av tillämpningsområdet för kapitlet i stället för direktåtkomst till socialförsäkringsdatabasen.

Andra stycket saknar motsvarighet i nuvarande reglering. I stycket anges att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om vem som får medges direktåtkomst enligt första stycket och vilka uppgifter som då får omfattas av direktåtkomsten.

Gallring

15 § Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 8 §.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av

8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Paragrafen anger när uppgifter ska gallras. Det finns även en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Paragrafen motsvarar nuvarande 31 § (författningskommentaren till 28 § i prop.

102

Avgifter

16 § Avgifter får tas ut för utlämnande av uppgifter och handlingar från sådan verksamhet som avses i 2 §.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av

8 kap. 7 § regeringsformen meddela föreskrifter om uttagandet av avgifter. Rätten att ta ut avgifter enligt första och andra styckena får inte innebära någon

inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.

Paragrafen reglerar en särskild grund för att ta ut avgifter från mottagare av utlämnade uppgifter och handlingar. Det finns även en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om uttagandet av avgifter. Paragrafen motsvarar delvis nuvarande 32 § (författningskommentaren till 29 § i prop. 2002/03:135 s. 136 och 137 och författningskommentaren till 32 § i prop. 2008/09:200 s. 585). Övervägandena finns i avsnitt 6.16.

Rätten att ta ut avgifter enligt första stycket gäller för utlämnande av uppgifter och handlingar från sådan verksamhet som omfattas av tillämpningsområdet för kapitlet, till skillnad från nuvarande 32 § som gäller för utlämnande från socialförsäkringsdatabasen.

Tystnadsplikt

17 § Den som, genom sin befattning med personuppgifter som har inhämtats från sådan verksamhet som avses i 2 § till det för kommunerna och regionerna gemensamma organet för administration av personalpensioner, får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.

Paragrafen reglerar tystnadsplikt för personer som är anställda hos KPA Pension AB (KPA) eller på något annat sätt deltar i eller har deltagit i KPA:s verksamhet. Paragrafen motsvarar delvis nuvarande 35 § (författningskommentaren till 32 § i prop. 2002/03:135 s. 137). Övervägandena finns i avsnitt 6.16.

Tystnadsplikten avser personuppgifter som har inhämtats från sådan verksamhet som omfattas av tillämpningsområdet för kapitlet, till skillnad från nuvarande 35 § som avser personuppgifter som har inhämtats från socialförsäkringsdatabasen.

103