1 Författningsförslag
1.3 Förslag till lag (0000:00) om behandling
utbetalningskontroll
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser Lagens syfte
1 § Syftet med denna lag är att ge Myndigheten för utbetalnings-
kontroll möjlighet att behandla personuppgifter på ett ändamåls- enligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag ska tillämpas vid behandlingen av personuppgifter
vid Myndigheten för utbetalningskontroll i dess verksamhet med att administrera systemet med transaktionskonto och att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen.
Lagen gäller endast om behandlingen är helt eller delvis auto- matiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Bestämmelserna i 6–8 och 11–13 §§, 2 kap. samt 3 kap. gäller även vid behandling av uppgifter om juridiska personer och avlidna. Bestämmelsen i 10 § ska också tillämpas vid behandling av uppgifter om avlidna.
Förhållandet till annan reglering
3 § Denna lag kompletterar Europaparlamentets och rådets för-
ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direk- tiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar
4 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra
invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
5 § Myndigheten för utbetalningskontroll är personuppgiftsansvarig
för den behandling av personuppgifter som myndigheten utför enligt denna lag.
Ändamål
6 § Myndigheten för utbetalningskontroll får behandla personupp-
gifter om det är nödvändigt för att
1. administrera utbetalningar via systemet med transaktionskonto, 2. göra dataanalyser och urval i syfte att upptäcka och förhindra felaktiga utbetalningar från välfärdssystemen,
3. hantera och sortera myndighetens urval (inledande granskning), 4. utföra fördjupad granskning,
5. göra omfattningsstudier, riskanalyser och andra analyser inom ramen för verksamheten att stödja och följa arbetet med att mot- verka felaktiga utbetalningar från välfärdssystemen, eller
6. göra urval av utbetalningar för samordnade kontrollinsatser inom ramen för verksamheten att stödja och följa arbetet med att motverka felaktiga utbetalningar från välfärdssystemen.
7 § Personuppgifter som behandlas enligt 6 § får också behandlas
för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
8 § Personuppgifter som behandlas enligt 6 § får behandlas även
för andra ändamål, under förutsättning att uppgifterna inte behand- las på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in.
Behandling av känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskydds-
förordning (känsliga personuppgifter) får behandlas om det är nöd- vändigt med hänsyn till ändamålet.
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett
urval av personer grundat på känsliga personuppgifter eller person- uppgifter som avses i artikel 10 i EU:s dataskyddsförordning (upp- gifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott).
Förbudet att utföra sökningar enligt första stycket omfattar inte sökningar i syfte att få fram ett urval grundat på sådan uppgift om hälsa som avser förmån eller stöd.
Tillgång till personuppgifter
11 § Tillgången till personuppgifter ska begränsas till vad var och
en behöver för att kunna fullgöra sina arbetsuppgifter.
Myndigheten för utbetalningskontroll ansvarar för att åtkomsten till personuppgifter kontrolleras på ett ändamålsenligt sätt.
Bevarande och gallring
12 § Personuppgifter ska gallras så snart uppgifterna inte längre
behövs för de ändamål som de behandlas för. Detta gäller inte om regeringen eller den myndighet som regeringen bestämmer har med- delat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för arkiv-
ändamål av allmänt intresse, vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål.
Första stycket gäller inte om annat följer av 13 § eller 2 kap. 3 §.
13 § Personuppgifter som behandlas för ändamålet att utföra för-
djupad granskning (6 § 4) ska gallras ett år efter att den fördjupade granskningen avslutats. Sammanställning av resultatet av fördjupad granskning ska bevaras.
Rätt att meddela föreskrifter
14 § Regeringen eller den myndighet som regeringen bestämmer
kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter som kompletterar denna lag.
2 kap. Transaktionskontoregistret
1 § För ändamålet att administrera utbetalningar via systemet med
transaktionskonto (1 kap. 6 § 1) ska Myndigheten för utbetalnings- kontroll med hjälp av automatiserad behandling föra ett register, transaktionskontoregistret.
2 § Myndigheten för utbetalningskontroll får ge direktåtkomst till
uppgifter i transaktionskontoregistret. Direktåtkomst får ges till
1. myndighet som är ansluten till systemet med transaktionskonto, och
2. den registrerade, dennes vårdnadshavare, förvaltare eller ombud.
3 § Personuppgifter som behandlas i transaktionskontoregistret
ska gallras tio år efter utgången av det år då betalningsuppdraget regi- strerades. Detta gäller inte om regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
3 kap. Uppgiftssamlingen för dataanalyser och urval
1 § För ändamålet att göra dataanalyser och urval i syfte att upp-
täcka och förhindra felaktiga utbetalningar från välfärdssystemen (1 kap. 6 § 2) får endast sådana personuppgifter behandlas som finns i en samling av uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten, uppgiftssamlingen för data- analyser och urval.
Regeringen får meddela föreskrifter om vilka personuppgifter som får behandlas i uppgiftssamlingen för dataanalyser och urval.
2 § Sökning och annan behandling i uppgiftssamlingen för data-
analyser och urval ska genomföras med respekt för enskildas person- liga integritet.
3 § Metoder för att ta fram urval samt de sökbegrepp som används
vid sökningar i uppgiftssamlingen för dataanalyser och urval ska dokumenteras på sådant sätt att de kan kontrolleras i efterhand. Myndigheten för utbetalningskontroll ska utföra regelbunden upp- följning av de sökningar som har gjorts i uppgiftssamlingen.