Regeringen föreslår att en registerlag om behandling av personuppgifter vid Inspektionen för socialförsäkringen (ISF) ska införas. Syftet med lagförslaget är att ge myndigheten goda förutsättningar att använda personuppgifter vid granskningar och analyser av olika förhållanden inom socialförsäkringsområdet. Lagen ska komplettera dataskyddsförordningen (GDPR).
ISF har till uppgift att genom systemtillsyn och effektivitetsgranskning värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet. Enligt förslaget ska ISF få behandla personuppgifter om det är nödvändigt för undersökningar av förhållanden inom socialförsäkringsområdet och inom verksamheter som gränsar till socialförsäkringsområdet samt för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Enligt lagen ska ISF få behandla känsliga personuppgifter och uppgifter om lagöverträdelser. Rätten att göra invändningar enligt artikel 21.1 GDPR ska inte gälla vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen. Rätten att göra invändningar ska dock gälla när personuppgifterna samlas in direkt från den enskilde.
Om personuppgifter samlas in direkt från den enskilde, ska de få behandlas endast om den enskilde har lämnat sitt uttryckliga ”medgivande” till behandlingen (begreppet medgivande definieras inte i lagen och kan således inte likställas med begreppet samtycke enligt GDPR). Den registrerade ska emellertid ha rätt att när som helst återkalla ett lämnat medgivande.
Personuppgifter som omfattas av ett återkallat medgivande ska raderas. Om ett medgivande återkallas ska behandlingen dock få fortsätta om ISF inte kan hänföra uppgifterna till den registrerade utan att bevara, förvärva eller behandla ytterligare personuppgifter. Behandlingen ska också få fortsätta om personuppgifterna finns i handlingar som har tagits om hand för arkivering.
Behandlingen av personuppgifter för så kallade primära ändamål ska som huvudregel ske i projekt. Personuppgifter som samlas in för att behandlas i ett projekt får återanvändas i ett annat projekt än det som de samlats in för endast om behandlingen är nödvändig för att ISF helt eller delvis ska kunna upprepa eller följa upp det ursprungliga projektet.
Innan personuppgifter får behandlas inom ramen för ett projekt, ska ISF fastställa syftet med projektet, vilka kategorier av känsliga personuppgifter och personuppgifter om lagöverträdelser som ska analyseras i projektet och när projektet senast ska vara avslutat. Det fastställda syftet ska inte få ändras. Information om vad som har fastställts ska hållas tillgänglig på myndighetens webbplats.
Personuppgifter som har samlats in inom ramen för ett projekt ska inte få behandlas i ett annat projekt. Personuppgifter ska dock få behandlas inom ramen för ett annat projekt än det de har samlats in för om behandlingen är nödvändig för att ISF helt eller delvis ska kunna upprepa eller följa upp det tidigare projektet.
Personuppgifter som direkt kan hänföras till den registrerade ska som huvudregel separeras från övriga personuppgifter. Endast vissa kategorier av känsliga personuppgifter ska få ligga till grund för sökningar i syfte att få fram ett urval av personer. Dessutom innehåller lagen bestämmelser om bland annat krav på den enskildes medgivande vid viss personuppgiftsbehandling och begränsningar av tillgången till personuppgifter.
Särskilda bestämmelser om lämpliga tekniska eller organisatoriska säkerhetsåtgärder har inte införts i lagen. I skälen lyfter regeringen dock att den personuppgiftsansvarige (ISF, se nedan) ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med artikel 24.1 GDPR om personuppgiftsansvarigs ansvar för lämpliga säkerhetsåtgärder och artikel 32.1 GDPR om lämpliga säkerhetsåtgärder.
I en samlad integritets- och proportionalitetsanalys har regeringen kommit fram till att personuppgiftsbehandlingen som möjliggörs av den föreslagna lagen utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europeiska unionens stadga om de grundläggande rättigheterna.
ISF ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.
Lagen föreslås träda i kraft den 1 januari 2025.