HC01SfU7: En registerlag för Inspektionen för socialförsäkringen

Socialförsäkringsutskottets betänkande 2024/25:SfU7

Sammanfattning

Utskottet ställer sig bakom regeringens förslag till ny lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen.

I propositionen föreslår regeringen en lag om behandling av person­uppgifter vid Inspektionen för socialförsäkringen som ska komplettera EU:s dataskyddsförordning och gälla för myndigheten när den behandlar person­uppgifter vid systemtillsyn och effektivitetsgranskning. Personuppgifter ska få behandlas om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialför­säkringsområdet. Det ska också vara möjligt att behandla personuppgifter för att lämna uppgifter i överensstämmelse med lag och förordning. Lagen innehåller flera olika skyddsåtgärder som avser att ge enskildas personliga integritet ett tillfredsställande skydd. Enligt huvudregeln ska personuppgifter endast få behandlas i det projekt som uppgifterna har samlats in för, och när det gäller personuppgifter som direkt kan hänföras till den registrerade ska uppgifterna förvaras separat från övriga personuppgifter. Vidare finns bestämmelser om bl.a. personuppgiftsansvar, sökbegränsningar, krav på den enskildes medgivande till viss personuppgiftsbehandling och begränsning av tillgången till personuppgifter.

Lagen föreslås träda i kraft den 1 januari 2025.

Behandlade förslag

Proposition 2023/24:146 En registerlag för Inspektionen för socialför­säkringen.

 

 

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Utskottets överväganden

En registerlag för Inspektionen för socialförsäkringen

Bilaga 1
Förteckning över behandlade förslag

Propositionen

Bilaga 2
Regeringens lagförslag

 

Utskottets förslag till riksdagsbeslut

 

Redogörelse för ärendet

I betänkandet behandlar utskottet regeringens proposition 2023/24:146 En registerlag för Inspektionen för socialförsäkringen.

Inom Socialdepartementet har promemorian En registerlag för Inspek­tionen för socialförsäkringen (Ds 2023:13) tagits fram. Promemorian har remissbehandlats, och det är promemorians förslag som behandlas i proposi­tionen.

Regeringen har begärt Lagrådets yttrande över lagförslaget och har i huvud­sak följt Lagrådets förslag. Lagrådets synpunkter behandlas i propositionens avsnitt 7.14 och i författningskommentaren. I förhållande till lagrådsremissen har det gjorts vissa språkliga och redaktionella ändringar.

Regeringens förslag till riksdagsbeslut återges i bilaga 1. Regeringens lag­förslag finns i bilaga 2.

Inga motioner har väckts med anledning av propositionen.

Utskottets överväganden

Gällande ordning

Europakonventionen

Var och en har rätt till respekt för sitt privatliv och familjeliv, sitt hem och sin korrespondens, enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, härefter benämnd Europakonventionen. En offentlig myndighet får inte inskränka denna rättighet annat än med stöd av lag och under förutsättning att det i ett demo­kratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. När det gäller kravet på lagreglering krävs bl.a. att den nationella författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar, och de ska vara allmänt tillgängliga. Kravet att ett ingripande ska vara nöd­vändigt i ett demokratiskt samhälle innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse som åtgärden är avsedd att tillgodose. En avvägning ska göras av vilka åtgärder som inom rimliga gränser kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.

EU:s dataskyddsförordning och anpassning av svensk rätt

Behandlingen av personuppgifter inom EU regleras generellt sedan den 25 maj 2018 av EU:s dataskyddsförordning Europaparlamentets och rådets för­ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), härefter benämnd EU:s dataskyddsförordning. Det huvudsakliga syftet med EU:s dataskyddsförordning är att säkerställa en enhetlig skyddsnivå i hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen är direkt tillämplig i alla EU:s medlemsstater. I vissa avseenden förutsätter eller tillåter EU:s dataskyddsförordning emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag.

Den 25 maj 2018, samma dag som EU:S dataskyddsförordning började tillämpas, upphävdes personuppgiftslagen (1998:204) samtidigt som lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsför­ordning, härefter benämnd dataskyddslagen, trädde i kraft. Dataskyddslagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning. Detta innebär att om det finns avvikande bestämmelser i sektorsspecifika registerförfattningar ska de tillämpas framför motsvarande bestämmelser i dataskyddslagen.

Regeringsformen

Den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och värdighet. Det slås fast i regeringsformens mål­sättningsstadgande i 1 kap. 2 § första stycket. Vidare anges i dess fjärde stycke att det allmänna bl.a. ska värna den enskildes privatliv och familjeliv. Grund­läggande bestämmelser till skydd för den personliga integriteten som gäller i förhållandet mellan enskilda och staten finns i 2 kap. regeringsformen (RF).

Av 2 kap. 6 § andra stycket RF följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nöd­vändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Europakon­ventionen gäller som lag i Sverige. Av 2 kap. 19 § RF framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Offentlighets- och sekretesslagen

Sekretess gäller enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Det­samma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det. I 7 § offentlighets- och sekretessförordningen (2009:641) föreskrivs att sekretess bl.a. gäller hos Inspektionen för socialförsäkringen om undersökningar av rätts­tillämpning, handläggning och admini­stration inom socialförsäkrings­området och inom verksamheter med direkt anknytning till socialförsäkringen, undersökningar om effekter av förändringar inom socialförsäkringsområdet och om utnyttjandet av socialförsäkringen för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Uppgift som behövs för forsknings- eller statistikändamål och upp­gift som inte genom namn, annan identitetsbeteckning eller liknande för­hållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (24 kap. 8 § tredje stycket OSL). Eftersom Inspektionen för socialförsäkringen är en tillsynsmyndighet gäller också till­synssekretessen enligt 11 kap. 1 § OSL.

Inspektionen för socialförsäkringen

Inspektionen för socialförsäkringen (ISF) ska genom systemtillsyn och effektivitetsgranskning värna rättssäkerheten och effektiviteten inom social­försäkringsområdet. Det anges i förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen, härefter benämnd instruktionen. Till­synen omfattar verksamhet som bedrivs av Försäkringskassan och Pensions­myndigheten i de delar som inte står under Finansinspektionens tillsyn samt Skatteverket i de delar som avser beslut om pensionsgrundande inkomst (2 § instruktionen). Tillsynen och granskningen får också omfatta verksamheter som gränsar till socialförsäkringsområdet (3 §). I 3 a § anges att ISF, i de fall det är nödvändigt, får bedriva den forskning som behövs för att myndigheten ska kunna utföra sina uppgifter. ISF ska i sin systemtillsyn och effektivitets­granskning även samverka med de tillsynsmyndigheter som kan komma att beröras av myndighetens tillsyns- eller granskningsverksamhet (4 §).

Propositionen

En särskild lag om behandling av personuppgifter vid Inspektionen för socialförsäkringen

Regeringen föreslår att det ska införas en särskild lag för ISF:s personupp­giftsbehandling. ISF har behov av att behandla stora mängder uppgifter som rör enskildas personliga förhållanden inom sin tillsyns- och granskningsverk­samhet. Uppgifterna hämtas från flera olika myndigheter och organisationer, och behandlingen berör både en stor del av Sveriges befolkning och människor i andra länder. Syftet är att skapa en bred bild av individerna för analysändamål som behandlas i form av projekt. Även om ISF:s verksamhet har ett kvalitets­fokus och myndigheten inte fattar beslut som får konsekvenser för enskilda utgör enligt regeringen myndighetens personuppgiftsbehandling, mot bak­grund av uppgifternas omfattning och behandlingens integritetskänsliga karaktär, till övervägande del ett betydande intrång i den mening som avses i 2 kap. 6 § andra stycket RF. Behandlingen sker i de flesta fall utan samtycke från den enskilde. Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning ska enligt 2 kap. 20 § RF göras genom lag.

Enligt regeringen säkerställer de skyddsåtgärder som föreslås i lagen och de befintliga regleringarna om sekretess ett långsiktigt och hållbart integritets­skydd för enskilda. Skyddsåtgärderna kommer att gälla vid en sådan behand­ling av personuppgifter som ISF kan utföra redan i dag med stöd av den generella dataskyddslagstiftningen. För en sådan behandling kommer för­slagen att ge ett bättre skydd för den personliga integriteten än vad som gäller i dag. För den ytterligare behandling som förslagen möjliggör minskar risken för inte­gritetsintrång och ger ett gott skydd för den personliga integriteten. Vid en avvägning mellan det allmänintresse som ligger till grund för ISF:s verk­samhet och intresset av att upprätthålla skyddet för den personliga integriteten får enligt regeringen intrånget anses motiverat och proportionerligt.

Lagens tillämpningsområde och förhållandet till annan reglering m.m.

Regeringen föreslår att lagen ska gälla all behandling av personuppgifter vid ISF som gäller systemtillsyn och effektivitetsgranskning. Syftet är att värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet. Vidare ska lagen tillämpas på helt eller delvis automatiserad behandling eller på person­uppgifter som ingår i eller kommer att ingå i ett register. Manuell behandling av personuppgifter som inte ingår eller kommer att ingå i ett register faller utanför lagens tillämpningsområde. Regeringen föreslår även att lagen och eventuella föreskrifter som har meddelats i anslutning till lagen, ska omfatta samtliga individrelaterade uppgifter, inklusive uppgifter om avlidna personer. Lagen ska komplettera EU:s dataskyddsförordning samt dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen ska gälla om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgiftsansvar

Regeringen föreslår att ISF ska vara personuppgiftsansvarig för behandling av personuppgifter enligt lagen.

Ändamål med behandlingen

Regeringen föreslår att en s.k. primär ändamålsbestämmelse som sätter den yttersta ramen för ISF:s behandling av personuppgifter ska införas i lagen. Det innebär att ISF ska få behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet. Inom ramen för sådana undersökningar ska ISF även få behandla personuppgifter för att ta fram statistik och för forskning. ISF ska också få behandla sådana personupp­gifter som behandlas för primära ändamål för att lämna ut uppgifter i överens­stämmelse med lag eller förordning.

Regler som tillgodoser den enskildes personliga integritet

Behandling av personuppgifter i projekt

Med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning är det tillåtet att införa vissa skyddsåtgärder för behandlingen av personuppgifter. Regeringen föreslår att behandlingen av personuppgifter för primära ändamål ska ske inom ramen för ett projekt, förutom när personuppgifter behandlas för omvärlds­bevakning eller planering av verksamheten. Med projekt avses en planerad arbetsinsats som genomförs inom bestämda ramar och personuppgifter som har samlats in inom ramen för ett projekt ska inte få behandlas i ett annat projekt. Om behandlingen är nödvändig för att ISF helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet ska personuppgifter dock få behandlas inom ramen för ett annat projekt än det de har samlats in för. Innan personuppgifter får behandlas inom ramen för ett projekt ska ISF fastställa syftet med projektet, vilka kategorier av känsliga personuppgifter och person­uppgifter om lagöverträdelser som ska analyseras i projektet samt när projektet senast ska vara avslutat. Det fastställda syftet ska inte få ändras. Därutöver finns det enligt regeringen krav på att fastställa ändamål för varje enskild behandling enligt artikel 5 i EU:s dataskyddsförordning, vilket skapar flera nivåer av ändamål som i sista hand måste kunna motiveras utifrån myndig­hetens uppdrag.

Information om vad som har fastställts ska enligt förslaget hållas tillgänglig på myndighetens webbplats.

Möjligheterna att identifiera den registrerade

Regeringen anser att möjligheterna att identifiera den registrerade så långt möjligt bör begränsas. Regeringen föreslår därför att personuppgifter som inte direkt kan hänföras till den registrerade ska förses med en beteckning som kan kopplas till ett personnummer eller motsvarande identitetsbeteckning. Person­uppgifter som direkt kan hänföras till den registrerade ska i regel förvaras separat från övriga personuppgifter. Undantag ska dock kunna medges om en separering medför en oproportionerlig ansträngning eller motverkar syftet med behandlingen, t.ex. medför manuell genomgång av mycket stora ärende­akter.

Tillgång till personuppgifter

Regeringen föreslår att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna utföra sina arbetsuppgifter och att åtkomsten av personuppgifter ska kontrolleras och följas upp regelbundet. Enligt regeringen säkerställer det förutsättningar för tidig upptäckt av och möjlighet att förebygga eventuellt missbruk av behörigheter, intrång och andra säker­hetsrisker.

Behandling av känsliga personuppgifter och sökbegränsningar

I fråga om vilka personuppgifter som får behandlas finns det i artikel 9.1 i EU:s dataskyddsförordning ett förbud mot att behandla särskilda kategorier av personuppgifter (känsliga personuppgifter). Förbudet kompletteras med en rad undantag som tillåter behandling i vissa fall.

Regeringen föreslår att ISF ska få behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen men att möjligheterna att söka och bearbeta känsliga personuppgifter ska begränsas till att avse sådana uppgifter som behandlas inom ramen för ett aktuellt projekt. Vidare ska det tas in en upplysningsbestämmelse i lagen om att forskning som innefattar behandling av känsliga personuppgifter och personuppgifter om vissa lagöverträdelser måste etikprövas.

Medgivande till viss behandling av personuppgifter

Enligt artikel 21.1 i EU:s dataskyddsförordning har den registrerade rätt att göra invändningar mot behandlingen av personuppgifter som rör honom eller henne. Från detta görs vissa undantag. Bland annat är det möjligt att i nationell rätt begränsa rätten att göra invändningar om begränsningen görs med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa uppräknade intressen (artikel 23.1 i EU:s dataskydds­förordning). Dessa intressen innefattar bl.a. viktiga mål av generellt allmänt intresse, däribland folkhälsa och social trygghet (punkt e).

Det får enligt regeringen anses rimligt att en enskild som väljer att delta i en studie och lämnar sina uppgifter till myndigheten så långt som möjligt ges inflytande över uppgifterna. Regeringen föreslår därför att den enskilde ska lämna sitt uttryckliga medgivande till behandlingen för att uppgifterna ska få behandlas. Den registrerade ska också ha rätt att återkalla ett medgivande, varvid behandlingen av personuppgifter ska raderas. Behandlingen ska dock få fortsätta om uppgifterna finns i handlingar som tagits om hand för arkivering, eller om ISF inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter.

Regeringen föreslår att den enskilde inte ska ha rätt att göra invändningar när det gäller en sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den, dvs. när uppgifterna har samlats in från någon annan. I de flesta fall avser det personuppgifter som inte direkt kan hänföras till en registrerad och ISF saknar möjlighet att tillgodose en invändning. En begränsning av rätten att göra invändningar får enligt regeringen sammantaget anses nödvändig och proportionerlig i enlighet med artikel 23.1 e i EU:s dataskyddsförordning.

Ikraftträdande

Lagen om behandling av personuppgifter vid Inspektionen för socialförsäk­ringen föreslås träda i kraft den 1 januari 2025.

Konsekvenser

Enligt regeringen medför förslaget till ny lag inte några kostnadsmässiga eller andra ekonomiska konsekvenser.

Utskottets ställningstagande

Det har inte väckts någon motion med anledning av propositionen. Utskottet anser att riksdagen av de skäl som anförts i propositionen bör anta regeringens lagförslag. Därmed tillstyrker utskottet propositionen.

Bilaga 1

Förteckning över behandlade förslag

 

Bilaga 2

Regeringens lagförslag