: : : :

Utrednings­betänkande med Sören Öman :

Behandling av personuppgifter inom socialtjänsten (SOU 1999:109)

 

It-rätt ]

ISBN: 91-7610-832-5

Antal sidor: 240 sid.

Departement: Socialdepartementet

Utredning: Socialdatautredningen

Ordförande / Utredare: Sigurd Heuman

Sören Ömans roll i utredningen: Expert

Dela :

Kommande publika föredrag av Sören Öman :

Utredningens förslag innebär att socialtjänstens behandling av personuppgifter författningsregleras och anpassas till bestämmelserna i personuppgiftslagen (1998:204). Förslaget utgår från personuppgiftslagens tillämpningsområde, begrepp och terminologi och bestämmelserna har utformats så att de anger de undantag och preciseringar i förhållande till personuppgiftslagen som är motiverade. Lagen föreslås få namnet lag om behandling av personuppgifter inom socialtjänsten (avsnitten 6.1.1–6.1.4).

Utredningens förslag innebär vidare vissa ändringar i socialtjänstlagen (1980:620).

Syftet med den föreslagna lagstiftningen är inte att utvidga socialtjänstens nuvarande möjligheter att registrera uppgifter om medborgarna. Huruvida personuppgifter i det enskilda fallet skall samlas in eller lämnas ut avgörs av annan lagstiftning och inte av personuppgiftslagen eller av den föreslagna lagstiftningen. Avsikten med utredningens förslag är bl.a. att anpassa de regler som styr förutsättningarna för när personuppgifter får behandlas inom socialtjänsten så att de inte hindrar att personuppgifter får behandlas när så krävs för att socialtjänsten skall kunna fullgöra sina arbetsuppgifter.

Förslaget till lag om behandling av personuppgifter inom socialtjänsten

Lagens tillämpningsområde, m.m.

Den föreslagna lagen skall tillämpas vid behandling av personuppgifter inom socialtjänsten.

Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter och anger de begränsningar i fråga om att behandla personuppgifter som kan anses nödvändiga för att skydda den personliga integriteten. Att personuppgiftslagen är generell innebär att lagen är tillämplig vid behandling av personuppgifter inom socialtjänsten, om inte särskilda bestämmelser meddelas som avviker från personuppgiftslagens. Den föreslagna lagen innehåller sådana bestämmelser. Om inget annat följer av den föreslagna lagen, tillämpas emellertid personuppgiftslagen vid behandling av personuppgifter inom socialtjänsten.

Begreppet socialtjänst definieras i lagen (avsnitt 6.2.1). Med socialtjänst förstås i detta sammanhang
1. verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård av unga och av missbrukare utan samtycke,
2. verksamhet som i annat fall enligt lag handhas av socialnämnd,
3. verksamhet som bedrivs av Statens institutionsstyrelse,
4. verksamhet hos kommunal invandrarbyrå,
5. handläggning av ärenden om bistånd som lämnas av socialnämnd åt asylsökande och andra utlänningar,
6. handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar,
7. handläggning av ärenden om tillstånd till parkering för rörelsehindrade,
8. verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade, samt
9. tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamhet som avses i 1–8.

Den nämnda uppräkningen av verksamheter m.m. som innefattas i begreppet socialtjänst är uttömmande. Utanför lagens tillämpningsområde kommer därmed att falla t.ex. färdtjänstverksamhet samt förskoleverksamhet m.m., vilka verksamheter regleras av lagen (1997:735) om riksfärdtjänst och lagen (1997:736) om färdtjänst respektive skollagen (1985:1100). Det bör dock framhållas att sådan verksamhet och annan verksamhet som inte omfattas av denna lag eller av annan särlagstiftning omfattas av personuppgiftslagen. Konsekvensen av att man låter en verksamhet falla utanför den föreslagna lagens tillämpningsområde blir alltså inte att behandlingen av personuppgifter i den verksamheten förblir oreglerad. Huruvida de personuppgifter som har samlats in med stöd av denna lag får behandlas för t.ex. sådan verksamhet som nu nämnts, dvs. utanför socialtjänsten, får således avgöras efter en tillämpning av personuppgiftslagen. Frågan om uppgifterna får lämnas ut måste naturligtvis också prövas enligt sekretesslagen (1980:100).

Enligt förslaget är lagen tillämplig oavsett vilket subjekt som behandlar personuppgifter, under förutsättning att det är fråga om socialtjänst i lagens mening. Det innebär att inte bara myndigheter utan även enskilda som behandlar personuppgifter inom socialtjänsten har att tillämpa lagen.

Liksom personuppgiftslagen föreslås lagen gälla inte endast för behandling av personuppgifter som är helt eller delvis automatiserad utan även för annan behandling, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. för manuell behandling av personregister (avsnitt 6.2.2). Det föreslås inte några särskilda bestämmelser för den automatiserade behandlingen av personuppgifter.

Lagen är dock inte tillämplig vid behandling av personuppgifter för forsknings- och statistikändamål (avsnitt 6.2.3). Behandling för sådana ändamål regleras av bestämmelserna i personuppgiftslagen och av eventuell annan särlagstiftning på området. Det bör dock påpekas att det inte är något som hindrar att de uppgifter som samlats in för att myndigheter och andra skall kunna utföra sina arbetsuppgifter inom socialtjänsten, dvs. med stöd av den föreslagna lagen, även används för forsknings- och statistikändamål. Av 9 § andra stycket personuppgiftslagen följer nämligen att behandling för historiska, statistiska och vetenskapliga ändamål inte skall anses oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in. Huruvida behandlingen av personuppgifterna, t.ex. själva utlämnandet, är tillåten i det enskilda fallet får emellertid avgöras av bestämmelserna i personuppgiftslagen och sekretesslagen. I 19 § tredje stycket personuppgiftslagen finns en allmän bestämmelse i ämnet. I den mån det, som t.ex. i 64 § socialtjänstlagen, finns särskilda föreskrifter i lag eller förordning om utlämnande av uppgifter för forskningsändamål, gäller dessa bestämmelser före personuppgiftslagens regler (2 § personuppgiftslagen).

När personuppgifter får behandlas och ändamålen med behandlingen av personuppgifter

Bestämningen av ändamål för behandlingen av personuppgifter anses vara av central betydelse från integritetssynpunkt. Utredningen har därför noga övervägt om det skulle vara möjligt att direkt i lagen uttömmande ange för vilka ändamål personuppgifter skall få behandlas inom socialtjänsten. Utredningen har emellertid av skäl som redovisas utförligt i avsnitt 6.3 ansett att det inte är möjligt att föreslå en sådan lösning.

Utredningen har i stället stannat för en modell som innebär att det överlåts på de personuppgiftsansvariga i respektive verksamhet att – inom en i lagen angiven ram – ange de ändamål för vilka personuppgifter skall få behandlas inom socialtjänsten. En sådan modell framstår – menar utredningen – som den bästa inte bara när det gäller skyddet för den enskildes personliga integritet utan även när det gäller verksamheten inom socialtjänsten.

Utredningens förslag innebär således att det i lagen föreskrivs att personuppgifter, förutom med den registrerades samtycke, får behandlas bara om behandlingen är nödvändig för att en arbetsuppgift inom socialtjänsten skall kunna utföras. Lagen hindrar dock inte att personuppgifter lämnas ut, om det följer av lag eller förordning. I lagen regleras inte för vilka ändamål personuppgifter skall få behandlas inom socialtjänsten. Det ankommer således på de personuppgiftsansvariga i respektive verksamhet att med beaktande av 9 § första stycket c personuppgiftslagen – dvs. bestämmelsen att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål – ange för vilka ändamål personuppgifter behandlas. Endast ändamål som är nödvändiga för att en arbetsuppgift inom socialtjänsten skall kunna utföras kan därvid vara berättigade.

Vilka kategorier av personuppgifter bör få behandlas?

Föreskrifterna i 9 § första stycket e och f personuppgiftslagen – att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen – och viss annan lagstiftning, t.ex. socialtjänstlagens bestämmelser om dokumentation, innebär viktiga begränsningar av vilka personuppgifter som får behandlas. Det skydd som dessa föreskrifter ger för den personliga integriteten är menar utredningen tillräckligt. I den föreslagna lagen finns det därför inte några särskilda begränsningar beträffande vilka kategorier av personuppgifter som får behandlas inom socialtjänsten (avsnitt 6.4). Samtliga kategorier av personuppgifter kommer således i och för sig att få behandlas inom socialtjänsten, även bl.a. känsliga personuppgifter i personuppgiftslagens mening.

Utredningen framhåller att det inte råder något tvivel om att det från integritetssynpunkt skulle vara en fördel om det i lagtexten på ett konkret sätt kunde anges vilka personuppgifter som får behandlas inom socialtjänsten. Utredningen har emellertid bedömt det som i praktiken omöjligt att göra så. Det beror på den mycket omfattande och mångskiftande verksamhet som lagstiftningen skall omfatta och socialtjänstens behov av att behandla ett synnerligen stort antal olika personuppgifter, som när det gäller graden av integritetskänslighet varierar i stor utsträckning. En reglering skulle nämligen – menar utredningen – antingen innebära stora risker för att socialtjänstarbetet försvårades eller – om listan över vilka uppgifter som fick behandlas gjordes mycket omfattande – knappast medföra några vinster från integritetssynpunkt.

Personuppgiftsansvaret

I den föreslagna lagen anges inte vem som skall vara personuppgiftsansvarig för de behandlingar av personuppgifter som utförs inom socialtjänsten (avsnitt 6.5). Frågan om vem som är personuppgiftsansvarig för en viss behandling av personuppgifter enligt lagen om behandling av personuppgifter inom socialtjänsten får i stället avgöras efter en tillämpning av bestämmelserna i personuppgiftslagen. Någon särskild regel om detta behövs inte i den föreslagna lagen.

Sökbegrepp

Med sökbegrepp förstås bokstäver eller siffror med vars hjälp man kan söka fram lagrad information. Frågan om sökbegränsningar har behandlats i avsnitt 6.6.

De sekretessbestämmelser som gäller för personuppgifter inom socialtjänsten (bl.a. 7 kap. 4 § sekretesslagen 1980:100 och 51 § andra stycket socialtjänstlagen) innebär ett mycket starkt skydd för uppgifterna, inte bara i förhållande till verksamhet utanför socialtjänsten, utan även mellan myndigheter på socialtjänstens område samt inom en och samma myndighet. Möjligheterna att söka information begränsas emellertid inte endast av sekretessbestämmelser, utan även av personuppgiftslagens bestämmelse (9 § första stycket d) om att redan insamlade personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna ursprungligen samlades in. Vidare innebär bestämmelsen i 59 § socialtjänstlagen om förbud mot att i s.k. sammanställningsregister hos socialnämnd ta in uppgifter om ömtåliga personliga förhållanden ytterligare begränsningar av sökmöjligheterna. Dessa bestämmelser innebär ett tillräckligt integritetsskydd. I lagen föreslås därför inte någon särskild begränsning i möjligheten att med olika sökbegrepp hämta information som finns inom
socialtjänsten.

Utredningen framhåller dock att det vid denna bedömning förutsätts att den personuppgiftsansvarige utformar de tekniska systemen så att i princip endast behöriga personer kan göra sökningar samt att det finns behörighetskontrollsystem och att det i efterhand går att fastställa vilka personer som har tagit del av information (loggning). Den enskilde handläggarens sökmöjligheter torde kunna begränsas mycket kraftigt (jfr bl.a. 51 § andra stycket socialtjänstlagen). Den personkrets som arbetar med uppföljning, utvärdering, kvalitetssäkring, forskning och framställning av statistik – och som naturligtvis är beroende av att kunna söka information i en helt annan omfattning än en enskild handläggare – torde i de flesta fall kunna begränsas till ett minimum.

Samkörning

Enligt utredningen saknas det anledning att i den föreslagna lagen ha en särskild bestämmelse som tillåter eller förbjuder att de personuppgifter som finns inom socialtjänsten samkörs (avsnitt 6.7). Personuppgiftslagens bestämmelser (9 § första stycket d, e och f) – att personuppgifter får behandlas för andra ändamål än de för vilka uppgifterna ursprungligen samlades in bara om de nya ändamålen inte är oförenliga med de ursprungliga ändamålen, att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler uppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen – innebär ett tillräckligt integritetsskydd för den enskilde. I praktiken begränsar dessa bestämmelser möjligheterna till samkörning på ett sätt som är godtagbart från integritetssynpunkt samtidigt som de innebär att personuppgifter kan samköras när det är ändamålsenligt och lämpligt. Även 59 § socialtjänstlagen och bestämmelserna i sekretesslagen kan hindra att personuppgifter samkörs.

Utlämnande av personuppgifter på medium för automatiserad behandling

I den föreslagna lagen behövs ingen regel som tillåter att personuppgifter inom socialtjänsten får lämnas ut på medium för automatiserad behandling (avsnitt 6.8). Personuppgifter får lämnas ut på vilket medium som helst om behandlingen – utlämnandet – inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in. Detta följer direkt av personuppgiftslagen. Det finns inte heller tillräcklig anledning att förbjuda att personuppgifter lämnas ut på ett sådant medium. Sekretesslagen eller andra bestämmelser kan dock hindra att uppgifterna över huvud taget får lämnas ut.

Direktåtkomst

Den som har direktåtkomst till information som behandlas automatiserat kan, när han eller hon vill, ta del av informationen på en bildskärm. Åtkomsten kan avse all information som finns eller endast en del av denna. Direktåtkomst ger inte i sig möjlighet att påverka informationsinnehållet. Frågan om direktåtkomst har behandlats i avsnitt 6.9.

De sekretessbestämmelser som gäller vid behandling av personuppgifter inom socialtjänsten (bl.a. 7 kap. 4 § sekretesslagen och 51 § andra stycket socialtjänstlagen) innebär, oavsett om det är fråga att lämna ut uppgifter på papper eller om det rör sig om direktåtkomst, ett mycket starkt skydd för personuppgifterna. Vidare innebär personuppgiftslagens regler om att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen, samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket d, e och f), ett ytterligare skydd för personuppgifterna. Även detta gäller oavsett på vilket medium uppgifterna tas fram. Det finns inget behov av att härutöver föreslå en regel som innebär begränsningar av åtkomsten till personuppgifter som behandlas automatiserat inom socialtjänsten.

Utredningen framhåller att en förutsättning för att en lösning som den föreslagna skall ge ett tillräckligt integritetsskydd är att den personuppgiftsansvarige begränsar den krets av personer som har direktåtkomst till information – vilket redan med hänsyn till gällande sekretessregler är nödvändigt – och att det finns system för behörighetskontroll. Utredningen har vid sin bedömning också utgått från att så blir fallet och att de tekniska systemen utformas så att det i efterhand går att fastställa vilka personer som har tagit del av information.

Information

Personuppgiftslagens bestämmelser om den personuppgiftsansvariges informationsplikt skall gälla även när personuppgifter behandlas inom socialtjänsten (avsnitt 6.10). Några särskilda bestämmelser om information behövs inte i den föreslagna lagen. I betänkandet gör utredningen en bedömning av hur personuppgiftslagens bestämmelser om information kan komma att tillämpas inom socialtjänsten.

Säkerheten vid behandling och tillsynsmyndighetens befogenheter

Personuppgiftslagens bestämmelser om säkerheten vid behandling och tillsynsmyndighetens befogenheter skall gälla också när personuppgifter behandlas inom socialtjänsten (avsnitt 6.11). Några särskilda bestämmelser därutöver behövs inte i den föreslagna lagen. Datainspektionen skall vara tillsynsmyndighet även enligt den föreslagna lagen.

I betänkandet erinrar dock utredningen om att de uppgifter som finns och kommer att finnas inom socialtjänsten mycket ofta kommer att vara av integritetskänslig natur. Utredningen understryker därför betydelsen av att det bedrivs ett aktivt arbete i syfte att vidmakthålla en hög säkerhetsnivå. Det kan också, framhåller utredningen, förväntas att Datainspektionen med stöd av 13 § personuppgiftsförordningen (1998:1191) kommer att meddela närmare föreskrifter om de säkerhetsåtgärder som behövs.

Anmälan till tillsynsmyndigheten, m.m.

Enligt 36 § första stycket personuppgiftslagen gäller att behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten (Datainspektionen) innan en sådan behandling eller serie av sådana behandlingar med samma eller liknande ändamål genomförs.

Emellertid innebär bestämmelsen i 3 § 3 personuppgiftsförordningen att den anmälningsskyldighet som följer av 36 § första stycket personuppgiftslagen inte gäller för behandling av personuppgifter som regleras genom särskilda föreskrifter i lag eller förordning. Denna undantagsbestämmelse från anmälningsskyldigheten bör – menar utredningen – gälla också när personuppgifter behandlas med stöd av lagen om behandling av personuppgifter inom socialtjänsten (avsnitt 6.12). När personuppgifter behandlas automatiserat inom socialtjänsten behöver anmälan således inte göras till Datainspektionen.

Personuppgiftslagens bestämmelse (42 §) om att den personuppgiftsansvarige till var och en som begär det skall lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten, skall däremot gälla även vid behandling av personuppgifter inom socialtjänsten (avsnitt 6.12).

Bevarande och gallring

Det finns inget behov av bestämmelser i fråga om bevarande och gallring som avviker från regleringen härav i andra författningar (avsnitt 6.13). Detta innebär att bevarande och gallring skall ske med beaktande av reglerna i personuppgiftslagen och socialtjänstlagen. En bestämmelse härom tas in i lagen.

Sekretess

I den föreslagna lagen tas inte in någon särskild reglering av sekretessfrågor som avviker från gällande lagstiftning (avsnitt 6.14). I lagtexten införs dock en uttrycklig erinran om de sekretessregler som skall beaktas vid behandling av personuppgifter inom socialtjänsten.

Rättelse och skadestånd

De bestämmelser om rättelse och skadestånd som finns i personuppgiftslagen skall gälla även behandlingar som utförts i strid med lagen om behandling av personuppgifter inom socialtjänsten (avsnitten 6.15 och 6.16). En föreskrift som anger detta förhållande tas in i den sistnämnda lagen

Överklagande

Utredningen föreslår inga särskilda regler om överklagande av den personuppgiftsansvariges beslut i olika frågor (avsnitt 6.17). Frågan om en sådan överklaganderätt bör finnas är av principiellt slag och bör därför övervägas i ett annat sammanhang.

Det är, menar utredningen, ingen lämplig ordning att riksdagen i varje enskilt fall i olika specialförfattningar om behandling av personuppgifter, skall ta ställning till om vissa beslut som den personuppgiftsansvarige fattar bör kunna överklagas. Den bästa lösningen är att riksdagen i ett sammanhang – lämpligen i ett lagstiftningsärende rörande personuppgiftslagen – får ta ställning till om en sådan överklaganderätt bör finnas.

Ikraftträdande- och övergångsbestämmelser

Lagen om behandling av personuppgifter föreslås träda i kraft den 1 juli 2000 (avsnitt 7.2).

Som inledningsvis nämndes bygger lagen om behandling av personuppgifter inom socialtjänsten på personuppgiftslagen och skall tillämpas sida vid sida med den. Mot denna bakgrund bör, menar utredningen, den föreslagna lagens övergångsreglering och personuppgiftslagens i princip överensstämma.

Utredningen föreslår därför i fråga om automatiserad behandling av personuppgifter, en övergångsbestämmelse som innebär att lagen – liksom personuppgiftslagen – skall tillämpas först den 1 oktober 2001 på sådana automatiserade behandlingar som har påbörjats före den 24 oktober 1998. Detsamma bör – liksom enligt personuppgiftslagen – gälla beträffande automatiserad behandling som utförs för ett visst ändamål, om behandling för ändamålet har påbörjats före den 24 oktober 1998.

Lagen om behandling av personuppgifter inom socialtjänsten kommer således att gälla för de automatiserade behandlingar som pågår den 1 juli 2000 och som har påbörjats efter den 24 oktober 1998. Den 1 oktober 2001 kommer denna lag – liksom personuppgiftslagen – i princip att gälla fullt ut för all automatiserad behandling av personuppgifter, oavsett när den har påbörjats.

När det sedan gäller manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998, anser utredningen att den föreslagna lagen bör träda i kraft först den 1 oktober 2007. För sådan manuell behandling av personuppgifter inom socialtjänsten kommer således endast personuppgiftslagen att gälla till och med den 30 september 2007. När det gäller manuell behandling som påbörjats efter den 24 oktober 1998 gäller däremot såväl personuppgiftslagens bestämmelser som lagen om behandling av personuppgifter inom socialtjänsten redan den 1 juli 2000.

Förslaget till lag om ändring i socialtjänstlagen

Utredningens förslag innebär vidare att det i socialtjänstlagen tas in en ny bestämmelse, 59 a §, som innebär att förbudet i 59 § första stycket samma lag mot att i s.k. sammanställningsregister hos socialnämnden anteckna uppgifter om ömtåliga personliga förhållanden inte skall hindra att personuppgifter behandlas hos socialnämnden för uppföljning, utvärdering, kvalitetssäkring, forskning och framställning av statistik (avsnitt 6.1.5).

Vidare föreslås en ändring i 61 § socialtjänstlagen, som innebär att det i den paragrafen tas in en hänvisning inte bara till personuppgiftslagen utan även till lagen om behandling av personuppgifter inom socialtjänsten (avsnitt 8.2).

Även ändringarna i socialtjänstlagen föreslås träda i kraft den 1 juli 2000 (avsnitt 7.2). Beträffande 61 § socialtjänstlagen föreslås en viss övergångsreglering.

» Se alla betänkanden med Sören Öman

Sören Öman
» CV
» Föredrag
» Skrifter

Sören Öman har synner­ligen om­fattande och bred erfaren­het av offent­liga utred­ningar. Sedan början av 1990-talet har han i princip kontinuer­ligt an­litats för sådana utred­ningar av regeringar och ministrar med varierande politisk färg. Han har med­verkat i flera parla­men­tariska kommittéer, där politiker är leda­möter, och dess­utom många gånger själv utsetts till sär­skild utredare. Sören Öman har hittills gjort eller med­verkat i 24 offent­liga utred­ningar som av­givit 29 betänkanden om totalt 10 050 sidor och därvid sam­arbetat med 324 andra med­verkande.

Sören Öman är ord­förande i Arbets­domstolen. Han är också skilje­man, före­läsare och för­fattare. Han har lång er­faren­het från ar­bete i Regerings­kansliet och om­fattande erfaren­het av ut­red­ningar inom olika juridiska om­råden, såsom arbets­rätt och data­skydd.