Utöver dataskyddsförordningen (GDPR) finns regler i nationell lagstiftning som gäller för viss personuppgiftsbehandling.

Inom hälso- och sjukvården finns det bestämmelser om personuppgiftsbehandling och journalföring i till exempel patientdatalagen och Socialstyrelsens föreskrifter på området.

Inom socialtjänsten finns bestämmelser om personuppgiftsbehandling framför allt i lagen och förordningen om behandling av personuppgifter inom socialtjänsten. Kommunala myndigheter är personuppgiftsansvariga för den personuppgiftsbehandling som de utför. Privata verksamheter (den fysiska eller juridiska person som ansvarar för verksamheten) är personuppgiftsansvariga för den personuppgiftsbehandling som utförs i deras verksamhet.

I lagen om sammanhållen vård- och omsorgsdokumentation finns bestämmelser om personuppgiftsbehandling som gäller både för hälso- och sjukvården och för socialtjänsten.

Grundläggande principer

I dataskyddsförordningen finns ett antal grundläggande principer som gäller för all personuppgiftsbehandling och som personuppgiftsansvariga behöver tänka på:

• Laglighet, korrekthet och öppenhet
• Ändamålsbegränsning
• Uppgiftsminimering
• Riktighet
• Lagringsminimering
• Integritet och konfidentialitet
• Ansvarsskyldighet

De sex rättsliga grunderna för personuppgiftsbehandling

All personuppgiftsbehandling måste ha stöd i dataskyddsförordningen. Det finns sex rättsliga grunder för att personuppgiftsbehandlingen ska vara laglig. Här beskrivs de översiktligt.

Samtycke

Den registrerade har sagt ja till personuppgiftsbehandlingen.

Avtal

Den registrerade har ett avtal eller ska ingå ett avtal med den personuppgiftsansvarige.

Intresseavvägning

Den personuppgiftsansvarige får behandla personuppgifter utan den registrerades samtycke om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet. Myndigheter får inte använda sig av intresseavvägning när de fullgör sina uppgifter.

Rättslig förpliktelse

Det finns lagar eller regler som gör att den personuppgiftsansvarige måste behandla vissa personuppgifter i sin verksamhet.

Myndighetsutövning och uppgift av allmänt intresse

Den personuppgiftsansvarige måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.

Grundläggande intresse

Den personuppgiftsansvarige måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om den är medvetslös.

Säkerhet i samband med behandling av personuppgifter

Det finns en rad olika åtgärder som behöver göras för att säkerställa lämplig säkerhetsnivå när personuppgifter behandlas. Åtgärderna gäller bland annat teknisk utveckling, genomförande, kostnader, behandlingens art, omfattning, sammanhang, ändamål och risker. Inom socialtjänsten och hälso- och sjukvården finns bestämmelserna om säkerhet vid personuppgiftsbehandling i dataskyddsförordningen. På hälso- och sjukvårdsområdet finns dessutom kompletterande bestämmelser i patientdatalagen och Socialstyrelsens föreskrifter på området (HSLF-FS 2016:40).

Särskilda regler för känsliga personuppgifter

All personuppgiftsbehandling kräver stöd i någon av de sex rättsliga grunderna (se ovan). Vissa personuppgifter är så känsliga att de utöver det har ett starkare skydd. Som huvudregel är det förbjudet att behandla känsliga personuppgifter, men det finns undantag. Exempel på känsliga personuppgifter är genetiska uppgifter, biometriska uppgifter som entydigt identifierar en person, uppgifter om hälsa, sexualliv eller sexuell läggning. Det finns fler känsliga personuppgifter i dataskyddsförordningen (hos Integritetsskyddsmyndigheten).

Hälso- och sjukvården får behandla känsliga personuppgifter med stöd av ändamålsbestämmelserna i patientdatalagen.

Socialtjänsten får behandla känsliga uppgifter om de har lämnats i ett ärende eller om de är nödvändiga för verksamheten.

Personuppgiftsbehandling i hälso- och sjukvården

Inom hälso- och sjukvården får personuppgifter behandlas enligt patientdatalagen om det till exempel behövs för

• att fullgöra skyldigheten att föra patientjournal och upprätta annan dokumentation som behövs för patientens vård
• administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall
• att upprätta annan dokumentation som följer av lag, förordning eller annan författning
• att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten
• administration, planering, uppföljning, utvärdering och tillsyn av verksamheten
• att framställa statistik om hälso- och sjukvården.

Personuppgiftsbehandling i socialtjänsten

En kommunal myndighet får behandla personuppgifter enligt förordningen om behandling av personuppgifter inom socialtjänsten (SoLPuLF) om det till exempel behövs för

• handläggning av ärenden om bistånd och annat stöd samt genomförande av beslut om bistånd, stödinsatser, vård och behandling samt annan social service som följer av bestämmelserna i socialtjänstlagen och lagen om vissa kommunala befogenheter
• handläggning av ärenden och annan verksamhet som följer av lagen med särskilda bestämmelser om vård av unga (LVU) och lagen om vård av missbrukare i vissa fall (LVM) och handläggning av ärenden om insatser och för särskilda uppgifter som följer av bestämmelserna i lagen om stöd och service till vissa funktionshindrade (LSS)
• faderskapsutredningar, utredning om vårdnad av barn, adoptionsärenden samt annan verksamhet inom familjerätten som följer av bestämmelserna i föräldrabalken
• tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.

En privat verksamhet får behandla personuppgifter för dokumentation av sådan vård, behandling eller omsorg av enskilda som ges inom verksamheten. Personuppgifter får även behandlas för administrationen av verksamheten.

Barn

Barns personuppgifter förtjänar ett särskilt skydd eftersom barn kan ha svårare att förutse riskerna med att till exempel lämna ut personuppgifter. Enligt dataskyddsförordningen bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk som barnet lätt kan förstå.

Personuppgifter om barn (hos Integritetsskyddsmyndigheten)

Tillsyn

Integritetsskyddsmyndigheten har tillsyn över hur vårdgivarna tillämpar dataskyddsbestämmelser, till exempel att en vårdgivare genomför säkerhetsåtgärder för att skydda personuppgifterna. Inspektionen för vård och omsorg (IVO) är tillsynsmyndighet för hälso- och sjukvården och socialtjänsten. Tillsynen ska bidra till en säker vård och omsorg av god kvalitet. Även Justitieombudsmannen (JO) bedriver tillsyn. JO granskar och övervakar att myndigheterna handlägger sina ärenden korrekt och rättssäkert.