En begränsad översyn av socialförsäkringsregisterlagen (1997:934) (Departementsserien 2000:44)

Ds 2000:44	3

Förord

Socialförsäkringsregisterlagen (1997:934), SofrL, trädde i kraft den 1 januari 1998. Den avser automatisk databehandling av personuppgifter i register inom socialförsäkringens administration. Manuella register omfattas inte av lagen.

När SofrL infördes gällde ännu datalagen (1973:289). Datalagen har därefter ersatts av personuppgiftslagen (1998:204), PUL. Datalagen skall dock fortsätta att gälla övergångsvis för behandling av personuppgifter för ett visst ändamål om behandlingen påbörjats före PUL:s ikraftträdande den 24 oktober 1998. Detta gäller dock bara fram till och med den sista september 2001.

SofrL är uppbyggd mot bakgrund av datalagen och hänvisar också i viss utsträckning till sistnämnda lag. I denna promemoria görs en begränsad översyn av SofrL i syfte att anpassa lagen till den reglering som nu gäller för behandling av personuppgifter. Promemorian är utarbetad av hovrättsrådet Mona Wildig och jur.kand. Claes Löfström på uppdrag av Socialdepartementet.

Stockholm i juni 2000

Ann-Christin Tauberman

Ds 2000:44	5

Innehåll

Förord .............................................................................................			3
Sammanfattning...............................................................................			7
Författningsförslag .......................................................................			11
1	Bakgrund..............................................................................		21
	1.1	Äldre registerlagstiftning ......................................	21
	1.2	Socialförsäkringsregisterlagen .............................	23
	1.3	Datalagen och personuppgiftslagen .....................	26

1.4Författningsreglering avseende myndighets-

		register ..................................................................	29
2	En anpassning av socialförsäkringsregisterlagen ...............		31
	2.1	En begränsad omarbetning av gällande lag ..........	31
	2.2	Lagens tillämpningsområde..................................	34
	2.3	Registerbegreppet .................................................	35
	2.4	Registeransvar.......................................................	37
	2.5	Känsliga uppgifter m.m. ......................................	41
	2.6	Uppgiftslämnande till enskild...............................	48
	2.6.1	Uppgiftslämnande som skall ske självmant..........	48
	2.6.2	Lämnande av uppgifter efter ansökan...................	51
3	Ikraftträdande ......................................................................		55
4	Ekonomiska konsekvenser m.m. ...........................................		57
5	Författningskommentar........................................................		59

Ds 2000:44	7

Sammanfattning

Socialförsäkringsregisterlagen (1997:934), SofrL, trädde i kraft den 1 januari 1998. Samtidigt som den nya lagen ersatte regleringen i äldre lagar utvidgades också den nya lagens tillämpningsområde. Den nya lagen är inte begränsad till någon särskild del av Riksförsäkringsverkets och de allmänna försäkringskassornas hantering av socialförsäkringsförmåner och liknande. Efter införandet har den också utvidgats till att avse den nya Premiepensionsmyndighetens verksamhet.

SofrL är uppbyggd mot bakgrund av bestämmelserna i datalagen (1973:289). Datalagen har nu ersatts av personuppgiftslagen (1998:204), PUL, som till skillnad från SofrL och datalagen inte bara behandlar register som förs helt eller delvis med hjälp av automatisk databehandling utan i huvudsak all behandling av personuppgifter som helt eller delvis är automatiserad och även viss manuell hantering av sådana personuppgifter. Enligt övergångsbestämmelserna till PUL skall dock datalagen fortsätta att gälla för behandling av personuppgifter som utförs för ett visst bestämt ändamål om behandlingen påbörjats före PUL:s ikraftträdande den 24 oktober 1998. Efter den sista september 2001 upphör denna övergångsvisa reglering att gälla.

SofrL har som nyss sagts ett mer begränsat tillämpningsområde än PUL. I denna promemoria – som innehåller en begränsad översyn av SofrL i syfte att anpassa den till bl.a. PUL – föreslås att tillämpningsområdet anpassas till PUL såtillvida att den även skall gälla viss manuell hantering. Däremot förslås ingen ändring vad gäller registerbegreppet. Den anpassning till PUL:s tillämpningsområde som föreslås är alltså begränsad.

8 Sammanfattning	Ds 2000:44

Vissa begrepp som definieras i PUL föreslås få motsvarande betydelse i SofrL. I samband därmed ersätts registeransvar med personuppgiftsansvar. Den personuppgiftsansvariges ansvar för rättelse m.m. och skadeståndsansvar mot den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med PUL har orsakat föreslås även gälla när personuppgifter behandlats i strid med de mer preciserade reglerna i SofrL.

I fråga om vilka uppgifter som får registreras i ett socialförsäkringsregister föreslås ingen ändring i SofrL:s systematik. Även fortsättningsvis skall alltså enligt förslaget vissa allmänna ärendeuppgifter och sådana särskilda ärendeuppgifter som har betydelse för handläggning av ärenden om socialförsäkringsförmåner m.m., och som inte är särskilt integritetskänsliga, få registreras.

När det gäller de särskilt integritetskänsliga uppgifterna föreslås en anpassning av vilka uppgifter som avses därmed till vad som gäller enligt PUL. Samma regler som föreslås gälla för sådana uppgifter, föreslås också gälla i fråga om sådana uppgifter om brott och frihetsberövanden m.m. som avses i 21 § PUL. Den s.k. undantagskatalog i SofrL som anger i vilken utsträckning särskilt integritetskänsliga uppgifter får registreras i ett socialförsäkringsregister anpassas därtill.

I fråga om uppgiftslämnande till enskild när information samlas in föreslås ingen särreglering. Detta innebär att den personuppgiftsansvarige är skyldig att informera den enskilde om avsedd behandling av personuppgifter när dessa samlas in från den enskilde själv. I övrigt krävs ingen information vid insamlande av personuppgifter.

Information skall enligt PUL också lämnas till den enskilde efter ansökan av denne. I denna promemoria föreslås dock att sådan information – i likhet med vad som för närvarande gäller i fråga om registerutdrag enligt 10 § datalagen – inte behöver innehålla personuppgifter i sådana handlingar som avses i 11 § SofrL, dvs. i s.k. elektroniska akter. Av informationen skall dock framgå vilka handlingar som finns beträffande den registrerade. Vidare skall enligt förslaget information om uppgifter i sådana handlingar lämnas om den enskilde därefter, eller i samband med den första

Ds 2000:44	Sammanfattning 9

ansökan, preciserar vilken eller vilka handlingar som han eller hon vill ha information om. Detta gäller naturligtvis bara om uppgifterna inte är sekretessbelagda mot den enskilde själv.

I promemorian tas också upp vissa andra förändringar beträffande SofrL som är önskvärda. Vissa av dem behandlas i andra sammanhang. Det konstateras vidare att det i och för sig vore önskvärt att, liksom skett inom andra områden, frångå registerbegreppet även när det gäller behandling av personuppgifter inom socialförsäkringens administration. Förslag om detta förs dock inte fram i denna promemoria.

De föreslagna ändringarna föreslås träda i kraft den 1 oktober 2001.

Ds 2000:44	11

Författningsförslag

Förslag till

Lag om ändring i socialförsäkringsregisterlagen (1997:934)

Härigenom föreskrivs i fråga om socialförsäkringsregisterlagen (1997:934)

dels att 1, 7, 13, 17, 18, 20 och 21 §§ samt rubrikerna närmast före 13, 17 och 20 §§ skall ha följande lydelse,

dels att rubrikerna närmast före 3, 4 och 21 §§ skall utgå.

Nuvarande lydelse

Föreslagen lydelse

1 §

Denna lag gäller personregister för sådan verksamhet i fråga om socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen ankommer på de allmänna försäkringskassorna, Premiepensionsmyndigheten eller Riksförsäkringsverket (socialförsäkringsregister).

Med personregister förstås detsamma som i datalagen (1973:289).

12 Författningsförslag				Ds 2000:44

		också	strukturerade		sam-
		lingar av uppgifter som är
		tillgängliga för sökning			eller
		sammanställning		enligt	sär-
		skilda kriterier och som inne-
		håller sådana uppgifter			som
		avses i första meningen.
		De begrepp som i övrigt
		används i denna lag har
		samma	betydelse som i
		personuppgiftslagen
		(1998:204).
		7 §
Som särskilda	ärendeupp-	Som	särskilda	ärendeupp-
gifter får inte registreras så-		gifter får inte registreras så-
dana uppgifter som avses i 4 §		dana uppgifter som avses i 13
datalagen (1973:289) eller		och 21 §§ personuppgifts-
som utgör omdöme eller an-		lagen (1998:204).
nan värderande	upplysning

om den registrerade.

Utan hinder av första stycket får följande uppgifter registreras:

1.förekomsten av ansökan eller anmälan i ärenden som omfattas av 1 § första stycket,

2.tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden som omfattas av

1§ första stycket,

3.grad av nedsatt arbetsförmåga,

4.förekomsten av intyg och utlåtande av läkare eller annan intygsgivare,

5.förekomsten av rehabiliteringsutredning eller annan utredning i rehabiliteringsärende samt av fastställd rehabiliteringsplan,

6.arten av och tidpunkter för föreslagna, planerade och vidtagna rehabiliteringsåtgärder,

7.förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 14 § tredje stycket och 17 § tredje stycket lagen (1993:737) om bostadsbidrag,

Ds 2000:44	Författningsförslag 13

8.	att	vårdnadshavare är
förordnad särskilt enligt för-
äldrabalken,							8. om den registrerade får
9. om den registrerade får
eller har fått vård eller för-							eller har fått vård eller för-
sörjning helt eller delvis på							sörjning helt eller delvis på
det allmännas bekostnad,							det allmännas bekostnad,
10. om den registrerade är							9. om den registrerade är
häktad, intagen i kriminal-							häktad, intagen i kriminal-
vårdsanstalt eller i övrigt har							vårdsanstalt eller i övrigt har
tagits om hand på det allmän-							tagits om hand på det
nas bekostnad,							allmännas bekostnad,
11.	om		den	registrerade			10.	om	den	registrerade
vistas eller bor i en särskild							vistas eller bor i en särskild
boendeform			enligt		social-		boendeform		enligt social-
tjänstlagen			(1980:620)			eller	tjänstlagen		(1980:620)		eller
vistas eller bor på annat lik-							vistas eller bor på annat lik-
nande sätt,							nande sätt,
12. om fråga om återbetal-
ningsskyldighet har					uppkom-
mit och i sådant fall kravåt-
gärder,		exekutiva			åtgärder,
utmätningsbelopp,					utmät-
ningsfria		belopp		och beslut
om	skuldsanering				enligt
skuldsaneringslagen
(1994:334),							11. vilken personkrets en-
13. vilken personkrets en-
ligt	5		§	förordningen			ligt	5	§	förordningen
(1988:890)			om	bilstöd		till	(1988:890)		om	bilstöd	till
handikappade som den bil-							handikappade som den bil-
stödsberättigade hör till,							stödsberättigade hör till,
14.	att godmanskap					eller	12.	att godmanskap			eller
förvaltarskap är anordnat en-							förvaltarskap är anordnat en-
ligt föräldrabalken,							ligt föräldrabalken,
15. att en förälder på grund							13. att en förälder på grund

14 Författningsförslag

Ds 2000:44

sjukdom

eller

handikapp

sjukdom

eller

handikapp

varaktigt saknar

förmåga

att

varaktigt saknar

förmåga

att

vårda barn,

16.

att den registrerade

är

14.

att den registrerade

är

berättigad

till

dagpenning

berättigad

till

dagpenning

enligt

förordningen

enligt

förordningen

(1996:1100)

aktivitets-

(1996:1100)

aktivitets-

stöd,

17.

att den registrerade har

15.

att den registrerade har

rätt till ersättning enligt 13–19

§§

förordningen

(1987:409)

§§

förordningen

(1987:409)

om bidrag till arbetshjälp-

medel m.m.,

18.

bevakningsanledning,

16.

bevakningsanledning,

samt

19.

anledningen till att

ett

17.

anledningen till att

ett

ärende avslutats.

I socialförsäkringsregister som förs för handläggning av ären-

den om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa får dessutom, i fråga om vårdgivare, registreras uppgift om namn på praktik. I sådana register får vidare registreras uppgift om

1.förekomsten av begäran om förhandsprövning enligt förordningen om tandvårdstaxa samt kod för behandlingsförslag som begäran avser,

2.kod för behandling som avses i förordningen om tandvård-

staxa,

3.att den registrerade har rätt till ersättning enligt 9, 13 eller 14 § förordningen om tandvårdstaxa,

4.förhållanden som anges i 15 § andra stycket förordningen om tandvårdstaxa,

5.förekomsten av remiss, remitterande vårdgivares namn och namnet på den vårdgivare till vilken remiss har skett, samt

6.patientavgift och tandvårdsersättning.

Ds 2000:44	Författningsförslag 15

Registeransvar

Registeransvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje försäkringskassa när det gäller behandling av uppgifter hos den försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan registeransvarig. Premiepensionsmyndigheten är registeransvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är registeransvarigt för socialförsäkringsregister som förs särskilt för verket.

Utlämnande av uppgifter på medium för automatisk databehandling

Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas på medium för

Personuppgiftsansvar

13 §

Personuppgiftsansvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje försäkringskassa när det gäller behandling av uppgifter hos den försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan personuppgiftsansvarig. Premiepensionsmyndigheten är personuppgiftsansvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är personuppgiftsansvarigt för socialförsäkringsregister som förs särskilt för verket.

Automatiserat utlämnande av uppgifter

17 §

Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas med automa-

16 Författningsförslag	Ds 2000:44

automatisk databehandling. I övrigt får uppgifter lämnas ut på medium för automatisk databehandling endast om sådant utlämningssätt följer av lag eller förordning eller beslut av Datainspektionen eller om uppgiften skall användas för forskning eller framställning av statistik.

tiserat hjälpmedel. I övrigt får uppgifter i socialförsäkringsregister lämnas ut på sådant sätt endast om utlämningssättet följer av lag eller förordning eller beslut av Datainspektionen eller om uppgiften skall användas för forskning eller framställning av statistik.

18 §

Uppgifter i socialförsäkringsregister får användas som sökbegrepp endast om det behövs för

1.tillämpning av lag eller förordning eller särskilt beslut av regeringen,

2.rättelse,

3.tillsyn, uppföljning eller utvärdering, eller

4.urval för forskning eller framställning av statistik.

Uppgifter som avses i 7 §	Uppgifter som avses i 7 §
andra stycket 9 och 10 får an-	andra stycket 8 och 9 får an-
vändas som sökbegrepp en-	vändas som sökbegrepp en-
dast för rättelse och bara om	dast för rättelse och bara om
felet inte kan rättas på annat	felet inte kan rättas på annat
sätt.	sätt.

I fråga om handlingar som avses i 11 § får endast ärendebeteckning och beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet regeringen bestämmer får föreskriva ytterligare begränsningar av användningen av uppgifter som sökbegrepp.

Ds 2000:44	Författningsförslag 17

Registerutdrag

Registerutdrag beträffande register som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna skall lämnas av försäkringskassan.

Uppgifter i sådana handlingar som avses i 11 § behöver inte tas med i registerutdrag enligt 10 § datalagen (1973:289). Av utdraget skall dock framgå vilka handlingar avseende den registrerade som finns i registret.

Information

20 §

Vid tillämpningen av denna lag gäller bestämmelserna i 23 och 25-27 §§ personuppgiftslagen (1998:204) om information till den registrerade om inte annat följer av andra stycket. Beträffande register som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna skall sådan information lämnas av försäkringskassan.

Uppgifter i sådana handlingar som avses i 11 § behöver inte tas med i information enligt 26 § personuppgiftslagen. Av informationen skall dock framgå vilka handlingar avseende den registrerade som finns i registret. Vidare skall, om inte annat följer av bestämmelser om sekretess, information om uppgifter i sådana handlingar lämnas om den enskilde anger vilken handling ansökan avser. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas en gång per kalenderår gälla var handling för sig.

18 Författningsförslag	Ds 2000:44

	21 §
Den som är registeransva-	Den som är personupp-
rig för ett socialförsäkringsre-	giftsansvarig för ett socialför-
gister skall se till att den som	säkringsregister skall se till att
är eller avses bli registrerad på	den som är eller avses bli re-
lämpligt sätt får information	gistrerad på lämpligt sätt får
om registret.	information om registret.

Informationen skall innehålla en beskrivning av de uppgifter som registret får innehålla samt upplysning om

1.ändamålen med registret,

2.de sekretess- och säkerhetsbestämmelser som gäller för registret,

3.rätten att få registerutdrag och rättelse enligt datalagen (1973:289), samt

4.de begränsningar i fråga om direkt åtkomst, utlämnande av uppgifter på medium för automatisk databehandling, sökbegrepp och bevarande av uppgifter som gäller för registret.

3.rätten att få registerutdrag och rättelse enligt personuppgiftslagen (1998:204) och 21 a § denna lag, samt

4.de begränsningar i fråga om direkt åtkomst, automatiserat utlämnande av uppgifter, sökbegrepp och bevarande av uppgifter som gäller för registret.

Korrigering av uppgifter

21 a §

Bestämmelserna i personuppgiftslagen (1998:204) om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, skall gälla även då personuppgifter

Ds 2000:44	Författningsförslag 19

behandlats i strid med denna lag.

Skadestånd

21 b §

Bestämmelserna i personuppgiftslagen (1998:204) om skadestånd skall gälla även då personuppgifter behandlats i strid med denna lag.

1.Denna lag träder i kraft den 1 oktober 2001.

2.Beträffande personregister som avses i 1 § andra stycket andra meningen skall, i fråga om sådan manuell behandling som avses i punkt 3 i övergångsbestämmelserna till personuppgiftslagen (1998:204), bestämmelserna i 7–11 §§ denna lag inte börja tillämpas förrän den 1 oktober 2007.

3.Bestämmelserna i 21 b § skall inte tillämpas om den omständighet som åberopas till grund för ersättningsanspråket har inträffat före lagens ikraftträdande.

Ds 2000:44	21

1 Bakgrund

1.1Äldre registerlagstiftning

Socialförsäkringsregisterlagen (1997:934), SofrL, föregicks av två andra lagar, lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna, SjfrL, och lagen (1994:1517) om socialförsäkringsregister (1994 års SofrL). Därtill fanns förordningar med närmare reglering av sjukförsäkringsregister hos försäkringskassorna och som utfärdats med stöd av 1994 års SofrL, samt en förordning om bostadstilläggsregister som var fristående. Vissa register inom socialförsäkringens administration fördes också med stöd av tillstånd enligt den då gällande datalagen (1973:289).

Lagen om sjukförsäkringsregister hos de allmänna försäkringskassorna

SjfrL trädde ikraft den 1 juli 1993. Den gav varje lokalkontor inom en allmän försäkringskassa rätten att med stöd av automatisk databehandling föra ett sjukförsäkringsregister för sitt verksamhetsområde. Lagen reglerade också försäkringskassans rätt att föra register över sjömän.

Registren fick användas för handläggning och förberedande åtgärder inför handläggning som närmare angivits i lagen, bl.a. handläggning av sjukpenningärenden. Registren fick också användas för försäkringskassornas och Riksförsäkringsverkets (RFV) tillsyn, uppföljning och utvärdering av försäkringskassornas

22 Bakgrund	Ds 2000:44

ärendehantering enligt SjfrL, samt för att framställa statistik över denna verksamhet.

I SjfrL angavs i princip uttömmande vilka integritetskänsliga uppgifter som fick registreras. SjfrL reglerade den så kallade terminalåtkomsten på så sätt att endast de lokalkontor inom en allmän försäkringskassa som förde registret fick ha tillgång till registret via sina terminaler. Lagen begränsade också möjligheterna att på medium för automatisk databehandling lämna ut uppgifter från registren. Möjligheterna att söka information om integritetskänsliga uppgifter i registren var också begränsade. SjfrL innehöll vidare regler om gallring och de allmänna försäkringskassornas informationsansvar till de registrerade. Informationen skulle innefatta ändamålet med registret och de regler som på olika sätt skyddade den enskilde såsom

de uppgifter som registret fick innehålla,

de sekretess- och säkerhetsbestämmelser som gällde för registret,

rätten att få registerutdrag och rättelse med stöd av datalagen (1973:289), samt

information om de begränsningar som gällde i fråga om terminalåtkomst, utlämnande av uppgifter på medium för automatisk databehandling, sökbegrepp och bevarande av uppgifter som gällde för registret.

Lagen om socialförsäkringsregister

1994 års SofrL trädde i kraft den 1 juli 1995. Den var tillämplig på de register hos RFV och de allmänna försäkringskassorna som fördes med stöd av automatisk databehandling och som behövdes för handläggning av ärenden om socialförsäkringsförmåner och andra förmåner. Lagen var i princip tillämplig på det område inom socialförsäkringen som inte omfattades av SjfrL.

1994 års SofrL innehöll grundläggande generella bestämmelser för registerhantering inom socialförsäkringens administration. Regleringen omfattade registerändamål, registerinnehåll, sam-

Ds 2000:44	Bakgrund 23

bearbetning, registeransvar, terminalåtkomst, utlämnande av uppgifter på medium för automatisk databehandling, sökbegrepp, gallring och information. För att ett socialförsäkringsregister skulle få inrättas krävdes att regeringen genom en förordning beslutat det.

Ett socialförsäkringsregister fick enligt 1994 års SofrL användas för såväl handläggning som förberedande åtgärder avseende ärenden om socialförsäkringsförmåner och de övriga förmåner som enligt lag eller förordning ankom på de allmänna försäkringskassorna eller RFV. Ett socialförsäkringsregister fick också användas för vissa utbetalningar, återbetalningar och inbetalningar som avsågs i SjfrL.

Identitets- och folkbokföringsuppgifter beträffande en person fick registreras. Vidare fick uppgifter om sådana ekonomiska och personliga förhållanden som hade betydelse för handläggningen registreras. Detsamma gällde vid förberedande åtgärder inför handläggning av ett ärende. Känsliga uppgifter fick som huvudregel inte registreras. I lagen angavs dock uttryckligen när undantag från förbudet fick göras.

1.2Socialförsäkringsregisterlagen

Att ha två registerlagar som inte var kongruenta medförde negativa konsekvenser i flera avseenden. Det fanns gränsdragningsproblem men även pedagogiska problem med att föra ut kunskaper om gällande reglering. Skillnaden i behörigheten att besluta om registrens förande var också stor. Önskemål framfördes om en enhetlig lagreglering av registerföring inom socialförsäkringsområdet. Mot bakgrund av bl.a. det anförda infördes den nu gällande SofrL. Den trädde ikraft den 1 januari 1998 och ersatte SjfrL och 1994 års SofrL.

SofrL är en speciallag om personregister tillämplig i verksamheten hos de allmänna försäkringskassorna, RFV och Premiepensionsmyndigheten (PPM). I lagen anges de grundläggande bestämmelserna för sådana personregister som har ansetts behövliga ur integritetsskyddssynpunkt.

24 Bakgrund	Ds 2000:44

Socialförsäkringsregister får användas för handläggning och förberedande åtgärder inför handläggning av ärenden om förmåner och ersättningar som de allmänna försäkringskassorna, RFV eller PPM har att sköta enligt lag, förordning eller särskilt beslut av regeringen. Socialförsäkringsregistren får vidare användas för uppföljning, utvärdering och tillsyn samt statistikframställning i denna verksamhet. Slutligen får socialförsäkringsregister också användas av Statens löne- och pensionsverk och det organ som administrerar personalpensioner gemensamt för kommunerna och landstingen när det gäller viss handläggning kopplad till utbetalning och samordning av förmåner. Regeringen, eller den myndighet regeringen bestämt, skall föreskriva i vilken omfattning detta får ske.

Ett socialförsäkringsregister får innehålla uppgifter om en person som förekommer i ett ärende som omfattas av lagen. En förutsättning för att uppgifter skall få registreras är dock att uppgifterna om personen är av betydelse för handläggningen av ärendet. Ärendeuppgifterna indelas i allmänna och särskilda uppgifter. Allmänna ärendeuppgifter är identifierings- och adressuppgifter samt uppgifter om kön, civilstånd, medborgarskap och födelseort. Särskilda ärendeuppgifter utgörs av personliga och ekonomiska uppgifter som är av betydelse för handläggning av ett ärende.

En grundläggande princip i lagen är att de särskilda uppgifter som kan betraktas som känsliga inte får registreras. I vissa särskilt angivna fall medges dock undantag från detta förbud. De känsliga ärendeuppgifterna utgörs dels av uppgifter som utgör omdöme eller annan värderande upplysning om den registrerade, dels vissa i 4 § datalagen närmare angivna uppgifter. Dessa uppgifter och de uppgifter som, trots att de är känsliga uppgifter, ändå får registreras behandlas närmare under avsnitt 2.5.

Sambearbetning innebär enligt SofrL att personuppgifter får tillföras ett socialförsäkringsregister under vissa förutsättningar. Tillförande av uppgifter genom sambearbetning får enligt SofrL ske dels från andra socialförsäkringsregister, dels när det gäller uppgifter som lämnats till en allmän försäkringskassa, PPM eller RFV med stöd av en särskild bestämmelse i lag eller förordning. Uppgifter kan också tillföras ett socialförsäkringsregister genom

Ds 2000:44	Bakgrund 25

att så föreskrivits i lag eller förordning eller efter beslut av Datainspektionen. En förutsättning för att uppgifter ska få tillföras ett socialförsäkringsregister genom sambearbetning är dock att de tillförda uppgifter ska rymmas inom såväl det tillåtna registerinnehållet som registerändamålet. Bestämmelserna om sambearbetning är således underordnade bestämmelserna om registerändamål och registerinnehåll.

Registeransvaret enligt SofrL överensstämmer med regleringen i SjfrL och 1994 års SofrL. Denna fråga behandlas närmare i avsnitt 2.4.

Direkt åtkomst till socialförsäkringsregister är i princip uppdelat så att de register som förs särskilt endast är direktåtkomliga för den för vilken registret förs. För ärendehandläggning och förberedande åtgärder för sådan handläggning kan, om det behövs för i lagen angivna ändamål, även PPM, en allmän försäkringskassa eller RFV ha direkt åtkomst till register som förs för annan eller andra än dem själva.

I fråga om automatiserat utlämnande av personuppgifter från ett socialförsäkringsregister gäller att utlämnande som har stöd i särskild bestämmelse i lag eller förordning får ske genom automatiserat utlämnande. I övrigt gäller att uppgifter i ett socialförsäkringsregister får utlämnas på dylikt sätt endast om ett sådant utlämningssätt följer av lag, förordning eller beslut av Datainspektionen eller om uppgiften skall användas för forsknings- eller statistikändamål.

Bestämmelserna om sökbegrepp i SofrL överensstämmer i huvudsak med bestämmelserna i 1994 års SofrL. Det innebär att särskilda restriktioner gäller för användning av integritetskänsliga uppgifter som sökbegrepp. För de elektroniska akterna, som reglerades först i nu gällande SofrL, får endast ärendebeteckning och beteckning på handlingen användas som sökbegrepp. Gallringfristerna i SofrL motsvarar också till stora delar vad som gällde enligt 1994 års SofrL. För handlingar i elektroniska akter gäller en treårig gallringstid räknat från det år under vilket ärendet avslutats. Undantag från dessa gallringstider kan i vissa fall föreskrivas för ett urval av uppgifter för forskningsändamål.

26 Bakgrund	Ds 2000:44

Enligt SofrL ansvarar försäkringskassan för utlämnande av registerutdrag som begärs med stöd av 10 § datalagen vad gäller de register som förs gemensamt för RFV och de allmänna försäkringskassorna. Ett undantag från skyldigheten att lämna registerutdrag görs för uppgifter i elektroniska akter. Det skall dock av registerutdraget framgå vilka handlingar avseende den registrerade som finns i en sådan akt.

SofrL innehåller slutligen också regler om information till den som är eller avses bli registrerad i ett socialförsäkringsregister som motsvarar vad som reglerades därom i SjfrL och i 1994 års SofrL.

1.3Datalagen och personuppgiftslagen

När SofrL infördes gällde fortfarande datalagen och ett stort antal hänvisningar görs i socialförsäkringsregisterlagen till datalagen. Den 24 oktober 1998 upphörde datalagen att gälla och i stället trädde personuppgiftslagen (1998:204), PUL, ikraft. Datalagen gäller dock övergångsvis fram till och med den 30 september 2001 för bl.a. behandling av personuppgifter som påbörjats före den 24 oktober 1998.

Datalagen

Datalagen innehöll grundläggande regler om inrättande och förandet av personregister med hjälp av automatisk databehandling. Syftet med lagen var att skydda den enskilde mot otillbörligt intrång i dennes integritet. Med personregister avsågs i lagen ett register, förteckning eller annan anteckning som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften.

Datalagen var uppbyggd så att den som skulle inrätta och föra ett dataregister måste ha en licens utfärdat av Datainspektionen, som var tillsynsmyndighet enligt lagen. För vissa register krävdes också ett särskilt tillstånd av Datainspektionen. Dessa register var

Ds 2000:44	Bakgrund 27

bl.a. de som innehöll känsliga uppgifter eller omdömen eller värderande upplysningar.

Register inrättade efter beslut av riksdagen eller regeringen var undantagna från kravet på tillståndsplikt. Undantagna från kravet på tillstånd var också personregister som någon inrättade eller förde uteslutande för personligt bruk, samt ett antal andra register utan direkt betydelse i detta sammanhang.

Personregister skulle föras så att inte otillbörligt intrång i den registrerades personliga integritet uppkom. Den registeransvarige var skyldig att se till att vad som brukade kallas ”god registersed” iakttogs vid förandet av ett dataregister. Vad som närmare skulle iakttagas för att uppnå detta angavs direkt i lagen. Förutom de övergripande kraven på licens, ”god registersed” och i vissa fall särskilt tillstånd för förande dataregister fanns det också särskilda bestämmelser som var avsedda att garantera att personuppgifter, vid denna typ av hantering, skulle vara riktiga och fullständiga. Dessa bestämmelser reglerade bl.a. rättelser och kompletteringar av oriktiga eller missvisande uppgifter.

Den enskildes rätt till insyn i ett personregister reglerades också i datalagen genom möjligheten att skriftligen begära ett så kallat registerutdrag, som lämnades högst en gång per år. Ett sådant utdrag skulle innehålla de personuppgifter som fanns om den enskilde i registret eller underrättelse om att personuppgift avseende sökanden inte fanns i registret.

Någon direkt gallringstid för personuppgifter gav inte i datalagen. I stället gällde att personuppgift skulle utgå ur registret när uppgiften inte längre behövdes med hänsyn till registerändamålet. Detta gällde dock bara om det inte föreskrivits att uppgiften skulle bevaras.

Personuppgiftslagen

Personuppgiftslagen, PUL, genomför Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Direktivet gäller för

28 Bakgrund	Ds 2000:44

behandling av personuppgifter som helt eller delvis företas på automatisk väg oavsett om uppgifterna ingår i ett register eller inte samt även viss manuell hantering av personuppgifter. Lagen reglerar själva hanteringen av personuppgifter, inte, i första hand, ett eventuellt missbruk av personuppgifter.

Med personuppgift avses i PUL all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Behandling av personuppgifter omfattar varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter. Sådan behandling är tillåten dels om den enskilde samtyckt, dels i vissa andra närmare angivna fall. Ett sådant fall är när behandlingen sker i samband med myndighetsutövning. För behandling av känsliga personuppgifter gäller särskilda regler. Dessa behandlas mer ingående i avsnitt 2.5.

Personuppgiftslagen berör, så som nämnts ovan, såväl automatiserad behandling av personuppgifter som manuell behandling av personregister. Den är teknikoberoende och hänför sig när det gäller automatiserad behandling av personuppgifter inte till registerbegreppet. PUL riktar sig direkt till den personuppgiftsansvarige med vissa grundläggande krav på behandling av personuppgifter. Dessa krav berörs närmare i avsnitt 2.4.

Enligt PUL:s reglering skall den personuppgiftsansvarige självmant lämna information om behandlingen av personuppgifter till den registrerade. När denna information skall ges är beroende av såväl varifrån uppgiften samlats in, den registrerade själv eller någon annan källa, som om uppgifterna är avsedda att lämnas ut till tredje man. Information till en enskild skall också ges efter ansökan av denne. Se närmare om detta i avsnitt 2.6.

Rättelse skall ske av personuppgifter som inte har behandlats i enlighet med PUL, eller föreskrifter som utfärdats med stöd av den lagen, om den registrerade begär detta. Rättelse enligt PUL kan innebära såväl rättelse som blockering eller utplånande av uppgift. Med blockering avses att uppgiften spärras. Den personuppgiftsansvarige är som huvudregel också skyldig att underrätta tredje man som en uppgift har lämnats ut till om rättelsen om den registrerade begär det eller om mer betydande skada eller olägenhet skulle kunna undvikas genom en underrättelse. Undantag från

Ds 2000:44	Bakgrund 29

skyldigheten att underrätta tredje man medges bl.a. om det skulle innebära en oproportionerligt stor arbetsinsats.

Om en registrerad har drabbats av skada eller kränkning av den personliga integriteten på grund av att personuppgifter behandlats i strid med PUL skall den personuppgiftsansvarige ersätta den registrerade för det. Rätten till ekonomisk kompensation för den som drabbats av en olaglig behandling gäller för såväl själva kränkningen som för personskada, sakskada och ren förmögenhetsskada. Att skadestånd kan utgå för behandling i strid med lagen innebär även att ersättning kan utgå om behandlingen står i strid med kravet i lagen på god sed vid behandling av personuppgifter. Ersättningsskyldigheten kan i skälig omfattning jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. PUL innehåller också straffbestämmelser för den som på olika sätt handlar eller underlåter att handla i överensstämmelse med lagen.

Vissa undantag från PUL:s tillämpningsområde finns och särregler i annan lagstiftning gäller före bestämmelserna i den lagen.

1.4Författningsreglering avseende myndighetsregister

Det finns en omfattande författningsreglering av automatisk databehandling av personuppgifter som utförs av myndigheter. I den utsträckning ett personregister var reglerat i annan författning än datalagen var det enligt den lagen undantaget Datainspektionens tillståndsprövning och föreskriftsrätt.

PUL gör i och för sig inte undantag för behandling av personuppgifter som utförs av en myndighet. I förarbetena till den lagen uttalas emellertid att det inom den offentliga sektorn förekommer bl.a. stora mängder känsliga uppgifter och uppgifter som har hämtats in med stöd av straffsanktionerad uppgiftsplikt och att lagen inte rimligen kan ersätta de många preciserade och viktiga regler som finns i befintliga registerförfattningar. Det konstateras att det är särskilt viktigt med ett starkt integritetsskydd för be-

30 Bakgrund	Ds 2000:44

handling av uppgifter inom offentlig verksamhet och att det traditionella svenska systemet med särregler i särskilda författningar är att föredra framför generella undantag från PUL.

Den slutsats som dras i nämnda förarbeten är att det inte finns anledning att avvika från det tidigare fastslagna målet att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (prop. 1990/91:60 s 50 och KU 19990/91:11 s 11). PUL har därför gjorts generellt tillämpligt, men det har samtidigt i den lagen införts en bestämmelse som anger att om det i en annan lag eller i en förordning finns bestämmelser som avviker från vad som föreskrivs i PUL, skall de bestämmelserna gälla. Av EG-direktivet följer dock att sådana avvikelser, för det fall den verksamhet som avses faller inom EG-rätten, bara får ske inom den ram som direktivet ger.

I SofrL särregleras automatisk databehandling av personuppgifter inom socialförsäkringens administration. Mot bakgrund av bl.a. det nu sagda saknas anledning att frångå denna reglering även om en anpassning till nu gällande regler behövs.

Ds 2000:44	31

2En anpassning av socialförsäkringsregisterlagen

2.1En begränsad omarbetning av gällande lag

Som tidigare anförts finns i socialförsäkringsregisterlagen (1997:934), SofrL, ett antal hänvisningar till datalagen. I och med att sistnämnda lag efter den 30 september 2001 upphör att gälla även övergångsvis behöver SofrL ändras. Den nya regleringen i den generellt tillämpliga personuppgiftslagen (PUL) föranleder även i övrigt behov av vissa förändringar i SofrL. Det finns också behov av andra ändringar i SofrL men sådana föreslås inte inom ramen för detta ärende. T.ex. vore det önskvärt frångå registerbegreppet men den begränsade översyn av SofrL som nu är ifråga har inte givit utrymme härför (se avsnitt 2.3).

Under arbetet med denna promemoria har vidare framkommit vissa synpunkter och önskemål från företrädare för Riksförsäkringsverket (RFV) och Premiepensionsmyndigheten (PPM) om bl.a. ändringar i SofrL. Detta gäller t.ex. den enskildes egen direkta åtkomst till personuppgifter rörande honom eller henne. PPM har önskat ett klargörande i denna fråga. Myndigheten har därvid anfört att den enskilde, t.ex. via internet, bör kunna få se behållningen på sitt premiepensionskonto och göra anmälan om fondbyte m.m. Sådan hantering ställer i och för sig stora krav på säkerheten inom systemet men det är samtidigt självklart önskvärt att sådana möjligheter skall finnas. I detta sammanhang kan noteras att Datainspektionen fått bemyndigande att meddela säkerhetsföreskrifter för socialförsäkringsregister (förordning [1998:156]

32 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister). Innan Datainspektionen meddelar sådana föreskrifter skall inspektionen samråda med RFV. Sådant samråd bör naturligtvis, när det rör PPM, även ske med den myndigheten och förordningen avses bli ändrad i enlighet härmed.

Även RFV har framfört synpunkter i frågan om enskildas direkta åtkomst till personuppgifter rörande sig själva. Avsikten är enligt RFV bl.a. att i vissa ärenden anmälan skall kunna göras av den försäkrade via internet och att kommunikation med denne då skall kunna ske elektroniskt. Ett sådant ärendehanteringssystem förutsätter enligt RFV att den enskilde via internet ges möjlighet att kontrollera uppgifter i socialförsäkringsregistren om sig själv. Frågan behandlas i en rapport av RFV och hanteras särskilt inom Socialdepartementet (ärende S2000/1422/SF).

Eftersom RFV:s och PPM:s synpunkter i nu nämnd fråga bör behandlas i ett sammanhang tas den inte upp vidare i denna promemoria.

En fråga där både RFV och PPM haft önskemål om ändringar i SofrL är gallring av handlingar som avses i 11 § nu nämnd lag (s.k. elektronisk akthantering). Mot bakgrund av att sådan akthantering undantas från de begränsningar som i övrigt gäller enligt SofrL om registrering av känsliga uppgifter har föreskrivits att gallring av personuppgifter i sådana akter skall ske inom tre år efter utgången av det år då ärendet som handlingen avser har avslutats. Något undantag för att uppgifterna som berörs av denna bestämmelse kan få betydelse för senare handläggning av ett ärende har inte gjorts. PPM har i detta sammanhang anfört att gallringsbestämmelsen bl.a. innebär problem i införandet av beslut i form av elektroniska dokument. Eftersom även denna fråga behandlas i tidigare nämnda rapport av RFV behandlas inte heller den vidare i denna promemoria.

RFV och PPM har vidare båda tagit upp frågor om automatiserat utlämnande till annan än den enskilde. I denna fråga föreskrivs i SofrL att uppgifter i ett socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas ut på sådant sätt. Ett sådant utlämnandesätt får vidare ske

Ds 2000:44	En anpassning av socialförsäkringsregisterlagen 33

om utlämnandesättet följer av lag, förordning eller beslut av Datainspektionen eller om uppgiften skall användas för forskning eller framställning av statistik. Detta innebär att ett automatiserat utlämnande inte kan ske enbart till följd av rätten att ta del av allmänna handlingar.

Nämnda bestämmelse innebär att t.ex. den som tecknat kompletterande privata pensionsförsäkringar och som vill ge de försäkrade information om det försäkringsskydd de har eller kan beräknas få, innefattande även vad som följer av det allmänna systemet, inte kan få ut denna information genom automatiserat utlämnande utan att ha ansökt om och fått tillstånd därtill av Datainspektionen. Detta gäller även om de enskilda som berörs av utlämnandet har lämnat sitt samtycke till ett sådant utlämnande.

Det kan ifrågasättas om inte en reglering rörande enskildas direkta åtkomst till uppgifter om sig själva i socialförsäkringsregister även bör innefatta bestämmelser om att automatiserat utlämnande får ske, även i annat fall än vad som gäller idag, om den enskilde lämnat sitt samtycke därtill. Dessa frågor bör i så fall lämpligen hanteras i samma sammanhang, dvs. i samband med den fortsatta beredningen av RFV:s tidigare nämnda rapport.

Ett automatiserat utlämnande i situationer som den som nyss beskrivits med privata försäkringsgivare skulle också kunna lösas med att det i förordning anges att vissa uppgifter får lämnas ut till vissa närmare beskrivna fysiska eller juridiska personer eller att de får lämnas ut för att användas för vissa närmare angivna ändamål. Detta skulle dock kräva en närmare genomgång av vilka personer eller vilka ändamål som skulle omfattas av en sådan reglering.

Mot bakgrund av vad som nu anförts berörs inte heller frågan om ändring av bestämmelserna om automatiserat utlämnande vidare i denna promemoria.

De förslag som här lämnas är alltså endast föranledda av en begränsad översyn av lagen och hänför sig till förändringar med anledning av datalagens upphörande.

34 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

2.2Lagens tillämpningsområde

Förslag: SofrL:s tillämpningsområde utsträcks till att omfatta register som förs helt eller delvis automatiserat liksom vissa manuella register.

Skälen till förslaget: SofrL gäller för personregister för sådan verksamhet i fråga om socialförsäkringsförmåner m.m. som hanteras av de allmänna försäkringskassorna, RFV eller PPM. Med personregister förstås detsamma som enligt datalagen, nämligen register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller upplysning som avser enskild person (personuppgift) och som kan hänföras till den som avses med uppgiften. SofrL gäller alltså endast behandling av uppgifter med hjälp av automatisk databehandling. PUL däremot omfattar även viss manuell hantering av personuppgifter.

I 5 § första stycket PUL föreskrivs att lagen gäller behandling av personuppgifter som är helt eller delvis automatiserad. Enligt andra stycket i samma paragraf gäller PUL även annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Denna reglering grundas på EG-direktivet som anger att, utöver behandling av personuppgifter som helt eller delvis företas på automatisk väg, gäller direktivet annan behandling av personuppgifter som ingår eller kommer att ingå i ett register. Med ett register avses därvid enligt direktivet varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Begreppet register används inte i PUL bl.a. därför att det i en sammansatt och komplex datormiljö blivit allt svårare att skilja ett register från ett annat (jfr avsnitt 2.3). Även om begreppet register alltså inte används i PUL är inte avsikten därmed att PUL:s bestämmelser skall ha ett mer vidsträckt tillämpningsområde än EG-

Ds 2000:44	En anpassning av socialförsäkringsregisterlagen 35

direktivet. I förarbetena till nämnda lag anges att det är först när en stor mängd personuppgifter på papper har strukturerats på något sätt som det går att hitta bland uppgifterna på ett enkelt sätt samt att det är då som egentliga integritetsrisker med behandlingen uppkommer.

Om SofrL:s tillämpningsområde inte skulle ändras skulle behandling av personuppgifter i register inom socialförsäkringens administration komma att följa två olika lagar – SofrL vad avser automatisk databehandling och PUL vad gäller viss annan hantering. Detta synes vara mindre lämpligt. SofrL:s tillämpningsområde bör därför anpassas till vad som gäller enligt PUL och avse behandling av personuppgifter i register som förs helt eller delvis automatiserat liksom viss icke automatiserad behandling av sådana uppgifter. Vad som nu sagts kan också sägas vara tillämpligt i fråga om annan automatiserad behandling av personuppgifter än som sker i registerform. Denna fråga behandlas närmare i avsnitt 2.3.

I ett avseende bör dock SofrL:s tillämpningsområde vara vidare än PUL:s. Detta gäller uppgifter som kan hänföras till avlidna. Skäl att anpassa SofrL till PUL i detta avseende föreligger inte. Någon sådan begränsning föreslås därför inte här.

2.3Registerbegreppet

Såväl SofrL som Datalagen behandlar som tidigare anförts automatisk databehandling av personuppgifter i register (personregister). Register har i stor utsträckning kommit att bli en allmänt använd term för uppgiftssamlingar som förs med stöd av automatisk databehandling.

Användningen av registerbegreppet har emellertid ofta kritiserats för att vara otidsenligt och ibland även irrelevant. I en sammansatt och komplex datormiljö är det svårt att avgöra vad som är ett register och att skilja ett register från ett annat. Det går också att söka uppgifter som inte finns i någon registerstruktur. Mot bakgrund av bl.a. sådana förhållanden kom PUL:s reglering avse-

36 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

ende automatiserad behandling av personuppgifter att avse all sådan behandling och inte enbart förande av register. Även annan lagstiftning rörande automatiserad behandling av personuppgifter har frångått registerbegreppet. Även i ett pågående lagstiftningsärende om översyn av regleringen av statistikregister (Ds 1999:75) förekommer sådana förslag.

I andra sammanhang har nya begrepp föreslagits i stället för register. I ett betänkande om reglering av behandling av personuppgifter inom bl.a. skatteförvaltningen (SOU 1999:105) har sålunda föreslagits att begreppet databas skall införas. Med detta begrepp avses därmed elektroniskt lagrade uppgifter som av en myndighet eller en myndighetsorganisation används gemensamt i en viss verksamhet. Avgörande för om uppgifterna skall anses användas gemensamt skall därvid vara att de behandlas på ett sätt som medför att uppgifterna utgör ”allmän egendom” i verksamheten.

Även vad gäller automatiserad behandling av personuppgifter inom socialförsäkringens administration kan ifrågasättas om det inte är dags att frångå registerbegreppet. Därvid kan noteras att socialförsäkringens administration har många gemensamma nämnare med skatteförvaltningen. Det måste också beaktas att en reglering som enbart avser förande av register kommer att innebära att de allmänna reglerna i PUL, i stället för de mer preciserade i SofrL, kommer att vara tillämpliga när det gäller annan automatiserad behandling av personuppgifter än som sker i registerform. Detta måste anses vara mindre lämpligt (jfr därvid vad som i föregående avsnitt sagts beträffande manuella register som bestämmelserna i PUL är tillämpliga på).

Den begränsade översyn av SofrL som nu är ifråga ger emellertid inte utrymme för samtliga de överväganden som krävs för de omfattande ändringar i denna lag som måste till för att antingen helt frångå något samlingsbegrepp eller att till viss del byta ut det nuvarande registerbegreppet. I detta sammanhang bör också beaktas att det utvecklingsarbete som pågår för modernisering av IT- stödet för RFV och de allmänna försäkringskassorna kan komma att påverka vilken lösning som bör väljas i SofrL – att behålla registerbegreppet, att till viss del ersätta detta med begreppet databas eller att helt frångå något samlingsbegrepp. Några änd-

Ds 2000:44	En anpassning av socialförsäkringsregisterlagen 37

ringsförslag i denna fråga lämnas därför inte nu. Samtidigt behöver SofrL ändras för att så väl som möjligt stämma med PUL:s reglering. De ändringar som föreslås i denna promemoria har därför begränsats till de mindre ingripande förändringar som är nödvändiga med anledning av att den övergångsvisa tillämpningen av datalagen upphör att gälla.

2.4Registeransvar

Förslag: Begreppen registeransvar och registeransvarig i SofrL ändras till personuppgiftsansvar och personuppgiftsansvarig. Även andra begrepp i SofrL anpassas till vad som gäller enligt PUL.

Vad som föreskrivs i PUL om skyldighet för en personuppgiftsansvarig att göra rättelse m.m. samt om skadestånd skall gälla även när personuppgifter har behandlats i strid med bestämmelserna i SofrL.

Skälen till förslaget: De bestämmelser i SofrL, datalagen och PUL som åsyftar ett skydd för den personliga integriteten förutsätter att någon eller några ansvarar för behandlingen av de uppgifter lagregleringen avser. I SofrL och datalagen används därvid begreppet registeransvarig. Med detta avses den för vars verksamhet personregister förs, om han förfogar över registret.

Registeransvaret enligt SofrL åvilar olika juridiska personer beroende på för vem ett register förs. Registeransvariga för socialförsäkringsregister som förs gemensamt för RFV och de allmänna försäkringskassorna är RFV. Dessutom är också varje försäkringskassa registeransvarig för sådant register när det gäller behandling av uppgifter hos den försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är den försäkringskassan registeransvarig. I fråga om socialförsäkringsregister som förs särskilt för PPM är myndigheten registeransvarig och RFV är registeransvarigt för socialförsäkringsregister som förs särskilt för verket.

38 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

Bland de uppgifter som enligt datalagen åvilar en registeransvarig kan nämnas att ansvara för

att registret förs för ett bestämt ändamål,

att inte andra uppgifter registreras än sådana som står i överensstämmelse med registrets ändamål,

att uppgifter inte utan medgivande av den registrerade, av myndigheter försäljs annat än i enlighet med lag, förordning eller särskilt beslut av regeringen,

att i övrigt uppgifter inte samlas in, lämnas ut eller används annat än i överensstämmelse med registrets ändamål eller vad som gäller enligt lag eller annan författning eller i enlighet med den registrerades medgivande,

att uppgifterna i registret skyddas mot oavsiktlig eller otillåten förstörelse eller mot otillåten ändring eller spridning,

att hålla en aktuell förteckning över de personregister som han ansvarar för,

att företa utredning om anledning förekommer till misstanke om att en personuppgift som ingår i ett personregister är oriktig eller missvisande och, om det visar sig att den är oriktig eller missvisande, att rätta, ändra eller utesluta uppgiften,

att underrätta tredje man om rättad, ändrad och utesluten uppgift,

att komplettera ofullständiga uppgifter, och

att på begäran lämna uppgift om bl.a. innehållet i personuppgift som ingår i personregister till den som uppgiften rör.

SofrL innehåller i detta avseende endast den särregleringen att den som är registeransvarig för ett socialförsäkringsregister skall se till att den som är eller avses bli registrerad på lämpligt sätt får information om registret och vad denna information skall innehålla, nämligen

ändamålen med registret,

sekretess- och säkerhetsbestämmelser som gäller för registret,

rätten att få registerutdrag och rättelse, och

Ds 2000:44	En anpassning av socialförsäkringsregisterlagen 39

begränsningar i fråga om direkt åtkomst, utlämnande av uppgifter på medium för automatisk databehandling, sökbegrepp och bevarande av uppgifter som gäller för registret.

I SofrL föreskrivs vidare att beträffande register som förs gemensamt för RFV och de allmänna försäkringskassorna, för vilka ju både verket och respektive försäkringskassa är registeransvariga, skall registerutdrag lämnas av försäkringskassan.

I PUL används i stället begreppet personuppgiftsansvarig. Med detta avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

En personuppgiftsansvarig ansvarar enligt PUL bl.a. för

att personuppgifter behandlas bara om det är lagligt,

att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,

att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,

att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,

att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen,

att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen,

att lämna den person en personuppgift avser information om behandlingen av uppgiften,

40 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

att på begäran av den registrerade snarast rätta, blockera eller utplåna personuppgifter som inte har behandlats i enlighet med lagen eller föreskrift som utfärdats med stöd av lagen,

att underrätta tredje man om rättad, blockerad och utplånad personuppgift, och

att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

Som framgår av det nu sagda överensstämmer i stora delar det ansvar en registeransvarig har enligt datalagen, och därmed även enligt SofrL, med det ansvar en personuppgiftsansvarig har enligt PUL. De skillnader som finns är huvudsakligen av redaktionell art, av mindre betydelse eller sådant som det möjligen kan anses ha varit underförstått att den som enligt den tidigare regleringen var registeransvarig skulle ansvara för.

Olika begrepp för i princip samma sak inom regleringar avseende behandlingen av personuppgifter underlättar knappast för de som skall tillämpa lagstiftningen och inte heller för andra som vill ta del av denna. Det synes vidare saknas skäl att bibehålla begreppet registeransvar i SofrL och detta bör därför ersättas med begreppet personuppgiftsansvar.

Vad som nu sagts om förståeligheten av lagstiftningen gäller naturligtvis även andra begrepp. SofrL bör därför anpassas så att även övriga begrepp som används i lagen har samma betydelse som enligt PUL.

Som anförts ovan har en personuppgiftsansvarig ett ansvar för att personuppgifterna som behandlas är riktiga och att bl.a. rätta och utplåna personuppgifter som är oriktiga eller har behandlats i strid med PUL. Den personuppgiftsansvarige är också skadeståndsansvarig mot den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med PUL har orsakat. Vad som nu sagts om rättelse m.m. och om skadestånd bör även gälla när personuppgifter behandlats i strid med de mer preciserade reglerna i SofrL.

Ds 2000:44	En anpassning av socialförsäkringsregisterlagen 41

2.5Känsliga uppgifter m.m.

Förslag: Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv (känsliga uppgifter) skall inte få behandlas i ett socialförsäkringsregister. Detsamma skall gälla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Vissa i lagen närmare undantag, framför allt vad gäller hälsa, skall dock gälla. Vidare skall även i fortsättningen gälla att bara sådana särskilda ärendeuppgifter som har betydelse för handläggning av ärenden avseende socialförsäkringsförmåner m.m. skall få registreras.

Skälen till förslaget: En central fråga vid lagstiftning om behandling av personuppgifter är hänsynen till enskildas personliga integritet. Därvid är av stor betydelse vilka personuppgifter som får registreras, liksom naturligtvis åtkomsten till dessa uppgifter. I 2 kap. 3 § andra stycket regeringsformen anges att varje medborgare, i den utsträckning som anges i lag, skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. I lagstiftning avseende reglering av register som förs med hjälp av automatisk databehandling har också i stor utsträckning föreskrivits begränsningar både vad gäller vilka uppgifter rörande en person som får registreras och i fråga om åtkomsten till dessa uppgifter.

Som tidigare nämnts innehöll datalagen (1973:289) allmänna bestämmelserna om inrättande och förande av personregister och är övergångsvis gällande fram till och med den 30 september 2001 för bl.a. behandling av personuppgifter som påbörjats före den 24 oktober 1998. I socialförsäkringsregisterlagen (1997:934), SofrL, hänvisas till datalagen när det gäller särskilda ärendeuppgifter som får registreras endast i viss i lagen närmare angiven utsträckning.

42 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

I fråga om vilka uppgifter om en person som fick registreras föreskrevs i 4 och 6 §§ i datalagen vissa begränsningar. Bestämmelserna i 4 § första stycket avsåg uppgifter kopplade till brott och olika former av tvångsingripanden, närmare bestämt uppgifter om att någon

misstänkts för brott,

dömts för brott,

avtjänat straff,

undergått annan påföljd för brott, eller

varit föremål för tvångsingripande enligt närmare angivna lagar.

Begränsningen i rätten att registrera någon eller några av dessa uppgifter skedde genom att det, förutom den allmänna begränsningen genom krav på licens utfärdat av Datainspektionen, också krävdes ett tillstånd för inrättande och förande av personregister som innehöll någon eller några av dessa uppgifter. Ett tillstånd som fick meddelas annan än myndighet som enligt lag eller annan författning hade att föra förteckning över sådana uppgifter endast om det förelåg synnerliga skäl.

I 4 § andra stycket datalagen begränsades möjligheten för annan än myndighet som enligt lag eller annan författning hade att föra förteckning över uppgifter om någons

sjukdom,

hälsotillstånd,

sexualliv, eller

uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (1989:529).

Enligt 4 § tredje stycket datalagen gällde en generell begränsning för att inrätta och föra register som innehöll uppgifter om någons

Ds 2000:44	En anpassning av socialförsäkringsregisterlagen 43

ras,

politiska uppfattning, eller

religiösa tro eller övertygelse.

Slutligen föreskrevs det i 6 § andra stycket datalagen att Datainspektionen, vid bedömande om det behövdes särskilda föreskrifter för ett register för att förebygga risk för otillbörligt intrång i personlig integritet, särskilt skulle beakta om registret innehöll uppgifter som utgjorde omdömen eller andra värderande upplysningar.

Såväl lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna (SjfrL) som lagen (1994:1517) om socialförsäkringsregister (1994 års SofrL) innehöll uppräkningar av vilka uppgifter som fick registreras. Tekniken var dock inte densamma i de båda lagarna. I den förstnämnda lagen reglerades i princip uttömmande vilka uppgifter som fick registreras medan 1994 års SofrL byggde på tanken att regeringen i förordningar närmare skulle ange vad ett register fick innehålla. Emellertid tillkom endast ett fåtal förordningar i anslutning till den lagen. I den nu gällande SofrL valdes tekniken att ange vilka uppgifter som får registreras på ett så klart sätt som möjligt. Då det emellertid är fråga om en mycket stor mängd uppgifter har en uppräkning varken varit möjlig eller önskvärd.

När det gäller vilka personer som får registreras anges i SofrL att ett socialförsäkringsregister får innehålla uppgifter om en person om han eller hon förekommer i ett ärende som det ankommer på de allmänna försäkringskassorna, Riksförsäkringsverket (RFV) eller Premiepensionsmyndigheten (PPM) att handlägga eller, när det är fråga om förberedande åtgärder för handläggning, som kan förekomma i ett sådant ärende. En förutsättning är dock att uppgifter om personen har betydelse för handläggningen av ärendet.

Den typ av uppgifter som får registreras enligt SofrL delas upp i allmänna och särskilda ärendeuppgifter. Med allmänna ärendeuppgifter avses identifierings- och adressuppgifter samt uppgifter om kön, civilstånd, medborgarskap och födelseort. Särskilda ärendeuppgifter är andra uppgifter om personliga eller ekonomiska för-

44 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

hållanden som har betydelse för handläggning av socialförsäkringsärenden.

Vad gäller integritetskänsliga uppgifter föreskrivs i SofrL att sådana i princip inte får registreras. Med integritetskänsliga uppgifter avses därvid sådana särskilda ärendeuppgifter som avses i 4 § datalagen och uppgifter som utgör omdöme eller annan värderande upplysning om den registrerade (jfr 6 § andra stycket datalagen). SofrL medger dock att vissa i lagen närmare angivna uppgifter får registreras även om de skulle vara integritetskänsliga. Dessa undantag är huvudsakligen hänförliga till förhållanden som rör enskildas hälsa och räknas upp i 7 § andra och tredje styckena samt i 9 § i lagen. Uppgifter som registreras med stöd av bestämmelserna i 7 § andra eller tredje stycket SofrL skall anges så kortfattat som möjligt.

Regleringen om vilka uppgifter ett socialförsäkringsregister skall få innehålla är avsedd att i princip vara heltäckande. Emellertid har i lagen angivits att regeringen ytterligare får begränsa innehållet i ett socialförsäkringsregister. Om det behövs för angelägna uppföljningsändamål får regeringen också föreskriva att uppgifter om sjukdomsdiagnos i begränsad omfattning får registreras i vissa närmare angivna socialförsäkringsregister.

Den nu nämnda regleringen om vilka integritetskänsliga uppgifter som får registreras i ett socialförsäkringsregister gäller inte för s.k. elektroniska akter. I en sådan akt kan samlas all den information som behövs för handläggningen av ett ärende. Den skapas genom att inkomna handlingar läses in, scannas in, i ett datorbaserat system och genom att handläggaren gör tjänsteanteckningar eller skriver promemorior direkt i systemet. Syftet bakom bestämmelserna om elektronisk akthantering är att uppnå en rationell, rättssäker och effektiv handläggning med stöd av automatisk databehandling.

Elektroniska akter får innehålla alla handlingar som har kommit in i eller framställts i ett visst ärende. En förutsättning för att integritetskänsliga uppgifter i sådana handlingar skall få registreras är att de har lämnats i ärendet eller att de behövs för handläggningen av ärendet.

Ds 2000:44	En anpassning av socialförsäkringsregisterlagen 45

I stället för att reglera vilka integritetskänsliga uppgifter som får registreras i elektroniska akter har föreskrivits begränsningar när det gäller sökbegrepp, gallringstid och direkt åtkomst. Som sökbegrepp får användas endast ärendebeteckning och beteckning på handling. I lagen föreskrivs också en kortare gallringsfrist för handlingar i elektroniska akter. För sådana handlingar gäller att de skall gallras ut senast tre år efter utgången av det år under vilket ärendet har avslutats. För övriga uppgifter som registrerats med stöd av SofrL gäller en gallringstid om tio år från registrering, såvida inte uppgifterna fortfarande kan antas ha betydelse för handläggning av ett socialförsäkringsärende. Slutligen är också möjligheten till direkt åtkomst begränsad vad avser elektroniska akter.

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter har som syfte att skapa en gemensam, hög nivå på integritetsskyddet, för att därigenom möjliggöra ett fritt flöde av personuppgifter mellan medlemsländerna. EG-direktivet ger medlemsstaterna möjlighet att, inom direktivets ramar, närmare precisera villkoren för när behandling av personuppgifter är tillåtet. Det fria flödet av personuppgifter får dock inte hindras genom dessa preciseringar.

Enligt EG-direktivet definieras personuppgift som varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) och behandling av personuppgift som varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, bearbetning och utlämnande. Utanför EG- direktivets tillämpningsområde faller behandling av personuppgifter som inte omfattas av gemenskapsrätten, dvs. allmän säkerhet, statens säkerhet och statens verksamhet på straffrättens område. Register för personligt bruk omfattas inte heller av EG- direktivet. Från EG-direktivets materiella regler undantas också behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål.

Enligt EG-direktivet skall medlemsstater förbjuda behandling av personuppgifter som avslöjar

46 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

ras eller etniskt ursprung,

politiska åsikter,

religiös eller filosofisk övertygelse, och

medlemskap i fackförening, samt

uppgifter som rör hälsa eller sexualliv (artikel 8.1).

Vissa undantag gäller från förbudet att registrera sådana känsliga uppgifter bl.a. efter den enskildes uttryckliga samtycke, nödvändig behandling inom arbetsrätten, för ideella föreningars medlemsregister, för administration inom hälso- och sjukvård och vid författningsreglerade skyldigheter.

Personuppgiftslagen (1998:204), PUL, genomför som tidigare nämnts direktivet. Enligt PUL är det i princip förbjudet att behandla känsliga personuppgifter. Definitionen i PUL av känsliga personuppgifter överensstämmer med de uppgifter som enligt artikel 8.1 i EG-direktivet inte får behandlas i annat än närmare angivna undantagssituationer.

I förarbetena till PUL (prop. 1997/98:44) anges att den bedömning som Datalagskommittén gjorde om att det skulle vara oförenligt med EG-direktivet att utvidga tillämpningsområdet för direktivets bestämmelser om känsliga uppgifter till att omfatta allt det som regleras särskilt enligt datalagen inte ifrågasatts av remissinstanserna. Vidare uttalas att även regeringen gör den bedömningen att det inte är tillåtet enligt EG-direktivet att i nationell lagstiftning ha en annan definition än i direktivet. Att göra så skulle nämligen hindra det fria flödet av sådana uppgifter inom EU och därmed strida mot direktivet.

Inte heller den reglering som finns i SofrL om en allmän begränsning vad avser registrering av känsliga uppgifter bör avvika från EG-direktivet eller PUL. Den hänvisning som nu görs till 4 § datalagen bör därför ersättas med en hänvisning till de känsliga uppgifter som anges i 13 § PUL. Liksom när det gäller PUL kommer därmed vissa uppgifter som det tidigare gällt begränsningar för att falla utanför den nya regleringen om begränsningar av möjligheten att registrera känsliga uppgifter. Den allmänna begränsningen i SofrL om att särskilda ärendeuppgifter, till vilka känsliga uppgifter hör, bara får registreras om de har betydelse för hand-

Ds 2000:44	En anpassning av socialförsäkringsregisterlagen 47

läggning av ärenden om socialförsäkringsförmåner m.m. som det ankommer på de allmänna försäkringskassorna, RFV eller PPM att hantera bör emellertid fortsätta gälla. Detta kommer även i fortsättningen att begränsa möjligheterna att registrera uppgifter som nu kommer att falla utanför regleringen om känsliga uppgifter.

Uppgifter om lagöverträdelser m.m. definieras inte som känsliga personuppgifter i PUL. Denna typ av uppgifter är dock otvivelaktigt också av känslig natur och får enligt direktivet och PUL normalt bara behandlas av myndigheter (artikel 8.5 i EG-direktivet och 21 § PUL). Även sådana uppgifter bör omfattas av de särskilda begränsningarna i SofrL och bör alltså i detta sammanhang likställas med känsliga uppgifter.

Bland undantagen från förbudet att behandla känsliga uppgifter nämns i PUL att sådana uppgifter får behandlas om behandlingen är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras (16 § första stycket c). Det skulle vara möjligt att anpassa SofrL härtill genom att föreskriva att uppgifter som avses i 13 och 21 §§ PUL, dvs. känsliga uppgifter och uppgifter om lagöverträdelser m.m., får registreras i socialförsäkringsregister endast om det är nödvändigt för att anspråk på socialförsäkringsförmåner m.m. skall kunna fastställas osv. Alternativt skulle bestämmelsen i 6 § tredje stycket SofrL om att särskilda ärendeuppgifter får registreras endast om de har betydelse för handläggning av ärenden om socialförsäkringsförmåner m.m. kunna skärpas och anpassas till 16 § första stycket c PUL samtidigt som de uttryckliga undantagen från förbudet togs bort. Emellertid skulle nu nämnda alternativ inte lika tydligt som den nuvarande regleringen ange i vilka närmare angivna situationer känsliga uppgifter och uppgifter om lagöverträdelser m.m. får registreras i socialförsäkringsregister. Även om uppräkningen i SofrL om vilka sådana uppgifter som får registreras och när det får ske kan synas otymplig måste det anses vara av värde för enskilda att regleringen är så tydlig. Någon annan ändring i undantagen från förbudet att registrera känsliga uppgifter och uppgifter om lagöverträdelser m.m. än som föranleds av skillnaderna mellan vad som ansetts vara känsligt enligt datalagen resp. definieras som känsliga uppgifter enligt PUL föreslås därför inte.

48 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

2.6Uppgiftslämnande till enskild

2.6.1Uppgiftslämnande som skall ske självmant

PUL innehåller flera bestämmelser om information till enskilda. Viss sådan information skall lämnas självmant medan annan information endast skall lämnas på begäran.

Enligt PUL skall, när uppgifter om en person samlas in från denne själv, den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. Dessa bestämmelser kommer, om ingen särreglering sker, att gälla även för socialförsäkringsregister. Skäl till sådan särreglering synes inte föreligga, varför något undantag från nämnda uppgiftsskyldighet inte föreslås här.

Också när personuppgifterna samlas in från någon annan än den som uppgifterna rör skall den personuppgiftsansvarige enligt PUL självmant lämna information till den som uppgifterna rör. Då skall informationen lämnas när uppgifterna registreras. Om det är avsett att uppgifterna skall lämnas ut till tredje man behöver informationen dock inte ges förrän uppgifterna lämnas ut första gången. Finns bestämmelser om registrerandet eller utlämnandet i lag eller annan författning gäller inte vad som nu sagts rörande information som hämtats från annan. Detta måste dock då vara uttryckligen föreskrivet och bestämmelsen tar inte sikte på den allmänna offentlighetsprincipen (jfr dock vad som sägs nedan). Även vissa andra undantag görs från nämnda informationsskyldighet, bl.a. i vissa fall om informationen skulle innebära en oproportionerligt stor arbetsinsats. För det fall nu behandlade undantagsregler är tillämpliga skall enligt EG-direktivet medlemsstaterna föreskriva om lämpliga skyddsåtgärder. En sådan finns direkt i PUL, nämligen att information måste lämnas om uppgifterna används för att vidta åtgärder som rör den registrerade. Då skall informationen lämnas senast i samband med att så sker. Den registrerade kan då inte utsättas för en åtgärd utan att få reda på vilken uppgiftsbehandling som ligger bakom.

Ds 2000:44	En anpassning av socialförsäkringsregisterlagen 49

Den information som skall lämnas självmant till den registrerade skall avse vem som är personuppgiftsansvarig, ändamålet med behandlingen och annan information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen. I lagen ges exempel på det senare. Däribland kan nämnas information om rätten att ansöka om information och om att få rättelse. Datainspektionen har, när det gäller automatiserad behandling av personuppgifter, fått bemyndigande att meddela närmare föreskrifter om vilken information som skall lämnas till den registrerade och hur den skall lämnas.

Ett undantag från skyldigheten att självmant lämna information är att sådan inte behöver omfatta sådant som den registrerade redan känner till. Datalagskommittén anförde vidare att information enligt vad som nu redovisats inte behöver lämnas mer än en gång. Den registrerade behöver alltså inte informeras om uppgifterna på nytt så länge den behandling som sker avser det ändamål för vilket uppgifterna samlats in eller andra ändamål som inte är oförenliga med det ursprungliga ändamålet. Ny information behöver inte heller lämnas ut för varje utlämnande till tredje man. Om avsikten är att fortlöpande samla in uppgifter om en person bör det enligt Datalagskommittén vara möjligt att bara lämna information en gång, innan uppgifterna registreras första gången, under förutsättning att den registrerade då får information om bl.a. vilka kategorier av uppgifter som kommer att hämtas in och behandlas.

Allmänt gäller att informationsskyldigheten enligt PUL, både vad avser den information som skall ges självmant och den som skall ges efter ansökan, viker för sekretess. Om sekretess gäller för uppgiften i förhållande till den enskilde själv, föreligger alltså ingen informationsskyldighet enligt PUL.

Som nu nämnts gäller skyldigheten att informera den enskilde när personuppgifterna samlas in från någon annan än henne eller honom själv inte när det finns bestämmelser om registrerandet eller utlämnandet i lag eller annan författning. Detta bygger på att när sådana föreskrifter finns, det normalt även finns mekanismer eller föreskrifter i samma författning som förhindrar missbruk och som får anses tillräckliga för att uppfylla direktivets krav på skyddsåtgärder (SOU 1997:39 s 388).

50 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

I SofrL finns regler om såväl registrering som utlämning. Registrering utöver vad som där föreskrivs är inte tillåten och denna reglering är inskränkt i förhållande till vad som i och för sig är tillåtet enligt PUL och EG-direktivet (jfr avsnitt 2.6). Regleringen om utlämning gäller däremot enbart automatiserad utlämning. Den regleringen bygger i sin tur på att det i lag eller förordning är särskilt föreskrivet att uppgiften får lämnas ut eller att uppgiften får lämnas ut på sådant sätt. Vidare får automatiserat utlämnande ske om Datainspektionen ger tillstånd till sådant utlämnandesätt eller om uppgiften skall användas för forskning eller framställning av statistik.

SofrL innehåller vidare ett krav på den registeransvarige att se till att den som är eller avses bli registrerad, på lämpligt sätt får information om registret. Informationen skall innehålla upplysning om ändamålet med registret, de sekretess- och säkerhetsbestämmelser som gäller för registret, rätten att få registerutdrag och rättelse samt de begränsningar i fråga om direkt åtkomst, automatiserat utlämnande, sökbegrepp och bevarande av uppgifter som gäller för registret. Nu nämnda bestämmelser får anses uppfylla direktivets krav på skyddsåtgärder.

Annat utlämnande än automatiserade sådana torde i huvudsak ske när det gäller utlämnande av uppgifter som finns i allmänna handlingar i enlighet med den grundlagsfästa offentlighetsprincipen. Datalagskommittén anförde att information om sådant utlämnande inte torde vara nödvändigt, eftersom rätten att få ut uppgifter enligt offentlighetsprincipen är så allmänt känd att det kan förutsättas att allmänheten redan känner till detta (se s 214 ff i betänkandet).

Information, utan att ansökan därom har gjorts, om behandling av personuppgifter som omfattas av regleringen i SofrL får alltså – till följd av undantagsbestämmelsen i 24 § PUL – anses behöva lämnas endast när informationen samlats in från den enskilde själv (alltså bara enligt 23 § PUL). Skäl att föreskriva avvikelse från vad som nu sagts föreligger inte.

Ds 2000:44	En anpassning av socialförsäkringsregisterlagen 51

2.6.2Lämnande av uppgifter efter ansökan

Förslag: Information enligt 26 § PUL behöver inte innehålla personuppgifter i sådana handlingar som avses i 11 § SofrL. Av informationen skall dock framgå vilka sådana handlingar som finns avseende den registrerade. Vidare skall – om inte annat följer av bestämmelser om sekretess mot den enskilde själv – information om uppgifter i sådana handlingar lämnas om den enskilde anger vilken handling ansökan avser. I sistnämnda fall skall utlämnande ske utan hinder av begränsningen i PUL om att information bara behöver lämnas en gång per kalenderår. Information om varje sådan handling skall dock lämnas högst en gång per kalenderår.

Skälen till förslaget: Som nämnts i avsnitt 2.6.1 finns i PUL också föreskrifter om information som skall lämnas efter begäran. Sådan begäran skall göras skriftligen hos den personuppgiftsansvarige av den sökande själv. Informationen som då skall lämnas skall avse om personuppgifter rörande den sökande behandlas eller inte och, om sådana uppgifter behandlas, vilka uppgifter om den sökande som behandlas, varifrån de hämtats (om det fortfarande är känt för den personuppgiftsansvarige), ändamålet med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Informationen skall lämnas gratis en gång per kalenderår och normalt inom en månad från ansökan. Om det finns särskilda skäl – t.ex. att personuppgifterna är krypterade, att sökmöjligheterna är begränsade eller att personuppgifterna är uppdelade på olika register – får informationen lämnas senare, dock senast inom fyra månader från ansökan. Informationen skall, om uppgifter som rör den sökande behandlas, vara skriftlig. Datainspektionen har även i dessa avseenden fått bemyndigande att meddela närmare föreskrifter när det gäller automatiserad behandling av personuppgifter.

Även om en person ansöker om att erhålla information om de uppgifter om henne eller honom som ev. behandlas behöver denna inte lämnas vad avser personuppgifter i löpande text som inte fått

52 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande – om inte uppgifterna har lämnats ut till tredje man, har behandlats i mer än ett år eller behandlas för historiska, statistiska eller vetenskapliga ändamål. Vad gäller begreppet löpande text uttalade Datalagskommittén att med detta avsågs information som inte har strukturerats så att sökningen av personuppgifter underlättas. Beträffande undantaget för behandling för historiska, statistiska eller vetenskapliga ändamål uttalade Datalagskommittén vidare att om sådana handläggningshjälpmedel som minnesanteckningar och liknande utgör sparas sedan ärendet har avgjorts eller slutbehandlats på annat sätt, bör den registrerade få ta del av uppgifterna på motsvarande sätt som allmänheten har rätt att ta del av uppgifter i myndigheters minnesanteckningar och liknande som tagits om hand för arkivering.

Regleringen i PUL innebär, som Datalagskommittén anfört, att den som en personuppgift rör har rätt att få information om denna enligt PUL i vidare utsträckning än vad som följer av tryckfrihetsförordningen. Rätten enligt tryckfrihetsförordningen att få ta del av uppgifter rör ju allmänna handlingar vilket inte är en förutsättning enligt PUL. Som tidigare sagts gäller dock inte informationsskyldigheten enligt PUL, varken vad avser den information som skall ges självmant eller den som skall ges efter ansökan, för uppgifter som omfattas av sekretess i förhållande till den enskilde själv.

När det gäller vilken information som måste lämnas den enskilde uttalar Datalagskommittén att EG-direktivet inte kan anses kräva att en myndighet ordnar sina uppgiftssamlingar på ett sådant sätt att det är möjligt att söka fram alla uppgifter om en registrerad som behandlas. Skulle det t.ex., som enligt SofrL, finnas begränsningar i sökmöjligheterna kan det enligt kommittén inte krävas annat än att den personuppgiftsansvariga myndigheten utnyttjar de sök- och sammanställningsmöjligheter som myndigheten faktiskt och rättsligt har tillgång till. Kommittén nämner i samband därmed situationen med hundratals anställda med persondatorer som skulle behöva sökas igenom och att det saknas centraliserade sökmöjligheter och anför att det under sådana förhållanden inte kan anses finnas en praktisk möjlighet att söka fram alla personupp-

Ds 2000:44	En anpassning av socialförsäkringsregisterlagen 53

gifter. Andra krav skulle kunna hota den personliga integriteten, eftersom möjligheterna att kartlägga en person skulle öka. Att få tillgång till den information som den personuppgiftsansvarige kan få fram måste enligt kommittén anses vara tillräckligt.

Även vissa praktiska aspekter med stora mängder information tas upp av Datalagskommittén. Detta gäller centraliserade arkivmyndigheters skyldighet att lämna information avseende hos myndigheten arkiverade handlingar. Det konstateras därvid att det inte kan begäras att en sådan myndighet lämnar information om alla personuppgifter som finns hos myndigheten då det skulle ta orimligt lång tid att ta fram informationen. Kommittén föreslår i samband därmed att detta skall lösas så att den enskilde närmare skall precisera vilken information han eller hon önskar, i enlighet med vad som anses gälla vid begäran om utlämnande av allmänna handlingar. Sådana föreskrifter skulle enligt Datalagskommitténs förslag lämnas av regeringen efter bemyndigande i lag att meddela föreskrifter om vad en ansökan skall innehålla. I PUL finns också ett sådant bemyndigande och frågan har, vad avser automatiserad behandling av personuppgifter, delegerats vidare till Datainspektionen.

De nu nämnda föreskrifterna i PUL och därtill hörande reglering bör i huvudsak gälla även socialförsäkringsregister. För sådana handlingar som avses i 11 § SofrL (s.k. elektroniska akthantering) gäller dock idag den begränsningen i förhållande till registerutdrag enligt datalagen att uppgifter i sådana handlingar inte behöver tas med i utdraget. Däremot skall av utdraget framgå vilka handlingar avseende den registrerade som finns i registret. Det kan ifrågasättas om sådana begränsningar fortsättningsvis är möjliga att göra mot bakgrund av vad som föreskrivs i EG-direk- tivet. Vidare har en person normalt sett med stöd av offentlighetsprincipen rätt att få del av uppgifter även i sådana handlingar. Detta gäller visserligen endast om uppgiften finns i en allmän handling och om inte sekretess utgör hinder för utlämnandet. Samtidigt skulle skyldighet att lämna ut uppgifter som inte på något sätt begränsades vad avser handlingar i s.k. elektroniska akter innebära en klart ökad arbetsbelastning för socialförsäkringens administration och att stora mängder information måste lämnas ut

54 En anpassning av socialförsäkringsregisterlagen	Ds 2000:44

som kanske den enskilde egentligen inte är intresserad av. Till viss del rör det ju handlingar som den enskilde själv tillställt myndigheten eller som redan expedierats till honom inom ramen för handläggning av ett ärende.

En lösning som påminner om den som Datalagskommittén föreslog för arkivmyndigheter skulle kunna vara att information enligt 26 § PUL, vad gäller handlingar som avses i 11 § SofrL, begränsas på samma sätt som för närvarande gäller registerutdrag enligt datalagen, men att den enskilde får ut information även om uppgifter som behandlas i sådana handlingar om han eller hon särskilt anger det. Eftersom en enskild normalt inte vet vilka handlingar som finns i ett sådant register bör då den ettårsbegränsning, avseende rätten att gratis få information, som finns i 26 § PUL gälla var handling för sig. Den enskilde kan då först lämna en allmän ansökan om information enligt 26 § PUL och därefter, när han eller hon fått den informationen och därigenom fått vetskap om vilka handlingar som finns i register som omfattas av 11 § SofrL, ansöka och få information avseende de handlingar han eller hon då närmare anger. Naturligtvis innebär inte detta att den enskilde inte redan från början kan ange att ansökan även avser samtliga handlingar som avses i 11 § SofrL.

Den rätt till information som ett sådant förslag ger den enskilde är mer utsträckt än enligt tryckfrihetsförordningen eftersom ingen begränsning görs till allmänna handlingar och kan inte anses strida mot EG-direktivet. De allmänna begränsningarna i PUL om personuppgifter i löpande text och minnesanteckningar m.m. samt de begränsningar som följer av sekretess mot den enskilde bör naturligtvis gälla även i detta avseende.

Det bör i detta sammanhang noteras att en allmän begränsning som också rör handlingar som avses i 11 § SofrL följer av de begränsade sökmöjligheterna i fråga om sådana handlingar. Som sökbegrepp får i fråga om sådana handlingar bara användas ärendebeteckning och beteckning på handling. Det torde därför, som påpekas i förarbetena till SofrL (prop. 1996/97:155), inte vara möjligt att få fram uppgifter om en person som finns i andra akter än som avser henne eller honom själv. Jfr därvid vad som redovisats av Datalagskommitténs överväganden i detta hänseende.

Ds 2000:44	55

3 Ikraftträdande

Som tidigare anförts är socialförsäkringsregisterlagen (1997:934), SofrL, uppbyggd mot bakgrund av datalagen (1973:289) som gäller övergångsvis fram till den 1 oktober 2001. De förändringar som föreslås i denna promemoria är i huvudsak sådana som föranleds av att den övergångsvisa regleringen upphör att gälla. Skäl synes inte föreligga för att de nu föreslagna ändringarna skall träda i kraft innan den övergångsvisa tillämpningen av datalagen upphör. Mot bakgrund härav föreslås ändringarna i denna promemoria träda i kraft den 1 oktober 2001. Vissa övergångsbestämmelser behövs. Dessa behandlas i författningskommentaren i anslutning till de paragrafer de berör.

Ds 2000:44	57

4 Ekonomiska konsekvenser m.m.

De förändringar som föreslås i denna promemoria är i huvudsak lagtekniska och medför inget merarbete för socialförsäkringens administration. Endast den utvidgade skyldigheten att lämna uppgifter på begäran av den enskilde kan tänkas medföra en viss ökad arbetsbelastning. Med hänsyn till den tämligen omfattande rätt till erhållande av uppgifter som en enskild har redan enligt nuvarande lagreglering, och även med hänsyn till offentlighetsprincipen, bör emellertid detta merarbete bli ringa. Några ökade kostnader av betydelse torde förslagen alltså inte komma att föranleda.

Socialförsäkringsregisterlagen (1997:934), SofrL, behandlar endast bestämmelser om registrering m.m. i register inom socialförsäkringens administration. Som sådan får lagstiftningen anses vara könsneutral.

Ds 2000:44	59

5 Författningskommentar

Socialförsäkringsregisterlagen (1997:934), SofrL, innehåller särskilda bestämmelser om hanteringen inom socialförsäkringens administration vad gäller register innehållande personuppgifter som förs helt eller delvis med hjälp av automatisk databehandling. En viss förändring i tillämpningsområdet har gjorts, se närmare om detta i kommentaren till 1 §. I den utsträckning inga särskilda bestämmelser finns i denna lag gäller de allmänna bestämmelserna i personuppgiftslagen (1998:204), PUL.

Bestämmelser i SofrL rör bl.a. de ändamål för vilka socialförsäkringsregister får föras, vilka uppgifter ett sådant register får innehålla, sambearbetning, registeransvar, direkt åtkomst till registrerade uppgifter, automatiserat utlämnande av registrerade uppgifter, sökbegrepp och gallring. I lagen finns ett antal rubriker. Den innehåller också, i fråga om registerändamål, vissa underrubriker. Dessa underrubriker lyder ”Användning hos de allmänna försäkringskassorna och Riksförsäkringsverket” och ”Övrig användning”. Eftersom paragrafen som följer den först nämnda underrubriken även innehåller bestämmelser om Premiepensionsmyndighetens användning av socialförsäkringsregister är den underrubriken missvisande. Båda underrubrikerna har därför fått utgå. Även rubriken närmast före 21 § har fått utgå. Den har, eftersom både 20 och 21 §§ handlar om information till enskilda, ersatts av en likalydande rubrik närmast före 20 §.

60 Författningskommentar	Ds 2000:44

1 § Denna lag gäller personregister för sådan verksamhet i fråga om socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen ankommer på de allmänna försäkringskassorna, Premiepensionsmyndigheten eller Riksförsäkringsverket (socialförsäkringsregister).

Med personregister förstås register, förteckning eller andra anteckningar som förs helt eller delvis automatiserat och som innehåller uppgift som direkt eller indirekt kan hänföras till en fysisk person. Med personregister förstås också strukturerade samlingar av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som innehåller sådana uppgifter som avses i första meningen.

De begrepp som i övrigt används i denna lag har samma betydelse som i personuppgiftslagen (1998:204).

I datalagen fanns, liksom i personuppgiftslagen (PUL), ett antal definitioner. Bl.a. definierades i datalagen begreppet personregister. Någon sådan definition finns inte i PUL. Som anförs i avsnitt 2.3 kan ifrågasättas om registerbegreppet borde behållas men något förslag i den delen lämnas inte nu. I stället har datalagens definition av personregister förts in i första meningen i andra stycket i denna paragraf. Orden ”som förs med hjälp av automatisk databehandling” har dock ersatts med ”som förs helt eller delvis automatiserat” för att överensstämma med de begrepp som används i PUL. Betydelsen av nämnda begrepp berörs närmare i förarbetena till nämnda lag, bl.a. i redovisningen där av lagrådets yttrande (prop. 1997/98:44 s 240 f).

Andra stycket innehåller även en utvidgning av tillämpningsområdet för SofrL. Detta gäller sådana manuella register som regleringen i PUL avser och anges i andra meningen. I andra punkten i övergångsbestämmelserna föreskrivs dock att bestämmelserna i SofrL som rör känsliga uppgifter och uppgifter om frihetsberövanden m.m. i vissa fall skall tillämpas i fråga om sådana manuella register först den 1 oktober 2007. Regleringen överensstämmer i stort sett med regleringen i punkt 3 i övergångsbestämmelserna till PUL. Motsvarande gäller också de bestämmelser i PUL som där anges. Detta följer direkt av nämnda övergångsbestämmelse till PUL. För manuella register som inte omfattas av regleringen i den

Ds 2000:44	Författningskommentar 61

bestämmelsen, bl.a. sådana som inrättats den 24 oktober 1998 eller senare, gäller redan bestämmelserna i PUL utan de undantag som föreskrivs i övergångsbestämmelsen. Därför har inte heller här meddelats några undantag för sådana manuella register. Inte heller har de allmänna bestämmelserna i 6 § SofrL undantagits när det gäller äldre manuella register. Detta innebär att kravet att uppgifter om ekonomiska och personliga förhållanden får registreras endast om de har betydelse för handläggning av ärenden om socialförsäkringsförmåner m.m. gäller även äldre manuella register.

Vad gäller andra begrepp som definieras i PUL – som personuppgift, personuppgiftsansvarig m.m. – skall dessa, när de används i denna lag ha motsvarande betydelse som enligt PUL. Detta anges i tredje stycket.

7 § Som särskilda ärendeuppgifter får inte registreras sådana uppgifter som avses i 13 och 21 §§ personuppgiftslagen (1998:204).

Utan hinder av första stycket får följande uppgifter registreras:

1.förekomsten av ansökan eller anmälan i ärenden som omfattas av 1 § första stycket,

2.tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden som omfattas av

1§ första stycket,

3.grad av nedsatt arbetsförmåga,

4.förekomsten av intyg och utlåtande av läkare eller annan intygsgivare,

5.förekomsten av rehabiliteringsutredning eller annan utredning i rehabiliteringsärende samt av fastställd rehabiliteringsplan,

6.arten av och tidpunkter för föreslagna, planerade och vidtagna rehabiliteringsåtgärder,

7.förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 14 § tredje stycket och 17 § tredje stycket lagen (1993:737) om bostadsbidrag,

8.om den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,

9.om den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,

62 Författningskommentar	Ds 2000:44

10.om den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (1980:620) eller vistas eller bor på annat liknande sätt,

11.vilken personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade som den bilstödsberättigade hör till,

12.att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,

13.att en förälder på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,

14.att den registrerade är berättigad till dagpenning enligt 3 § förordningen (1996:1100) om aktivitetsstöd,

15.att den registrerade har rätt till ersättning enligt 13-19 §§ förordningen (1987:409) om bidrag till arbetshjälpmedel m.m.,

16.bevakningsanledning, samt

17.anledningen till att ett ärende avslutats.

I socialförsäkringsregister som förs för handläggning av ärenden om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa får dessutom, i fråga om vårdgivare, registreras uppgift om namn på praktik. I sådana register får vidare registreras uppgift om

1.förekomsten av begäran om förhandsprövning enligt förordningen om tandvårdstaxa samt kod för behandlingsförslag som begäran avser,

2.kod för behandling som avses i förordningen om tandvårdstaxa,

3.att den registrerade har rätt till ersättning enligt 9, 13 eller 14 § förordningen om tandvårdstaxa,

4.förhållanden som anges i 15 § andra stycket förordningen om tandvårdstaxa,

5.förekomsten av remiss, remitterande vårdgivares namn och namnet på den vårdgivare till vilken remiss har skett, samt

6.patientavgift och tandvårdsersättning.

Denna paragraf behandlar vilka s.k. känsliga uppgifter som ett socialförsäkringsregister får innehålla.

I 6 § denna lag anges att socialförsäkringsregister får innehålla dels allmänna ärendeuppgifter, dels särskilda ärendeuppgifter. Med allmänna ärendeuppgifter avses kön, civilstånd, medborgarskap och födelseort. Särskilda ärendeuppgifter är uppgifter om ekonomiska och personliga förhållanden som har betydelse för

Ds 2000:44	Författningskommentar 63

handläggning av ärenden om socialförsäkringsförmåner och liknande.

En allmän begränsning är alltså att en personuppgift bara får registreras om den har betydelse för handläggning av ett ärende. För s.k. känsliga uppgifter föreskrivs dock i första stycket i denna paragraf att de inte får registreras medan det i andra och tredje styckena ges vissa undantag från detta förbud. Andra undantag finns i 9-11 §§.

I datalagen användes inte begreppet känsliga uppgifter men i 4 § nämnda lag räknades upp ett antal förhållanden som endast i undantagsfall fick registreras av andra än myndigheter. I PUL anges i 13 § att det är förbjudet att behandla vissa känsliga personuppgifter och i 21 § att vissa uppgifter om frihetsberövanden m.m. normalt inte får behandlas av andra än myndigheter. I första stycket i förevarande paragraf har hänvisningen till 4 § datalagen ändrats till 13 och 21 §§ PUL. Hänvisningen innebär att uppgifter som avses i sistnämnda paragrafer inte får registreras, i annat fall än när lagen medger undantag härifrån.

Den förändring som hänvisningen i första stycket innebär medför att ett par av de undantag som anges i andra stycket kunnat utgå. Det gäller att en vårdnadshavare är särskilt förordnad och vissa uppgifter om återbetalningsskyldighet m.m. Dessa uppgifter är inte sådana som avses i 13 eller 21 § PUL. Övriga undantag från förbudet att registrera s.k. känsliga uppgifter är huvudsakligen hänförliga till uppgifter som kan hänföras till enskildas hälsa eller till sådana uppgifter om frihetsberövanden m.m. som avses i 21 § PUL. De kan därmed komma att bli tillämpliga även framdeles.

64 Författningskommentar	Ds 2000:44

Personuppgiftsansvar

13 § Personuppgiftsansvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje försäkringskassa när det gäller behandling av uppgifter hos den försäkringskassan.

För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan personuppgiftsansvarig. Premiepensionsmyndigheten är personuppgiftsansvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är personuppgiftsansvarigt för socialförsäkringsregister som förs särskilt för verket.

Datalagen innehöll bestämmelser om registeransvarig. Dessa motsvarade i stor utsträckning vad som i PUL föreskrivs om personuppgiftsansvarig. I förevarande paragraf har begreppet registeransvarig ersatts med begreppet personuppgiftsansvarig. Även rubriken närmast före paragrafen har ändrats på motsvarande sätt.

Automatiserat utlämnande av uppgifter

17 § Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas med automatiserat hjälpmedel. I övrigt får uppgifter i socialförsäkringsregister lämnas ut på sådant sätt endast om utlämningssättet följer av lag eller förordning eller beslut av Datainspektionen eller om uppgiften skall användas för forskning eller framställning av statistik.

I PUL används inte begreppet automatisk databehandling utan i stället används uttrycket automatiserad behandling. I denna paragraf har en anpassning härtill gjorts på så sätt att medium för automatisk databehandling tagits bort och ersatts med automatiserat hjälpmedel. Rubriken närmast före denna paragraf har ändrats för att överensstämma därmed. Övriga ändringar i paragrafen är endast redaktionella.

Ds 2000:44		Författningskommentar 65

18 §	Uppgifter i	socialförsäkringsregister får användas som

sökbegrepp endast om det behövs för

1.tillämpning av lag eller förordning eller särskilt beslut av regeringen,

2.rättelse,

3.tillsyn, uppföljning eller utvärdering, eller

4.urval för forskning eller framställning av statistik. Uppgifter som avses i 7 § andra stycket 8 och 9 får användas

som sökbegrepp endast för rättelse och bara om felet inte kan rättas på annat sätt.

I fråga om handlingar som avses i 11 § får endast ärendebeteckning och beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet regeringen bestämmer får föreskriva ytterligare begränsningar av användningen av uppgifter som sökbegrepp.

I andra stycket har gjorts en ändring som endast är redaktionell och som orsakats av ändringarna i 7 § andra stycket.

Information

20 § Vid tillämpningen av denna lag gäller bestämmelserna i 23 och 25–27 §§ personuppgiftslagen (1998:204) om information till den registrerade om inte annat följer av andra stycket. Beträffande register som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna skall sådan information lämnas av försäkringskassan.

Som anförts inledningsvis i detta avsnitt gäller bestämmelserna i PUL även beträffande behandling som avses i denna lag, utom såvitt avser avlidna personer, om inga särskilda bestämmelser finns i

66 Författningskommentar	Ds 2000:44

denna lag. Eftersom både 20 och 21 §§ innehåller bestämmelser om information till enskilda har i första stycket i förevarande paragraf tydliggjorts att 23 och 25–27 §§ PUL gäller, med de undantag som anges i andra stycket. Som anförs i avsnitt 2.6.2 är däremot, enligt 24 § andra stycket PUL, bestämmelserna om information till enskilda som finns i den paragrafen inte tillämpliga i fråga om socialförsäkringsregister. I första stycket har vidare ”registerutdrag” som tidigare åsyftade registerutdrag enligt 10 § datalagen ändrats till ”information" åsyftande de nyss nämnda 23 och 25–27 §§ PUL.

I andra stycket har hänvisningen till 10 § datalagen ändrats till 26 § PUL som avser information till enskilda efter ansökan. Tredje och fjärde meningarna är nya. Innebörden av dessa har behandlats närmare i avsnitt 2.6.2. I korthet innebär regleringen att bestämmelserna om information till enskilda i 23 och 25–27 §§ PUL i och för sig är tillämpliga men att det i fråga om s.k. elektroniska akter här ges särskilda bestämmelser som avviker från regleringen i PUL.

21 § Den som är personuppgiftsansvarig för ett socialförsäkringsregister skall se till att den som är eller avses bli registrerad på lämpligt sätt får information om registret.

Informationen skall innehålla en beskrivning av de uppgifter som registret får innehålla samt upplysning om

1.ändamålen med registret,

2.de sekretess- och säkerhetsbestämmelser som gäller för registret,

3.rätten att få registerutdrag och rättelse enligt personuppgiftslagen (1998:204) och 21 a § denna lag, samt

4.de begränsningar i fråga om direkt åtkomst, automatiserat utlämnande av uppgifter, sökbegrepp och bevarande av uppgifter som gäller för registret.

I första stycket har begreppet registeransvarig ändrats till personuppgiftsansvarig.

Punkt 3 i andra stycket har ändrats på så sätt att hänvisningen till rätten för en enskild att erhålla rättelse nu avser denna rätt enligt PUL samt den rätt därtill som finns enligt 21 a § denna lag. I

Ds 2000:44	Författningskommentar 67

punkt 4 i samma stycke har ”utlämnande av uppgifter på medium för automatisk databehandling” ändrats till ”automatiserat utlämnande”.

Korrigering av uppgifter

21 a § Bestämmelserna i personuppgiftslagen (1998:204) om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, skall gälla även då personuppgifter behandlats i strid med denna lag.

I 28 § PUL finns bestämmelser om skyldighet för den som är personuppgiftsansvarig att på begäran av den registrerade rätta, blockera eller utplåna personuppgift som inte har behandlats i enlighet med PUL samt att underrätta tredje man därom. I förevarande paragraf, som är ny, anges att dessa bestämmelser också skall tillämpas om en personuppgift behandlats i strid med bestämmelserna i denna lag.

Skadestånd

21 b § Bestämmelserna i personuppgiftslagen (1998:204) om skadestånd skall gälla även då personuppgifter behandlats i strid med denna lag.

I denna paragraf, som också är ny, har motsvarande reglering som i den föregående gjorts vad avser skadeståndsansvar för en personuppgiftsansvarig för skada och kränkning orsakad av behandling av en personuppgift i strid med denna lag. Av punkt 3 i övergångsbestämmelserna följer dock att den omständighet som åberopas till stöd för skadeståndsanspråk enligt förevarande paragraf inte får ha inträffat före lagens ikraftträdande den 1 oktober 2001.