Hoppa till huvudinnehåll

9 Behandling av personuppgifter

Det huvudsakliga syftet med dataskyddslagstiftningen är att skydda enskildas personliga integritet genom att begränsa och ge enskilda inflytande över hanteringen av deras personuppgifter. Genom särskilda bestämmelser tillåts viss behandling av personuppgifter för vissa särskilt angivna ändamål.

9.1 Tillämplig lagstiftning

9.1.1 Dataskyddsförordningen

Från och med den 25 maj 2018 är EU:s dataskyddsförordning direkt tillämplig i Sverige. Det innebär att den gäller som svensk lag. Samma dag upphörde personuppgiftslagen (PUL) att gälla. Vid behandling av personuppgifter ska alltså numera bestämmelserna i dataskyddsförordningen tillämpas.

Dataskyddsförordningen kompletteras i vissa avseenden av nationella bestämmelser. Det är dock viktigt att komma ihåg att den nationella regleringen inte är uttömmande, utan att dataskyddsförordningen också gäller vid all behandling av personuppgifter.

9.1.2 Dataskyddslagen och tillhörande förordning

Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning kompletterar dataskyddsförordningen på ett generellt plan. I dataskyddslagen finns bland annat bestämmelser om sanktionsavgifter och skadestånd. Dataskyddslagens bestämmelser ska inte tillämpas om en annan lag eller förordning innehåller bestämmelser som föreskriver något annat.

9.1.3 114 kap. SFB och förordningen om behandling av personuppgifter vid Försäkringskassan

För behandling av personuppgifter inom Försäkringskassans kärnverksamhet, det vill säga handläggning av socialförsäkringsärenden, finns kompletterande bestämmelser i 114 kap. SFB och i förordningen (2024:14) om behandling av personuppgifter vid Försäkringskassan och Pensionsmyndigheten.

114 kap. SFB är vad man i dagligt tal brukar kalla en registerförfattning.

9.1.4 Lagen och förordningen om den officiella statistiken

För behandling av personuppgifter i Försäkringskassans särskilda statistikverksamhet gäller, utöver dataskyddsförordningen, även bestämmelserna i lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken.

9.2 Personuppgifter

9.2.1 Vad är en personuppgift?

En personuppgift är alla uppgifter om en identifierad eller identifierbar, fysisk, levande person. Det kan till exempel vara personens namn, var hen bor, hur hen ser ut (ett foto), var hen jobbar, hur hen mår (hälsa), vilket parti hen röstar på eller hens sexuella läggning.

En person kan identifieras genom till exempel namn, personnummer, adress, diarienummer, ärendenummer eller IP-adress, men även genom faktorer som ensamma eller tillsammans är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Exempelvis kan en uppgift om kön tillsammans med uppgift om yrke och en ovanlig diagnos göra det möjligt att identifiera en fysisk person.

Uppgifter om juridiska personer är inte personuppgifter. Uppgifter om en enskild firma är dock personuppgifter, eftersom en enskild firma drivs av en enda fysisk person.

114 kap. 5 § SFB Vid behandling av uppgifter om avlidna personer ska följande reglering gälla i tillämpliga delar:

  1. detta kapitel och föreskrifter som har meddelats i anslutning till kapitlet,
  2. EU:s dataskyddsförordning, och
  3. lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.

Uppgifter om en avliden person är inte personuppgifter, eftersom de inte avser en levande person. Dataskyddsförordningen gäller inte för behandling av personuppgifter om avlidna personer. För behandling av uppgifter som omfattas av 114 kap. SFB finns däremot en särskild bestämmelse om uppgifter om avlidna i 114 kap. 5 § SFB. Bestämmelsen innebär att bland annat ändamålsbestämmelser, krav för behandling av känsliga personuppgifter och de principer som följer av artikel 5 i dataskydds-förordningen även gäller för behandling av uppgifter om avlidna personer när det handlar om behandling som omfattas av 114 kap. SFB.

Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt är inte tillämpliga på avlidna personer. Efterlevande eller andra kan inte överta rättigheter som tillkom den avlidne när hen var i livet (se prop. 2019/20:106 s. 32). Det innebär exempelvis att bestämmelser om rätten till information, rätten till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till en avliden person.

9.2.2 Vad är en känslig personuppgift?

Känsliga personuppgifter är sådana personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person (till exempel fingeravtryck), uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Uppgift om hälsa är enligt skäl 35 och artikel 4.15 i dataskyddsförordningen ett vitt begrepp som täcker in alla uppgifter som avslöjar något om en persons tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Det kan röra sig om allt från uppgift om diagnos och funktionsnedsättning till uppgift om sjukskrivning, ansökt och/eller beviljad socialförsäkringsförmån och kontakt med vårdinrättning.

Personuppgifter kan vara känsliga ur ett informationssäkerhetsperspektiv, även om de inte omfattas av begreppet känsliga personuppgifter (se anvisningarna 2022:09 Säkerhet på Försäkringskassan). De bestämmelser som gäller för känsliga personuppgifter, gäller dock endast sådana uppgifter som omfattas av definitionen i artikel 9 dataskyddsförordningen.

9.2.3 Vad är en uppgift om lagöverträdelse?

Uppgifter om fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel är enligt artikel 10 i dataskyddsförordningen uppgifter om lagöverträdelser.

Av EU-domstolens dom den 22 juni 2021, mål nr C-439/19, framgår att även vissa administrativa förfaranden av repressiv art kan vara uppgifter om lagöverträdelser. I det aktuella fallet handlade det om prickning av förare vid överträdelser av trafikregler.

Dataskyddsförordningen innehåller inte några begränsande bestämmelser för behandling av personuppgifter om lagöverträdelser om behandlingen utförs under kontroll av en myndighet. Det har tidigare i SFB funnits vissa generella begränsningar för behandling av uppgifter om lagöverträdelser, men de är numera borttagna. I avsnitt 9.6.5 kan du läsa mer om behandling av uppgifter om lagöverträdelser.

9.2.4 Vad är pseudonymiserade personuppgifter?

Att personuppgifter pseudonymiseras innebär att det inte längre går att hänföra uppgifterna till en fysisk person utan att kompletterande uppgifter används. Enligt artikel 4.5 dataskyddsförordningen ska de kompletterande uppgifterna förvaras separat och vara föremål för särskilda säkerhetsåtgärder.

Ett exempel på pseudonymisering är när personnummer översätts till löpnummer och kodnyckeln förvaras separat med särskilda behörighetsbegränsningar. Det bör dock beaktas att om kvarstående uppgifter tillsammans kan identifiera en fysisk person, till exempel uppgift om bostadsort och en ovanlig diagnos, räknas uppgifterna inte som pseudonymiserade.

Pseudonymisering är en säkerhetsåtgärd och innebär inte att uppgifterna upphör att vara personuppgifter. Samtliga regler som gäller behandling av personuppgifter gäller således även dessa personuppgifter.

9.2.5 Vad är anonymiserade uppgifter?

Personuppgifter som avidentifierats på ett sådant sätt att de inte längre kan hänföras till en fysisk person, räknas enligt skäl 26 i dataskyddsförordningen som anonymiserade. Det krävs då att det inte är möjligt, varken genom befintliga uppgifter eller genom att tillföra andra uppgifter, att avgöra vilken fysisk person som uppgifterna avser.

Om personuppgifter har anonymiserats räknas de inte längre som personuppgifter. Bestämmelser som gäller behandling av personuppgifter är då inte längre tillämpliga.

9.3 Behandling av personuppgifter

Begreppet behandling definieras i artikel 4.2 dataskyddsförordningen. Med behandling avses alla åtgärder som går att vidta med personuppgifter. Det kan till exempel vara insamling, registrering, strukturering, lagring, ändring, bearbetning, läsning, användning, utlämning, spridning, radering eller förstöring.

Att en personuppgift finns hos Försäkringskassan innebär alltså att personuppgiften behandlas här.

9.3.1 Automatiserad och manuell behandling

Både dataskyddsförordningen och de författningar som det redogörs för i avsnitt 9.1 är tillämpliga på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg. All elektronisk behandling av personuppgifter omfattas således av bestämmelserna i dataskyddsförordningen och de aktuella författningarna.

Manuell behandling av personuppgifter omfattas av bestämmelserna om personupp-gifterna ingår i eller kommer att ingå i ett register. Ett register är enligt artikel 4.6 i dataskyddsförordningen en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.

För Försäkringskassans del innebär det till exempel att pappersakter i vissa fall kan omfattas av dataskyddslagstiftningen när handlingarna är diarieförda i ett digitalt diarieföringssystem.

Manuella utskick av handlingar som skrivits ut från it-systemen omfattas av dataskyddslagstiftningen. Det beror på att utskicket är ett led i den automatiserade behandlingen av personuppgifter – handlingarna skrivs ut från IT-systemet i syfte att skickas iväg.

9.4 Personuppgiftsansvar

Den som bestämmer ändamålen och medlen för behandlingen av personuppgifter är personuppgiftsansvarig enligt artikel 4.7 dataskyddsförordningen. Om detta bestäms i en författning, kan även den personuppgiftsansvariga utses i författningen. I 114 kap. 7 § SFB anges att Försäkringskassan är personuppgiftsansvarig för den behandling av personuppgifter som sker i Försäkringskassans verksamhet. Det är alltså ingen fysisk person på Försäkringskassan som är personuppgiftsansvarig.

Personuppgiftsansvaret innebär ett ansvar för att all behandling av personuppgifter sker i överensstämmelse med tillämpliga bestämmelser.

9.5 Personuppgiftsbiträde

Ett personuppgiftsbiträde är enligt artikel 4.8 i dataskyddsförordningen en fysisk eller juridisk person, en offentlig myndighet, en institution eller ett annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Personuppgiftsbiträdet finns alltid utanför den egna organisationen. Det kan till exempel vara en leverantör som driftar ett HR-system för Försäkringskassans räkning eller en myndighet som utför arbete åt en annan myndighet. Statens servicecenter behandlar personuppgifter för Försäkringskassans räkning och Försäkringskassan behandlar personuppgifter för Pensionsmyndighetens räkning.

Den som får personuppgifter från Försäkringskassan i syfte att använda uppgifterna för ändamål i sin egen verksamhet är inte ett personuppgiftsbiträde.

När Försäkringskassan anlitar ett personuppgiftsbiträde, ska det skrivas ett särskilt biträdesavtal (pub-avtal). Vad som ska föreskrivas i avtalet framgår av artikel 28.3 i dataskyddsförordningen. Personuppgiftsbiträdet får enligt artikel 29 dataskyddsförordningen endast behandla personuppgifter på instruktion från Försäkringskassan, om inte en skyldighet att behandla uppgifter framgår av någon annan författning.

Av artikel 28.1 i dataskyddsförordningen framgår att personuppgiftsbiträdet måste kunna ge tillräckliga garantier om att det kan genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dataskyddsförordningen.

Om det tilltänkta biträdet inte kan ge sådana garantier, får Försäkringskassan anlita någon annan i stället.

Läs mer

Läs mer om personuppgiftsbiträdesavtal i Försäkringskassans riktlinje (2019:01) Personuppgiftsbiträdesavtal. I riktlinjen beskrivs bland annat förutsättningar för att teckna ett personuppgiftsbiträdesavtal, vad som ska ingå i avtalet och den särskilda Wimimallen för sådana avtal.

9.6 Förutsättningar för behandling av personuppgifter

9.6.1 Grundläggande principer för behandling av personuppgifter

För all behandling av personuppgifter gäller enligt artikel 5 i dataskyddsförordningen vissa grundläggande principer.

Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt och de ska samlas in för på förhand bestämda och berättigade ändamål, som tydligt angivits. Det måste alltså redan från början vara tydligt för vilket ändamål personuppgifter behandlas. För Försäkringskassans kärnverksamhet finns berättigade ändamål angivna i 114 kap. 8–10 §§ SFB (läs mer i avsnitt 9.6.3). Av artikel 5.1 b dataskyddsförordningen följer att för övrig verksamhet måste vi alltid ta ställning till om ett ändamål är berättigat.

Personuppgifterna ska vara korrekta – alla rimliga åtgärder ska vidtas för att felaktiga uppgifter rättas eller raderas (se avsnitt 9.8.3) – och dessutom vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet. För Försäkringskassans del innebär det att vi inte får behandla sådana personuppgifter som inte har direkt betydelse för verksamheten.

Behandlingen ska ske på ett säkert sätt. Läs mer om säkerhet i avsnitt 9.7.

114 kap. 15 § SFB Personuppgifter som behandlas automatiserat ska gallras när de inte längre är nödvändiga för de ändamål som anges i 8 §. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Behandlingen ska inte pågå under längre tid än vad som är nödvändigt med hänsyn till ändamålet. Riksarkivet är den myndighet som beslutar om bevarande av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Om Riksarkivet inte har föreskrivit om bevarande måste Försäkringskassan (Avdelningen för verksamhetsstöd, VO Informationsförvaltning) fatta ett tillämpningsbeslut om gallring innan uppgifter gallras med stöd av 114 kap. 15 § SFB. Inga uppgifter eller handlingar får gallras utan ett sådant beslut.

Läs mer

Läs mer om bestämmelser som gäller gallring och bevarande i vägledning (2004:3) Försäkringskassan och arkivhantering, Försäkringskassans riktlinjer (2022:01) Gallring och bevarande av verksamhetsinformation och anvisningar (2023:09) Gallring och bevarande av verksamhetsinformation.

Det är viktigt att komma ihåg att all behandling av personuppgifter måste uppfylla de grundläggande principerna i dataskyddsförordningen. Även om det finns ett tillämpligt ändamål i 114 kap. SFB att behandla personuppgifter för, måste de aktuella personuppgifterna till exempel också vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet.

9.6.2 Rättslig grund

Behandling av personuppgifter är bara tillåten om den uppfyller minst ett av kraven i artikel 6.1 dataskyddsförordningen. Kraven kallas rättsliga grunder. Den första alternativa rättsliga grunden är att den registrerade har lämnat sitt samtycke till behandlingen. Behandling kan också ske om den är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse, för att skydda intressen som är av grundläggande betydelse för en fysisk person och för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Personuppgifter kan dessutom behandlas med stöd av en intresseavvägning.

Begreppet nödvändig

Att behandlingen ska vara nödvändig innebär inte att det ska vara omöjligt att uppnå syftet med behandlingen utan att personuppgifter behandlas. I dagsläget anses det nästan alltid vara nödvändigt att behandla personuppgifter digitalt, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag. (Se prop. 2017/18:105 s. 46 f och EU-domstolens dom i målet Huber mot Tyskland C-524/06, EU:C:2008:724).

Försäkringskassans kärnverksamhet

Lagstiftaren har, genom att i 114 kap. SFB ange tillåtna ändamål, bedömt att det finns en tillämplig rättslig grund för Försäkringskassans behandling av personuppgifter för de aktuella ändamålen. Det krävs alltså inte något särskilt bestämmande av rättslig grund inom kärnverksamheten.

Övrig verksamhet inom Försäkringskassan

Samtycke

Ett samtycke måste vara frivilligt. Det ska vara tydligt vad samtycket avser och det ska ha föregåtts av information från den personuppgiftsansvarige om vad samtycket innebär. Samtycket kan lämnas skriftligt, muntligt eller genom konkludent handlande (att man genom sitt agerande visar att man samtyckt) och kan när som helst tas tillbaka. Vad som gäller för samtycke regleras i artikel 4.11 och 7 i EU:s dataskyddsförordning.

Av skäl 43 till dataskyddsförordningen framgår att samtycke inte bör utgöra giltig rättslig grund när det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet. Försäkringskassan ska alltså inte använda sig av samtycke när den enskilde i praktiken inte har någon möjlighet att göra ett fritt val.

Även i relationen mellan arbetsgivare och arbetstagare råder ofta betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige (Artikel 29-gruppens vägledning om samtycke enligt EU:s dataskyddsförordning).

Rättslig förpliktelse, allmänt intresse och myndighetsutövning

En rättslig förpliktelse, en uppgift av allmänt intresse och myndighetsutövning ska, för att kunna utgöra en rättslig grund för behandling av personuppgifter, följa av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Detta framgår av artikel 6.3 i dataskyddsförordningen och 2 kap. 1 och 2 §§ dataskyddslagen.

Vad Försäkringskassan har för rättsliga förpliktelser och arbetsuppgifter framgår av bland annat förordningen (2009:1174) med instruktion för Försäkringskassan, myndighetsförordningen, arbetsmiljölagen (1977:1160) och SFB.

Utanför området för myndighetsutövning är det den rättsliga grunden allmänt intresse som vanligen bör tillämpas av myndigheter. Enligt förarbetena till dataskyddslagen ska begreppet uppgift av allmänt intresse ges en vid betydelse. Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra samt den verksamhet som en statlig myndighet bedriver inom ramen för sin befogenhet är enligt regeringen av allmänt intresse. (Prop. 2017/18:105 s. 56 f.)

Behandling av personuppgifter för myndigheters administration kan i de flesta fall ske med stöd av ett allmänt intresse, rättslig förpliktelse eller avtal.

Syftet med behandlingen av personuppgifter ska enligt artikel 6.3 i dataskyddsförordningen framgå av den rättsliga förpliktelsen eller vara nödvändigt för att utföra uppgiften av allmänt intresse eller myndighetsutövningen.

Intresseavvägning

Offentliga myndigheter får inte behandla personuppgifter med stöd av en intresseavvägning när de fullgör sina uppgifter. Detta framgår av artikel 6.1 andra stycket i dataskyddsförordningen.

Behandling av personuppgifter som en myndighet utför utanför den myndighetsspecifika verksamheten, till exempel inom personal- eller ekonomiadministration, har bedömts kunna ske med stöd av en intresseavvägning (SOU 2017:66 s. 193). I de flesta fall sker dock behandling för dessa ändamål med stöd av andra rättsliga grunder.

9.6.3 Ändamål

Primära ändamål i Försäkringskassans kärnverksamhet

114 kap. 8 § SFB Försäkringskassan och Pensionsmyndigheten får behandla personuppgifter om det är nödvändigt för att

  1. tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar ska kunna bedömas eller fastställas,
  2. informera om förmåner och ersättningar,
  3. handlägga ärenden,
  4. vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott,
  5. planera sina respektive verksamheter,
  6. inom sina respektive verksamheter genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn, eller
  7. framställa statistik i fråga om verksamhet enligt 3–6.

Bestämmelsen anger för vilka ändamål personuppgifter får behandlas inom Försäkringskassans kärnverksamhet. Dessa ändamål kallas även för primära ändamål.

Punkten 1 gäller till exempel behandling av personuppgifter i form av en arbetsgivares anmälan av sjukdomsfall innan den försäkrade har ansökt om sjukpenning.

Punkten 2 gäller behandling av personuppgifter i vissa fall innan det finns ett förmånsärende, till exempel uppgifter om blivande föräldrar för att Försäkringskassan ska kunna skicka riktad information om föräldrapenning och läkarintyg som kommer in före en ansökan om sjukpenning.

Punkten 3 gäller all behandling som krävs för att handlägga ärenden som gäller förmåner och ersättningar. Denna punkt omfattar även återsökning av vägledande avgöranden och kontrollåtgärder som ingår som moment i handläggning av ärenden.

Punkten 4 är ny från den 15 februari 2024 och avser kontrollåtgärder i verksamhet som gäller förmåner enligt SFB samt andra förmåner och ersättningar som Försäkringskassan handlägger enligt lag, förordning eller särskilt beslut av regeringen. Kontrollerna ska vidtas i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Syftet med det nya ändamålet är att förtydliga Försäkringskassans möjligheter att behandla personuppgifter för kontrolländamål. Det nya ändamålet omfattar inte sådan kontroll som utgör ett moment i handläggning av ärenden. Sådan kontroll kan utföras med stöd av ändamålet i punkten 3 (handlägga ärenden).

Med kontrollåtgärder enligt punkten 4 avses åtgärder som innebär att övervaka, granska eller undersöka Försäkringskassans handläggning och utbetalningar av förmåner och ersättningar. Det kan till exempel röra sig om

  • behandling genom analyser av uppgifter, för att
    • utveckla och träna modeller
    • identifiera ärenden som ska ingå i ett avsett urval.
  • kontroller av det statliga tandvårdsstödet som sker genom systematisk bearbetning av elektroniska data, där vi särskilt ska kontrollera uppgifter som lämnas i samband med behandling och som av någon anledning avviker från vad som kan anses normalt eller som vi bör uppmärksamma av andra skäl (prop. 2007/08:49 s. 98).
  • insamlande av uppgifter och utförande av de systematiska kontroller av utnyttjande av assistansersättning som Skatteverkets uppgiftsskyldighet enligt 110 kap. 34 a § SFB är tänkt att möjliggöra
  • behandling av personuppgifter som sker i anslutning till att uppgifter lämnas till och från myndigheterna med stöd av till exempel
    • lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen
    • lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet
    • när myndigheterna behandlar personuppgifter med anledning av en polisanmälan.

Enligt punkten 7 är det tillåtet att framställa statistik i fråga om verksamhet med kontrollåtgärder enligt punkten 4.

Borttaget ändamål – återsökning av vägledande avgöranden

Behandling för återsökning av vägledande avgöranden har tidigare funnits med som ett särskilt primärt ändamål i 114 kap. SFB. Med återsökning av vägledande avgöranden avses exempelvis sökning i samlingar av domar och beslut som upprättats för ledning angående praxis (prop. 2002/03:135 s. 61). Ändamålet har numera tagits bort, eftersom det anses vara obehövligt. Försäkringskassan anses kunna behandla personuppgifter i vägledande avgöranden med stöd av andra primära ändamål, till exempel för att handlägga ärenden och för att göra resultatuppföljning och utvärdering av verksamheten. När Försäkringskassan hanterar rättspraxis i syfte att skapa ett generellt rättsligt stöd som ska leda till en enhetlig tillämpning, bedöms behandlingen falla utanför tillämpningsområdet för 114 kap. SFB.

IT-utveckling och testverksamhet

När det gäller it-utveckling framförde Försäkringskassan i sin hemställan om nya regler för personuppgiftsbehandling i kärnverksamheten att det behövs ett särskilt primärt ändamål för utvecklingsåtgärder. Det handlade bland annat om att det skulle bli tydligt att Försäkringskassan har stöd för det omfattande utvecklingsarbete som pågår och förväntas pågå framöver samt för mer innovativa utvecklingsåtgärder (Hemställan om ändringar i 114 kap. SFB och förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration, s. 85 f.). Något sådant ändamål infördes dock inte i det nya 114 kap. SFB.

I propositionen skriver regeringen bl.a. följande om it-utveckling (prop. 2023/24:29 s. 45).

”Myndigheter ska bedriva en effektiv verksamhet och fortlöpande utveckla den. Försäkringskassan och Pensionsmyndigheten bedriver verksamhets- och it-utveckling både på eget initiativ och med anledning av olika uppdrag. Myndigheterna behöver t.ex. ha adekvata system för ärendehantering, digitala lösningar för informationsutbyte och effektiva analysverktyg. Arbetet med it-utveckling kan handla både om att säkerställa och förbättra befintliga lösningar och om att ta fram nya lösningar och ny funktionalitet. Förvaltning, utveckling och underhåll av myndigheternas it-system förutsätter ofta testning. […] Testning kan ofta göras med hjälp av avidentifierade uppgifter som saknar koppling till individer. Sådan anonym information är inte personuppgifter och omfattas därmed inte av dataskyddslagstiftningens krav. I vissa fall kan dock tester med personuppgifter vara en förutsättning för att personuppgifter ska behandlas på ett korrekt sätt i den faktiska verksamheten.”

It-utveckling i form av testverksamhet berörs alltså uttryckligen i förarbetena. Där framgår att testverksamhet har ett sådant samband med Försäkringskassans verksamhet i övrigt att det inte behövs någon särskild ändamålsbestämmelse (prop. 2023/24:29 s. 45 f.).

Testverksamhet anses alltså kunna ske med stöd av bestämmelserna i 114 kap. SFB, antingen genom ett av ändamålen i 8 § eller att det görs en bedömning enligt finalitetsprincipen i 10 § (att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in). Det betyder inte att testverksamhet alltid är tillåten. Vi behöver alltid bedöma om den aktuella testningen behövs för att vi ska kunna utföra vårt uppdrag. Det måste finnas ett preciserat ändamål och personuppgiftsbehandlingen måste vara nödvändig för just det ändamålet. Testverksamheten måste också utföras i enlighet med övriga bestämmelser om dataskydd, exempelvis bestämmelserna om sökbegränsningar och begränsningar i fråga om tillgång till personuppgifter (prop. 2023/24:29 s. 45 f. med hänvisningar).

Mer innovativ it-utveckling och exempelvis träning av AI-modeller berörs inte uttryckligen i förarbetena. Precis som med all personuppgiftsbehandling måste vi göra samma bedömningar som beskrivs i föregående stycke, bland annat om personuppgifts-behandlingen behövs för att vi ska kunna utföra vårt uppdrag och identifiera ett ändamål.

Sekundära ändamål

114 kap. 9 § SFB Personuppgifter som behandlas för ändamål som anges i 8 § får behandlas av Försäkringskassan och Pensionsmyndigheten även för att fullgöra uppgiftslämnande som

  1. sker i överensstämmelse med lag eller förordning, eller
  2. följer av unionsrätten, åtaganden i samarbetet inom Europeiska ekonomiska samarbetsområdet eller avtal om social trygghet eller utgivande av sjukvårdsförmåner som Sverige ingått med andra stater.

Bestämmelsen gör att Försäkringskassan kan lämna ut sådana personuppgifter som behandlas för något av ändamålen i 114 kap. 8 § SFB till andra personuppgiftsansvariga och till enskilda personer. Dessa ändamål kallas även för sekundära ändamål.

Utlämnandet får ske med stöd av bestämmelser i lag eller förordning som påbjuder eller tillåter utlämnande, det vill säga bestämmelser som anger att uppgifter ska eller får lämnas ut. Sådana bestämmelser är till exempel

  • en uttrycklig uppgiftsskyldighet (10 kap. 28 § OSL)
  • uppgiftslämnande som sker i syfte att fullgöra serviceskyldigheten enligt FL
  • uppgiftslämnande som följer av skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om uppgiften inte är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL).

Personuppgifter får behandlas för ändamålen i 114 kap. 9 § SFB endast om uppgifterna redan behandlas för ändamålen i 114 kap. 8 § SFB. Vi får alltså inte samla in personuppgifter enbart i syfte att lämna ut dem.

Inom Försäkringskassans kärnverksamhet får vi bara behandla personuppgifter för de ändamål som anges i 114 kap. SFB och för sådana ändamål som är förenliga med de angivna ändamålen enligt finalitetsprincipen. Vi får inte behandla personuppgifter för andra ändamål med stöd av till exempel samtycke.

Finalitetsprincipen

114 kap. 10 § SFB Personuppgifter som behandlas enligt 8 eller 9 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Personuppgifter får endast samlas in för de ändamål som uttryckligen framgår av 114 kap. 8 § SFB. Uppgifter som redan samlats in och behandlas enligt 114 kap. 8 eller 9 § SFB får dock behandlas även för andra ändamål, under förutsättning att det nya ändamålet inte är oförenligt med det ursprungliga.

Att personuppgifter inte får behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in kallas finalitetsprincipen och framgår av artikel 5.1 b dataskyddsförordningen.

Vid tillämpning av finalitetsprincipen ska beaktas kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna har samlats in, personuppgifternas art, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen och förekomsten av lämpliga skyddsåtgärder (artikel 6.4 i dataskyddsförordningen). Finalitetsprincipen kan alltså inte tillämpas utan avvägningar som i praktiken innebär att de nya ändamålen kommer att behöva ligga mycket nära de ursprungliga ändamålen eller kunna ses som en förlängning av de ursprungliga ändamålen (prop. 2023/24:29 s. 50).

I fråga om behandling av känsliga personuppgifter med stöd av finalitetsprincipen finns ytterligare begränsningar som beskrivs i avsnitt 9.6.4.

9.6.4 Behandling av känsliga personuppgifter

Försäkringskassans kärnverksamhet

Det finns särskilda bestämmelser som styr när Försäkringskassan får behandla känsliga personuppgifter i kärnverksamheten.

114 kap. 11 § SFB Sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende. Känsliga personuppgifter får också behandlas om det är nödvändigt för något av de ändamål som anges i 9 §. Känsliga personuppgifter om hälsa får även behandlas om det är

  1. nödvändigt för något av de ändamål som anges i 8 § 1 och 2,
  2. nödvändigt för något av de ändamål som anges i 8 § 4–7 och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 § 1–3, eller
  3. absolut nödvändigt för behandling med stöd av 10 § och uppgifterna behandlas eller har behandlats för något av de ändamål som anges i 8 § 1–3. I andra fall får känsliga personuppgifter inte behandlas.

Möjligheten att behandla känsliga personuppgifter är kopplad till de olika ändamålen i 114 kap. 8–10 §§ SFB. Bestämmelsen är uttömmande och innebär följande:

Samtliga kategorier av känsliga personuppgifter får behandlas om

  • uppgifterna har lämnats i ett ärende
  • uppgifterna är nödvändiga för att handlägga ett ärende
  • det är nödvändigt för utlämnande av uppgifter enligt 9 § SFB.

Känsliga personuppgifter om hälsa får även behandlas om det är nödvändigt för att

  • tillgodose behovet av det underlag som krävs för att den registrerades eller någon annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar ska kunna bedömas eller fastställas enligt 8 § punkten 1
  • informera om förmåner och ersättningar enligt 8 § punkten 2.

Känsliga personuppgifter om hälsa får även behandlas om det är nödvändigt för att

  • vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott
  • planera sina respektive verksamheter
  • inom sina respektive verksamheter genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering eller tillsyn,
  • framställa statistik i fråga om verksamhet enligt 8 § punkten 3–6. Det förutsätter dock att uppgifterna redan behandlas eller har behandlats för något av ändamålen i 114 kap. 8 § 1–3 SFB. I praktiken blir det alltså fråga om en vidarebehandling.

Ovanstående innebär att Försäkringskassan inte får hämta in känsliga personuppgifter om hälsa i syfte att behandla dem för att vidta kontrollgärder.

Vi får även behandla känsliga personuppgifter om hälsa om samtliga följande kriterier är uppfyllda:

  • Det är absolut nödvändigt för behandling enligt finalitetsprincipen.
  • Uppgifterna behandlas redan eller har behandlats för något av de ändamål som anges i 8 § punkten 1–3.

Kravet på att vidarebehandling ska vara absolut nödvändigt innebär inte att vi bara får behandla känsliga personuppgifter i absoluta undantagsfall, utan markerar att vi ska göra det restriktivt och att vi noga ska pröva behovet av att behandla personuppgifterna i det enskilda fallet. Det ska vara absolut nödvändigt för ändamål som inte är oförenliga med det ändamål för vilket uppgifterna samlades in.

Övrig verksamhet inom Försäkringskassan

Behandling av känsliga personuppgifter inom Försäkringskassans övriga verksamhet är endast tillåten i de fall som framgår av artikel 9.2 dataskyddsförordningen. Det innebär att känsliga personuppgifter får behandlas bland annat med stöd av samtycke (läs mer i avsnitt 9.6.2), när uppgifterna på ett tydligt sätt har offentliggjorts av den registrerade och när behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk. Ett annat exempel på när det är tillåtet att behandla känsliga personuppgifter är inom arbetsrätten och på områdena social trygghet och socialt skydd:

3 kap. 2 § första stycket dataskyddslagen Känsliga personuppgifter får behandlas med stöd av artikel 9.2 b i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd.

Denna bestämmelse bör enligt förarbetena kunna tillämpas bland annat vid behandling av känsliga personuppgifter som en arbetsgivare utför i samband med en arbetstagares sjukdom och rehabilitering (prop. 2017/18:105 s. 78). Bestämmelsen är alltså tillämplig inom Försäkringskassans personaladministration.

Om behandling av personuppgifter sker med stöd i EU-rätt eller nationell rätt, kan känsliga personuppgifter enligt artikel 9.2 g dataskyddsförordningen också behandlas av hänsyn till ett viktigt allmänt intresse. Sådant stöd finns bland annat i följande bestämmelse:

3 kap. 3 § första stycket dataskyddslagen Känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning

  1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,
  2. om behandlingen är nödvändig för handläggningen av ett ärende, eller
  3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Det är alltså tillåtet för en myndighet att behandla känsliga personuppgifter som lämnats till myndigheten och som därmed är allmänna handlingar. Vidare är det tillåtet att behandla känsliga personuppgifter om det är nödvändigt för handläggningen av ett ärende. Utanför ren ärendehandläggning får känsliga personuppgifter behandlas om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Av förarbetena framgår att tredje punkten inte är avsedd att tillämpas slentrianmässigt i den löpande verksamheten och att det krävs en bedömning av intrånget i den personliga integriteten i varje enskilt fall (prop. 2017/18:105 s. 194).

Med stöd i EU-rätt eller nationell rätt är det enligt artikel 9.2 j dataskyddsförordningen också tillåtet att behandla känsliga personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

9.6.5 Behandling av uppgifter om lagöverträdelser

Tidigare fanns det särskilda regler i 114 kap. SFB som beskrev hur vi fick behandla personuppgifter om lagöverträdelser i kärnverksamheten. Exempelvis uppgifter om brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Dessa begränsningar har nu upphävts. Dataskyddsförordningen innehåller inte heller några regler som begränsar myndigheters behandling av personuppgifter om lagöverträdelser. Det innebär att Försäkringskassan får behandla personuppgifter om lagöverträdelser både inom kärnverksamheten och inom övrig verksamhet under förutsättning att övriga krav på behandling av personuppgifter är uppfyllda.

9.7 Säkerhetsåtgärder

9.7.1 Dataskyddsförordningen

En grundläggande princip enligt artikel 5.1 f i dataskyddsförordningen är att den personuppgiftsansvarige ska vidta åtgärder som säkerställer lämplig säkerhet för personuppgifterna. Det kan till exempel handla om skydd mot obehörig eller otillåten behandling med hjälp av lämpliga tekniska eller organisatoriska åtgärder.

Åtgärderna ska, enligt artikel 32 dataskyddsförordningen, när det är lämpligt inbegripa

  • pseudonymisering och kryptering av personuppgifter
  • förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna
  • förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident
  • ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför. Detta gäller i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Det är bland annat dataskyddsregleringens krav på säkerhet som föranlett Försäkringskassan att förbjuda lagring av personuppgifter om försäkrade personer i grupprum. Samma säkerhetsaspekter har också motiverat ett förbud för Försäkringskassans medarbetare att mejla känsliga personuppgifter.

En enskild kan inte ge sitt samtycke till att en myndighet frångår krav på säkerhetsåtgärder vid behandling av personuppgifter. Det innebär till exempel att känsliga personuppgifter inte ska mejlas även om den enskilde har samtyckt till det (se JO:s dnr 1376-2013).

Läs mer

Läs mer om informationssäkerhet på Fia, i Försäkringskassans riktlinjer (2018:13) Säkerhetsregler och Försäkringskassans anvisningar (2022:09) Säkerhet på Försäkringskassan. Anvisningarna beskriver hur personuppgifter får hanteras bland annat vid telefonsamtal, mejl och digitala möten. Av Försäkringskassans riktlinjer (2016:05) Grupprum framgår vilka personuppgifter som får lagras i grupprum.

9.7.2 Socialförsäkringsdatabasen

Uttrycket socialförsäkringsdatabasen användes tidigare i 114 kap. SFB som samlingsnamn för samtliga databaser och register som används för att handlägga förmånsärenden (jfr prop. 2002/03:135 s. 47 f). Uttrycket var en juridisk konstruktion som utgjorde underlag för vissa gemensamma bestämmelser för sådana behandlingar av personuppgifter som omfattades av uttrycket. De gemensamma bestämmelserna bestod av särskilda skyddsåtgärder, exempelvis bestämmelserna om direktåtkomst och sökbegränsningar.

Att uttrycket socialförsäkringsdatabasen inte längre används på socialförsäkrings-området innebär att samma regler (och alltså även samma skyddsåtgärder) gäller för all behandling av personuppgifter som sker inom tillämpningsområdet för 114 kap. SFB. (prop. 2023/24:29 s. 27 f).

9.7.3 Sökbegränsningar

114 kap. 12 § SFB Sökningar får inte utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. För de ändamål som anges i 8 § får dock sökningar utföras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa, om uppgiften avser förmån eller ersättning eller om urvalet ska användas för att

  1. vidta åtgärder i handläggningen,
  2. planera, följa upp eller utvärdera handläggningen, eller
  3. vidta kontrollåtgärder som syftar till att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.

Det är inte tillåtet att göra vilka sökningar som helst i Försäkringskassans it-system. Vi får inte göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Huvudregeln är alltså att det inte är tillåtet att sammanställa till exempel uppgifter om personer med en viss diagnos eller funktionsnedsättning. Det är en skillnad mot den tidigare sökbegränsningen i 114 kap. SFB som inte tillät att vi använde känsliga personuppgifter som sökbegrepp. Den nya sökbegränsningen utgår från syftet med sökningen istället för sökbegreppet. En annan skillnad mot tidigare är att sökbegränsningen numera inte omfattar uppgifter om lagöverträdelser och inte heller sökningar i fler än en handling i socialförsäkringsdatabasen.

Det finns undantag från huvudregeln att sökningar inte får göras i syfte att få fram ett urval av personer grundat på känsliga personuppgifter:

  • Vi får göra sökningar för de primära ändamålen i 114 kap. 8 § SFB (läs mer om de primära ändamålen i avsnitt 9.6.3) i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa, om uppgiften gäller förmån eller ersättning. Det kan till exempel vara en sammanställning av personer som får sjukpenning eller sjukersättning. Det är förmåner som baseras på uppgifter om den registrerades hälsa.
  • Vi får också göra sökningar för de primära ändamålen i syfte att få fram ett urval av personer grundat på känsliga personuppgifter om hälsa, om vi ska använda uppgiften för att vidta åtgärder i handläggningen, planera, följa upp eller utvärdera handläggningen eller vidta kontrollåtgärder. Det kan vara fråga om att använda uppgifter om exempelvis diagnos eller funktionsnedsättning vid en automatisering i handläggningen.

9.7.4 Tillgång till personuppgifter

114 kap. 13 § SFB Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Uttrycket var och en omfattar både tillsvidareanställd personal och till exempel personer med en tidsbegränsad anställning eller uppdragstagare. Det är medarbetarens arbetsuppgifter som sätter gränserna för den egentliga behörigheten. Den tekniska behörigheten – den faktiska möjligheten till åtkomst till personuppgifter – kan överstiga den rättsliga behörigheten att ta del av uppgifter. Medarbetaren får dock endast ta del av den information som hen behöver för att utföra sitt arbete.

Av Riksförsäkringsverkets föreskrifter (RFFS 2004:1) om behandling av personuppgifter inom socialförsäkringens administration framgår formerna för hur behörighet ska tilldelas och återkallas.

Försäkringskassan ska regelbundet kontrollera och följa upp åtkomsten till personuppgifter. Det är upp till Försäkringskassan att bestämma de närmare formerna för detta. Med uttrycket regelbundet avses att kontroll och uppföljning ska göras systematiskt och inte bara om vi har fått anledning att misstänka att obehörig åtkomst har förekommit. I förordning (2024:14) om behandling av personuppgifter vid Försäkringskassan och Pensionsmyndigheten finns ytterligare bestämmelser om vårt ansvar för rutiner när det gäller bl.a. att kontrollera och följa upp tillgången till personuppgifter.

Läs mer

Du kan läsa mer om åtkomststyrning med hjälp av behörigheter i anvisningar (2022:09) Säkerhet på Försäkringskassan.

9.8 Registrerades rättigheter

9.8.1 Information

Av artikel 12–14 dataskyddsförordningen framgår att Försäkringskassan måste lämna information till de registrerade. Informationen ska vara koncis, klar och tydlig, begriplig och lättillgänglig och avse allt från myndighetens kontaktuppgifter och vilka rättigheter den registrerade har till uppgifter om hur personuppgifterna kommer att användas. Om personuppgifter vid ett senare tillfälle ska behandlas för ett annat ändamål än för det de samlades in, måste ny information lämnas.

Information ska därför lämnas på Försäkringskassans webbsida, i anslutning till Mina sidor och på blanketter i syfte att ge de försäkrade information. När personuppgifter samlas in för att användas utanför kärnverksamheten, till exempel vid anställning eller seminarier, ska information lämnas särskilt.

Om personuppgifterna har samlats in från någon annan än den registrerade, gäller enligt artikel 14.5 dataskyddsförordningen vissa undantag från kravet på information. Då behöver information inte lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan, om mottagande eller utlämnande av personuppgifter är rättsligt reglerat eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt.

9.8.2 Registerutdrag

Den registrerade kan begära registerutdrag och har då enligt artikel 15 dataskyddsförordningen rätt att få information om bland annat vilka uppgifter som behandlas om hen. Informationen ska även omfatta bland annat ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller och, om det är möjligt, även den period som uppgifterna kommer att lagras.

Av 5 kap. 1 § dataskyddslagen framgår att skyldigheten att lämna information inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade. Regler om sekretess och tystnadsplikt går alltså före skyldigheten att lämna ut information i registerutdrag. I dataskyddslagen finns också ett undantag som gäller personuppgifter i löpande text som inte har fått sin slutliga utformning:

5 kap. 2 § dataskyddslagen Artikel 15 i EU:s dataskyddsförordning gäller inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande. Undantaget i första stycket gäller inte om personuppgifterna

  1. har lämnats ut till tredje part,
  2. behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål, eller
  3. har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.

Försäkringskassan hade tidigare ett särskilt undantag i 114 kap. SFB från skyldigheten att lämna information som gällde personuppgifter i handlingar i förmånsärenden. Den bestämmelsen upphävdes den 15 februari 2024.

Läs mer

Läs mer om hur du hanterar en begäran om registerutdrag i Försäkringskassans riktlinjer (2008:11) Hantering av information till den registrerade (registerutdrag).

9.8.3 Rättelse, radering och begränsning

Den registrerade har enligt artikel 16–18 i dataskyddsförordningen rätt att få felaktiga personuppgifter som rör hen rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad.

Rätten att få felaktiga personuppgifter rättade är dock inte oinskränkt. Av artikel 17.3 dataskyddsförordningen följer att rätten att få personuppgifter raderade inte gäller sådana uppgifter som behandlas med stöd av 114 kap. SFB eller i övrigt med stöd av grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning. Inte heller personuppgifter som behandlas för arkivändamål får raderas.

Om personuppgifter har lämnats ut, finns en skyldighet enligt artikel 19 dataskyddsförordningen att underrätta mottagarna av uppgifterna om eventuell rättelse, radering av personuppgifter eller begränsning av behandling. Detta gäller dock enbart om en sådan underrättelse inte är omöjlig eller medför en oproportionell ansträngning. Den registrerade ska också kunna få information om dessa mottagare.

Läs mer

Läs mer om registervård och hur du hanterar en begäran om rättelse eller radering av personuppgifter eller begränsning av personuppgiftsbehandling i Försäkringskassans riktlinjer (2008:25) Registervård (rättelse, radering och begränsning enligt EU:s dataskyddsförordning).

9.8.4 Rätt att invända mot behandling

114 kap. 6 § SFB Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling av personuppgifter som är tillåten enligt detta kapitel eller föreskrifter som har meddelats i anslutning till kapitlet.

Den registrerade har enligt artikel 21 dataskyddsförordningen rätt att invända mot behandling av personuppgifter som sker med stöd av en arbetsuppgift av allmänt intresse, myndighetsutövning eller en intresseavvägning. Vid en invändning får Försäkringskassan fortsätta att behandla personuppgifterna endast om vi kan visa på tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Rätten att invända mot behandling av personuppgifter gäller enligt 6 § inte inom förmånsverksamheten.

9.9 Personuppgiftsincident

Artikel 4.12 i EU:s dataskyddsförordning personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

I skäl 85 till dataskyddsförordningen framhålls att en personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan leda till fysisk, materiell eller immateriell skada för fysiska personer. Den kan också leda till bland annat diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, sekretessbrott eller till annan ekonomisk eller social nackdel för den berörda fysiska personen.

Mot bakgrund av detta finns en skyldighet för den personuppgiftsansvarige att anmäla personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY). Anmälan ska enligt artikel 33 dataskyddsförordningen göras utan onödigt dröjsmål, om det är möjligt inom 72 timmar efter incidenten upptäckts. En anmälan som görs efter 72 timmar ska innehålla en motivering till förseningen. Anmälan behöver dock inte göras om det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter.

Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige enligt artikel 34 dataskyddsförordningen utan onödigt dröjsmål även informera den registrerade om incidenten.

Personuppgiftsbiträden som får vetskap om en personuppgiftsincident är å sin sida, enligt artikel 33.2 dataskyddsförordningen, skyldiga att utan onödigt dröjsmål informera den personuppgiftsansvarige.

Läs mer

Läs mer om Försäkringskassans rutiner för hantering av personuppgiftsincidenter i Försäkringskassans anvisningar (2022:07) Hantering av säkerhetsincidenter.

9.10 Sanktionsavgift

IMY har möjlighet att ta ut en sanktionsavgift av Försäkringskassan om vi inte följer bestämmelserna i EU:s dataskyddsförordning. Detta följer av artikel 83.4 och 83.5 dataskyddsförordningen och 6 kap. 2 § dataskyddslagen. Två olika kategorier av överträdelser föranleder en avgift med maxbelopp på 5 respektive 10 miljoner kronor.

9.11 Dataskyddsombud

Artikel 37.1 a dataskyddsförordningen Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om a) behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av domstolarnas dömande verksamhet,

Försäkringskassan måste enligt artikel 37 dataskyddsförordningen utnämna ett dataskyddsombud.

Dataskyddsombudets ställning och uppgifter regleras i artikel 38 och 39 dataskyddsförordningen. Där framgår att dataskyddsombudet har till uppgift att informera och ge råd till berörda samt övervaka att dataskyddsbestämmelser efterlevs. Dataskyddsombudet ska också samarbeta med IMY och fungera som kontaktpunkt vid förhandssamråd och andra kontakter. Även registrerade ska kunna kontakta dataskyddsombudet. Arbetsuppgifterna ska utföras självständigt, utan instruktioner från den personuppgiftsansvarige, och med möjlighet att i god tid delta i alla frågor som rör dataskydd. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner för att ha utfört sina arbetsuppgifter.

Av 1 kap. 8 § andra stycket dataskyddslagen följer att Försäkringskassans dataskyddsombud omfattas av reglerna i OSL, vilket innebär att hen omfattas av samma sekretess som Försäkringskassan i övrigt.

Läs mer

Läs mer om Försäkringskassans dataskyddsombud i riktlinjerna (2018:02) Försäkringskassans dataskyddsombud.

9.12 Konsekvensbedömning

Artikel 35.1 dataskyddsförordningen Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.

Om Försäkringskassan avser att börja en ny behandling av personuppgifter, som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, ska vi bedöma den planerade behandlingens konsekvenser för skyddet av personuppgifter. Detta gäller särskilt vid användning av ny teknik.

Dataskyddsombudet ska alltid rådfrågas när Försäkringskassan ska göra en konsekvensbedömning och konsekvensbedömningen kan enligt artikel 36 också inkludera samråd med IMY.

Läs mer

Läs mer om bland annat konsekvensbedömningar i riktlinjerna (2024:03) Bedömning av dataskydd – Grundläggande bedömning och konsekvensbedömning.

9.13 Överklagande

I 7 kap. 2–4 §§ dataskyddslagen regleras uttömmande vilka beslut enligt dataskyddsförordningen och dataskyddslagen som kan överklagas. Försäkringskassans beslut om registerutdrag, rättelse, radering, begränsning av behandling, dataportabilitet och den registrerades invändning mot behandling av personuppgifter får överklagas till allmän förvaltningsdomstol.

Läs mer

Läs mer om hanteringen av överklaganden i vägledningen (2001:7) Omprövning, ändring och överklagande av Försäkringskassans beslut och riktlinjerna (2008:25) Registervård (rättelse, radering och begränsning enligt EU:s dataskyddsförordning).