Lag (2003:763) om behandling av personuppgifter inom socialförsäkringens administration

SFS nr
2003:763
Departement/myndighet
Socialdepartementet
Utfärdad
2003-11-13
Författningen har upphävts genom
SFS 2010:111
Upphävd
2011-01-01
Ändring införd
t.o.m. SFS 2010:565

1 § Denna lag tillämpas vid behandling av personuppgifter i
verksamhet som gäller socialförsäkringsförmåner samt andra
förmåner och ersättningar som enligt lag eller förordning
eller särskilt beslut av regeringen handläggs av
Försäkringskassan eller Pensionsmyndigheten
(socialförsäkringens administration).

Lagen gäller endast om behandlingen är helt eller delvis
automatiserad eller om uppgifterna ingår i eller avsedda att
ingå i en strukturerad samling av personuppgifter som är
tillgängliga för sökning eller sammanställning enligt
särskilda kriterier.

Bestämmelserna i 7–15, 24, 25 och 28 §§ gäller i tillämpliga
delar även uppgifter om avlidna personer. Lag (2009:1009).

2 § Sådan behandling av personuppgifter som är tillåten enligt
denna lag får utföras även om den registrerade motsätter sig
behandlingen.

3 § I fråga om behandling av personuppgifter inom ramen för den
officiella statistiken finns särskilda bestämmelser i lagen
(2001:99) om den officiella statistiken och i författningar som
ansluter till den lagen.

4 § Den samling uppgifter som med hjälp av automatiserad
behandling används gemensamt i verksamhet som avses i 1 § utgör
socialförsäkringsdatabasen.

Förhållandet till personuppgiftslagen

5 § Personuppgiftslagen (1998:204) gäller vid behandling av
personuppgifter inom socialförsäkringens administration, om
inte annat följer av denna lag eller föreskrifter som meddelas
med stöd av denna lag eller av personuppgiftslagen.

Personuppgiftsansvar

6 § En myndighet inom socialförsäkringens administration är
personuppgiftsansvarig för den behandling av personuppgifter
som den utför.

Ändamål för behandling av personuppgifter

7 § Försäkringskassan och Pensionsmyndigheten får i sin
verksamhet behandla personuppgifter om det är nödvändigt för
att

1. återsöka vägledande avgöranden,

2. tillgodose behov av underlag som krävs för att den
registrerades eller annans rättigheter eller skyldigheter i
fråga om förmåner och ersättningar som nämns i 1 § ska kunna
bedömas eller fastställas,

3. informera om sådana förmåner och ersättningar som nämns i
1 §,

4. handlägga ärenden,

5. planera verksamhet samt genomföra resultatstyrning,
resultatuppföljning, resultatredovisning, utvärdering och
tillsyn av respektive verksamhet, eller

6. framställa statistik avseende verksamhet enligt 4 och 5.

Vid behandling för det ändamål som anges i första stycket 1
får inte uppgifter som direkt pekar ut den registrerade
användas. Lag (2009:1009).

8 § Personuppgifter som behandlas för ändamål som anges i 7 §
får också behandlas av Försäkringskassan och
Pensionsmyndigheten för tillhandahållande av information som
behövs

1. som underlag för beslut om och kontroll av förmåner,
ersättningar och andra stöd åt enskilda i den verksamhet som
bedrivs av Centrala studiestödsnämnden och
arbetslöshetskassorna,

2. för samordning av tjänstepensioner i den verksamhet som
bedrivs av Statens tjänstepensionsverk och det för kommunerna
och landstingen gemensamma organet för administration av
personalpensioner,

3. för handläggning av ärenden hos Statens tjänstepensionsverk
där regler om statens tjänstegrupplivförsäkring ska tillämpas,

4. som underlag för beslut om och kontroll av ekonomiskt
bistånd enligt 4 kap. socialtjänstlagen (2001:453) åt enskild
i den verksamhet som bedrivs av socialnämnderna, eller

5. som underlag för beslut om och kontroll av vårdnadsbidrag
enligt lagen (2008:307) om kommunalt vårdnadsbidrag.

Försäkringskassan och Pensionsmyndigheten får även behandla
personuppgifter som behandlas för ändamål som anges i 7 § för
att tillhandahålla information utanför den egna myndigheten på
grund av

1. sådan bestämmelse om skyldighet att lämna ut uppgifter till
andra myndigheter som avses i 10 kap. 28 § första stycket
offentlighets- och sekretesslagen (2009:400),

2. sådant medgivande att lämna ut uppgifter som följer av
särskilda bestämmelser i lag eller förordning,

3. sådan skyldighet att lämna ut uppgifter som följer av
unionsrätten, eller

4. åtaganden i samarbetet inom Europeiska ekonomiska
samarbetsområdet eller i avtal om social trygghet eller
utgivande av sjukvårdsförmåner som Sverige ingått med andra
stater. Lag (2010:565).

9 § I fråga om behandling av personuppgifter för annat ändamål
än vad som anges i 7 och 8 §§ gäller 9 § första stycket d och
andra stycket personuppgiftslagen (1998:204).

Behandling av känsliga personuppgifter m.m.

10 § Känsliga personuppgifter som avses i 13 §
personuppgiftslagen (1998:204) (känsliga personuppgifter) får
behandlas om uppgifterna lämnats till en myndighet inom
socialförsäkringens administration i ett ärende eller är
nödvändiga för handläggning av ett ärende. Känsliga
personuppgifter får vidare behandlas för något av de ändamål
som anges i 7 § första stycket 1 eller 8 § om det är nödvändigt
med hänsyn till ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5
och 6 får sådana känsliga personuppgifter behandlas som rör
hälsa och som är nödvändiga med hänsyn till ändamålet.

Utöver vad som följer av första stycket första meningen och
andra stycket får känsliga personuppgifter inte behandlas för
de ändamål som anges i 7 § första stycket 2, 3, 5 och 6.
Behandling för något av de ändamål som anges i 7 § första
stycket 5 och 6 får inte ske i fråga om andra sådana känsliga
personuppgifter än dem som behandlas eller har behandlats för
något av de ändamål som anges i 7 § första stycket 2-4.

11 § Uppgifter om lagöverträdelser m.m. som avses i 21 §
personuppgiftslagen (1998:204) får behandlas om uppgifterna
lämnats till en myndighet inom socialförsäkringens
administration i ett ärende eller är nödvändiga för
handläggning av ett ärende. Uppgifter om lagöverträdelser m.m.
som avses i 21 § personuppgiftslagen får behandlas för något av
de ändamål som anges i 7 § första stycket 1 eller 8 § om det är
nödvändigt med hänsyn till ändamålet.

För något av de ändamål som anges i 7 § första stycket 2, 3, 5
och 6 får sådana uppgifter om lagöverträdelser m.m. som avses i
21 § personuppgiftslagen behandlas som enligt 14 § får
behandlas i socialförsäkringsdatabasen.

Utöver vad som följer av första stycket första meningen och
andra stycket får sådana uppgifter inte behandlas för de
ändamål som anges i 7 § första stycket 2, 3, 5 och 6.
Behandling för något av de ändamål som anges i 7 § första
stycket 5 och 6 får inte ske i fråga om andra sådana uppgifter
om lagöverträdelser än dem som behandlas eller har behandlats
för något av de ändamål som anges i 7 § första stycket 2-4.

12 § I 14 § finns särskilda bestämmelser om behandling i
socialförsäkringsdatabasen av känsliga personuppgifter och
uppgifter om lagöverträdelser m.m. som avses i 21 §
personuppgiftslagen (1998:204).

Behandling av personuppgifter i socialförsäkringsdatabasen

13 § I socialförsäkringsdatabasen får endast sådana
personuppgifter behandlas som avser personer som omfattas eller
har omfattats av verksamhet enligt de ändamål som anges i 7 §
eller personer om vilka uppgifter på annat sätt behövs för
handläggningen av ett ärende.

14 § För de ändamål som anges i 7-9 §§ får, med beaktande av de
begränsningar som följer av 7 och 13 §§, i
socialförsäkringsdatabasen behandlas identifierings- och
adressuppgifter.

Känsliga personuppgifter eller uppgifter om lagöverträdelser
m.m. som avses i 21 § personuppgiftslagen (1998:204) får utöver
vad som anges i 15 § behandlas i socialförsäkringsdatabasen
bara om det särskilt anges i lag eller förordning. För sådan
behandling gäller de begränsningar som följer av 10 och 11 §§.
Regeringen eller den myndighet regeringen bestämmer meddelar
föreskrifter om ytterligare begränsningar för vilka uppgifter
som får behandlas i socialförsäkringsdatabasen.

15 § Uppgifter i en handling som kommit in i ett ärende får
behandlas i socialförsäkringsdatabasen även om de utgör
känsliga personuppgifter eller uppgifter om lagöverträdelser
m.m. som avses i 21 § personuppgiftslagen (1998:204). Sådana
uppgifter i en handling som upprättats i ett ärende får
behandlas i socialförsäkringsdatabasen, om uppgifterna är
nödvändiga för ärendets handläggning.

Tilldelning av behörighet

16 § Behörighet för åtkomst till socialförsäkringsdatabasen
skall inom socialförsäkringens administration tilldelas genom
en särskild handling i enlighet med vad som föreskrivs av
regeringen eller den myndighet regeringen bestämmer.

Behörighet för åtkomst till socialförsäkringsdatabasen skall
begränsas till vad som behövs för att den enskilde skall kunna
fullgöra sina arbetsuppgifter.

Direktåtkomst

17 § Direktåtkomst till socialförsäkringsdatabasen är tillåten
endast i den utsträckning som anges i lag eller förordning.

18 § Försäkringskassan och Pensionsmyndigheten får ha
direktåtkomst till socialförsäkringsdatabasen i den
utsträckning det behövs för de ändamål som anges i 7 och
8 §§. Sådan direktåtkomst ska vara förbehållen de
personkategorier som på grund av sina arbetsuppgifter behöver
tillgång till uppgifterna.

Regeringen eller den myndighet regeringen bestämmer meddelar
närmare föreskrifter om direktåtkomst som avses i första
stycket. Lag (2009:1009).

19 § Statens tjänstepensionsverk och det för kommunerna och
landstingen gemensamma organet för administration av
personalpensioner får ha direktåtkomst till
socialförsäkringsdatabasen för samordning av tjänstepensioner
med socialförsäkringsförmåner.

Statens tjänstepensionsverk får ha direktåtkomst till
socialförsäkringsdatabasen för handläggning av ärenden där
regler om statens tjänstegrupplivförsäkring ska tillämpas.

Bestämmelserna i 16 § och 18 § första stycket andra meningen
gäller också för tjänstepensionsverket och det gemensamma
organet.

Regeringen eller den myndighet regeringen bestämmer meddelar
föreskrifter om vilka uppgifter direktåtkomst enligt första
och andra styckena får omfatta. Lag (2010:565).

20 § Centrala studiestödsnämnden och arbetslöshetskassorna får
ha direktåtkomst till socialförsäkringsdatabasen i den
utsträckning det behövs för ändamål som anges i 8 § första
stycket 1.

Regeringen meddelar föreskrifter om vilka uppgifter
direktåtkomst enligt första stycket får omfatta.

20 a § En socialnämnd får ha direktåtkomst till
socialförsäkringsdatabasen i den utsträckning det behövs för
ändamål som anges i 8 § första stycket 4. En socialnämnd får
ha direktåtkomst först sedan Försäkringskassan eller
Pensionsmyndigheten har försäkrat sig om att handläggare hos
socialnämnden bara kan ta del av uppgifter om personer som är
aktuella i ärenden hos nämnden.

Regeringen meddelar ytterligare föreskrifter om vilka
uppgifter direktåtkomst enligt första stycket får omfatta.
Lag (2009:1009).

20 b § Den nämnd som handlägger ärenden om vårdnadsbidrag får
ha direktåtkomst till socialförsäkringsdatabasen i den
utsträckning det behövs för ändamål som anges i 8 § första
stycket 5. En sådan nämnd får ha direktåtkomst först sedan
Försäkringskassan eller Pensionsmyndigheten har försäkrat sig
om att handläggare hos nämnden bara kan ta del av uppgifter
om personer som är aktuella i ärenden om vårdnadsbidrag hos
nämnden.

Regeringen meddelar ytterligare föreskrifter om vilka
uppgifter direktåtkomst enligt första stycket får omfatta.
Lag (2009:1009).

Utlämnande på medium för automatiserad behandling

21 § Personuppgifter i socialförsäkringsdatabasen som får
lämnas ut till den registrerade får lämnas ut till denne på
medium för automatiserad behandling. Personuppgifter i
socialförsäkringsdatabasen får i övrigt lämnas ut på medium för
automatiserad behandling endast om det behövs för något av de
ändamål som anges i 8 §.

22 § Personuppgifter i socialförsäkringsdatabasen får lämnas ut
på medium för automatiserad behandling för sammanställning av
gemensam pensionsinformation om den registrerade uttryckligen
samtyckt till utlämnandet.

Regeringen eller den myndighet regeringen bestämmer meddelar
närmare föreskrifter om vilka uppgifter som får lämnas ut
enligt första stycket.

23 § Personuppgifter som behövs för skadereglering får lämnas
ut på medium för automatiserad behandling till organ som driver
försäkringsrörelse om den registrerade uttryckligen samtyckt
till utlämnandet.

Regeringen eller den myndighet regeringen bestämmer meddelar
närmare föreskrifter om vilka uppgifter som får lämnas ut
enligt första stycket.

Sökbegrepp

24 § Känsliga personuppgifter eller uppgifter om
lagöverträdelser m.m. som avses i 21 § personuppgiftslagen
(1998:204) får inte användas som sökbegrepp vid sökning i
socialförsäkringsdatabasen.

Vid sökning som omfattar innehållet i fler än en handling i
socialförsäkringsdatabasen som kommit in i ett ärende eller
upprättats i ett ärende får endast ärendebeteckning eller
beteckning på handling användas som sökbegrepp.

Regeringen eller den myndighet regeringen bestämmer meddelar
föreskrifter om begränsningar i övrigt för vilka sökbegrepp som
får användas.

25 § Utan hinder av de begränsningar för sökning som anges i
24 § får personuppgifter som rör hälsa användas som
urvalskriterium vid sammanställningar om regeringen har
meddelat föreskrifter om det.

Överföring av personuppgifter till tredje land

26 § Överföring av personuppgifter till tredje land på grund av
åtaganden i avtal om social trygghet som Sverige ingått med
andra stater får ske utan hinder av 33 § personuppgiftslagen
(1998:204).

Information

27 § Personuppgifter i handlingar som kommit in i ett ärende
eller upprättats i ett ärende behöver inte tas med i
information enligt 26 § personuppgiftslagen (1998:204) om den
registrerade tagit del av handlingens innehåll. Av
informationen skall det dock framgå vilka sådana handlingar som
behandlas. Om den registrerade begär information om uppgifter i
en sådan handling och anger vilken handling som avses, skall
dock informationen omfatta dessa uppgifter, om inte annat
följer av bestämmelser om sekretess. I sistnämnda fall skall
begränsningen i 26 § personuppgiftslagen om att information
bara behöver lämnas gratis en gång per kalenderår gälla varje
handling för sig.

Gallring

28 § Personuppgifter som behandlas automatiserat skall gallras
när de inte längre är nödvändiga för de ändamål som anges i
7 §.

Regeringen eller den myndighet regeringen bestämmer får dock
meddela föreskrifter om att personuppgifter får bevaras för
historiska, statistiska och vetenskapliga ändamål.

Avgifter

29 § Avgifter får tas ut för utlämnande av uppgifter och
handlingar från socialförsäkringsdatabasen enligt de närmare
föreskrifter som meddelas av regeringen eller den myndighet
regeringen bestämmer.

Rätten att ta ut avgifter enligt första stycket får inte
innebära inskränkning i rätten att ta del av och mot fastställd
avgift få kopia eller utskrift av en allmän handling enligt
tryckfrihetsförordningen.

Rättelse och skadestånd

30 § Bestämmelserna i personuppgiftslagen (1998:204) om
rättelse och skadestånd gäller vid behandling av
personuppgifter enligt denna lag eller föreskrifter som har
meddelats i anslutning till denna lag.

Kontrollverksamhet

31 § Försäkringskassan och Pensionsmyndigheten ska genom
särskilda åtgärder kontrollera efterlevnaden av denna lag
enligt vad som föreskrivs av regeringen eller den myndighet
regeringen bestämmer. Lag (2009:1009).

Tystnadsplikt

32 § Den som genom sin befattning med personuppgifter som
inhämtats från socialförsäkringsdatabasen till det för
kommunerna och landstingen gemensamma organet för
administration av personalpensioner får kännedom om uppgifter
om enskildas ekonomiska och personliga förhållanden får inte
obehörigen röja dessa uppgifter.

Överklagande

33 § En myndighets beslut om rättelse eller om avslag på
ansökan om information enligt 26 § personuppgiftslagen
(1998:204) får överklagas hos allmän förvaltningsdomstol. Andra
beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Övergångsbestämmelser

2003:763

1. Denna lag träder i kraft den 1 december 2003, då
socialförsäkringsregisterlagen (1997:934) upphör att gälla.

2. Bestämmelserna i denna lag skall inte tillämpas före den 1
oktober 2007 i fråga om sådan manuell behandling av
personuppgifter som påbörjats före den 24 oktober 1998 eller
manuell behandling av personuppgifter som utförs för ett visst
ändamål om manuell behandling för ändamålet påbörjats före den
24 oktober 1998.

3. Den nya lagens bestämmelse om skadestånd skall tillämpas
endast om den omständighet som ett yrkande om skadestånd
grundas på har inträffat efter det att den nya lagen har trätt
i kraft. I annat fall tillämpas de äldre bestämmelserna.