Lag (2001:454) om behandling av personuppgifter inom socialtjänsten

SFS nr: 2001:454
Departement/myndighet: Socialdepartementet
Utfärdad: 2001-06-07
Ändrad: t.o.m. SFS 2024:86
Ändringsregister: SFSR (Regeringskansliet)
Källa: Fulltext (Regeringskansliet)

Innehåll:

Lagens tillämpningsområde

1 §   Denna lag tillämpas, om inte annat anges i 3 §, vid behandling av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier. Lag (2018:440).

2 §   I denna lag avses med socialtjänst
   1. verksamhet enligt lagstiftningen om socialtjänst, den särskilda lagstiftningen om vård utan samtycke av unga eller av missbrukare och den särskilda lagstiftningen om insatser för barn i form av skyddat boende,
   2. verksamhet som i annat fall enligt lag handhas av socialnämnd,
   3. verksamhet som i övrigt bedrivs av Statens institutionsstyrelse,
   4. verksamhet hos kommunal invandrarbyrå,
   5. verksamhet enligt lagstiftning om stöd och service till vissa funktionshindrade,
   6. handläggning av ärenden om bistånd som lämnas av socialnämnd enligt lagstiftning om mottagande av asylsökande m.fl.,
   8. handläggning av ärenden om tillstånd till parkering för rörelsehindrade, och
   9. verksamhet enligt lagen (2007:606) om utredningar för att förebygga vissa skador och dödsfall.

Med socialtjänst avses även tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamhet som avses i första stycket 1-9. Lag (2024:86).

3 §   Lagen tillämpas inte vid behandling av personuppgifter
   1. hos domstolar,
   2. för forsknings- och statistikändamål, eller
   3. som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Lag (2018:440).

Förhållandet till annan reglering

4 §   Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

I lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns ytterligare bestämmelser om behandling av personuppgifter inom socialtjänsten i fråga om insatser för äldre personer eller personer med funktionsnedsättning. Lag (2022:914).

5 §   Har upphävts genom lag (2003:136).

När behandling av personuppgifter är tillåten

6 §   Personuppgifter får behandlas bara om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten skall kunna utföras.

Personuppgifter får även behandlas för uppgiftsutlämnande som föreskrivs i lag eller förordning.

En registrerad person har inte rätt att motsätta sig sådan behandling av uppgifter som är tillåten enligt denna lag.

Personuppgifter som får behandlas

7 §   Socialtjänsten får behandla
   1. person- och samordningsnummer,
   2. personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), samt
   3. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter enligt första stycket får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.

Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt. Lag (2018:440).

Sammanställningar av personuppgifter

7 a §   I sammanställningar av personuppgifter får det inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden.

Undantag från första stycket gäller för
   1. uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om den bestämmelse som ett sådant beslut grundar sig på,
   2. uppföljning, utvärdering och kvalitetssäkring,
   3. tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg,
   4. administration som bedrivs av Statens institutionsstyrelse centralt, och
   5. verksamhet enligt lagen (2007:606) om utredningar för att förebygga vissa skador och dödsfall.

Uppgift som avslöjar medlemskap i fackförening får aldrig tas in. Lag (2018:1376).

7 b §   Regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om sammanställning av personuppgifter. Lag (2003:136).

Sekretess

8 §   I fråga om utlämnande av personuppgifter som finns inom socialtjänsten gäller de begränsningar som följer av offentlighets- och sekretesslagen (2009:400), socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade. Lag (2009:497).

Behandling av personuppgifter med viss digital teknik

9 §   Om den digitala teknik som används vid insatser enligt 4 kap. 2 c § socialtjänstlagen (2001:453) har funktioner som möjliggör monitorering, sensorering eller positionering, ska den personuppgiftsansvarige säkerställa att
   1. endast de personuppgifter som är nödvändiga för att uppnå ändamålet med användningen av tekniken behandlas, och
   2. insamlade personuppgifter inte sparas under längre tid än vad som är nödvändigt för att uppnå det ändamål för vilket uppgifterna samlades in.

Den personuppgiftsansvarige får endast behandla personuppgifter om den som beviljats en sådan insats som avses i första stycket samtycker till behandlingen. Om insatsen medför behandling av personuppgifter som avser en närstående som stadigvarande sammanbor med den som beviljats insatsen, ska även den närstående samtycka till behandlingen. Lag (2023:821).

Tilldelning av behörighet för åtkomst och kontroll av åtkomst

10 §   Den personuppgiftsansvarige ska för uppgifter om enskilda som förs helt eller delvis automatiserat
   1. bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter,
   2. se till att åtkomst till sådana uppgifter dokumenteras och kan kontrolleras, och
   3. göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.

Behörigheten enligt första stycket 1 ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter inom socialtjänsten. Lag (2023:821).

Övriga bestämmelser

11 §   Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om
   1. vilka som är personuppgiftsansvariga,
   2. begränsning av den i 6 § tillåtna behandlingen av personuppgifter,
   3. sökbegrepp,
   4. direktåtkomst,
   5. samkörning av personuppgifter, och
   6. de krav som gäller för den personuppgiftsansvarige enligt 9 § första stycket.

Regeringen får även meddela föreskrifter om när personuppgifter får föras över till tredjeland.
Lag (2023:821).

12 §   Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet samt dokumentation och kontroll av åtkomst enligt 10 §. Lag (2023:821).


Övergångsbestämmelser

2001:454
   1. Denna lag träder i kraft den 1 oktober 2001.
   2. Bestämmelserna i lagen skall inte börja tillämpas förrän den 1 oktober 2007 när det gäller manuell behandling av personuppgifter, som påbörjats före den 24 oktober 1998 och sådan behandling som utförs för ett visst bestämt ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
   3. Har en begäran om registerutdrag enligt 10 § datalagen (1973:289) kommit in innan denna lag träder i kraft men har utdraget inte expedierats före ikraftträdandet, skall framställan anses som en ansökan om information enligt 26 § personuppgiftslagen (1998:204).
   4. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att denna lag har trätt i kraft för den aktuella behandlingen.
   5. Hänvisningar i denna lag till socialtjänstlagen (2001:453) skall till utgången av år 2001 i stället avse motsvarande bestämmelser i socialtjänstlagen (1980:620).

2010:205
   1. Denna lag träder i kraft den 1 december 2010.
   2. Äldre föreskrifter gäller fortfarande vid behandling av personuppgifter inom socialtjänsten avseende ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar.