GDPR i socialtjänsten – en kort genomgång
GDPR är den nya EU-förordningen som reglerar hur personuppgifter får behandlas. Den trädde i kraft den 25 maj 2018 och ersatte då tidigare EU-direktiv och den svenska personuppgiftslagen. Här får du en kort genomgång av GDPR och förhållandet till lagen om behandling av personuppgifter inom socialtjänsten (SoLPuL) samt vad som gäller för att socialtjänsten ska få behandla känsliga personuppgifter.
Syftet med GDPR är att ge ett skydd för den personliga integriteten. Förutom GDPR har det också införts en svensk nationell lag, lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Den kompletterar GDPR på vissa specifika områden. I socialtjänsten finns förutom GDPR och dataskyddslagen också en sektorsspecifik lagstiftning, lagen om personuppgiftsbehandling inom socialtjänsten (SoLPuL). GDPR och de kompletterande lagarna måste följas när organisationer behandlar personuppgifter.
Behandling av personuppgifter
Begreppet personuppgift definieras som ”varje upplysning som avser en identifierad eller identifierbar fysisk person”. Med begreppet menar man alltså all information som direkt eller indirekt (med hjälp av annan information eller hjälpmedel) kan identifiera en fysisk person. Precis som i tidigare lagstiftning omfattas inte avlidna människor av begreppet. Med behandling menar man i princip alla typer av åtgärder med personuppgifter. Det kan vara insamling, korrigering, att skicka uppgifter till annan, radering, lagring, läsning med mera.
Känsliga personuppgifter
Känsliga personuppgifter är ett samlingsbegrepp för några kategorier av personuppgifter som är extra skyddsvärda. De kategorier som omfattas är
- etniskt ursprung
- religiös eller filosofisk övertygelse
- politiska åsikter
- medlemskap i fackförening
- hälsa
- sexualliv eller sexuell läggning
- genetiska och biometriska uppgifter.
Sådana uppgifter får som huvudregel inte behandlas enligt GDPR. För socialtjänsten finns det dock undantag som säger att man ibland får behandla känsliga uppgifter.
Lagliga grunder för behandling av personuppgifter inom socialtjänsten
Inom socialtjänsten är främst tre lagliga grunder aktuella: avtal, rättslig förpliktelse och myndighetsutövning eller allmänt intresse.
Avtal används som grund för majoriteten av personuppgifterna om anställda. Allt som behöver behandlas för att kunna uppfylla anställningsavtalet faller under denna grund. Hit hör även behandlingar som sker för att kunna genomföra avtal med leverantörer.
Rättslig förpliktelse är en tillämplig laglig grund inom socialtjänsten eftersom flera personuppgiftsbehandlingar som utförs inom verksamheten framgår direkt av lag. Dokumentationskrav är ett exempel.
Allmänt intresse eller myndighetsutövning utgör laglig grund för majoriteten av personuppgiftsbehandlingarna inom socialtjänsten. Med allmänt intresse avses den verksamhet som en statlig eller kommunal myndighet bedriver inom ramen för sin befogenhet. Det gäller såväl obligationsrättsliga skyldigheter som frivilliga befogenheter.
Samtycke är också en möjlig grund för behandling, men kraven på ett samtycke har höjts genom GDPR. För att ett giltigt samtycke ska föreligga krävs att samtycket är frivilligt, specifikt, att den enskilde är informerad och att det lämnas genom en aktiv handling. För att ett samtycke ska vara giltigt krävs att den enskilde i praktiken kan säga nej till personuppgiftsbehandlingen.
De registrerades rättigheter
Som registrerad har man ett antal rättigheter när det gäller ens personuppgifter. De rättigheter som stadgas i GDPR fanns redan under tidigare lagstiftning, men i GDPR har rättigheterna stärkts och utökats.
Rättigheter som är relevanta för socialtjänsten
Inom socialtjänsten är vissa rättigheter mer relevanta än andra. Rätten till information och tillgång är den rättighet som blir mest aktuell inom socialtjänsten. Begränsningarna som gäller denna rättighet är få i jämförelse med andra rättigheter. Rätten till information och tillgång innebär att man som registrerad har rätt att begära ett registerutdrag över de personuppgiftsbehandlingar som den personuppgiftsansvarige utför. Den registrerade har också rätt att begära en kopia på de personuppgifter som behandlas. Registerutdraget fanns också som en rättighet i personuppgiftslagen, men numera finns det ingen begränsning om hur många registerutdrag som kan begäras per år. Den registrerade ska dessutom kunna få ett registerutdrag kostnadsfritt.
Övriga rättigheter, som till exempel rätten att bli raderad och rätten att begära att begränsa personuppgiftsbehandling, kommer att kunna utövas i begränsad mån gentemot socialtjänsten, eftersom socialtjänsten behandlar större delen av personuppgifterna med allmänt intresse eller myndighetsutövning som grund.
GPPR i förhållande till SoLPuL
Lagen om personuppgiftsbehandling inom socialtjänsten, SoLPuL, reglerar vissa specifika förhållanden som gäller personuppgiftsbehandling för socialtjänsten. Denna lag gäller numera som en sektorsspecifik lagstiftning underordnat GDPR. Bestämmelser i SoLPuL får med andra ord inte krocka med GDPR. Innan GDPR infördes gjordes en utredning inom socialtjänstens område där man kom fram till att SoLPuL är kompatibel med GDPR. Bestämmelserna i SoLPuL finns därmed kvar i samma funktion som innan GDPR trädde i kraft.
Vad regleras i SoLPuL?
I SoLPuL finns framförallt specifikt stöd för särskild personuppgiftsbehandling som är nödvändig för verksamheter inom socialtjänsten. Här nedan beskrivs två av de viktigare områdena som regleras i SoLPuL.
Känsliga personuppgifter
Av störst vikt i denna lag är undantaget från förbudet mot behandling av känsliga personuppgifter som man hittar i 7 § SoLPuL. Som utgångspunkt gäller som sagt ett förbud mot att behandla känsliga personuppgifter enligt GDPR. Men bestämmelsen i 7 § SoLPuL gör det möjligt för verksamheter inom socialtjänsten att bortse från förbudet. Enligt SoLPuL får känsliga personuppgifter behandlas om de har lämnats i ett ärende eller om de annars är nödvändiga för verksamheten och personer som behandlar de känsliga uppgifterna omfattas av tystnadsplikt.
Personnummer
I SoLPuL regleras även särskilt vad som krävs för att få behandla personnummer inom socialtjänsten. I GDPR finns en möjlighet för medlemsstaterna att själva lagstifta om denna specifika typ av personuppgift. Enligt SoLPuL får personnummer behandlas förutsatt att samma förutsättningar föreligger som vid behandling av känsliga personuppgifter.
Vägledning och stöd i dataskyddsfrågor
Behöver du vägledning i implementeringen av GDPR? Inventering av personuppgiftsbehandlingar eller upprättande och analys av personuppgiftsbiträdesavtal? Våra jurister har lång erfarenhet av dataskyddsfrågor och hjälper gärna till! Läs mer om vår juridiska rådgivning.
Publicerad 4 dec 2018