En ny lag om behandling av personuppgifter inom socialförsäkringens administration - del 1
Departementsserien 2002:60
Sammanfattning
I denna departementspromemoria föreslås en ny lag om behandling av personuppgifter inom socialförsäkringens administration. Förslaget till lag har utarbetats i ett projekt i Socialdepartementet. Projektet leds av hovrättsassessorn Tomas Forenius.
Den föreslagna lagen är en sådan s.k. registerlag, som utgör ett komplement till personuppgiftslagens (1998:204) bestämmelser om skydd för den personliga integriteten vid automatiserad behandling av personuppgifter m.m. med avseende på behandling av personuppgifter i myndigheters verksamhet. Lagens tillämpningsområde omfattar behandling av personuppgifter i den verksamhet som bedrivs av Riksförsäkringsverket, de allmänna försäkringskassorna och Premiepensionsmyndigheten (socialförsäkringens administration). Lagen skall ersätta socialförsäkringsregisterlagen (1997:934).
Socialförsäkringsregisterlagen är till stor del präglad av den IT-struktur som funnits inom socialförsäkringens administration (i detta fall Riksförsäkringsverket och de allmänna försäkringskassorna) alltsedan mitten av 1970-talet. Socialförsäkringsregisterlagen och de lagar den lagen kom att ersätta utarbetades huvudsakligen med utgångspunkt i de synsätt och strukturella lösningar som präglade den tidigare gällande datalagen, som även denna till stor del relaterade till den typ av IT-struktur som beskrivits ovan.
Den mycket snabba utvecklingen inom informationstekniken innebär emellertid helt nya förutsättningar för den offentliga förvaltningen. I allt större utsträckning tas den nya tekniken i anspråk för ärendehantering. Detta medför att all den individ-
3
| Sammanfattning | Ds 2002:60 |
relaterade information som är nödvändig för att handlägga ett ärende, i många fall helt och hållet hanteras elektroniskt, dvs. pappersbunden lagring av information förekommer inte i ärendet. En viktig del av det utvecklingsarbete som bedrivs av Riksförsäkringsverket siktar mot att ärendehandläggningen inom de allmänna försäkringskassorna skall ges nytt IT-stöd, som skall medverka till att förkorta handläggningstiderna och förbättra kvaliteten i försäkringskassornas beslutsunderlag samt att allmänhetens möjligheter till självbetjäning via ett utvecklat IT- stöd hos försäkringskassorna avses gradvis komma att öka inom olika försäkringsområden.
Den snabba tekniska utvecklingen innebär i sig att de ramar till skydd för integriteten som ställs upp i lagstiftningen behöver anpassas för att garantera såväl ett fullgott integritetsskydd som en effektiv användning av tekniken. Ett exempel är utvecklingen av och övergången till system för elektroniska akter för hantering av ärenden hos förvaltningsmyndigheter. Ett sådant system innebär att dokumentation av personuppgifter m.m. på papper helt upphör. I stället lagras alla uppgifter i ett ärende på någon form av medium för automatiserad behandling. Detta innebär att även känsliga uppgifter behöver lagras och behandlas elektroniskt i större utsträckning än vad som är fallet i ett huvudsakligen pappersbaserat aktsystem. Det medför ett behov av anpassningar av integritetsskyddet för att bibehålla ett fullgott skydd för individernas integritet.
Den nya tekniken innebär även att tekniska förutsättningar föreligger för ett effektiviserat informationsutbyte genom överföring på medium för automatiserad behandling mellan myndigheter respektive mellan myndigheter och andra aktörer. Detta kan i sin tur innebära bättre förutsättningar för en effektiviserad handläggning eftersom information i sådana fall direkt kan användas i automatiserad behandling. Å andra sidan innebär ett ianspråktagande av dessa möjligheter naturligtvis att risken ökar för spridning av personuppgifter och annat som kan strida mot intresset att värna om den personliga integriteten.
4
| Ds 2002:60 | Sammanfattning |
Den grundläggande ambitionen bakom de förslag som lämnas i denna promemoria är att med utgångspunkt i personuppgiftslagen och dataskyddsdirektivet hitta en lämplig avvägning mellan intresset av skydd för enskildas personliga integritet och andra intressen. Däribland kan nämnas intresset av effektivisering av myndigheternas handläggning av ärenden genom ianspråktagande av den nya tekniken. En annan faktor som beaktats är att rimliga förutsättningar bör ges för en utvecklad uppföljning och analys av utvecklingen inom ohälsoområdet.
De centrala delarna i den föreslagna lagen innehåller i huvudsak följande.
–Lagen skall tillämpas vid behandling av personuppgifter vid Riksförsäkringsverket, de allmänna försäkringskassorna eller Premiepensionsmyndigheten (socialförsäkringens administration). Lagen gäller dock endast om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta innebär att den föreslagna lagens tillämpningsområde anpassats till personuppgiftslagens tillämpningsområde. Emellertid föreslås att bestämmelserna i den föreslagna lagen om bl.a. ändamål, känsliga uppgifter, gallring, databas och sökbegrepp i tillämpliga delar även skall gälla uppgifter om avlidna personer, vilket innebär en utvidgning av tillämpningsområdet i förhållande till personuppgiftslagens bestämmelser.
–Den föreslagna lagen utgör endast ett komplement till personuppgiftslagen. Även personuppgiftslagen skall alltså gälla vid behandling av personuppgifter inom de verksamheter som omfattas av den nya lagen, om inte annat följer av den lagen eller föreskrifter som meddelas i enlighet med denna eller personuppgiftslagen
–I den föreslagna lagen anges ändamål för behandling av personuppgifter som på ett övergripande sätt återspeglar den behandling som förekommer. Ändamålen delas in i primära ändamål och sekundära ändamål. De primära ändamålen
5
| Sammanfattning | Ds 2002:60 |
avser behandling av personuppgifter för tillgodoseende av de behov som finns inom socialförsäkringens administration. De sekundära ändamålen avser utlämnande av personuppgifter från myndigheter inom socialförsäkringens administration. Såväl de primära som de sekundära ändamålen utgör även grunden för ett antal av de föreslagna detaljreglerna med integritetsskyddande syfte.
–Känsliga personuppgifter som avses i 13 § personuppgiftslagen, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv, skall få behandlas om de lämnats till en myndighet i ett ärende eller är nödvändiga för handläggning av ett ärende. För informationsverksamhet, behov av underlag för bedömning av rättigheter och skyldigheter, planering, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får endast sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet. Behandling för planering, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får inte ske beträffande andra känsliga uppgifter än sådana som behandlas eller har behandlats för informationsverksamhet, behov av underlag för bedömning av rättigheter och skyldigheter eller handläggning av ärenden. Känsliga personuppgifter får behandlas för återsökning av vägledande avgöranden eller för något av de sekundära ändamålen om det är nödvändigt med hänsyn till ändamålet.
–Uppgifter om lagöverträdelser avses i 21 § personuppgiftslagen skall få behandlas om de lämnats till en myndighet i ett ärende eller är nödvändiga för handläggning av ett ärende. För informationsverksamhet, dokumentation för framtida handläggning, planering, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får endast sådana uppgifter om lagöverträdelser behandlas som ligger inom ramen för vad som får behandlas i social-
6
| Ds 2002:60 | Sammanfattning |
försäkringsdatabasen. Behandling för planering, resultatuppföljning, resultatredovisning, utvärdering, tillsyn eller framställning av statistik får inte ske beträffande andra sådana uppgifter än dem som behandlas eller har behandlats för informationsverksamhet, dokumentation för framtida handläggning eller handläggning av ärenden. Uppgifter om lagöverträdelser avses i 21 § personuppgiftslagen får behandlas för återsökning av vägledande avgöranden eller för något av de sekundära ändamålen om det är nödvändigt med hänsyn till ändamålet.
–Den övergripande regleringen av de mer integritetskänsliga typerna av behandlingar utgår från begreppet socialförsäkringsdatabasen. Det innebär att det s.k. registerbegreppet överges som utgångspunkt för regleringen. Socialförsäkringsdatabasen avser den samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt inom socialförsäkringens administration. Begreppet innefattar allt från enkla datorregister till avancerade datorsystem som kan hantera elektroniska dokument. Avgörande för att viss behandling av personuppgifter skall omfattas av de särskilda bestämmelser som relaterar till socialförsäkringsdatabasen är om uppgifter eller handlingar hanteras för gemensamt bruk inom myndigheterna. För behandling i socialförsäkringsdatabasen av känsliga personuppgifter respektive sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen skall särskilda begränsningar gälla.
–I syfte att möta de integritetsrisker som följer med ett ökat inslag av informationsteknik inom förvaltningen föreslås även vissa regler om ökad datasäkerhet. Tilldelning av behörighet för åtkomst till socialförsäkringsdatabasen skall endast ske skriftligen. Den som tilldelas sådan behörighet skall skriftligen informeras om gränserna för behörigheten. Behörighet för åtkomst till socialförsäkringsdatabasen skall alltid begränsas till den åtkomst till uppgifter som behövs för den enskildes fullgörande av sina arbetsuppgifter.
7
| Sammanfattning | Ds 2002:60 |
–Direktåtkomst till uppgifter i socialförsäkringsdatabasen skall förutsätta särskilt medgivande i lag eller annan författning. De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten skall dock få ha direktåtkomst till uppgifter i socialförsäkringsdatabasen i den utsträckning det behövs för verksamhet enligt de primära eller sekundära ändamålen. Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner (KPA Pension AB – i det följande benämnt KPA) skall, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, få ha direktåtkomst till uppgifter i socialförsäkringsdatabasen för samordning av tjänstepensioner. Statens pensionsverk skall, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, få ha direktåtkomst till uppgifter i socialförsäkringsdatabasen även för handläggning av ärenden i vilka reglerna om statens tjänstegrupplivförsäkring skall tillämpas. Även Centrala studiestödsnämnden och arbetslöshetskassorna skall få ha direktåtkomst till vissa uppgifter i socialförsäkringsdatabasen.
–Personuppgifter om en enskild fysisk person som får lämnas ut till honom eller henne skall alltid få lämnas ut på medium för automatiserad behandling till denne själv. Personuppgifter och handlingar som innehåller personuppgifter i socialförsäkringsdatabasen skall i övrigt endast få lämnas ut på medium för automatiserad behandling till myndigheter eller enskilda om det sker i enlighet med de sekundära ändamålen.
–Personuppgifter i socialförsäkringsdatabasen skall få lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation om den registrerade samtyckt till det.
–Personuppgifter som behövs för skadereglering skall få lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse. En förutsättning skall dock
8
| Ds 2002:60 | Sammanfattning |
vara att den försäkrade samtyckt till att mottagaren får del av uppgifterna.
–Känsliga personuppgifter eller sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen skall inte få användas som sökbegrepp vid sökning i socialförsäkringsdatabasen. Vid sökning i handlingar som kommit in i anledning av ett ärende eller upprättats i ett ärende och som lagrats på medium för automatiserad behandling skall endast ärendebeteckning eller beteckning på handling få användas som sökbegrepp. Utan hinder av begränsningarna för sökning i den föreslagna lagen skall dock personuppgifter som rör hälsa få användas som urvalskriterium vid sammanställningar om regeringen har meddelat föreskrifter om det.
–Överföring av personuppgifter till tredje land som är nödvändig på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater skall få ske utan hinder av 33 § personuppgiftslagen.
–I fråga om automatiserad behandling av personuppgifter som omfattas av den nya lagen skall bestämmelserna om information till den registrerade i 23 och 25-27 §§ personuppgiftslagen tillämpas, dock med den begränsningen att uppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende inte behöver tas med i information enligt 26 § personuppgiftslagen om den registrerade tagit del av handlingens innehåll. Av informationen skall dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär det och anger vilken handling som avses skall dock informationen, om inte annat följer av bestämmelser om sekretess, även omfatta uppgifter i en sådan handling. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.
–Vid behandling av personuppgifter i strid med den nya lagen skall gälla en motsvarande skyldighet till skadestånd som
9
| Sammanfattning | Ds 2002:60 |
enligt personuppgiftslagen gäller vid behandling av personuppgifter i strid med den lagen.
–Personuppgift eller handling som behandlas automatiserat skall gallras när det inte längre är nödvändigt med hänsyn till de primära ändamålen att bevara den. Regeringen eller den myndighet regeringen bestämmer får dock föreskriva att handlingar eller uppgifter skall bevaras.
–Personuppgiftslagens bestämmelser om rättelse, blockering eller utplåning av personuppgifter skall gälla på motsvarande sätt vid behandling av personuppgifter inom socialförsäkringens administration i strid med den föreslagna lagen.
–De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten åläggs att genom särskilda åtgärder kontrollera efterlevnaden av den nya lagen, enligt vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer.
10
Innehåll
| Sammanfattning ............................................................... | 3 |
| 1 Författningsförslag................................................... | 17 |
1.1Förslag till lag om behandling av personuppgifter
| inom socialförsäkringens administration........................... | 17 |
1.2Förslag till förordning om ändring i förordningen
| (1998:739) med instruktion för Riksförsäkringsverket | .... 29 | ||
| 2 | Bakgrund................................................................ | 31 | |
| 2.1 | Allmänt om persondataskydd ............................................ | 31 | |
| 2.1.1 | Internationella riktlinjer .......................................... | 31 | |
| 2.1.2 | Dataskyddsdirektivet............................................... | 32 | |
| 2.1.3 | Regeringsformen, personuppgiftslagen och | ||
| registerförfattningar................................................. | 32 | ||
| 2.1.4 | Socialförsäkringsregisterlagen................................. | 33 | |
| 3 | Allmänna utgångspunkter......................................... | 35 | |
3.1Socialförsäkringsregisterlagen och IT-strukturen
| inom socialförsäkringens administration........................... | 35 | |
| 3.1.1 Från register till ärendehanteringssystem .............. | 35 | |
| 3.2 Dataskyddsdirektivet .......................................................... | 36 | |
| 3.2.1 | Syftet med direktivet ............................................... | 36 |
| 3.2.2 Från direktiv till nationell lagstiftning.................... | 37 | |
| 3.2.3 | Tillämpningsområdet............................................... | 37 |
11
| Innehåll | Ds 2002:60 |
| 3.2.4 | Bestämmelser om när personuppgifter får | ||
| behandlas................................................................... | 38 | ||
| 3.2.5 | Information och rättelse.......................................... | 39 | |
| 3.2.6 | Rätt att motsätta sig behandling.............................. | 40 | |
| 3.2.7 | Säkerhet..................................................................... | 40 | |
| 3.2.8 | Överföring av uppgifter till tredje land................... | 40 | |
| 3.3 | Personuppgiftslagen (1998:204)......................................... | 41 | |
| 3.3.1 | Tillämpningsområde................................................. | 41 | |
| 3.3.2 | Definitioner av begrepp ........................................... | 42 | |
| 3.3.3 | Grundläggande krav på behandling......................... | 43 | |
| 3.3.4 | Förutsättningar för att behandling skall vara | ||
| tillåten ....................................................................... | 44 | ||
| 3.3.5 | Behandling för direkt marknadsföring.................... | 45 | |
| 3.3.6 | Särskilda regler för känsliga personuppgifter ......... | 47 | |
| 3.3.7 | Behandling av uppgifter om lagöverträdelser | ||
| m.m. .......................................................................... | 49 | ||
| 3.3.8 | Behandling av person- och | ||
| samordningsnummer ............................................... | 49 | ||
| 3.3.9 | Information .............................................................. | 50 | |
| 3.3.10 | Rättelse m.m............................................................. | 51 | |
| 3.3.11 | Säkerhet vid behandling........................................... | 51 | |
| 3.3.12 | Överföring av personuppgifter till tredje land ....... | 52 | |
| 3.3.13 | Anmälningsskyldighet ............................................. | 53 | |
| 3.3.14 | Tillsynsmyndighet.................................................... | 54 | |
| 3.3.15 | Sanktioner................................................................. | 54 | |
| 3.3.16 Hanteringsmodellen................................................. | 55 | ||
| 3.4 | Socialförsäkringsregisterlagen (1997:934) ......................... | 57 | |
| 3.4.1 | Tidigare gällande registerförfattningar ................... | 57 | |
| 3.4.2 | Ändringar sedan socialförsäkringsregister- | ||
| lagens tillkomst......................................................... | 60 | ||
| 3.4.3 | Tillämpningsområdet – Personregister................... | 61 | |
| 3.4.4 | Ändamål.................................................................... | 62 | |
| 3.4.5 | Registerinnehåll........................................................ | 63 | |
| 3.4.6 | Sambearbetning ........................................................ | 65 | |
| 3.4.7 | Personuppgiftsansvar............................................... | 66 | |
| 3.4.8 | Direktåtkomst m.m.................................................. | 66 | |
| 12 | |||
| Ds 2002:60 | Innehåll | ||
| 3.4.9 | Sökning..................................................................... | 74 | |
| 3.4.10 | Gallring ..................................................................... | 75 | |
| 3.4.11 | Information .............................................................. | 75 | |
| 3.4.12 | Skadestånd och rättelse............................................ | 76 | |
| 3.4.13 | Överklagande ........................................................... | 76 | |
| 3.4.14 Bemyndigande.......................................................... | 76 | ||
| 4 | Behandling av personuppgifter inom | ||
| socialförsäkringens administration............................. | 77 | ||
| 4.1 | Uppgifterna för socialförsäkringens administration......... | 77 | |
| 4.1.1 | Riksförsäkringsverket.............................................. | 77 | |
| 4.1.2 | De allmänna försäkringskassorna ........................... | 79 | |
| 4.1.3 | Premiepensionsmyndigheten .................................. | 80 | |
4.2Automatiserad behandling av personuppgifter inom
| socialförsäkringens administration .................................... | 81 | |
| 4.2.1 Socialförsäkringsregister som förs gemensamt | ||
| för Riksförsäkringsverket och de allmänna | ||
| försäkringskassorna ................................................. | 81 | |
| 4.2.2 Socialförsäkringsregister som förs särskilt för | ||
| Riksförsäkringsverket.............................................. | 88 | |
| 4.2.3 Socialförsäkringsregister som förs särskilt för | ||
| de allmänna försäkringskassorna............................. | 89 | |
| 4.2.4 Socialförsäkringsregister som förs särskilt för | ||
| Premiepensionsmyndigheten .................................. | 92 | |
| 5 | Överväganden och förslag......................................... | 95 |
| 5.1 | Behovet av skydd för den personliga integriteten............. | 95 |
| 5.2 | Särskild författningsreglering ............................................. | 98 |
| 5.3 | Den nya lagens tillämpningsområde m.m........................ | 101 |
| 5.3.1 Från socialförsäkringsregister till behandling | ||
| av personuppgifter ................................................. | 102 | |
| 5.3.2 Viss manuell behandling omfattas ........................ | 103 | |
| 5.3.3 Kärnverksamhet och annan verksamhet............... | 104 | |
| 5.3.4 Uppgifter om avlidna omfattas i vissa fall ............ | 105 | |
| 5.3.5 Undantag från rätten att motsätta sig | ||
| behandling .............................................................. | 106 | |
| 13 |
| Innehåll | Ds 2002:60 |
| 5.3.6 Avgränsning i förhållande till den officiella | |||
| statistiken................................................................ | 106 | ||
| 5.4 Förhållandet till personuppgiftslagen m.m...................... | 107 | ||
| 5.5 | Personuppgiftsansvar ........................................................ | 108 | |
| 5.6 | Ändamål ............................................................................. | 110 | |
| 5.6.1 Personuppgiftslagens regler om ändamål ............. | 111 | ||
| 5.6.2 | Registerförfattningar, finalitetsprincipen och | ||
| tryckfrihetsförordningen....................................... | 113 | ||
| 5.6.3 Ändamålen i socialförsäkringsregisterlagen och | |||
| de behandlingar som sker i verksamheten ............ | 114 | ||
| 5.6.4 Vilken detaljnivå är nödvändig vid formulering | |||
| av ändamål i en registerlag?.................................... | 117 | ||
| 5.6.5 | Finalitetsprincipen och sambearbetning............... | 118 | |
| 5.6.6 | Primära ändamål ..................................................... | 120 | |
| 5.6.7 | Sekundära ändamål................................................. | 129 | |
| 5.7 Behandling av känsliga personuppgifter m.m.................. | 136 | ||
| 5.7.1 Personuppgiftslagens regler om känsliga | |||
| uppgifter.................................................................. | 136 | ||
| 5.7.2 Personuppgiftslagens regler om uppgifter om | |||
| lagöverträdelser m.m.............................................. | 137 | ||
| 5.7.3 Generella regler om behandling av känsliga | |||
| personuppgifter inom socialförsäkringens | |||
| administration......................................................... | 138 | ||
| 5.7.4 Generella regler om behandling av uppgifter | |||
| om lagöverträdelseer m.m. inom | |||
| socialförsäkringens administration ....................... | 149 | ||
| 5.8 | Socialförsäkringsdatabasen ............................................... | 151 | |
| 5.8.1 En gemensam reglering för personuppgifter | |||
| som används gemensamt i verksamheten ............. | 151 | ||
| 5.8.2 | Gränserna för socialförsäkringsdatabasen ............ | 153 | |
5.8.3Endast personuppgifter som är relevanta för de primära ändamålen bör ingå i
| socialförsäkringsdatabasen..................................... | 157 |
| 5.8.4 En regel om behandling av vissa kategorier av | |
| uppgifter i socialförsäkringsdatabasen.................. | 158 |
14
| Ds 2002:60 | Innehåll | ||
| 5.8.5 | En särskild regel om inkomna respektive | ||
| upprättade handlingar i ärenden............................ | 161 | ||
| 5.8.6 | Behörighet för behandling av personuppgifter .... | 161 | |
| 5.9 | Direktåtkomst ................................................................... | 164 | |
| 5.9.1 | Allmänt om utlämnande av uppgifter/hand- | ||
| lingar som lagrats elektroniskt med stöd av | |||
| tryckfrihetsförordningen....................................... | 164 | ||
| 5.9.2 | Särskilda regleringar av utlämnande av | ||
| uppgifter i registerlagstiftning............................... | 166 | ||
| 5.9.3 | Direktåtkomst till uppgifter och handlingar i | ||
| socialförsäkringsdatabasen .................................... | 168 | ||
| 5.10 | Utlämnande av uppgifter på medium för | ||
| automatiserad behandling ................................................. | 180 | ||
| 5.11 | Särskilt reglerade behandlingar......................................... | 184 | |
| 5.11.1 Pensionsportalen.................................................... | 184 | ||
| 5.11.2 Utökning av möjlighet till utlämnande av | |||
| uppgifter för skadereglering.................................. | 187 | ||
| 5.12 | Sökbegrepp ........................................................................ | 194 | |
| 5.12.1 Sökning och integritet ........................................... | 195 | ||
| 5.12.2 Sökbegrepp och tryckfrihetsförordningen........... | 195 | ||
| 5.12.3 Begränsningar för vissa fall.................................... | 197 | ||
| 5.12.4 Sammanställningar av uppgifter ............................ | 199 | ||
| 5.13 | Överföring av personuppgifter till tredje land ................ | 202 | |
| 5.14 | Information ....................................................................... | 204 | |
| 5.15 | Gallring .............................................................................. | 210 | |
| 5.16 | Avgifter .............................................................................. | 216 | |
| 5.17 | Skadestånd m.m................................................................. | 217 | |
| 5.18 | Rättelse m.m...................................................................... | 219 | |
| 5.19 | Säkerhet m.m..................................................................... | 220 | |
| 5.19.1 Kontrollverksamhet ............................................... | 220 | ||
| 5.19.2 Tystnadsplikt vid KPA Pension AB ..................... | 221 | ||
15
| Innehåll | Ds 2002:60 |
| 5.20 | Överklagande..................................................................... | 222 |
| 5.21 | Ikraftträdande- och övergångsbestämmelser................... | 222 |
| 5.22 | Förslagens ekonomiska konsekvenser ............................. | 223 |
| 5.23 | Utlämnande av uppgifter för direkt marknadsföring...... | 224 |
| 6 | Författningskommentar ......................................... | 235 |
16
1 Författningsförslag
1.1Förslag till lag om behandling av personuppgifter inom socialförsäkringens administration
Härigenom föreskrivs följande
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter i verksamhet som gäller socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag eller förordning eller särskilt beslut av regeringen handläggs av Riksförsäkringsverket, de allmänna försäkringskassorna eller Premiepensionsmyndigheten (socialförsäkringens administration).
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Bestämmelserna i 6–13, 22, 23 och 26 §§ gäller i tillämpliga delar även uppgifter om avlidna personer.
2 § Sådan behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.
17
| Författningsförslag | Ds 2002:60 |
3 § I fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen (2001:99) om den officiella statistiken och i författningar som ansluter till den lagen. Bestämmelsen i 1 § tredje stycket nämnda lag gäller inte i fråga om framställning av statistik inom socialförsäkringens administration.
Förhållandet till personuppgiftslagen
4 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom socialförsäkringens administration, om inte annat följer av denna lag eller föreskrifter som meddelas i enlighet med denna lag eller med stöd av personuppgiftslagen.
Personuppgiftsansvar
5 § En myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Primära ändamål
6 § De allmänna försäkringskassorna, Premiepensionsmyndigheten och Riksförsäkringsverket får i sin verksamhet behandla personuppgifter om det är nödvändigt för att
1.återsöka vägledande avgöranden,
2.tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om socialförsäkringsförmåner skall kunna bedömas eller fastställas,
3.informera om socialförsäkringsförmåner,
4.handlägga ärenden,
5.planera, samt göra resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet,
6.framställa statistik avseende verksamhet enligt 4 och 5.
18
| Ds 2002:60 | Författningsförslag |
Vid behandling för det ändamål som anges i första stycket 1 får inte användas uppgifter som direkt pekar ut den registrerade.
Sekundära ändamål
7 § Personuppgifter som behandlas för ändamål som anges i 6 § får också behandlas av de allmänna försäkringskassorna och Riksförsäkringsverket för tillhandahållande av information som behövs
1.som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda i den verksamhet som bedrivs av Centrala studiestödsnämnden och arbetslöshetskassorna,
2.för samordning av tjänstepensioner i den verksamhet som bedrivs av Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner eller
3.för handläggning av ärenden som handläggs av Statens pensionsverk i vilka reglerna om statens tjänstegrupplivförsäkring skall tillämpas,
De allmänna försäkringskassorna, Premiepensionsmyndigheten och Riksförsäkringsverket får även behandla personuppgifter som behandlas för ändamål som anges i 6 § för att tillhandahålla information till mottagare utanför den egna myndigheten på grund av
1.sådan skyldighet att lämna ut uppgifter som följer av särskilda bestämmelser i lag eller annan författning,
2.sådant medgivande att lämna ut uppgifter som följer av särskilda bestämmelser i lag eller annan författning,
3.sådan skyldighet att lämna ut uppgifter som följer av gemenskapsrätten inom Europeiska unionen,
4.åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller i avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.
19
| Författningsförslag | Ds 2002:60 |
Behandling av känsliga personuppgifter m.m.
8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) (känsliga personuppgifter) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende.
För något av de ändamål som anges i 6 § första stycket 2, 3, 5 och 6 får sådana känsliga personuppgifter behandlas som rör hälsa och som är nödvändiga med hänsyn till ändamålet. I övrigt får känsliga personuppgifter inte behandlas för de ändamålen. Behandling för något av de ändamål som anges i 6 § första stycket 5 och 6 får inte ske beträffande andra sådana känsliga personuppgifter än dem som behandlas eller har behandlats för något av de ändamål som anges i 6 § första stycket 2–4.
Känsliga personuppgifter får behandlas för något av de ändamål som anges i 6 § första stycket 1 eller 7 § om det är nödvändigt med hänsyn till ändamålet.
9 § Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får behandlas om uppgifterna lämnats till en myndighet inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggning av ett ärende.
För något av de ändamål som anges i 6 § första stycket 2, 3, 5 och 6 får sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) behandlas som enligt 12 § får behandlas i socialförsäkringsdatabasen. I övrigt får sådana uppgifter inte behandlas för de ändamålen. Behandling för något av de ändamål som anges i 6 § första stycket 5 och 6 får inte ske beträffande andra sådana uppgifter om lagöverträdelser än dem som behandlas eller har behandlats för något av de ändamål som anges i 6 § första stycket 2–4.
Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får behandlas för något av de ändamål som anges i 6 § första stycket 1 eller 7 § om det är nödvändigt med hänsyn till ändamålet.
20
| Ds 2002:60 | Författningsförslag |
10 § I 12 § finns särskilda bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) i socialförsäkringsdatabasen.
Socialförsäkringsdatabasen
11 § Den samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i verksamhet som avses i 1 § utgör socialförsäkringsdatabasen.
I socialförsäkringsdatabasen får endast sådana personuppgifter behandlas som avser personer som omfattas eller har omfattats av verksamhet enligt de ändamål som anges i 6 § eller personer om vilka uppgifter på annat sätt behövs för handläggningen av ett ärende.
12 § För de ändamål som anges i 6 och 7 §§ får, med beaktande av de begränsningar som följer av 6, 8, 9 och 11 §§, i socialförsäkringsdatabasen behandlas identifierings- och adressuppgifter samt uppgifter om
1.kön,
2.civilstånd,
3.medborgarskap,
4.födelseort,
5.förekomsten av ansökan eller anmälan i ärenden,
6.tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,
7.grad av nedsatt arbetsförmåga,
8.förekomsten av intyg och utlåtande av läkare eller annan intygsgivare,
9.förekomsten av rehabiliteringsutredning eller annan utredning i rehabiliteringsärende samt av fastställd rehabiliteringsplan,
10.arten av och tidpunkter för föreslagna, planerade och vidtagna rehabiliteringsåtgärder,
21
| Författningsförslag | Ds 2002:60 |
11.förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 14 § tredje stycket och 17 § tredje stycket lagen (1993:737) om bostadsbidrag,
12.den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,
13.den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,
14.den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,
15.fråga om återbetalningsskyldighet har uppkommit,
16.vilken personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade som den bilstödsberättigade hör till,
17.att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,
18.att en förälder på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,
19.att den registrerade får aktivitetsstöd enligt 5 § tredje stycket förordningen (1996:1100) om aktivitetsstöd,
20.att den registrerade har rätt till ersättning enligt 16-22 §§ förordningen om aktivitetsstöd,
21.bevakningsanledning,
22.anledningen till att ett ärende avslutats.
23. vårdgivare i ärenden om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa
24.förekomsten av begäran om förhandsprövning enligt förordningen om tandvårdstaxa samt kod för behandlingsförslag som begäran avser,
25.kod för behandling som avses i förordningen om tandvårdstaxa,
26.att den registrerade har rätt till ersättning enligt 9, 13 eller 14 § förordningen om tandvårdstaxa,
27.förhållanden som anges i 15 § andra stycket förordningen om tandvårdstaxa,
22
| Ds 2002:60 | Författningsförslag |
28.förekomsten av remiss i ärenden om ersättning för tandvård enligt 2 kap. 3 § lagen (1962:381) om allmän försäkring och förordningen (1998:1337) om tandvårdstaxa, remitterande vårdgivares namn och namnet på den vårdgivare till vilken remiss har skett,
29.patientavgift och tandvårdsersättning.
30.avgöranden av domstol, Riksförsäkringsverket, Premiepensionsmyndigheten eller allmän försäkringskassa som är av betydelse för enskilda ärenden såvitt avser uppgifter om utgången, de bestämmelser som har tillämpats, och huruvida avgörandet har överklagats
31.diagnos,
32.läkare som utfärdat intyg som ligger till grund för beslut om ersättning,
33.ekonomiska förhållanden,
34.arbetsgivare,
35.arbetsställe,
36.yrke,
37.bransch där den registrerade är verksam och
38.beslut i ärenden.
Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får utöver vad som anges i första stycket och 13 § endast behandlas i socialförsäkringsdatabasen om det särskilt anges i denna lag eller annan författning. Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om ytterligare begränsningar för vilka uppgifter som får behandlas i socialförsäkringsdatabasen samt närmare föreskrifter om vilka uppgifter som får behandlas.
13 § En handling som kommit in i ett ärende får behandlas i socialförsäkringsdatabasen och får innehålla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204). En handling som upprättats i ett ärende får behandlas i socialförsäkringsdatabasen och får in-
23
| Författningsförslag | Ds 2002:60 |
nehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
14 § Behörighet för åtkomst till socialförsäkringsdatabasen får endast tilldelas skriftligen. Den som tilldelas sådan behörighet skall skriftligen informeras om gränserna för den.
Behörighet för åtkomst till socialförsäkringsdatabasen skall begränsas till vad som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter.
Direktåtkomst
15 § Direktåtkomst till socialförsäkringsdatabasen är endast tillåten i den utsträckning som anges i denna lag eller annan författning.
16 § De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för de ändamål som anges i 6 och 7 §§. Sådan direktåtkomst skall vara förbehållen de personkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om direktåtkomst som avses i första stycket.
17 § Statens pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får ha direktåtkomst till socialförsäkringsdatabasen för samordning av tjänstepensioner med socialförsäkringsförmåner.
Statens pensionsverk får ha direktåtkomst till socialförsäkringsdatabasen för handläggning av ärenden i vilka reglerna om statens tjänstegrupplivförsäkring skall tillämpas.
Bestämmelserna i 14 § och 16 § första stycket andra meningen gäller också för pensionsverket och det gemensamma organet.
24
| Ds 2002:60 | Författningsförslag |
Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om vilka uppgifter direktåtkomst enligt första och andra stycket får omfatta.
18 § Centrala studiestödsnämnden och arbetslöshetskassorna får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för ändamål som anges i 7 § första stycket 1.
Regeringen meddelar föreskrifter om vilka uppgifter direktåtkomst enligt första stycket får omfatta.
Utlämnande på medium för automatiserad behandling
19 § Personuppgifter i socialförsäkringsdatabasen som får lämnas ut till den registrerade får lämnas ut till denne på medium för automatiserad behandling. Personuppgifter eller handlingar i socialförsäkringsdatabasen som innehåller personuppgifter får i övrigt lämnas ut på medium för automatiserad behandling endast om det behövs för något av de ändamål som anges i 7 §.
Särskilt reglerade behandlingar
20 § Personuppgifter i socialförsäkringsdatabasen får lämnas ut på medium för automatiserad behandling för sammanställning av gemensam pensionsinformation om den registrerade uttryckligen samtyckt till utlämnandet.
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får lämnas ut enligt första stycket.
21 § Personuppgifter som behövs för skadereglering får lämnas ut på medium för automatiserad behandling till organ som driver försäkringsrörelse om den registrerade uttryckligen samtyckt till utlämnandet.
25
| Författningsförslag | Ds 2002:60 |
Regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som skall få lämnas ut enligt första stycket.
Sökbegrepp
22 § Känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid sökning i socialförsäkringsdatabasen.
Vid sökning i handlingar i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende får endast ärendebeteckning eller beteckning på handling användas som sökbegrepp.
Regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om begränsningar i övrigt för vilka sökbegrepp som får användas.
23 § Utan hinder av begränsningarna för sökning som anges i 22 § får personuppgifter som rör hälsa användas som urvalskriterium vid sammanställningar om regeringen har meddelat föreskrifter om det.
Överföring av personuppgifter till tredje land
24 § Överföring av personuppgifter till tredje land på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater får ske utan hinder av 33 § personuppgiftslagen (1998:204).
Information
25 § Personuppgifter i handlingar i socialförsäkringsdatabasen som kommit in i ett ärende eller upprättats i ett ärende behöver inte tas med i information enligt 26 § personuppgiftslagen om den registrerade tagit del av handlingens innehåll. Av informa-
26
| Ds 2002:60 | Författningsförslag |
tionen skall det dock framgå vilka sådana handlingar som behandlas. Om den registrerade begär att informeras om uppgifter i en sådan handling och anger vilken handling som avses, skall dock informationen omfatta dessa uppgifter, om inte annat följer av bestämmelser om sekretess. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.
Gallring
26 § Personuppgifter eller handlingar som behandlas automatiserat skall gallras när de inte längre är nödvändiga för de ändamål som anges i 6 §.
Regeringen eller den myndighet regeringen bestämmer får dock föreskriva att handlingar eller uppgifter skall bevaras.
Avgifter
27 § Avgifter får tas ut för utlämnande av uppgifter och handlingar från socialförsäkringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen eller den myndighet regeringen bestämmer.
Rättelse och skadestånd
28 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag.
Kontrollverksamhet
29 § De allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten skall genom särskilda åtgärder
27
| Författningsförslag | Ds 2002:60 |
kontrollera efterlevnaden av denna lag enligt vad som föreskrivs av regeringen eller den myndighet regeringen bestämmer.
Tystnadsplikt
30 § Den som genom sin befattning med personuppgifter som inhämtats från socialförsäkringsdatabasen till det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får kännedom om uppgifter om enskildas ekonomiska och personliga förhållanden får inte obehörigen röja dessa uppgifter.
Överklagande
31 § En myndighets beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
––––––––––––––––––––––
1. Denna lag träder i kraft den 1 november 2003, då socialförsäkringsregisterlagen (1997:934) upphör att gälla.
2.Bestämmelserna i denna lag skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling av personuppgifter som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3.Den nya lagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som ett yrkande om skadestånd grundas på har inträffat efter det att den nya lagen har trätt i kraft. I annat fall tillämpas de äldre bestämmelserna.
28
| Ds 2002:60 | Författningsförslag |
1.2Förslag till förordning om ändring i förordningen (1998:739) med instruktion för Riksförsäkringsverket
Härigenom föreskrivs att det i förordningen (1998:739) med instruktion för Riksförsäkringsverket skall införas en ny paragraf, 2 b §, av följande lydelse.
2 b § Riksförsäkringsverket skall, utöver vad som följer av personuppgiftslagen (1998:204), ansvara för att allmänheten på lämpligt sätt tillhandahålls information om behandlingen av personuppgifter inom socialförsäkringens administration.
Informationen skall innehålla en beskrivning av vilka personuppgifter som behandlas inom socialförsäkringens administration samt upplysning om
1.ändamålen för behandlingen,
2.de sekretess- och säkerhetsbestämmelser som gäller vid behandlingen,
3.rätten att ta del av uppgifter enligt 26 § personuppgiftslagen,
4.rätten till rättelse enligt personuppgiftslagen samt
5.de begränsningar i fråga om direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling, sökbegrepp och bevarande av uppgifter som gäller för behandlingen av personuppgifter.
Denna förordning träder i kraft den ………. 2003.
29
2 Bakgrund
2.1Allmänt om persondataskydd
Informationsteknikens utveckling och den ökande användningen av denna teknik för behandling av information om individer medför ett särskilt behov av skydd mot sådana användningar av individrelaterad information som kan anses utgöra otillbörliga intrång i den personliga integriteten. Riktlinjer för sådan behandling av information har utarbetats såväl i internationella sammanhang som i nationell lagstiftning.
2.1.1Internationella riktlinjer
När det gäller internationella riktlinjer kan nämnas t.ex. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (Europarådets dataskyddskonvention) och de riktlinjer för integritetsskydd och persondataflöde som utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Till Europarådets konvention har utarbetats ett tilläggsprotokoll om tillsynsmyndigheter och flödet av personuppgifter över gränserna. Vidare har det inom Europarådet utarbetats en rad rekommendationer om skydd för personuppgifter, däribland Recommendation No.R (86) 1 of the Committee of Ministers to Member States on the protection of personal data used for social security purposes, som tar sikte på behandling av personuppgifter inom socialförsäkringssektorn.
31
| Bakgrund | Ds 2002:60 |
2.1.2Dataskyddsdirektivet
Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivets principer om skydd för enskilda personers fri- och rättigheter vid behandling av personuppgifter utgör en precisering och förstärkning av principerna i Europarådets konvention.
2.1.3Regeringsformen, personuppgiftslagen och registerförfattningar
I 2 kap. 3 § regeringsformen finns en bestämmelse om att varje medborgare genom lagstiftning skall skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av automatiserad behandling. Den författning som i dag har som syfte att i första hand uppfylla åläggandet för det allmänna att stifta sådan lag är personuppgiftslagen (1998:204), som trädde i kraft den 24 oktober 1998. Härutöver finns särskilda s.k. registerförfattningar, som reglerar informationshantering inom skilda områden i bl.a. den offentliga förvaltningen. Registerförfattningarna utgör komplement till personuppgiftslagen och innehåller särskilda bestämmelser som i vissa fall utvidgar och i vissa fall inskränker integritetsskyddet som föreskrivits i personuppgiftslagen. En viktig faktor bakom framväxten av registerförfattningar i form av lag är uttalanden av Konstitutionsutskottet om att myndighetsregister med ett stort antal registrerade och ett känsligt innehåll skall regleras särskilt i lag (bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48). Regeringen har instämt i dessa uttalanden (se bl.a. prop. 1990/91:60 s. 58 och 1997/98:44 s. 41). Integritetsskyddande bestämmelser om utlämnande av personuppgifter finns även i sekretesslagen (1980:100).
Genom personuppgiftslagen genomfördes dataskyddsdirektivet i Sverige.
32
| Ds 2002:60 | Bakgrund |
2.1.4Socialförsäkringsregisterlagen
Socialförsäkringsregisterlagen (1997:934) trädde i kraft den 1 januari 1998, och ersatte då lagen (1994:1517) om socialförsäkringsregister och lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna. Samtliga dessa lagar kan räknas till registerlagstiftningen, som alltså bl.a. syftar till ett skydd för medborgarnas personliga integritet med avseende på myndigheternas behandling av personuppgifter.
Socialförsäkringsregisterlagen är en speciallag om personregister i verksamhet hos de allmänna försäkringskassorna, Premiepensionsmyndigheten (PPM) och Riksförsäkringsverket (RFV). I lagen anges de grundläggande bestämmelser som har ansett behövliga ur integritetsskyddssynpunkt.
Vid ikraftträdandet av personuppgiftslagen upphörde datalagen (1973:287) att gälla, dock föreskrevs i övergångsbestämmelserna vissa undantag från detta. Bl.a. skulle datalagen tillämpas till och med den 30 september 2001 i fråga om vid ikraftträdandet pågående behandlingar av personuppgifter
Den 1 oktober 2001 trädde vissa ändringar av socialförsäkringsregisterlagen i kraft. Ändringarna utgjorde resultatet av en begränsad översyn av lagen i syfte att anpassa den till den generellt tillämpliga personuppgiftslagen (se prop. 2000/01:69). Bl.a. anpassades tillämpningsområdet till personuppgiftslagen såtillvida att socialförsäkringregisterlagen numera omfattar även viss manuell hantering av personuppgifter. Vidare skedde en anpassning av regleringen av s.k. känsliga personuppgifter samt vad gäller den personuppgiftsansvariges ansvar för rättelse m.m., skadestånd, information till den enskilde och överklagande i vissa fall. Vissa begrepp som definieras i personuppgiftslagen infördes dessutom även i socialförsäkringsregisterlagen. I propositionen anmärktes särskilt att de framlagda förslagen utgjorde endast en begränsad översyn i syfte att anpassa socialförsäkringsregisterlagen till personuppgiftslagen samt att regeringen hade för avsikt att under våren 2001 påbörja en översyn av registerlagstiftningen inom socialförsäkringens administration i ett vidare perspektiv.
33
| Bakgrund | Ds 2002:60 |
Den i propositionen aviserade översynen bedrivs i projektform inom socialförsäkringsenheten i Socialdepartementet. I denna promemoria presenteras ett förslag till en ny lag om behandling av personuppgifter inom socialförsäkringens administration som utarbetats inom ramen för projektet. Den föreslagna lagen avses ersätta socialförsäkringsregisterlagen. De mer framträdande områden som översynen omfattat är de ändamål som styr behandlingen av personuppgifter inom socialförsäkringens administration, övergång till ramlagstiftning, avskaffande av registerbegreppet, analys av lagstiftningsbehovet i anledning av införandet av ärendehanteringssystem (ÄHS) med elektroniska akter m.m. inom försäkringskassorna, översyn av regleringen av direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, införande av möjligheter till gemensam pensionsinformation genom Pensionsportalen samt utvecklade möjligheter till analys av utvecklingen inom försäkringsområden i linje med förslag som lämnats av HpH:s Handlingsplan för ökad hälsa i arbetslivet (S 2000:07) och regeringens 11-punkts- program för ökad hälsa i arbetslivet.
34
3 Allmänna utgångspunkter
3.1Socialförsäkringsregisterlagen och IT-strukturen inom socialförsäkringens administration
3.1.1Från register till ärendehanteringssystem
Socialförsäkringsregisterlagen är till stor del präglad av den IT- struktur som funnits inom socialförsäkringens administration (i detta fall Riksförsäkringsverket och de allmänna försäkringskassorna) alltsedan mitten av 1970-talet. Översiktligt kan denna struktur i första hand sägas bestå av ett större antal verksamhetsstödjande register, dvs. på visst sätt strukturerade eller organiserade samlingar av uppgifter, som företrädesvis används vid handläggning av de olika ärendeslagen inom socialförsäkringen. De viktigaste funktionerna i registret är lagring och tillhandahållande av individanknuten information relaterad till de olika ärendeslagen. Vidare finns visst integrerat handläggningsstöd i form av enklare program för beräkning av ersättning m.m. Registren används dessutom i viss utsträckning för uppföljning, utvärdering, tillsyn och framställning av statistik. Socialförsäkringsregisterlagen och de lagar den lagen kom att ersätta utarbetades huvudsakligen med utgångspunkt i de synsätt och strukturella lösningar som präglade den tidigare gällande datalagen, som även denna till stor del relaterade till den typ av IT-struktur som beskrivits ovan.
Den mycket snabba utvecklingen inom informationstekniken innebär emellertid helt nya förutsättningar för den offentliga förvaltningen. I allt större utsträckning tas den nya tekniken i
35
| Allmänna utgångspunkter | Ds 2002:60 |
anspråk för ärendehantering. Handlingar framställs, kommer in och expedieras elektroniskt och handläggningen sker med ett långt utvecklat datorstöd. Detta medför att all den individrelaterade information som är nödvändig för att handlägga ett ärende, i många fall helt och hållet hanteras elektroniskt, dvs. pappersbunden lagring av information förekommer inte i ärendet. Det registerbegrepp som tillämpats i lagstiftningen blir därmed allt mindre tillämpligt för de behandlingar av personuppgifter som sker inom myndigheterna. Samtidigt har möjligheterna till kommunikation mellan medborgare och myndigheter via Internet ökat dramatiskt, vilket i sig innebär bättre förutsättningar för snabb ärendehantering, eftersom uppgifter i ansökningar etc. via Internet kan skickas in direkt till myndigheternas egna datoriserade ärendehanteringssystem. Denna utveckling påskyndas av de krav som riktas mot myndigheterna när det gäller effektivitet, samverkan med andra myndigheter och en förbättrad service gentemot medborgarna.
En viktig del av det utvecklingsarbete som bedrivs av Riksförsäkringsverket siktar mot att ärendehandläggningen inom de allmänna försäkringskassorna skall ges nytt IT-stöd, som skall medverka till att förkorta handläggningstiderna och förbättra kvaliteten i försäkringskassornas beslutsunderlag samt att allmänhetens möjligheter till självbetjäning via ett utvecklat IT- stöd hos försäkringskassorna avses gradvis komma att öka inom olika försäkringsområden.
3.2Dataskyddsdirektivet
3.2.1Syftet med direktivet
Syftet med Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en
36
| Ds 2002:60 | Allmänna utgångspunkter |
likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.
3.2.2Från direktiv till nationell lagstiftning
Direktivet är direkt bindande för medlemsstaterna. För att bli gällande rätt i medlemsstaterna måste dock direktivet införlivas i nationell lagstiftning. Medlemsstaterna skall alltså i enlighet med direktivet genom lagstiftning skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter, men får inte ha en lagstiftning som är strängare eller mildare än vad direktivet medger.
3.2.3Tillämpningsområdet
I inledningen av direktivet återfinns en ingress omfattande 72 punkter med förklaringar, i vilka bl.a. bakgrunden till och syftet med de efter ingressen följande bestämmelserna utvecklas. Direktivet syftar enbart till ett skydd för fysiska personer och berör i princip inte heller sådan verksamhet som faller utanför gemenskapsrätten, såsom verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
Tillämpningsområdet för direktivet inbegriper utöver automatiserad behandling även viss manuell behandling av personuppgifter, dock endast sådan behandling av uppgifter som ingår i eller kommer att ingå i ett register. Direktivet omfattar emellertid inte behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur eller som har samband med hans hushåll.
37
| Allmänna utgångspunkter | Ds 2002:60 |
3.2.4Bestämmelser om när personuppgifter får behandlas
Varje behandling av personuppgifter måste enligt direktivet vara laglig och korrekt. Uppgifterna måste vara adekvata, relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas. Dessa ändamål skall vara uttryckligt angivna, berättigade och bestämda vid tiden för insamling av uppgifterna. An- vänds uppgifterna för andra ändamål sedan de samlats in får dessa ändamål inte vara oförenliga med de ändamål som ursprungligen angavs. Vidare skall uppgifterna vara riktiga, och om nödvändigt, aktuella.
Personuppgifter får enligt direktivet behandlas endast i vissa fall;
a)om den registrerade otvetydigt lämnat sitt samtycke,
b)om det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås,
c)om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige,
d)om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade,
e)om det är nödvändigt för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgifterna lämnats ut eller
f)om det är nödvändigt för ändamål som rör vissa berättigade intressen utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd enligt direktivet.
Enligt huvudregeln får vissa angivna kategorier av uppgifter inte behandlas, nämligen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv (känsliga personuppgifter). Undantag från detta gäller emellertid vid exempelvis uttryckligt samtycke till behand-
38
| Ds 2002:60 | Allmänna utgångspunkter |
lingen från den enskilde eller – under förutsättning av lämpliga skyddsåtgärder - när det är nödvändigt med hänsyn till ett viktigt allmänt intresse.
I punkt 34 i ingressen anges att ”När det av hänsyn till viktiga allmänna intressen är nödvändigt, måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik. Dock åligger det medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv”.
Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får enligt huvudregeln utföras endast under kontroll av en myndighet.
3.2.5Information och rättelse
Enligt direktivet skall den registeransvarige informera den registrerade om att personuppgifter om honom eller henne är föremål för behandling och därvid redogöra för bl.a. ändamålet med behandlingen. Har uppgifterna samlats in från någon annan än den registrerade behöver den registeransvarige inte lämna någon information, om det skulle visa sig vara omöjligt eller innebära en oproportionerligt stor ansträngning eller om registrering eller utlämnande uttryckligen föreskrivs i författning. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna.
Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Rättas en uppgift har den registrerade rätt att få den registeransvarige att underrätta tredje man som fått del av den felaktiga uppgiften, om detta inte visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning. Medlemsstaterna
39
| Allmänna utgångspunkter | Ds 2002:60 |
får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till vissa uppgifter. Det förutsätter dock att någon av vissa angivna förutsättningar föreligger.
3.2.6Rätt att motsätta sig behandling
Den registrerade skall i vissa fall, bl.a. när det gäller en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgiften har lämnats ut, ha rätt att motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. Vidare skall den registrerade kunna motsätta sig behandling av personuppgifter för ändamål som rör direkt marknadsföring eller ha rätt att bli informerad innan personuppgifter för första gången lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring.
3.2.7Säkerhet
Direktivet innehåller även bestämmelser om säkerhet vid behandling av personuppgifter. Genom lämpliga tekniska och organisatoriska åtgärder skall den registeransvarige skydda personuppgifter mot bl.a. otillåten behandling samt mot förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar eller otillåten spridning.
3.2.8Överföring av uppgifter till tredje land
Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför Europeiska unionen (tredje land)
40
| Ds 2002:60 | Allmänna utgångspunkter |
får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade otvetydigt har samtyckt till att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk. Ett exempel på ett sådant undantag från huvudregeln är enligt punkt 58 i ingressen utbyte av uppgifter mellan socialförsäkringsmyndigheter.
3.3Personuppgiftslagen (1998:204)
Genom personuppgiftslagen har direktivet genomförts i Sverige. Personuppgiftslagen bygger i allt väsentligt på de förslag som Datalagskommittén redovisade i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39).
3.3.1Tillämpningsområde
Liksom dataskyddsdirektivet bygger personuppgiftslagen på att själva hanteringen av personuppgifter regleras. Lagen omfattar således formellt även behandlingar som inte på något sätt kan sägas utgöra intrång i den personliga integriteten. Den tillämpas alltså på helt eller delvis automatiserad behandling av personuppgifter och dessutom på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Personuppgiftslagen har ett vidare tillämpningsområde än direktivet. Personuppgiftslagen omfattar således även sådan verksamhet som faller utanför gemenskapsrätten, såsom polisen och försvaret.
Tillämpningsområdet har emellertid begränsats genom en rad bestämmelser i personuppgiftslagen. Till en början gäller att per-
41
| Allmänna utgångspunkter | Ds 2002:60 |
sonuppgiftslagen inte omfattar sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur. Av förtydligande skäl anges också att personuppgiftslagen inte heller skall tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen att tillämpa personuppgiftslagens regler. Motsvarande gäller när en tillämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. Andra undantag i fråga om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande. Slutligen gäller vissa undantag från tillämpning av personuppgiftslagen som tar sikte på arkivering av handlingar. Personuppgiftslagens tillämpningsområde kan dessutom inskränkas genom särreglering i annan lag eller förordning, exempelvis registerlagstiftningen. Sådan särreglering får dock givetvis inte stå i strid med dataskyddsdirektivet eller Europarådets dataskyddskonvention.
3.3.2Definitioner av begrepp
Personuppgiftslagen innehåller en rad definitioner av olika begrepp som används i lagen.
Med behandling (av personuppgifter) avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
I fråga om automatiserad behandling krävs det alltså inte att de hanterade uppgifterna finns i något som kan karakteriseras som ett register eller att de annars är ordnade på något visst sätt. Så- ledes omfattas även behandling av enstaka personuppgifter i löpande text. Av definitionen följer även att manuell insamling av uppgifter för lagring i dator och muntligt utlämnande eller
42
| Ds 2002:60 | Allmänna utgångspunkter |
utlämnande i pappersform av uppgifter som har varit föremål för automatiserad behandling omfattas av lagen.
Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftslagen omfattar således varken uppgifter om juridiska personer eller uppgifter om avlidna fysiska personer. I förarbetena har anförts att det endast krävs att en fysisk person kan identifieras med hjälp av informationen, inte att den personuppgiftsansvarige själv skall förfoga över samtliga uppgifter som gör identifieringen möjlig (SOU 1997:39 s. 338). Även bild- och ljuduppgifter som kan hänföras till en person kan omfattas.
Personuppgiftsansvarig är enligt definitionen i personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. När det gäller offentlig verksamhet är dock ändamålen ofta bestämda i registerförfattningarna och inte av den aktuella myndigheten. I sådana fall har det i regel genom särskilda bestämmelser angetts i registerförfattningen vem som är personuppgiftsansvarig (se 2 § personuppgiftslagen och exempelvis 13 § socialförsäkringsregisterlagen (1997:934)).
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Den registrerade är den som en personuppgift avser.
Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.
Tredje land är en stat som varken ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
3.3.3Grundläggande krav på behandling
I personuppgiftslagen åläggs den personuppgiftsansvarige att upprätthålla vissa grundläggande krav på behandlingen av personuppgifter. Personuppgifter skall behandlas bara om det är
43
| Allmänna utgångspunkter | Ds 2002:60 |
lagligt. Behandlingen skall alltid ske på ett korrekt sätt och i enlighet med god sed.
Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (finalitetsprincipen). En behandling för historiska, statistiska eller vetenskapliga ändamål skall dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Fler personuppgifter än som är nödvändigt med hänsyn till behandlingen får inte behandlas. De personuppgifter som behandlas skall vara riktiga och, om det är nödvändigt, aktuella.
Alla rimliga åtgärder skall vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ursprungliga ändamålen med behandlingen, om det inte behövs för historiska, statistiska eller vetenskapliga ändamål. Myndigheternas arkivering och bevarande av allmänna handlingar hindras dock inte av lagen.
Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får enligt huvudregeln användas för att vidta åtgärder i fråga om den registrerade bara om de registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.
3.3.4Förutsättningar för att behandling skall vara tillåten
I personuppgiftslagen anges vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten. Minst en av dessa förutsättningar måste alltså föreligga för att en behandling skall vara tillåten enligt lagen. Den inledande av de alternativa förutsättningarna är att den registrerade har lämnat
44
| Ds 2002:60 | Allmänna utgångspunkter |
samtycke till behandlingen. Föreligger inget samtycke kan en handling vara tillåten om den är nödvändig för ett antal uppräknade syften. Enligt Domstolsdatautredningen (SOU 2001:32 s. 95) räcker det sannolikt med att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg för att nödvändighetsrekvisitet skall kunna anses uppfyllt.
Är en behandling nödvändig för att ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, så kan den vara tillåten.
En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, för att vitala intressen för den registrerade skall kunna skyddas eller för att en arbetsuppgift av allmänt intresse skall kunna utföras.
Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.
Slutligen kan en behandling vara tillåten om den är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
3.3.5Behandling för direkt marknadsföring
Behandling av personuppgifter för ändamål som rör direkt marknadsföring får enligt personuppgiftslagen inte ske, om den registrerade hos den personupgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Ett förbud mot sådan behandling förutsätter således enligt denna regel en skriftlig anmälan från den registrerade. Såsom regeln utformats torde redan utlämnandet av personuppgifter till någon annan för
45
| Allmänna utgångspunkter | Ds 2002:60 |
att denne skall behandla uppgifterna för ändamål som rör direkt marknadsföring utgöra en sådan behandling som omfattas av regeln.
När det gäller personuppgifter hos myndigheter torde dock denna regel vara underordnad i förhållande till myndigheternas skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut uppgifter. Det innebär att om det inte föreligger sekretess för en personuppgift, så är en myndighet skyldig att lämna ut uppgiften till en tredje man, även om en anmälan gjorts av den registrerade. I vissa fall torde dock en anmälan från en enskild av aktuellt slag kunna få betydelse vid en prövning enligt 7 kap. 16 § sekretesslagen (1980:100). Enligt nämnda bestämmelse föreligger sekretess för en personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. I kommentaren till personuppgiftslagen (Personuppgiftslagen. En kommentar, Sören Öman och Hans-Olof Lindblom, andra upplagan, Stockholm 2001 s. 328 f.) görs gällande att det förhållandet att offentlighetsprincipen i personuppgiftslagen har getts företräde framför den s.k. finalitetsprincipen och övriga bestämmelser i personuppgiftslagen medför att det vid tillämpning av 7 kap.16 § sekretesslagen inte skall prövas om en myndighets utlämnande står i strid med personuppgiftslagen, utan endast om det kan antas att sökandens behandling av personuppgiften efter ett utlämnande kan komma att stå i strid med personuppgiftslagen. Den prövningen skall dock i princip omfatta huruvida den sökande kan antas komma att följa samtliga personuppgiftslagens regler. I det fallet att den enda grundläggande förutsättning för behandling av personuppgifter som kan vara tillämplig för sökandens behandling är att den sker för att tillgodose ett ändamål som rör ett berättigat intresse hos sökanden och detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten, så är det avgörande för sekretessfrågan hur den aktuella intresseavvägningen utfaller. Den sökandes intresse av att få uppgiften utlämnad till sig för att använda den vid direkt marknadsföring skall vägas mot den registrerades intresse av integritetsskydd. I
46
| Ds 2002:60 | Allmänna utgångspunkter |
ett sådant fall kan en anmälan från den registrerade rimligtvis vägas in på det sättet att sekretess anses föreligga, även om anmälan formellt avser den utlämnande myndighetens behandling.
3.3.6Särskilda regler för känsliga personuppgifter
För vissa slag av uppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Huvudregeln i lagen innebär att det är förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.
Det finns emellertid en rad undantag från förbudet mot behandling av känsliga personuppgifter angivna direkt i personuppgiftslagen. Sålunda får sådana uppgifter enligt lagen behandlas med den registrerades uttryckliga samtycke eller när denne offentliggjort uppgifterna på ett tydligt sätt. Känsliga uppgifter får vidare i vissa fall behandlas om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, om det är nödvändigt för att den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke eller om det är nödvändigt för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Förbudet mot att behandla känsliga personuppgifter gäller inte heller när ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandlar personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Endast om den registrerade uttryckligen har samtyckt till det får dock känsliga personuppgifter lämnas ut till tredje man från en sådan ideell organisation. Känsliga personuppgifter får vidare behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och
47
| Allmänna utgångspunkter | Ds 2002:60 |
sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller om uppgifterna omfattas av sjukvårdssekretess. Slutligen undantas viss behandling för forsknings- och statistikändamål från förbudet mot behandling av känsliga personuppgifter.
Regleringen av behandling av känsliga personuppgifter i personuppgiftslagen följer i princip den motsvarande reglering som återfinns i direktivet. Direktivet medger emellertid dessutom att medlemsstaterna, under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse, i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndighet beslutar om andra undantag från förbudet mot behandling av känsliga uppgifter än dem som anges i personuppgiftslagen. Den nationella lagstiftningen kan således innehålla ytterligare undantag från förbudet mot behandling av känsliga personuppgifter.
I punkt 34 i ingressen till direktivet anges, som redovisats i avsnitt 3.2.4, bl.a. att ”När det av hänsyn till viktiga allmänna intressen är nödvändigt, måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik.”.
Regeringen eller den myndighet regeringen bestämmer, får om det behövs med hänsyn till ett viktigt allmänt intresse medge ytterligare undantag från förbudet att behandla känsliga uppgifter. Den 1 oktober 2001 infördes en bestämmelse i 8 § personuppgiftsförordningen (1998:1191) om att känsliga personuppgifter får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
48
| Ds 2002:60 | Allmänna utgångspunkter |
3.3.7Behandling av uppgifter om lagöverträdelser m.m.
Det är enligt personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer (Datainspektionen) får dock besluta om undantag från förbudet.
Uttrycket ”myndighet” i 21 § första stycket personuppgiftslagen är avsett att ha samma innebörd som i den artikel i direktivet som innehåller motsvarande bestämmelse. Det måste emellertid anses som klarlagt att svenska statliga myndigheter som Riksförsäkringsverket och Premiepensionsmyndigheten omfattas av detta uttryck i direktivet. De allmänna försäkringskassorna är enligt den svenska nationella rättsordningen inte statliga myndigheter utan självständiga offentligrättsliga organ. De uppgifter de har att svara för är emellertid i sin helhet statligt reglerade och verksamheten finansieras helt med offentliga medel. Vidare anses de utgöra myndigheter i såväl regeringsformens mening (se prop. 1975/76:160 s. 135) som förvaltningslagens (1986:223) och sekretesslagens (1980:100) mening (se prop. 1971:30 s. 317 och RÅ 1981 2:23). Mot bakgrund härav torde de vara att anse som myndigheter även i direktivets mening. Således är såväl de allmänna försäkringskassorna som Riksförsäkringsverket och Premiepensionsmyndigheten att anse som myndigheter i personuppgiftslagens mening. Förbudet mot att behandla personuppgifter om lagöverträdelser omfattar alltså inte något av dessa organ.
3.3.8Behandling av person- och samordningsnummer
Uppgifter om personnummer och samordningsnummer får enligt personuppgiftslagen behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
49
| Allmänna utgångspunkter | Ds 2002:60 |
3.3.9Information
Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. Har uppgifterna samlats in från en annan källa skall den registrerade informeras när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen inte ges förrän uppgifterna lämnas ut för första gången. I de fall uppgifter samlas in från någon annan än den registrerade krävs inte att information lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker. Finns det i lag eller annan författning särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter behöver inte heller information lämnas då uppgifter samlas in från annan källa än den registrerade. De olika registerförfattningarna, exempelvis socialförsäkringsregisterlagen (1997:934), torde vara att anse som sådana bestämmelser som avses i denna undantagsbestämmelse (se prop. 2000/01:69 s. 26 f.).
När information skall lämnas skall den omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sin rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas. Den personuppgiftsansvarige är härutöver skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej, s.k. registerutdrag. Behandlas sådana uppgifter skall skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut.
Under förutsättning att uppgifterna inte har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska eller vetenskapliga ändamål behöver information dock inte läm-
50
| Ds 2002:60 | Allmänna utgångspunkter |
nas beträffande personuppgifter som behandlas i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget för löpande text gäller dock inte om texten behandlats under längre tid än ett år. Bestämmelserna om informationsskyldighet gäller inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.
3.3.10Rättelse m.m.
Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen eller anknytande föreskrifter skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Den sistnämnde kan också vara skyldig att underrätta tredje man till vilken uppgifterna har lämnats ut.
3.3.11Säkerhet vid behandling
Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns vissa särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, t.ex. om tystnadsplikt och sekretess, skall dessa tillämpas.
Den personuppgiftsansvarige skall enligt personuppgiftslagen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade uppgifterna är.
51
| Allmänna utgångspunkter | Ds 2002:60 |
3.3.12Överföring av personuppgifter till tredje land
Det är enligt personuppgiftslagen förbjudet att utan samtycke från den registrerade föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Frågan om ett land har en adekvat skyddsnivå skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.
Som bestämmelserna är utformade torde de omfatta även överföring av en pappersutskrift av personuppgifter från Sverige till tredje land. Är avsikten att personuppgifter efter överföring skall behandlas i tredje land torde förbudet omfatta även sådana personuppgifter som inte undergått automatiserad behandling eller ingått i ett manuellt register. Vidare omfattas att uppgifter görs tillgängliga genom att publiceras öppet på Internet.
Det finns en rad undantag från förbudet angivna direkt i personuppgiftslagen. Har den registrerade samtyckt till det får personuppgifter överföras utan hinder av huvudregeln. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Vidare får överföring ske om den är nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, för att ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skal kunna ingås eller fullgöras, för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade skall kunna skyddas.
Regeringen får meddela föreskrifter om undantag från förbudet för överföring till vissa stater och om att en överföring är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Det först-
52
| Ds 2002:60 | Allmänna utgångspunkter |
nämnda undantaget om överföring till vissa stater tar sikte på direktivets regler om överföring till stater med adekvat skyddsnivå. EG-kommissionen har i enlighet med direktivet meddelat beslut med ställningstagande om adekvat skyddsnivå såvitt avser Schweiz, Ungern, Kanada och enligt s.k. Safe Harbor-principer i USA. EG-kommissionens beslut har genomförts i Sverige genom 13 § personuppgiftsförordningen (1998:1191) och bilagan till förordningen. EG-kommissionen har vidare fattat beslut enligt direktivet om standardavtalsklausuler som kan användas vid överföring av personuppgifter till tredje land (EGT L 181, 4.7.2001, s. 19 och EGT L 6, 10.1.2002, s. 52). Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om undantag från förbudet i 33 § om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Direktivet medger undantag från förbudet mot överföring av personuppgifter med hänsyn till ett viktigt allmänt intresse. Som berörts i avsnitt 3.2.8 har det i punkt 58 i ingressen i direktivet angetts att undantag från förbudet får medges om skyddet av väsentliga samhällsintressen kräver det, ”till exempel vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter eller mellan socialförsäkringsmyndigheter”. Slutligen får regeringen och, efter delegation, Datainspektionen besluta om undantag från förbudet i vissa enskilda fall. Vissa undantag från förbudet finns i 12 § personuppgiftsförordningen för publicering av bl.a. kommuners och landstings diarier på In- ternet. Genom 14 § personuppgiftsförordningen har regeringen vidare bemyndigat Datainspektionen att meddela beslut om undantag i enskilda fall om det finns tillräckliga garantier till skydd för de registrerades rättigheter.
3.3.13Anmälningsskyldighet
Behandling av personuppgifter som är helt eller delvis automatiserad omfattas enligt personuppgiftslagen av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig
53
| Allmänna utgångspunkter | Ds 2002:60 |
anmälan till tillsynsmyndigheten innan en sådan behandling eller serie av sådana behandlingar med samma eller liknande ändamål genomförs. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Anmälningsskyldighet för behandlingar föreligger inte heller om den personuppgiftsansvarige tillsätter ett personuppgiftsombud som anmälts till tillsynsmyndigheten.
3.3.14Tillsynsmyndighet
I Sverige har Datainspektionen tilldelats uppgiften att vara tillsynsmyndighet. Med rollen som tillsynsmyndighet följer vissa befogenheter, såsom rätt att få tillgång till behandlade personuppgifter och tillträde till lokaler med anknytning till behandlingen. Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter som har behandlats på ett olagligt sätt skall utplånas.
3.3.15Sanktioner
Den personuppgiftsansvarige skall enligt personuppgiftslagen ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock i den utsträckning det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Den som uppsåtligen eller av oaktsamhet gör sig skyldig till vissa förfaranden kan enligt personuppgiftslagen dömas till böter eller fängelse. Det gäller i vissa fall vid lämnande av osann uppgift i information till den registrerade eller i anmälan eller information till tillsynsmyndigheten. Vidare gäller straffansvaret den som behandlar känsliga personuppgifter m.m. i strid med personuppgiftslagen, för över personuppgifter till tredje land i strid
54
| Ds 2002:60 | Allmänna utgångspunkter |
med lagen eller låter bli att göra föreskriven anmälan till tillsynsmyndigheten.
3.3.16Hanteringsmodellen
Personuppgiftslagen följer i huvudsak den modell för reglering som finns i direktivet. Det innebär att i princip all hantering av personuppgifter inom tillämpningsområdet i lagen omfattas av lagens regler, oavsett om hanteringen kan sägas utgöra ett missbruk. Den använda modellen brukar betecknas som en hanteringsmodell. Den restriktiva lagtekniska lösning som tillämpas är alltså att all behandling av personuppgifter inom ramen för tillämpningsområdet förbjuds i en inledande bestämmelse, från vilken det sedan i ett antal efterkommande bestämmelser medges undantag.
Redan vid utarbetandet av personuppgiftslagen beaktades möjligheten att ha en lagstiftning som mer direkt inriktar sig på att förhindra missbruk av personuppgifter, en s.k. missbruksmodell (se prop. 1997/98:44, s. 36 f), men regeringen konstaterade att en sådan ordning inte var möjlig med hänsyn till utformningen av det gällande direktivet. I samband med att konstitutionsutskottet behandlade motioner från den allmänna motionstiden 1998 som rörde frågor om bl.a. personuppgiftslagen underströk även utskottet behovet av en revidering av EG- direktivet samt anförde att en översyn av personuppgiftslagen borde komma till stånd med syfte att, så långt det är möjligt inom EG-direktivets ram, åstadkomma en förändring av lagstiftningen i riktning mot ett regelverk som tar sikte på missbruk av personuppgifter. Konstitutionsutskottet hemställde att riksdagen som sin mening skulle ge regeringen till känna vad utskottet anfört i denna del (1998/99:KU15, jämför även 1999/2000:KU7 och 2000/01:KU19). Riksdagen beslutade i mars 1999 i enlighet med utskottets hemställan (rskr. 1998/99:147).
Regeringen har också vidtagit åtgärder i denna riktning. Under hösten 2000 presenterade Justitiedepartementet ett utkast med förslag till ändring i EG-direktivet. Den föreslagna ändringen
55
| Allmänna utgångspunkter | Ds 2002:60 |
syftar till en förenklad reglering av skyddet för personuppgifter och är inriktad på att förhindra missbruk av sådana uppgifter. Åtgärder har också vidtagits på internationell nivå. Således tog bl.a. Sverige initiativ till en seminarieserie med företrädare för EG-kommissionen och medlemsstaterna för att bl.a. diskutera tillämpningsproblem. EG-kommissionen skulle enligt EG- direktivet senast i oktober 2001 komma med en rapport om genomförandet av EG-direktivet, eventuellt försedd med lämpliga ändringsförslag. Eftersom någon sådan rapport inte avgetts inom angiven tid tog Sverige vid ett ministerrådsmöte i november 2001 med EG-kommissionen upp frågan om rapporten och eventuella ändringar i EG-direktivet. Sverige framförde därvid sin syn på behovet att ändra EG-direktivet till en mera missbruksinriktad regleringsmodell. EG-kommissionen angav att rapporten skulle försenas med ett år med hänsyn till att alla medlemsstater ännu inte genomfört EG-direktivet. Sverige har också tagit upp behovet av ändringar mot en mer missbruksinriktad modell inom ramen för Europarådets arbete.
Regeringen har utsett en särskild utredare med uppgift att se över personuppgiftslagen i syfte att, inom ramen för EG-direk- tivet om personuppgifter, åstadkomma ett regelverk som mera tar sikte på missbruk av personuppgifter (se dir. 2002:31). Ut- redaren skall närmare analysera förutsättningarna – inom ramen för EG-direktivet om personuppgifter – för en reglering som tar sikte på missbruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet är i första hand att underlätta vardaglig hantering av personuppgifter och opinionsbildning samt kommunikation, samtidigt som enskilda ges ett effektivt skydd mot missbruk av uppgifterna och andra obefogade intrång i den personliga integriteten. Utredningsuppdraget skall redovisas senast den 31 mars 2003.
Det sagda innebär att mer eller mindre genomgripande förändringar av personuppgiftslagen kan komma att genomföras inom en inte alltför avlägsen framtid. Personuppgiftslagens och direktivets utformning kan sägas utgöra grundläggande utgångspunkter för registerlagstiftningen. Dessutom innebär den tek-
56
| Ds 2002:60 | Allmänna utgångspunkter |
niska utformningen i den samlade regleringen om skydd för personuppgifter att myndigheter m.fl. som har att tillämpa registerlagar i de flesta fall även måste beakta reglerna i personuppgiftslagen. Förutsättningarna för såväl registerlagstiftningen i sig som myndigheternas insatser för integritetsskydd kan således komma att förändras. Samtidigt skall inte konsekvenserna av en förändrad inriktning i enlighet med vad som övervägs överdrivas. Det är ett rimligt antagande att flertalet av de regler i registerlagstiftningen om ändamålsstyrning av behandling, begränsningar för sökning, reglering av behandling av känsliga personuppgifter, gallring m.m. kommer att anses lika motiverade vid en övergång till starkare inslag av missbruksmodell i personuppgiftslagen. Det ansåg t.ex. Datalagskommittén (SOU 1997:39 s. 185 f.). Till en del reglerar registerlagstiftningen dessutom vissa frågor som inte omfattas av personuppgiftslagen, exempelvis bestämmelser om i vilka fall uppgifter får lämnas ut genom direktåtkomst eller utlämnande på medium för automatiserad behandling. Det ter sig därför motiverat att genomföra den aktualiserade översynen av registerlagstiftningen för socialförsäkringens administration även med beaktande av den påbörjade översynen av personuppgiftslagen och eventuella kommande ändringar i dataskyddsdirektivet.
Personuppgiftslagen innehåller de generella regler som följer av direktivet i fråga om hur personuppgifter får behandlas. I socialförsäkringsregisterlagen anges vilka särskilda bestämmelser som gäller för behandling i personregister inom socialförsäkringens administration. Personuppgiftslagen är dock tillämplig även vid sådan behandling i den mån någon särreglering inte finns i socialförsäkringsregisterlagen.
3.4Socialförsäkringsregisterlagen (1997:934)
3.4.1Tidigare gällande registerförfattningar
Socialförsäkringsregisterlagen (1997:934) föregicks av två andra lagar, lagen (1993:747) om sjukförsäkringsregister hos de all-
57
| Allmänna utgångspunkter | Ds 2002:60 |
männa försäkringskassorna och lagen (1994:1517) om socialförsäkringsregister. Därtill fanns förordningar med närmare reglering av sjukförsäkringsregister hos försäkringskassorna som utfärdats med stöd av lagen (1994:1517) om socialförsäkringsregister samt en fristående förordning om bostadstilläggsregister. Vissa register inom socialförsäkringens administration fördes också med stöd av tillstånd enligt den då gällande datalagen.
Lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna trädde i kraft den 1 juli 1993. I lagen föreskrevs att varje lokalkontor inom en allmän försäkringskassa med stöd av automatisk databehandling fick föra ett sjukförsäkringsregister för sitt verksamhetsområde. Lagen reglerade också försäkringskassans rätt att föra register över sjömän. Registren fick användas för handläggning och förberedande åtgärder inför handläggning av i lagen angivna ärendeslag. Registren fick också användas för försäkringskassornas och Riksförsäkringsverkets (RFV) tillsyn, uppföljning och utvärdering av ärendehanteringen samt för statistiska ändamål.
I lagen angavs i princip uttömmande vilka integritetskänsliga uppgifter som fick registreras. Den s.k. terminalåtkomsten reglerades på så sätt att endast de lokalkontor inom en allmän försäkringskassa som förde registret fick ha tillgång till registret via sina terminaler. Lagen begränsade även möjligheterna att på medium för automatisk databehandling lämna ut uppgifter från registren. Möjligheterna att söka information om integritetskänsliga uppgifter i registren var också begränsade. Lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna innehöll vidare regler om gallring och de allmänna försäkringskassornas informationsansvar till de registrerade. Informationen skulle omfatta ändamålet med registret och de regler som på olika sätt skyddade den enskilde.
Lagen (1994:1517) om socialförsäkringsregister trädde i kraft den 1 juli 1995. Lagen reglerade de register hos RFV och de allmänna försäkringskassorna som fördes med stöd av automatisk databehandling för handläggning av ärenden om socialförsäk-
58
| Ds 2002:60 | Allmänna utgångspunkter |
ringsförmåner och andra förmåner. Lagen var i princip tillämplig på det område inom socialförsäkringen som inte omfattades av lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna. Lagen (1994:1517) om socialförsäkringsregister innehöll grundläggande generella bestämmelser för registerhantering inom socialförsäkringens administration och omfattade registerändamål, registerinnehåll, sambearbetning, registeransvar, terminalåtkomst, utlämnande av uppgifter på medium för automatisk databehandling, sökbegrepp, gallring samt information.
Ett socialförsäkringsregister fick enligt lagen användas för handläggning och förberedande åtgärder i ärenden om socialförsäkringsförmåner och andra förmåner som enligt lag eller förordning ankom på de allmänna försäkringskassorna eller RFV. Socialförsäkringsregister fick också användas för vissa utbetalningar, återbetalningar och inbetalningar som avsågs i lagen (1993:747) om sjukförsäkringsregister. Identitets- och folkbokföringsuppgifter beträffande en person fick registreras. Vidare fick registreras uppgifter om sådana ekonomiska och personliga förhållanden som hade betydelse för rätten till och utbetalning av förmåner. Detsamma gällde vid förberedande åtgärder inför handläggning av ett ärende. Känsliga personuppgifter fick som huvudregel inte registreras. I lagen angavs dock uttryckligen när undantag från förbudet fick göras.
Att ha två registerlagar som inte var kongruenta medförde negativa konsekvenser i flera hänseenden. Bl.a. uppstod gränsdragningsproblem och pedagogiska problem med att föra ut kunskaper om gällande reglering. Stora skillnader i behörigheten att besluta om registrens förande var ett annat problem. Mot bakgrund av det anförda infördes den nu gällande socialförsäkringsregisterlagen (1997:934). Lagen trädde i kraft den 1 januari 1998 och ersatte då både lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna och lagen (1994:1517) om socialförsäkringsregister (se prop. 1996/97:155, bet. 1997/98:SfU5, rskr. 1997/98:52).
59
| Allmänna utgångspunkter | Ds 2002:60 |
3.4.2Ändringar sedan socialförsäkringsregisterlagens tillkomst
Vissa förändringar av socialförsäkringsregisterlagen har genomförts sedan ikraftträdandet. I samband med genomförandet av det reformerade ålderspensionssystemet införlivades Premiepensionsmyndigheten bland de myndigheter vars verksamhet omfattas av lagen (se prop. 1997/98:151, bet. 1997/98:SfU13, rskr. 1997/98:135).
Den 1 juli 1999 infördes vissa tillägg angående vilka känsliga uppgifter som socialförsäkringsregister får innehålla samt en anpassning till genomförda ändringar av tandvårdsförsäkringen (se prop. 1998/99:73, bet. 1998/99:SfU10, rskr. 1998/99:223. Den 1 januari 2000 infördes ytterligare tillägg angående vilka känsliga uppgifter som får registreras som tog sikte på aktivitetsstöd enligt förordningen (1996:1100) om aktivitetsstöd (se prop. 2000/01:1 ålderspensionssystemet, bet. 2000/01:SfU1, rskr. 2000/01:92).
Den 1 oktober 2001 genomfördes vissa förslag till ändringar i anledning av en begränsad översyn av lagen i syfte att anpassa den till personuppgiftslagen (se prop. 2000/01:69, bet. 2000/01:SfU14, rskr. 2000/01:256). Bl.a. anpassades tillämpningsområdet till personuppgiftslagen såtillvida att socialförsäkringsregisterlagen även kom att gälla viss manuell hantering. Vidare genomfördes en anpassning när det gäller regleringen av känsliga personuppgifter. En anpassning till personuppgiftslagen genomfördes också vad gäller den personuppgiftsansvariges ansvar för rättelse m.m., skadestånd, information till den enskilde och överklagande i vissa fall. Vissa begrepp som definieras i personuppgiftslagen fick motsvarande betydelse i socialförsäkringsregisterlagen.
Den 1 januari 2002 infördes återigen vissa tillägg angående vilka känsliga uppgifter som socialförsäkringsregister får innehålla. I detta fall avsågs ändringarna uppgifter om huruvida den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknan-
60
| Ds 2002:60 | Allmänna utgångspunkter |
| de sätt | (se prop. 2000/01:80, bet. 2000/01:SoU18, rskr. |
2000/01:259).
Den 1 juli 2002 trädde slutligen vissa förändringar i kraft som syftar till ett utökat informationsutbyte mellan å ena sidan de allmänna försäkringskassorna och Riksförsäkringsverket och å andra sidan Centrala studiestödsnämnden och arbetslöshetskassorna. Syftet med förändringarna är att säkerställa korrekta underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskild (se prop. 2000/01:129, bet. 2001/02:KU3, rskr. 2001/02:18).
3.4.3Tillämpningsområdet – Personregister
I socialförsäkringsregisterlagen särregleras personregister för sådan verksamhet i fråga om socialförsäkringsförmåner samt andra förmåner och ersättningar som enligt lag, förordning eller särskilt beslut av regeringen ankommer på de allmänna försäkringskassorna, Premiepensionsmyndigheten eller Riksförsäkringsverket (socialförsäkringsregister).
Med personregister förstås enligt socialförsäkringsregisterlagen dels register, förteckning eller andra anteckningar som förs helt eller delvis automatiserat och som innehåller uppgifter som direkt eller indirekt kan hänföras till en fysisk person, dels strukturerade samlingar av uppgifter som inte förs automatiserat men som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som innehåller uppgifter som direkt eller indirekt kan hänföras till en fysisk person.
Begreppet personregister härrör från datalagen (1973:289), vars reglering till skillnad från personuppgiftslagen var uppbyggd huvudsakligen kring detta begrepp. Fram till den 1 oktober 2001 överensstämde begreppet personregister i socialförsäkringsregisterlagen helt med motsvarande begrepp i datalagen och omfattade då inte några manuella register. Som ett led i den ovan berörda anpassningen av socialförsäkringsregisterlagen till personuppgiftslagen ändrades som tidigare berörts definitionen i
61
| Allmänna utgångspunkter | Ds 2002:60 |
socialförsäkringsregisterlagen så att den på det ovan beskrivna sättet kom att omfatta även vissa manuella register.
Regleringen i socialförsäkringsregisterlagen är huvudsakligen inriktad på innehållet i personregistren och användningen av dessa; vem som skall ha tillgång till registren, varifrån uppgifterna i registren får hämtas, till vilka uppgifterna i registren får lämnas ut genom direktåtkomst eller utlämnande på medium för automatiserad behandling, hur sökning i registren får ske, hur registren skall gallras och hur information om innehållet i registren skall lämnas till de registrerade.
I personuppgiftslagen används emellertid inte begreppet personregister. I stället regleras behandling av personuppgifter, vilket inte på samma sätt relaterar till förfaranden med inriktning på mer eller mindre fastställda samlingar av uppgifter i register utan innefattar i princip alla tänkbara handhavanden av en personuppgift.
3.4.4Ändamål
De ändamål för socialförsäkringsregistren som anges i socialförsäkringsregisterlagen tar i första hand sikte på den egentliga kärnverksamheten hos de myndigheter som omfattas av lagen, såsom handläggning av ärenden, uppföljning m.m. Därutöver omfattas en del av de utlämnanden av personuppgifter till externa mottagare som sker.
Socialförsäkringsregister får således enligt socialförsäkringsregisterlagen användas för ändamålen handläggning och förberedande åtgärder avseende ärenden om förmåner och ersättningar som de allmänna försäkringskassorna, Riksförsäkringsverket eller Premiepensionsmyndigheten har att sköta enligt lag, förordning eller särskilt beslut av regeringen. Registren får vidare användas för uppföljning, utvärdering och tillsyn samt statistikframställning i nämnda verksamhet.
Personregistren får enligt en särskild ändamålsbestämmelse användas av Statens pensionsverk och det organ som administrerar personalpensioner gemensamt för kommunerna och lands-
62
| Ds 2002:60 | Allmänna utgångspunkter |
tingen (KPA Pension AB) för viss handläggning av ärenden om utbetalning och samordning av förmåner. Regeringen, eller den myndighet regeringen bestämt, får föreskriva i vilken omfattning detta får ske.
Sedan den 1 juli 2002 får uppgifter i socialförsäkringsregister enligt ytterligare en särskild ändamålsbestämmelse behandlas av de allmänna försäkringskassorna och Riksförsäkringsverket för tillhandahållande av information som behövs i Centrala studiestödsnämndens och arbetslöshetskassornas verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskild.
3.4.5Registerinnehåll
Ett socialförsäkringsregister får innehålla uppgifter om en person som förekommer eller kan komma att förekomma i ett ärende som omfattas av lagen. En förutsättning för att personuppgifter skall få registreras är dock att dessa är av betydelse för handläggningen av ärendet.
Personuppgifterna som får registreras indelas i allmänna och särskilda ärendeuppgifter. Allmänna ärendeuppgifter är identifierings- och adressuppgifter samt uppgifter om kön, civilstånd, medborgarskap och födelseort. Särskilda ärendeuppgifter är uppgifter om sådana personliga och ekonomiska förhållanden som är av betydelse för handläggning av ett ärende.
En huvudregel i socialförsäkringsregisterlagen är att särskilda ärendeuppgifter som är av sådant slag som avses i bestämmelserna i personuppgiftslagen om känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott m.m. inte får registreras i socialförsäkringsregister. I fråga om den sistnämnda kategorin uppgifter innebär alltså socialförsäkringsregisterlagen en inskränkning i till förhållande vad som gäller enligt personuppgiftslagen, eftersom restriktionerna i den lagen för behandling om uppgifter om lagöverträdelser som innefattar brott m.m. enbart omfattar andra än myndigheter.
63
| Allmänna utgångspunkter | Ds 2002:60 |
I vissa särskilt angivna fall medges dock undantag från huvudregeln i socialförsäkringsregisterlagen om begränsningar för registrering av uppgifter. Dels har i lagen intagits en lista med ett drygt 40-tal olika typer av uppgifter som får registreras, dels undantas särskilt vissa angivna typer av uppgifter som intagits i beslut eller domar i anledning av socialförsäkringsärenden. En särskild regel finns också om att regeringen får föreskriva att uppgifter om sjukdomsdiagnos i begränsad omfattning får registreras i socialförsäkringsregister om det behövs för angelägna uppföljningsändamål. Slutligen finns också en undantagsregel som tar sikte på s.k. elektroniska akter.
På flera områden inom den statliga förvaltningen har under senare år möjligheter till elektroniska akter som ingår i elektroniska ärendehanteringssystem (ÄHS) införts. I en elektronisk akt samlas all information i ett ärende i elektronisk form. In- komna handlingar skannas, dvs. läses in på medium för automatiserad behandling som överförs till akten. Handlingar som upprättas av handläggande myndighet såsom journal, föredragningspromemorior eller beslut sparas direkt på medium för automatiserad behandling i akten.
Ärendehanteringssystem innebär således sammanfattningsvis att papperslagring av uppgifter ersätts med lagring på medium för automatiserad behandling. Detta innebär givetvis att de ovan beskrivna begränsningarna för registrering av uppgifter som gäller personregister i vanlig mening inte kan gälla elektroniska akter eftersom handläggningen av ett ärende inom socialförsäkringen närmast regelmässigt innebär behandling av känsliga personuppgifter, exempelvis uppgifter om hälsa. För uppgifter i handlingar i elektroniska akter gäller därför i dag inte dessa begränsningar om uppgifterna har lämnats i ärendet eller behövs för handläggningen av detta.
I socialförsäkringsregisterlagen har således intagits en regel som innebär att för uppgifter i en elektronisk akt i ett ärendehanteringssystem (i lagtexten används begreppet ”socialförsäkringsregister som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna för handläggning av ärenden”)
64
| Ds 2002:60 | Allmänna utgångspunkter |
så gäller inte begränsningarna för registrering av känsliga uppgifter m.m. om uppgifterna har lämnats i ärendet eller behövs för handläggning av ärendet.
3.4.6Sambearbetning
Socialförsäkringsregister kan genom s.k. sambearbetning tillföras personuppgifter från andra personregister. Tillförande av uppgifter genom sambearbetning får enligt socialförsäkringsregisterlagen ske dels från andra socialförsäkringsregister, dels när det gäller uppgifter som lämnats till en allmän försäkringskassa, Premiepensionsmyndigheten eller Riksförsäkringsverket med stöd av en särskild bestämmelse i lag eller förordning om lämnande av uppgifter. Uppgifter kan även tillföras ett socialförsäkringsregister med stöd av annan lag eller förordning.
En förutsättning för att uppgifter ska få tillföras ett socialförsäkringsregister är dock att de tillförda uppgifterna ryms inom såväl det tillåtna registerinnehållet som registerändamålet. Be- stämmelserna om sambearbetning är således underordnade bestämmelserna om registerändamål och registerinnehåll.
Till viss del kan även reglerna om sambearbetning sägas härröra från datalagens form för reglering av integritetsskyddet. Datalagen innehöll således en särskild regel om krav på tillstånd för personregister som skulle innehålla personuppgifter som inhämtades från något annat personregister om inte registreringen av uppgifterna skedde med stöd av författning. Genom bestämmelsen i socialförsäkringsregisterlagen om att sambearbetning får ske i vissa fall krävdes alltså inte något särskilt tillstånd enligt datalagen för de aktuella personregistren. Personuppgiftslagen innehåller emellertid inte några särskilda bestämmelser om sambearbetning. Det följer emellertid av den i den lagen angivna finalitetsprincipen att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket de samlades in.
65
| Allmänna utgångspunkter | Ds 2002:60 |
3.4.7Personuppgiftsansvar
I socialförsäkringsregisterlagen återfinns särskilda bestämmelser om personuppgiftsansvaret för olika behandlingar hos de allmänna försäkringskassorna, Riksförsäkringsverket och Premiepensionsmyndigheten. Personuppgiftsansvariga för socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna är verket samt varje försäkringskassa när det gäller behandling av uppgifter hos den försäkringskassan. För register som förs särskilt för en allmän försäkringskassa eller ett lokalt organ inom denna är försäkringskassan personuppgiftsansvarig. Premiepensionsmyndigheten är personuppgiftsansvarig för socialförsäkringsregister som förs särskilt för myndigheten. Riksförsäkringsverket är personuppgiftsansvarigt för socialförsäkringsregister som förs särskilt för verket.
3.4.8Direktåtkomst m.m.
I s.k. registerförfattningar finns ofta bestämmelser som syftar till att reglera om och i vilka fall personuppgifter får lämnas ut i elektronisk form från en myndighet. När det gäller dessa typer av bestämmelser är begreppen direktåtkomst och utlämnande på medium för automatiserad behandling centrala.
Med direktåtkomst avses att den som använder registret via en dator på egen hand kan söka i detta och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet, samt att uppgifter i registret på det beskrivna sättet lämnas ut utan att den ansvariga myndigheten i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut (se prop. 2000/01:33 s. 111). En allmän sekretessprövning torde dock regelmässigt ske innan direktåtkomsten medges och det kan dessutom vara så att direktåtkomsten enbart omfattar ett urval av i sekretesshänseende harmlösa uppgifter som bestäms i förväg. Inledningsvis torde begreppet ha använts med sikte på situationer där myndigheter eller enskilda får tillgång till register
66
| Ds 2002:60 | Allmänna utgångspunkter |
via en terminal som utgör del av en myndighets datasystem (tidigare användes begreppet terminalåtkomst). Vid ett sådant förfarande ges en enskild normalt enbart möjlighet att via bildskärmen ta del av uppgifter, men inte att spara dem på exempelvis en diskett eller på annat mer direkt sätt få möjlighet att använda dem i automatiserad behandling m.m. I själva begreppet direktåtkomst såsom det definieras ovan ligger dock inte någon sådan begränsning. Inte heller föreligger någon begränsning såvitt avser åtkomst till register via Internet med användande av en persondator (se Karnov 2000/01 s. 4054).
I registerlagstiftningen regleras ofta i vilka fall uppgifter i ett personregister får lämnas ut till andra myndigheter eller till enskilda dels genom direktåtkomst, dels genom utlämnande på medium för automatiserad behandling. Man gör alltså i lagstiftningen åtskillnad mellan direktåtkomst och utlämnande på medium för automatiserad behandling. Ett exempel på den sistnämnda formen för utlämnande är att en myndighet tillhandahåller en diskett på vilken uppgifter från ett personregister lagrats. Det är alltså normalt fråga om ett överlämnande av elektroniskt lagrade uppgifter på någon slags medium för lagring eller överföring. I ett sådant fall skall naturligtvis en prövning i varje enskilt fall ske av huruvida uppgifterna kan lämnas ut eller om exempelvis sekretessbestämmelser utgör hinder för utlämnandet.
Vad begreppet medium för automatiserad behandling innefattar kan inte sägas vara helt klarlagt. Syftet med de olika förekommande reglerna om former för utlämnande av uppgifter är emellertid i regel att med hänsyn till intresset av att skydda medborgarnas integritet inskränka möjligheterna för utomstående att genom överföring av uppgifter i personregister kunna förfoga över uppgifterna på ett sätt som innebär risker i integritetshänseende. Den tekniska metoden för överföring av uppgifter, om det sker via en diskett eller via Internet, är i det sammanhanget ointressant. Mot bakgrund härav bör även överföring av personuppgifter via Internet till en persondator, vilket även om huvudsyftet är att innehavaren skall ta del av uppgifterna på skärmen i regel dessutom innebär att uppgifterna på något sätt kan lagras i per-
67
| Allmänna utgångspunkter | Ds 2002:60 |
sondatorn, i många fall vara att anse som utlämnande av uppgifter på medium för automatiserad behandling. Detta torde gälla såväl det fallet att överföringen sker via e-post som när överföringen sker via uppkoppling till en hemsida. I sistnämnda fallet kan det i vissa fall även vara fråga om direktåtkomst och utlämnande på medium för automatiserad behandling på samma gång.
I de fall en datafil med personuppgifter lämnas till exempelvis ett tryckeri för att användas vid framställning av trycksaker för utlämnarens räkning eller andra sådana mottagare som gör en endast teknisk behandling av uppgifterna, torde det dock inte vara fråga om ett utlämnande på medium för automatiserad behandling i den mening som avses i registerlagstiftningen.
I socialförsäkringsregisterlagen återfinns regler om såväl direktåtkomst som utlämnande på medium för automatiserad behandling.
Riksförsäkringsverket och de allmänna försäkringskassorna får ha direktåtkomst till uppgifter i socialförsäkringsregister som förs gemensamt för verket och försäkringskassorna. Om det behövs för handläggning av ärenden eller förberedande åtgärder för sådan handläggning får även Premiepensionsmyndigheten ha direktåtkomst till ett sådant register. Direktåtkomst till uppgifter i socialförsäkringsregister som förs särskilt för en allmän försäkringskassa får endast den försäkringskassan ha. Om ett register förs särskilt för ett lokalt organs verksamhetsområde inom försäkringskassan får dock endast det lokala organet ha direktåtkomst till uppgifterna. Direktåtkomst till uppgifter i socialförsäkringsregister som förs särskilt för Premiepensionsmyndigheten får endast myndigheten ha. Om det behövs för handläggning av ärenden eller förberedande åtgärder för sådan handläggning får dock även en allmän försäkringskassa och Riksförsäkringsverket ha direktåtkomst till ett sådant register med undantag för sådana handlingar som avses i bestämmelsen om elektroniska akter. Direktåtkomst till uppgifter i socialförsäkringsregister som förs särskilt för Riksförsäkringsverket får endast verket ha. Om det behövs för handläggning av ärenden eller förberedande åtgärder för sådan handläggning får dock även
68
| Ds 2002:60 | Allmänna utgångspunkter |
en allmän försäkringskassa och Premiepensionsmyndigheten ha direktåtkomst till ett sådant register med undantag för sådana handlingar som avses i bestämmelserna om elektroniska akter.
Behörighet för direktåtkomst till uppgifter i socialförsäkringsregister får endast ges till den som behöver ha tillgång till uppgifterna för att kunna utföra sitt arbete.
Även organ utanför socialförsäkringsadministrationen får enligt socialförsäkringsregisterlagen ha direktåtkomst till socialförsäkringsregister för vissa angivna ändamål. Statens löne- och pensionsverk och det för kommunerna och landstingen gemensamma organet för administration av personalpensioner får, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, ha direktåtkomst till uppgifter i socialförsäkringsregister för handläggning av ärenden om utbetalning av socialförsäkringsförmåner och samordning av tjänstepensionsförmåner. Statens löne- och pensionsverk får dessutom, i den utsträckning som föreskrivs av regeringen eller den myndighet regeringen bestämmer, använda socialförsäkringsregister för handläggning av ärenden om statens tjänstegrupplivförsäkring.
I anledning härav finns även en särskild regel om tystnadsplikt för den som genom sin befattning med ett socialförsäkringsregister hos det för kommunerna och landstingen gemensamma organet för administration av personalpensioner. Från och med den 1 juli 2002 får även Centrala studiestödsnämnden och arbetslöshetskassorna ha direktåtkomst till socialförsäkringsregister om det behövs för att upprätta underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskild.
Även i 3 § förordningen (2001:1125) om försöksverksamhet med 24-timmarsmyndighet inom socialförsäkringsadministrationen finns bestämmelser om direktåtkomst till socialförsäkringsregister. Den som deltar i den försöksverksamhet som avses i förordningen får enligt paragrafen i enlighet med vad som föreskrivs av Riksförsäkringsverket ha direktåtkomst till sådana uppgifter om sig själv i socialförsäkringsregister som får lämnas ut till honom eller henne. Sådana uppgifter får även lämnas ut på medium för automatiserad behandling till den som deltar i för-
69
| Allmänna utgångspunkter | Ds 2002:60 |
söksverksamheten i enlighet med vad som föreskrivs av Riksförsäkringsverket.
Uppgifter i socialförsäkringsregister som lämnas ut med stöd av en särskild bestämmelse i lag eller förordning får lämnas på medium för automatisk databehandling. I övrigt får uppgifter lämnas ut på medium för automatiserad behandling endast om sådant utlämningssätt följer av lag eller förordning eller om uppgiften skall användas för forskning eller framställning av statistik. Enligt förarbetena till lagen (prop. 1996/97:155 s. 84) är avsikten med uttrycket ”en särskild bestämmelse i lag eller förordning” att ”utesluta tryckfrihetsförordningen”, dvs. den första meningen innebär inte att uppgifter som lämnas ut med stöd av tryckfrihetsförordningen får lämnas på medium för automatisk databehandling. Vidare anges i förarbetena (prop. 1996/97:155 s. 63 f. ) följande.
Utvecklingen går mot minskade restriktioner i fråga om utlämnande av uppgifter på ADB-medium. Regeringen anser dock att tiden inte är mogen att i detta sammanhang ta steget fullt ut så att allt utlämnande av uppgifter får ske på ADB-medium. Däremot bör det kunna accepteras att allt författningsreglerat uppgiftslämnande från socialförsäkringsadministrationen också får ske på ADB-medium. Detta innebär att om det finns en särskild bestämmelse i lag eller förordning om att uppgifter skall eller får lämnas till en mottagare så får detta alltid ske på ADB- medium.
En rimlig tolkning av den aktuella bestämmelsen är att en sådan regel som avses bör ha grundats på en särskild bedömning om att uppgifter av olika slag – definierade utifrån ett visst syfte eller angivna specifika kategorier – skall eller får lämnas ut. Det finns ett flertal olika typer av författningsbestämmelser som torde omfattas av det aktuella begreppet.
När det gäller lämnande av uppgifter från socialförsäkringsregister inom socialförsäkringsadministrationen finns det i den ovan redovisade regleringen i socialförsäkringsregisterlagen om sambearbetning av uppgifter en regel om att socialförsäkringsregister genom sambearbetning får tillföras uppgifter från andra
70
| Ds 2002:60 | Allmänna utgångspunkter |
socialförsäkringsregister och uppgifter som lämnas till en allmän försäkringskassa, Premiepensionsmyndigheten eller Riksförsäkringsverket med stöd av en särskild bestämmelse i lag eller förordning om lämnande av uppgifter. Detta innebär att sådana uppgifter får lämnas på medium för automatiserad behandling inom socialförsäkringsadministrationen (se prop. 1996/97:155 s. 63).
Vidare torde med särskild bestämmelse i lag eller förordning avses sådana särskilda sekretessbrytande bestämmelser som avses i 14 kap. 1 §, 7 kap. 7 § fjärde stycket eller 9 kap. 25 § andra stycket sekretesslagen (1980:100) och som gäller socialförsäkringsadministrationen.
Såväl de allmänna försäkringskassorna som Riksförsäkringsverket och Premiepensionsmyndigheten är, i enlighet med regeringsformens terminologi, att anse som myndigheter i sekretesslagens mening (se prop. 1975/76:160 s. 135). När frågor aktualiseras om utlämnande av uppgifter för vilka sekretess kan föreligga från något av dessa organ till en annan myndighet kan en prövning enligt 14 kap. 1 § sekretesslagen bli aktuell. Enligt andra meningen i 14 kap. 1 § får uppgifter lämnas ut utan hinder av sekretess när det följer av annan lag än sekretesslagen eller av förordning att uppgiften skall lämnas ut till en annan myndighet. Sådana bestämmelser kan ha ett flertal olika utformningar. De kan ta sikte på uppgifter av ett visst slag eller uppgifter i allmänhet som kan vara av betydelse för en annan myndighets verksamhet eller del av verksamhet. Begränsningar kan förekomma så till vida att ett visst angivet syfte för användningen ger en ram för vilka uppgifter som kan lämnas ut. Det kan även vara fråga om regler som tar sikte på vissa överlämnanden av olika specificerade typer av handlingar. I vissa fall kan även bestämmelser om direktåtkomst till register ha en sekretessbrytande funktion, i vart fall om det föreskrivs att en myndighet ”skall ha” direktåtkomst till uppgifterna (se prop. 2001/01:33 s 347 f.). Emellertid är det ett krav för att en bestämmelse skall anses ha en sådan sekretessbrytande funktion som avses i 14 kap. 1 § att bestämmelsen i fråga har ett visst mått av konkretisering med avseende
71
| Allmänna utgångspunkter | Ds 2002:60 |
på en skyldighet till utlämnande av uppgifter. Allmänna bestämmelser om samarbete myndigheter emellan har inte någon sekretessbrytande funktion. Exempel på sekretessbrytande bestämmelser som omfattar socialförsäkringsadministrationen är bestämmelserna i förordningen (1980:995) om skyldighet för de allmänna försäkringskassorna att lämna uppgifter till andra myndigheter, 11 kap. 11 § socialtjänstlagen (2001:453), 6 kap. 7 § studiestödslagen (1999:1395), 6 kap. 13 § studiestödsförordningen (2000:655), 48 c § lagen (1997:238) om arbetslöshetsförsäkring, 22 § förordningen (1997:835) om arbetslöshetsförsäkring, 3 § förordningen (1998:1773) om ersättning vid särskilda insatser för personer med tre fjärdedels förtidspension eller sjukbidrag, 3 kap. 16 § taxeringslagen (1990:324), 29 § skattebetalningsförordningen (1997:750), 12 § och 18 § förordningen (1977:284) om arbetsskadeförsäkring och statligt personskadeskydd, 17 § utsökningsförordningen (1981:981), 6 § förordningen (2001:100) om den officiella statistiken. Utlämnande av uppgifter på grund av de nämnda bestämmelserna får alltså i enlighet med vad som redovisats ovan ske på medium för automatiserad behandling.
14 kap. sekretesslagen innehåller vidare en rad andra bestämmelser om undantag från sekretess, i vissa fall i förhållande till andra myndigheter och i andra fall i förhållande till enskilda. Dessa bestämmelser torde dock inte vara sådana som enligt socialförsäkringsregisterlagen kan medföra att uppgifter får lämnas ut på medium för automatiserad behandling, eftersom de endast reglerar frågan om huruvida sekretess hindrar ett utlämnande eller ej och inte införts för något mer specifikt syfte med avseende på utlämnande av uppgifter från socialförsäkringsadministrationen. Enbart det förhållandet att sekretess inte gäller för en viss uppgift är naturligtvis inte tillräckligt för att uppgifter skall få lämnas ut på medium för automatiserad behandling. Inte heller torde det räcka med det förhållandet att offentliga uppgifter lämnas ut som ett led i fullgörandet av en myndighets serviceskyldighet enligt 4 § förvaltningslagen (1986:223) eller upplysningsskyldighet enligt 15 kap. 4-5 §§ sekretesslagen. I
72
| Ds 2002:60 | Allmänna utgångspunkter |
annat fall skulle det i socialförsäkringsregisterlagen angivna förbudet mot utlämnande av uppgifter på medium för automatiserad behandling ha en synnerligen begränsad räckvidd. Ett exempel på en annan typ av regel är emellertid den s.k. generalklausulen i 14 kap. 3 §, som enligt sin ordalydelse direkt anger att sekretessbelagd uppgift får lämnas till myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. Frågan är emellertid om inte den bestämmelsen är av alltför allmän karaktär för att vid tillämpning av socialförsäkringsregisterlagen kunna ligga till grund för utlämnande av uppgifter på medium för automatiserad behandling.
Med stöd av särskilda bestämmelser i 7 kap. 7 § och 9 kap. 25 § sekretesslagen får sekretessbrytande bestämmelser som tar sikte på utlämnande av uppgifter till enskilda utan hinder av sekretess (angående ifrågavarande slag av bestämmelser se även 1 kap. 2 § sekretesslagen) införas i lagstiftningen om allmän försäkring, lagstiftningen om allmän ålderspension (fr.o.m. 2003-01-01 lagstiftningen om allmän pension, se SFS 2002:194), lagstiftningen om handikappersättning och vårdbidrag och lagstiftningen om sjuklön. Sådana specificerade sekretessbrytande bestämmelser har också tagits in i 18 kap. 2 § (första stycket 4 p.) och 20 kap. 9 a § lagen (1962:381) om allmän försäkring, 3 § lagen (1993:16) om försäkring mot vissa semesterlönekostnader, 11 § och 27 § lagen (1991:1047) om sjuklön, 15 kap. 15 § lagen (1998:674) om inkomstgrundad ålderspension, 6 kap. 3 § lagen (1998:702) om garantipension, 22 § lagen (1998:703) om handikappersättning och vårdbidrag och 10 § lagen (2000:461) om efterlevandepension och efterlevandestöd till barn. Vid utlämnande av uppgifter på grund av dessa bestämmelser får utlämnandet ske på medium för automatiserad behandling.
Det förekommer även en rad bestämmelser i vilka det direkt anges att utlämnande av vissa uppgifter får ske på medium för automatiserad behandling. Det är alltså i dessa fall inte fråga om bestämmelser som berör eventuell sekretess. Som framgått ovan omfattar den aktuella bestämmelsen i socialförsäkrings-
73
| Allmänna utgångspunkter | Ds 2002:60 |
registerlagen bestämmelser av den typen. Exempel på sådana bestämmelser är 5–10 §§ socialförsäkringsregisterförordningen (1998:1576), 4 § förordningen (1998:1340) om inkomstgrundad ålderspension, 7 § och 12 § lagen (2001:1227) om självdeklarationer och kontrolluppgifter. Dessa bestämmelser är naturligtvis inte i sig sekretessbrytande.
3.4.9Sökning
Särskilda restriktioner gäller enligt socialförsäkringsregisterlagen för sökning i socialförsäkringsregister. Med sökning avses här att man efter att ha angett ett sökbegrepp – till exempel enstaka ord, en textsträng eller andra teckenkombinationer – på automatiserad väg söker igenom en samling uppgifter för att hitta matchande begrepp, vars förekomst i samlingen av uppgifter därigenom lokaliseras. Härigenom kan sammanställningar av uppgifter upprättas mycket enkelt och snabbt. Skulle det inom socialförsäkringsadministrationen saknas begränsningar för sökmöjligheterna i socialförsäkringsregister, skulle det innebära en påtaglig risk för otillbörliga integritetsintrång.
Uppgifter i socialförsäkringsregister får användas som sökbegrepp endast om det behövs för tillämpning av lag eller förordning eller särskilt beslut av regeringen samt för rättelse, tillsyn, uppföljning eller utvärdering, eller urval för forskning eller framställning av statistik. Uppgifter om att den registrerade får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad, är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad får användas som sökbegrepp endast för rättelse och bara om felet inte kan rättas på annat sätt.
I fråga om handlingar i elektroniska akter i ärendehanteringssystem får endast ärendebeteckning och beteckning på handling användas som sökbegrepp. Regeringen eller den myndighet regeringen bestämmer får dessutom föreskriva ytterligare begränsningar av användningen av uppgifter som sökbegrepp.
74
| Ds 2002:60 | Allmänna utgångspunkter |
3.4.10Gallring
Uppgifter i socialförsäkringsregister skall gallras ut senast tio år efter det att de registrerades eller inom den kortare tidsfrist som föreskrivs av regeringen eller den myndighet regeringen bestämmer. Detta gäller dock inte om uppgifterna fortfarande kan antas ha betydelse för handläggning av ett ärende. Handlingar i elektroniska akter skall gallras ut senast tre år efter utgången av det år under vilket ärendet har avslutats.
Regeringen eller den myndighet regeringen bestämmer får föreskriva undantag från bestämmelserna om gallring i socialförsäkringsregister för bevarande av ett urval av material för forskningens behov. Sådant material skall överlämnas till arkivmyndighet.
3.4.11Information
Socialförsäkringsregisterlagen innehåller också bestämmelser om information till den som är eller avses bli registrerad i ett socialförsäkringsregister. Inledningsvis anges att 23 och 25–27 §§ personuppgiftslagen (1998:204) gäller vid tillämpning av socialförsäkringsregisterlagen. Beträffande register som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna skall informationen lämnas av försäkringskassan.
Uppgifter i handlingar i elektroniska akter behöver emellertid inte tas med i information enligt 26 § personuppgiftslagen. Av informationen skall dock framgå vilka handlingar avseende den registrerade som finns i registret. Om den enskilde begär det och anger vilken handling som avses skall, om inte annat följer av bestämmelser om sekretess, information lämnas även om uppgifter i handlingar i elektroniska akter. I sistnämnda fall skall begränsningen i 26 § personuppgiftslagen om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.
Den som är personuppgiftsansvarig för ett socialförsäkringsregister skall se till att den som är eller
75
| Allmänna utgångspunkter | Ds 2002:60 |
avses bli registrerad på lämpligt sätt får information om registret. Informationen skall innehålla en beskrivning av de uppgifter som registret får innehålla samt upplysning om ändamålen med registret, de sekretess- och säkerhetsbestämmelser som gäller för registret, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten till rättelse enligt personuppgiftslagen och socialförsäkringsregisterlagen, samt de begränsningar i fråga om direkt åtkomst, utlämnande av uppgifter på medium för automatiserad behandling, sökbegrepp och bevarande av uppgifter som gäller för registret.
3.4.12Skadestånd och rättelse
Ett motsvarande skadeståndsansvar som det som gäller vid behandling i strid med personuppgiftslagen gäller enligt socialförsäkringsregisterlagen vid behandling i strid med sistnämnda lag eller anslutande författningar. Vidare har i socialförsäkringsregisterlagen intagits en bestämmelse om rättelse som motsvarar vad som gäller enligt personuppgiftslagen.
3.4.13Överklagande
En myndighets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen får enligt socialförsäkringsregisterlagen överklagas hos allmän förvaltningsdomstol. Andra beslut enligt socialförsäkringsregisterlagen får inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.
3.4.14Bemyndigande
Slutligen innehåller socialförsäkringsregisterlagen en bestämmelse om att regeringen eller den myndighet regeringen bestämmer får meddela säkerhetsföreskrifter för socialförsäkringsregister.
76
4Behandling av personuppgifter inom socialförsäkringens administration
4.1Uppgifterna för socialförsäkringens administration
Riksförsäkringsverket administrerar socialförsäkringen och anslutande bidragssystem tillsammans med de allmänna försäkringskassorna. Premiepensionsmyndigheten har till uppgift att handlägga frågor om premiepension enligt lagen (1998:674) om inkomstgrundad ålderspension och lagen (1998:710) med vissa bestämmelser om Premiepensionsmyndigheten. Tillsammans kallas myndigheterna socialförsäkringens administration.
Riksförsäkringsverket och de allmänna försäkringskassorna skall tillsammans administrera och verka för en allmän socialförsäkring som ger ekonomisk trygghet vid sjukdom, handikapp, ålderdom och vård av barn. Exempel på de olika delarna av den allmänna socialförsäkringen är sjukförsäkringen, föräldraförsäkringen och ålderspensionen. Barnbidrag, underhållsstöd och bostadsbidrag är exempel på andra förmåner som finns inom socialförsäkringen.
4.1.1Riksförsäkringsverket
Riksförsäkringsverket är central förvaltningsmyndighet för socialförsäkringen och anslutande bidragssystem och svarar på central nivå för bl.a. tillsyn och utvärdering av verksamheten.
Några av Riksförsäkringsverkets viktigaste uppgifter i det här sammanhanget är
77
| Behandling av personuppgifter inom socialförsäkringens administration | Ds 2002:60 |
a)att verka för att socialförsäkrings- och bidragssystemen tillämpas likformigt och rättvist,
b)att verka för att åtgärder vidtas för att förebygga och minska ohälsa i syfte att minska de långa sjukperioderna,
c)att utöva tillsyn över de allmänna försäkringskassorna,
d)att utöva tillsyn över att Premiepensionsmyndigheten tillämpar de bestämmelser om premiepension som inte avser kapitalförvaltning eller försäkringsteknisk verksamhet på ett likformigt och rättvist sätt i förhållande till enskilda,
e)att ansvara för ekonomistyrningen av försäkringskassorna,
f)att vara ansvarig systemägare för Riksförsäkringsverkets och försäkringskassornas gemensamma IT-system,
g)att ha ett övergripande ansvar för att allmänheten får en tillfredsställande information om socialförsäkringen, i de delar den ligger inom myndighetens verksamhetsområde, och anslutande bidragssystem samt om planerade förändringar inomområdet,
h)att ha huvudansvaret för att samordna informationen till allmänheten om premiepensionen och den övriga ålderspensionen enligt lagen (1998:674) om inkomstgrundad ålderspension,
i)att stödja forskning inom socialförsäkringsområdet,
j)att ha en stödjande och rådgivande funktion för den interna revisionen vid de allmänna försäkringskassorna och därvid samråda med Riksrevisionsverket i frågor av större vikt,
k)att ansvara för officiell statistik enligt förordningen (2001:100) om den officiella statistiken,
l)att följa utvecklingen inom socialförsäkringen och anslutande bidragssystem samt utvärdera effekterna av dessa för individ och samhälle,
m)att ta fram och vidareutveckla prognosmodeller och svara för prognoser för och analyser av utgifterna för de socialförsäkrings- och bidragssystem som administreras av Riksförsäkringsverket och de allmänna försäkringskassorna,
n)att biträda Regeringskansliet inom sitt verksamhetsområde,
78
| Ds 2002:60 | Behandling av personuppgifter inom socialförsäkringens administration |
o)att delta i internationellt samarbete inom sitt verksamhetsområde,
p)att verka för att dess verksamhet i alla delar tar hänsyn till effekterna för både kvinnor och män,
q)att ha ett samlat ansvar, sektorsansvar, för handikappfrågor med anknytning till sitt verksamhetsområde och inom ramen för detta ansvar vara samlande, stödjande och pådrivande i förhållande till övriga berörda parter
r)att samverka med Arbetsmarknadsstyrelsen, Arbetsmiljöverket och Socialstyrelsen i syfte att uppnå en effektivare användning av tillgängliga resurser inom rehabiliteringsområdet.
Inom sitt verksamhetsområde företräder Riksförsäkringsverket staten vid domstol.
Riksförsäkringsverket svarar för administrationen av socialförsäkringens omfattande datasystem. Verkets IT-avdelning heter RFV Data och ligger i Sundsvall.
4.1.2De allmänna försäkringskassorna
Det finns en allmän försäkringskassa i varje län, sammanlagt 21 stycken. Försäkringskassorna handlägger enskilda ärenden om socialförsäkring på regional och lokal nivå.
De allmänna försäkringskassornas verksamhet regleras i lagen om allmän försäkring. Verksamheten finansieras helt med statliga medel. Styrelsen och direktören för en försäkringskassa utses av regeringen.
Försäkringskassorna anses utgöra från staten fristående offentligrättsliga organ som vid myndighetsutövning kan betraktas som förvaltningsmyndigheter. Handläggning och beslut om förmåner hos försäkringskassan m.m. är att betrakta som myndighetsutövning. Såväl förvaltningslagen som sekretesslagen är tillämpliga för de allmänna försäkringskassornas ärendehandläggning.
79
| Behandling av personuppgifter inom socialförsäkringens administration | Ds 2002:60 |
Den allmänna försäkringskassan skall enligt lagen (1962:381) om allmän försäkring
a)utreda och besluta i ärenden som enligt lagen om allmän försäkring eller annan författning skall skötas av försäkringskassan,
b)svara för att socialförsäkrings- och bidragssystemen tillämpas likformigt och rättvist,
c)vidta åtgärder för att förebygga och minska ohälsa i syfte att minska de långa sjukperioderna samt aktivt arbeta med rehabilitering
d)lämna hjälp vid handhavandet av annan verksamhet enligt vad regeringen bestämmer, samt
e)lämna hjälp åt en myndighet som har hand om arbetslöshets-
försäkringen eller åt ett sådant lokalt organ som avses i 1 kap. 2 § lagen om allmän försäkring.
4.1.3Premiepensionsmyndigheten
Premiepensionsmyndighetens administration av premiepensionssystemet innefattar ett flertal uppgifter. Myndigheten skall bokföra och genomföra alla köp och all försäljning av fondandelar och ansvara för de premiepensionskonton som upprättas samt besluta om utbetalning av premiepension. Vidare skall myndigheten förvalta de pengar som pensionssparare vid pensioneringen väljer att föra över till traditionella försäkringar. Ytterligare en uppgift är att administrera efterlevandeskydd som ingår i systemet.
Inom sitt verksamhetsområde företräder Premiepensionsmyndigheten staten vid domstol.
80
| Ds 2002:60 | Behandling av personuppgifter inom socialförsäkringens administration |
4.2Automatiserad behandling av personuppgifter inom socialförsäkringens administration
4.2.1Socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna
Det finns ett stort antal omfattande socialförsäkringsregister som förs gemensamt för Riksförsäkringsverket och de allmänna försäkringskassorna. Här redovisas de viktigaste.
Sjukförsäkringsregistret används för att förse alla ärendeslag inom socialförsäkringen med personinformation samt vid handläggning och förberedande åtgärder för handläggning av sjukpenning, föräldrapenning, havandeskapspenning, närståendepenning, rehabiliteringsersättning, smittbärarpenning, aktivitetsstöd, dagpenning till totalförsvarspliktiga, frivillig sjukförsäkring, sjukpenninggrundande inkomst och svenska och utländska bosättnings- och arbetsperioder. Registret används vidare för uppföljning, utvärdering, tillsyn, framställning av statistik beträffande sådana ärenden samt för kontroll och utbetalning vid handläggning av övriga ärenden som omfattas av 1 § första stycket socialförsäkringsregisterlagen.
Statens pensionsverk och det organ för administration av personalpensioner som är gemensamt för kommunerna och landstingen (KPA Pension AB) använder sjukförsäkringsregistret för handläggning av ärenden om utbetalning av socialförsäkringsförmåner och samordning av tjänstepensioner. De båda organen har direktåtkomst till registret. Statens pensionsverk använder vidare registret för handläggning av ärenden om statens tjänstegrupplivförsäkring.
Uppgifter om identitet, andra personuppgifter som namn, adress, telefonnummer, civilstånd och medborgarskap, sekretessmarkering, anhöriga, skatt, folkbokföringsort inhämtas till sjukförsäkringsregistret från Riksskatteverket. Inkomstuppgifter samt uppgifter om bankkonto och svenska och utländska bosättnings- och arbetsperioder inhämtas från den registrerade. Uppgifter om pension eller annan socialförsäkringsförmån in-
81
| Behandling av personuppgifter inom socialförsäkringens administration | Ds 2002:60 |
hämtas från försäkringskassorna och RFV. Från andra myndigheter som Arbetsmarknadsstyrelsen, Pliktverket och Centrala studiestödsnämnden inhämtas vissa uppgifter om andra ersättningar/åtgärder. Från sjukförsäkringsregistret lämnas uppgifter till Riksskatteverket, Premiepensionsmyndigheten och kronofogdemyndigheterna om namn, adress, civilstånd och medborgarskap. Till Premiepensonsmyndigheten och kronofogdemyndigheterna lämnas uppgifter om anhöriga. Uppgifter om inkomster och arbetsgivare lämnas till kommuner, Riksskatteverket och kronofogdemyndigheterna. Skatteuppgifter lämnas till Riksskatteverket och kronofogdemyndigheterna.
Bidragsregistret används för administration av ärenden om underhållsstöd, barnbidrag, förlängt barnbidrag och adoptionskostnadsbidrag samt den samordning som sker med ärenden om underhållsstöd vid handläggning av ärenden av barnpension. Registret används också för förberedande åtgärder för utvärdering, uppföljning, tillsyn och framställning av statistik beträffande dessa ärenden. För kontroll av att utbetalning sker och med vilket belopp kan registret vidare komma att användas vid handläggning av övriga ärenden som omfattas av 1 § första stycket socialförsäkringsregisterlagen.
Uppgifterna om identitet, namn, adress, civilstånd, rättslig vårdnad, förmåner, återbetalningsskyldighet, skuldsanering, inkomster inhämtas från bl.a. Riksskatteverket, försäkringskassorna, kronofogdemyndigheterna. Från Bidragsregistret lämnas uppgifter ut till bl.a. Centrala studiestödsnämnden, kommuner och kronofogdemyndigheter.
Pensionsregistret används för administration av ärenden om ålderspension, efterlevandepension, förtidspension och sjukbidrag. Registret används vidare för förberedande åtgärder för handläggning och för uppföljning, utvärdering, tillsyn och framställning av statistik beträffande dessa ärenden. För kontroll om utbetalningar sker och med vilket belopp kan registret även komma att användas vid handläggning av och samordning med övriga socialförsäkringsersättningar.
82
| Ds 2002:60 | Behandling av personuppgifter inom socialförsäkringens administration |
Uppgifter om identitet, anhöriga, adress, ATP-poäng, sekretessmarkering, utbetalningar, utländsk pension m.m. inhämtas från Riksförsäkringsverket, försäkringskassorna eller Riksskatteverket. Från registret lämnas uppgifter ut till Statistiska centralbyrån, Pensionärernas riksorganisation, Nordea, Postgirot, Bankgirocentralen, AFA, Folksam, Kooperationens pensionsanstalt, Alecta, Statens pensionsverk, Kommunsektorns pensions AB, Riksskatteverket och Kronofogdemyndigheten. Statens Pensionsverk och KPA Pension AB har direktåtkomst till registret.
Registret Nytt ålderspensionsregisterintjänandetiden används för administration av ärenden om fastställande av pensionsrätt, pensionspoäng och pensionsbehållning enligt lagen (1998:674) om inkomstgrundad ålderspension, för beräkning av statlig ålderspensionsavgift enligt lagen (1998:676) om statlig ålderspensionsavgift och för framställning av pensionsprognoser. Registret används också för förberedande åtgärder för handläggningen samt för uppföljning, utvärdering, tillsyn och framställning av statistik beträffande dessa ärenden.
Uppgifter om identitet, adress, kön, civilstånd, medborgarskap och födelseort inhämtas från Riksskatteverket. Uppgifter om förhållanden som behövs för att beräkna pensionsgrundande belopp inhämtas från Riksskatteverket, Statistiska centralbyrån, Pliktverket, Centrala studiestödsnämnden och försäkringskassorna. Premiepensionsmyndigheten har direktåtkomst till registret.
Bostadstilläggsregistret används av Riksförsäkringsverket och försäkringskassorna för handläggning av ärenden enligt lagen (1994:308) om bostadstillägg till pensionärer, lagen (1994:309) om hustrutillägg i vissa fall då make uppbär folkpension och lagen (2000:461) om efterlevandepension och efterlevandestöd till barn. Registret används för tillsyn, uppföljning, utvärdering och framställning av statistik beträffande ärenden om bostadstillägg till pensionärer, hustrutillägg och inkomstprövning av änkepension. Registret används också för förberedande åtgärder för handläggningen. För kontroll av att utbetalning sker och med
83
| Behandling av personuppgifter inom socialförsäkringens administration | Ds 2002:60 |
vilket belopp kan registret vidare komma att användas vid handläggning av övriga ärenden som omfattas av 1 § första stycket socialförsäkringsregisterlagen.
Statens pensionsverk har direktåtkomst till registret och använder det för handläggning av ärenden om utbetalning av socialförsäkringsförmåner och samordning. Detsamma gäller KPA Pension AB.
Uppgifter om personnummer, namn, adress, bostadsstorlek, typ av bostad inhämtas från den registrerade. Uppgifter om taxeringsvärde för bostad, bostadsyta, bostadsbidrag m.m. inhämtas förutom från sökanden även från Riksförsäkringsverket, Riksskatteverket och försäkringskassorna. Förutom till Statens pensionsverk och KPA Pension AB lämnas uppgifter ut från registret till socialnämnderna i kommunerna.
Arbetsskaderegistret används för administration av ärenden om arbetsskadelivränta och för förberedande åtgärder för handläggning samt för uppföljning, utvärdering, tillsyn och framställning av statistik avseende sådana ärenden. För kontroll av att utbetalning sker och med vilket belopp kan registret vidare komma att användas vid handläggning av övriga ärenden som omfattas av 1 § första stycket socialförsäkringsregisterlagen.
Uppgifter om identitet, adress, skatt m.m. inhämtas från Riksskatteverket. Uppgifter om betalningsmottagare, typ av livränta, inkomster, förhållanden av betydelse för samordning m.m. inhämtas från försäkringskassorna.
Statens pensionsverk och KPA Pension AB har direktåtkomst till registret och använder detta för handläggning av ärenden om utbetalning av socialförsäkringsförmåner och samordning med tjänstepensioner.
Delpensionsregistret används för administration av ärenden om delpension och för förberedande åtgärder för handläggning samt för uppföljning, utvärdering, tillsyn och framställning av statistik avseende dessa ärenden. För kontroll av att utbetalning sker och med vilket belopp kan registret vidare komma att användas vid handläggning av övriga ärenden som omfattas av 1 § första stycket socialförsäkringsregisterlagen.
84
| Ds 2002:60 | Behandling av personuppgifter inom socialförsäkringens administration |
Statens pensionsverk och KPA Pension AB har direktåtkomst till registret och använder det för handläggning av ärenden om utbetalning av socialförsäkringsförmåner och samordning med tjänstepensioner.
Uppgifter om namn, personnummer, adress, inhämtas från den registrerade, Riksskatteverket, försäkringskassorna och Riksförsäkringsverket. Uppgifter om skatt inhämtas från Riksskatteverket. Uppgifter om arbetsinkomster och pensionsmedelpoäng inhämtas från försäkringskassorna. Uppgifter om förvärvsarbete, arbetslöshetskassa, bisyssla, arbetstidens utläggning m.m. inhämtas från den registrerade. Uppgifter från registret lämnas ut till Statistiska centralbyrån, Nordbanken, Postigirocentralen, Bankgirocentralen, Kooperationens pensionsanstalt, socialnämnder, Alecta, Folksam och Riksskatteverket.
Bostadsbidragsregistret används för administration av ärenden om bostadsbidrag och för den samordning som sker med bostadsbidragsärenden vid handläggning av ärenden enligt lagen (1994:308) om bostadstillägg till pensionärer. och ärenden om familjebidrag enligt 7 kap. förordningen (1995:239) om förmåner till totalförsvarspliktiga samt för förberedande åtgärder, utvärdering, uppföljning, tillsyn och framställning av statistik beträffande bostadsbidragsärenden. För kontroll av att utbetalning sker och med vilket belopp kan registret också komma att användas vid handläggning av övriga ärenden som omfattas av 1 § socialförsäkringsregisterlagen.
Uppgifter om personnummer, namn, civilstånd, adress och folkbokföringsuppgifter i övrigt inhämtas från den registrerade, Riksskatteverket eller Riksförsäkringsverket. Uppgifter om det aktuella hushållets sammansättning, bostaden, bostadskostnad inhämtas från den registrerade. Uppgifter som behövs för att fastställa bidragsgrundande inkomst inhämtas från den registrerade, Riksskatteverket, Centrala studiestödsnämnden och Bo- verket. Från registret lämnas uppgifter ut till kommuner, banker och kronofogdemyndigheter om utbetalda belopp m.m.
Familjebidragsregistret används för administration av ärenden om familjebidrag samt tillsyn, uppföljning, utvärdering och
85
| Behandling av personuppgifter inom socialförsäkringens administration | Ds 2002:60 |
framställning av statistik beträffande sådana ärenden. För kontroll av att utbetalningen sker med rätt belopp används registret också vid handläggningen av övriga ärenden enligt 1 § socialförsäkringsregisterlagen.
Uppgifter om den registrerades personnummer och namn, adress, sekretessmarkering inhämtas från Pliktverket, försäkringskassorna, Riksförsäkringsverket och Riksskatteverket. Uppgifter om den totalförsvarspliktiges tjänstgöring inhämtas från Pliktverket. Uppgifter om beslut och förmånstyper inhämtas från försäkringskassorna och Riksförsäkringsverket. Uppgifter om antal barn, typ av boende, inkomst och familjeförhållanden inhämtas från sökanden. Från registret lämnas uppgifter ut i fakturor till betalningsansvarig enhet inom totalförsvaret.
Assistansersättningsregistret används för administration av ärenden om assistansersättning samt tillsyn, uppföljning, utvärdering och framställning av statistik av sådana ärenden.
Uppgifter om identitet och adress inhämtas från den registrerade eller kommunerna. Sekretessmarkering inhämtas från Riksskatteverket. Uppgifter om antal utnyttjade timmar, arbetsgivare och kontouppgifter inhämtas från den registrerade. Uppgifter om annan socialförsäkringsförmån inhämtas från försäkringskassorna eller Riksförsäkringsverket.
Från registret lämnas uppgifter ut till kommuner om namn och ärendeuppgifter och till betalningsinrättningar om kontonnummer.
Bilstödsregistret används för administration av ärenden om bilstöd till handikappade samt för förberedande åtgärder, tillsyn, uppföljning, utvärdering och framställning av statistik beträffande dessa ärenden.
Uppgifter om namn, personnummer, adress, fordonsslag och inkomst inhämtas från sökanden. Uppgift om personkrets enligt 5 § förordningen (1988:890) om bilstöd till handikappade inhämtas från försäkringskassorna. Sekretessmarkering inhämtas från Riksskatteverket.
86
| Ds 2002:60 | Behandling av personuppgifter inom socialförsäkringens administration |
Från registret lämnas uppgifter ut till betalningsinrättningar om kontonummer.
Registret för försäkring för småföretagare används för administration av ärenden om försäkring mot kostnader för sjuklön samt för tillsyn och framställning av statistik.
Uppgifter om arbetsgivare inhämtas från Riksförsäkringsverket och försäkringskassorna. Uppgifter om lönekostnad, avgifter, försäkringsersättning inhämtas från försäkringskassorna. Uppgifter om innehavare av försäkring lämnas ut till Riksskatteverket.
Registret för försäkring mot vissa semesterlönekostnader används för administration av ärenden om försäkring mot vissa semesterlönekostnader samt för tillsyn och framställning av statistik.
Uppgifter om arbetsgivare inhämtas från Riksförsäkringsverket och försäkringskassorna. Uppgifter om lönekostnad, avgifter, försäkringsersättning inhämtas från försäkringskassorna.
Yrkesskaderegistret används för handläggning av ärenden om yrkesskador samt för tillsyn, uppföljning, utvärdering och framställning av statistik beträffande sådana ärenden. Registret används vidare för förberedande åtgärder för handläggningen. För kontroll av att utbetalning sker och med vilket belopp kan registret komma att användas vid handläggning av övriga ärenden som omfattas av 1 § socialförsäkringsregisterlagen samt för samordning mellan olika ersättningar.
Registret används vidare av Statens pensionsverk och KPA Pension AB, som har direktåtkomst till registret, för handläggning av ärenden om utbetalning av socialförsäkringsförmåner och samordning av tjänstepensionsförmåner.
Uppgifter om namn, adress och personnummer inhämtas från den registrerade. Uppgifter om utbetalningar, utsökning, sekretessmarkering, invaliditetsgrad, årsinkomst inhämtas från försäkringskassorna. Uppgifter om skatt, makes personnummer och särskild prövning inhämtas från Riksskatteverket.
Kåntra används för administration, tillsyn och uppföljning av ärenden i vilka beslut har fattats om återbetalning av socialför-
87
| Behandling av personuppgifter inom socialförsäkringens administration | Ds 2002:60 |
säkringsförmåner samt andra förmåner och ersättningar som omfattas av socialförsäkringsregisterlagen.
Uppgifter om identitet inhämtas från Riksförsäkringsverket. Uppgifter om vilken förmån som felaktigt utbetalats, fordringsbelopp, skatt, pensionsgrundande arbetsskadelivränta, sjukvårdsavdrag, förfallodatum, datum för indrivningsåtgärder, anstånd, eftergift, debiterade avgifter, solidariskt betalningsansvar, avbetalningsplan, ränta, betalningar inhämtas från försäkringskassorna.
FAREG används för administration av Riksförsäkringsverkets och försäkringskassornas kontakter med arbetsgivare vid handläggning av småföretagarförsäkringen, semesterlöneförsäkringen samt i ärenden om sjuklön och rehabilitering.
Uppgifter om organisationsnummer/personnummer, huvudnäringsgren, företagets namn, adress, telefonnummer, arbetsställenummer inhämtas från Statistiska centralbyrån (BASUN).
Statistiska centralbyrån har direktåtkomst till registret.
Registret för beställning av information används för handläggning av beställning av information enligt personuppgiftslagen och socialförsäkringsregisterlagen ur försäkringskassornas och Riksförsäkringsverkets gemensamma register och Riksförsäkringsverkets egna register. Registret används även för framställning av statistik.
Uppgifter om identitet inhämtas från den registrerade. Uppgifter om försäkringskassa och tidpunkter inhämtas från försäkringskassorna och Riksförsäkringsverket.
4.2.2Socialförsäkringsregister som förs särskilt för Riksförsäkringsverket
Riksförsäkringsverket är även ensam personuppgiftsansvarig myndighet för vissa personregister som förs särskilt för verket.
Frivillig pension används av Riksförsäkringsverket för administration av ärenden om frivillig pension och utbetalning av frivillig pension samt för uppföljning och utvärdering av försäkringstekniska antaganden rörande ränte-, dödlighets- och om-
88
| Ds 2002:60 | Behandling av personuppgifter inom socialförsäkringens administration |
kostnadsutveckling. Registret används också för individuella vinstberäkningar och för statistikframställning.
Uppgifter om personnummer, namn och adress inhämtas från den registrerade. Uppgifter om god man, förvaltare eller annan betalningsmottagare inhämtas från god man, förvaltare respektive den registrerade. Uppgifter om tidpunkter, preliminärskatteuppgifter, inbetalda avgifter och utgående pension och dödsfallstidpunkt inhämtas från Riksförsäkringsverket. Uppgifter om dödsfallstidpunkt inhämtas från Riksskatteverket.
Från registret lämnas uppgifter om antal registrerade och årsbelopp till Statistiska centralbyrån, om pensionen till skattemyndighet och om utbetalningar till banker respektive bank- och postgirocentral.
Sjömanspensionsregistret används för handläggning av ärenden om utbetalning av sjömanspension samt uppföljning och framställning av statistik av dessa ärenden.
Personuppgifter inhämtas från den registrerade. Inkomstuppgifter inhämtas från Riksförsäkringsverket.
Uppgifter om utbetalningar lämnas till skattemyndighet. TESS-databasen används för förberedande åtgärder för hand-
läggning av pensionsärenden för personer bosatta utomlands. För detta ändamål sambearbetas registret med motsvarande register hos organ i andra stater som har att handlägga ärenden om socialtrygghet i enlighet med EG-rättsliga regler.
Uppgifter om identitet, adress, medborgarskap, civilstånd, utländskt försäkringsnummer, bosättningsland, dödsfallsdatum inhämtas från försäkringskassor, utländska pensionsorgan respektive Riksskatteverket.
Dessa uppgifter utlämnas till utländska pensionsorgan.
4.2.3Socialförsäkringsregister som förs särskilt för de allmänna försäkringskassorna
De allmänna försäkringskassorna har naturligtvis möjlighet att själva förfoga över inrättandet av olika socialförsäkringsregister som förs särskilt för respektive försäkringskassa. Någon detalje-
89
| Behandling av personuppgifter inom socialförsäkringens administration | Ds 2002:60 |
rad redovisning av varje sådant register hos respektive försäkringskassa är naturligtvis inte möjlig att lämna här. Redovisningen är i stället inriktad på de viktigaste förekommande registren.
Till en början kan nämnas de till ärendehanteringssystemet (ÄHS) knutna samlingarna av elektroniska akter som för särskilt för varje försäkringskassa. Systemet med elektroniska akter innebär i princip att alla relevanta uppgifter, handlingar och all information i övrigt i ett ärende kommer att behandlas automatiserat. ÄHS är en plattform med vilken förmånsspecifika system med elektronisk akthantering kan integreras. Vissa funktioner i ÄHS är emellertid av generell karaktär. Det gäller funktionerna Personinfo, som visar fördjupad personinformation om en försäkrad och i förekommande fall dennes make/maka samt Globala fältet. Vid användning av ÄHS kan man bl.a. hämta upp inlästa (skannade) sådana handlingar som sänts till försäkringskassan, lägga handlingar till befintliga ärenden, lägga upp nya ärenden, handlägga ärenden, använda elektroniska mallar för beslut m.m, använda elektroniska blanketter, lägga in bevakningsfunktioner i ärenden, göra journalanteckningar m.m. Försäkringskassan i Blekinge utgör modellkontor för ett pilotsystem (ÄHS 1.3 och 1.31) som tagits i drift under 2001 respektive 2002. ÄHS 1.3 är integrerad med Sjukpenning, Samordning och Tillfällig föräldrapenning. Under 2002 skall version (ÄHS 1.31) införas på landets samtliga försäkringskassor.
Emellertid finns, vid sidan av sådana rent personaladministrativt betingade register som inte är relevanta i nu berört avseende, även ett antal redan befintliga register hos de allmänna försäkringskassorna som förtjänar att redovisas i detta sammanhang. I ett flertal fall är det egentligen mer fråga om system för handläggning än personregister i egentlig mening, dvs. det är fråga om kombinationer av dataprogram och personregister, där vissa handläggningsfunktioner m.m. integrerats med en uppgiftssammanställning. Systemen i fråga har i regel utvecklats gemensamt mellan Riksförsäkringsverket och de allmänna försäkrings-
90
| Ds 2002:60 | Behandling av personuppgifter inom socialförsäkringens administration |
kassorna, men används i skilda applikationer för respektive försäkringskassa.
Ginsten är ett handläggarstöd för hantering av ärenden inom sjukförsäkrings-, pensions- och bidragsområdena. Systemet har bl.a. stöd för mätning av genomströmningstider och bevakning av ärenden. Ginsten kan även användas som ett sökregister där man kan se vem eller vilket kontor som handlägger ett ärende. Uppgifter om bl.a. personnummer, namn, lokalkontorstillhörighet, adress, postnummer, postadress, telefonnummer, arbetsgivare, diagnosgrupp inhämtas från den försäkrade. Handläggares namn och kortnummer samt uppgifter om samordning, rehabilitering, typ av ärende, läkarutlåtanden och tidpunkter för ersättning m.m. registreras av försäkringskassan.
Statistiska sammanställningar utan identifikationsmöjligheter från registret översänds till Riksförsäkringsverket kvartalsvis.
Mälker används för handläggning av sjukpenning- och rehabiliteringsärenden, ansökningsärenden avseende förtidspension/sjukbidrag samt ärenden avseende arbetsskada, livränta, vårdbidrag, handikappersättning, bilstöd, assistansersättning, arbetshjälpmedel, pension och bidrag. Ändamålet med registret är att effektivisera ärendehandläggningen genom ett samlat informations- och statistiksystem som täcker behov inom olika verksamhetsgrenar och på olika nivåer inom organisationen. Uppgifterna i registret används för att man snabbt skall få fram information om eventuell förekomst av ärenden och status i förekommande ärenden. Vidare används uppgifterna som underlag för statistik.
Uppgifter om bl.a. personnummer, namn, lokalkontorstillhörighet inhämtas från den försäkrade. Handläggares namn och kortnummer samt uppgifter om typ av ärende, ansökningsdatum, läkarutlåtanden och tidpunkter för ersättning m.m. registreras av försäkringskassan.
PIHREN – Återkrav används för handläggning av återkrav enligt vissa riktlinjer (processbeskrivningar). Syftet med registret är att handläggningen av återkrav skall följa dessa riktlinjer samt att ge handläggare och ledning stöd för handläggningen när det
91
| Behandling av personuppgifter inom socialförsäkringens administration | Ds 2002:60 |
gäller dokumentation av vidtagna åtgärder, påminnelser, att sammanställa produktionsstatistik och statistik över frekvenser av återkrav per ärendeslag eller lokalkontorsområde. I registret finns uppgifter bl.a. om personnummer, namn, lokalkontor, handläggare, ärendekod, datum för inledande av ärende och andra moment i handläggningen m.m., arbetsgivare, tjänsteanteckningar.
PLOMBEN används för handläggning av ersättning till tandläkare som är anslutna till den allmänna försäkringen. Registret används för kontroll av tandvårdsräkningar, uppföljning av taxetillämpning och produktionsstatistik för uppföljning av försäkringskassans arbete med tandvårdsförsäkringen. Registret innehåller uppgifter om bl.a. namn på handläggare, vårdgivare och tandvårdspatient, adresser, organisationsnummer, personnummer, telefonnummer, fakturadatum, ankomstdatum, förfallodag, antal tandvårdsräkningar, debiterat pris och utbetalningsbelopp.
4.2.4Socialförsäkringsregister som förs särskilt för Premiepensionsmyndigheten
Premiepensionsmyndigheten är ensam personuppgiftsansvarig för ett stort antal personregister som förs särskilt för myndigheten. Flera av dessa används för administrationen av myndigheten och torde inte vara att anse som socialförsäkringsregister i socialförsäkringsregisterlagens mening. Den nedan lämnade redovisningen upptar dock även sådana register.
Premiepensionsregistret används för administration av premiepensionssystemet, vilket innefattar handläggning av olika ärenden, förberedande åtgärder för handläggning samt uppföljning, utvärdering, tillsyn och framställning av statistik. Registret används också vid tester i samband med prov och vidareutveckling av de datasystem som används inom premiepensionssystemet. Uppgifter om identitet, adress, civilstånd, pensionsrätter, tillgodohavande, fondval, beslut, meddelanden m.m., namn, telefonnummer och adressuppgifter på fondföretagens kontaktpersoner
92
| Ds 2002:60 | Behandling av personuppgifter inom socialförsäkringens administration |
och namn på fondadministratörer har inhämtats från Riksförsäkringsverket, den registrerade, fondföretagen eller Premiepensionsmyndigheten.
Fondinformationsdatabasen används som underlag för Premiepensionsmyndighetens informationsverksamhet kring de värdepappersfonder som är anslutna till premiepensionssystemet. Uppgifterna rör i första hand ekonomiska och historiska data kring fonderna. Premiepensionsmyndigheten har för närvarande ett avtal med Stadsporten Citygate AB, som på myndighetens uppdrag samlar in och bearbetar uppgifter. Uppgifter om namn på fondförvaltare, födelseår och förvaltningserfarenhet inhämtas från fondförvaltare och Stadsporten Citygate AB. Allmänheten kan nå uppgifterna i databasen via myndighetens hemsida på In- ternet och s.k. fondfaktablad kan beställas från myndighetens kundservicefunktion.
Ärendehanteringssystemet (myndighetens diarium) används för att efterkomma skyldigheten enligt 15 kap. sekretesslagen. I registret finns uppgifter om diarienummer, namn, datum, ärendemeningar och inkomna eller upprättade handlingar. Uppgifterna lämnas ut till allmänheten.
Palasso är ett register som omfattar anställda vid myndigheten och som används för administration av löneutbetalningar, framtagning av statistik, uppföljning av tjänsteresor, inventering av utbildningsbehov m.m. Uppgifter om identitet, adress, telefonnummer, anhöriga, lön och andra förmåner, övriga anställningsdata, grundutbildning och meriter m.m. inhämtas från den registrerade. Från registret kan uppgifter lämnas till Ekonomistyrningsverket, Arbetsgivarverket, Riksförsäkringsverket, skattemyndighet, Statens pensionsverk, Statistiska centralbyrån, Försäkringsföreningen för det statliga området (FSO) eller Nordbanken.
Agresso-Ekonomi används för administration av in- och utbetalningar i verksamheten, framtagning av statistik m.m. Registret innehåller bl.a. uppgifter om fondföretag och andra leverantörer till myndigheten, kontaktpersoner och adresser.
93