Publicerad 18 mars 2021

Behandla personuppgifter, frågor och svar

Vanliga frågor kring behandling av personuppgifter.

 • Vad menas med transparens mot registrerade?

  Fråga: Vad menas med att man inte måste informera personen om personen redan förfogar över informationen? Vad avses med informationen? Informationen om sig själv eller information om att behandling sker?

  Svar: Transparens mot registrerade är en grundläggande dataskyddsprincip som kommer till uttryck i dataskyddsförordningen (art. 5). Den kommer också till uttryck som en rättighet i art. 13 och 14. Brukare inom socialtjänsten har helt enkelt en rätt att få information om den behandling som förekommer inom socialnämnden (eller hos en privat utförare).

  Var och en har här en skyldighet att informera om personuppgiftsbehandlingen. Vad man ska informera om framgår av art. 13 respektive 14. Informationen ska som huvudregel ske skriftlig eller om det är lämpligt på annat sätt, inklusive elektronisk form.

  Det finns också undantag. Exempelvis om du samlar in uppgifter direkt från den registrerade, då undslipper till exempel socialnämnden sin informationsskyldighet om den registrerade redan känner till personuppgiftsbehandlingen.

  Även om du har samlat in uppgifter från tredje part, till exempel en vårdgivare i samband med en SIP, då behöver du inte heller informera den registrerade om denne sitter med vid samordningsmötet. Eller om det skulle innebära en oproportionerlig arbetsinsats att informera eller om det är omöjligt att informera.

 • Vad gäller personuppgifter i löptext?

  Fråga: Vad är sagt om alla personuppgifter som finns i löptext och hur man ska göra för att hitta dessa vid ev begäran om att få ta del av sina personuppgifter? Ska man registrera alla personuppgifter som finns i löptext för att göra personuppgifterna sökbara?

  Svar: Finns uppgifter i löpande text ska den registrerade få en kopia på dem.

  Det finns dock undantag från skyldigheten att utge registerutdrag, till exempel avseende minnesanteckningar samt om utlämnandet inverkar menligt på andras rättigheter och friheter och om begäran är orimlig (art. 12.5). Det sistnämnda kan aktualiseras för personuppgifter i löpande text.

 • Hur informerar jag anhöriga och andra när jag behandlar personuppgifter?

  Fråga: Hur ska man informera exempelvis anhöriga och andra vars personuppgifter som jag behandlar och som man inte fått direkt från personen?

  Svar: Om man samlar in uppgifter från tredje part så har den personuppgiftsansvarige, till exempel en socialnämnd, en skyldighet att inom en månad informera de registrerade som är berörda (art. 14). Man behöver dock inte informera den registrerade om denne känner till behandlingen, eller om det skulle innebära en oproportionerlig arbetsinsats att informera eller om det är omöjligt.

 • Omfattas uppgifter om en avliden person av GDPR?

  Fråga: Efterforskning av anhörig i dödsboanmälningsärende. Hur förhåller vi oss till utlämnande av uppgift till 3 land då samtycke ej kan ges, då personen är avliden.

  Svar: Uppgifter om avlidna är inte personuppgifter. De kan dock utgöra personuppgifter för nu levande personer, till exempel anhöriga, såvitt beträffar känsligare uppgifter, bland annat ärftliga sjukdomar som lett till dödsfallet eller brott som den avlidne begått. Såvida inga sådana uppgifter överförs gäller inte GDPR.

  Följdfråga: Gällande överföring till 3:e land avseende dödsboärenden. Kontakt tas med ambassader för att inhämta personuppgifter om anhöriga. Vi måste i dessa fall lämna ut personuppgifter om vår klient i dödsboet. Omfattas uppgifter om en avliden person av GDPR?

  Svar: Uppgifter om avlidna är inte personuppgifter, men de kan utgöra personuppgifter för levande personer, till exempel anhöriga. Det kan röra sig om sällsynta diagnoser eller brott som den avlidne begått.

  Börja med att göra en analys av vad för slags uppgifter som överförs. Finns det anledning att anta att uppgifterna kan vara känsliga för levande personer? I så fall är GDPR tillämplig och ska följas.

  Det kan nämnas att uppgifter om avlidna inom hälso- och sjukvården omfattas av patientdatalagens bestämmelser, och därmed av GDPR:s bestämmelser.

 • Får vi använda personuppgifter till olika analyser?

  Fråga: Är det tillåtet att använda personuppgifter som samlats in vid ansökan om ekonomisk bistånd i olika analyser? Det kan dels handla om att identifiera vilka individer som är lämpliga för olika typer av riktade insatser för att komma i egen försörjning? Är det profilering? Beror det på om de uppgifter som används är känsliga, till exempel födelseland? Har kommunen rätt att använda insamlade personuppgifter för att göra analyser som behövs för att kunna styra sin verksamhet och göra prognoser?

  Svar: En socialnämnd får skapa så kallade sammanställningsregister innehållande känsliga personuppgifter för bland annat ändamålet uppföljning, utvärdering, statistik och kvalitetssäkring samt insatser som innefattar myndighetsutövning. Svaret är således ja.

  Utan mer information är det svårt att säga om det rör sig om profilering. Enligt GDPR är profilering varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

  Om behandlingen är helt automatiserad kan det röra sig om profilering. Det går för sig enligt SoLPUL och SoLPUF. Om profileringen skulle inbegripa i framtiden automatiserade beslut krävs brukarens samtycke.

 • Behandla personuppgifter vid brott

  Fråga: Hur kopplas bidragsbrott till brottsdirektivet? Hur ska jag tänka kring detta med personuppgiftsansvarig (PU) om en klient misstänks för bidragsbrott vid ansökan om försörjningsstöd?

  Hur ska misstanken kommuniceras till andra eventuellt berörda myndigheter så som Försäkringskassan, CSN, Arbetsförmedlingen bland annat?

  Svar: SoLPUL lägger inga hinder för att behandla personuppgifter om brott. Sådana uppgifter får behandlas med stöd av GDPR.

  Brottsdatalagen är tillämplig på brottsbekämpande myndigheters personuppgiftsbehandling. Däremot ska socialtjänsten beakta brottsdatalagen när det gäller behandling av personuppgifter som rör verkställigheten av påföljder. Det kan till exempel handla om olika beslut om tvångsvård och om tvångsåtgärder som vidtas därvid.

 • Handlingar som inte kan kopplas till ett ärende eller person

  Fråga: Hur ska vi hantera de handlingar som kommer in till oss och som inte kan kopplas till ett ärende/person? Vi har idag en pärm där handlingarna sätts in i kronologisk ordning.

  Svar: Det rör sig fortfarande om personuppgifter. Handlar det dock om lösblad i en pärm så omfattas dessa uppgifter inte av dataskyddsförordningen eller SoLPUL.

 • Rättslig grund för personuppgifter inom personalområdet

  Fråga: Finns det någon rättslig grund för personuppgifter i personalområdet som inte har direkt med anställningen som sådan att göra avseende exempelvis kompetenskartläggningar, kompetensutvecklingsplaner, anteckningar från lönesamtal och medarbetarsamtal? Vilken i så fall?

  Svar: Utgångspunkten i GDPR är att behandling av personuppgifter är förbjuden. GDPR lättar dock på detta förbud för ett flertal fallsituationer, sju närmare bestämt. Samtycke är en sådan fallsituation, men bör helst inte användas i anställningsförhållanden av arbetsgivare för att lagligen kunna behandla anställdas personuppgifter.

  En annan rättslig grund är "avtal". Med stöd av anställningsavtalet kan således arbetsgivare behandla personuppgifter för syften som är nära förknippade med anställningsförhållandet, till exempel löne- och ekonomiadministration. En ytterligare rättslig grund inom arbetslivet är "intresseavvägning".

  En intresseavvägning innebär att arbetsgivaren gör en avvägning mellan behovet eller nödvändigheten av att få behandla personuppgifter, och den andra sidan skyddet för den anställdes personliga integritet. Visar denna intresseavvägning att arbetsgivaren har berättigade skäl som är "starkare" än den enskildes skäl mot en personuppgiftsbehandling, får arbetsgivaren anses ha en rättslig grund att stödja personuppgiftsbehandlingen på. Som exempel kan nämnas utlämnande av anställdas uppgifter till friskvårdsföretag eller hantering av anställdas e-post som inte kan hänföras till någon av de andra lagliga grunderna.

  GDPR innehåller dock en begränsning för myndigheter vad gäller intresseavvägning. Myndigheter får inte använda den rättsliga grunden. Eftersom myndigheter inte får använda intresseavvägning som laglig grund får man falla tillbaka på alternativa rättsliga grunder. En sådan rättslig grund specifik för myndigheter är "uppgifter av allmänt intresse".

  Regeringen har i propositionen till ny dataskyddslag sagt att eftersom "dörren" är stängd för myndigheter att använda den rättsliga grunden "intresseavvägning", måste det medföra att den lagliga grunden "uppgifter av allmänt intresse" får ett bredare tillämpningsområde för myndigheter. Men inte andra.

  Den rättsliga grunden "uppgifter av allmänt intresse" kan således nyttjas som rättslig grund för till exempel dagliga administrativa sysslor inom en myndighet, inklusive personaladministration och andra HR-frågor

Informationsansvarig

 • Marta Nannskog
  Handläggare

Kontakt

Kontakta SKR

Har du en fråga med anledning av det pågående virusutbrottet?

Titta först på våra frågor och svar som finns här på webbplatsen.

Covid-19 och det nya coronaviruset