Lag (2001:454) om behandling av personuppgifter inom socialtjänsten

Denna lag tillämpas, om inte annat anges i 3 §, vid behandling av personuppgifter inom socialtjänsten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt ett eller flera särskilda kriterier. Lag (2018:440).

I denna lag avses med socialtjänst

1. verksamhet enligt lagstiftningen om socialtjänst, den särskilda lagstiftningen om vård utan samtycke av unga eller av missbrukare och den särskilda lagstiftningen om insatser för barn i form av skyddat boende,
2. verksamhet som i annat fall enligt lag handhas av socialnämnd,
3. verksamhet som i övrigt bedrivs av Statens institutionsstyrelse,
4. verksamhet hos kommunal invandrarbyrå,
5. verksamhet enligt lagstiftning om stöd och service till vissa funktionshindrade,
6. handläggning av ärenden om bistånd som lämnas av socialnämnd enligt lagstiftning om mottagande av asylsökande m.fl.,
7. handläggning av ärenden om tillstånd till parkering för rörelsehindrade, och
8. verksamhet enligt lagen (2007:606) om utredningar för att förebygga vissa skador och dödsfall.

Med socialtjänst avses även tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamhet som avses i första stycket 1-9. Lag (2024:86).

Lagen tillämpas inte vid behandling av personuppgifter

1. hos domstolar,
2. för forsknings- och statistikändamål, eller
3. som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den

27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG
(allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Lag (2018:440).

Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

I lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns ytterligare bestämmelser om behandling av personuppgifter inom socialtjänsten i fråga om insatser för äldre personer eller personer med funktionsnedsättning. Lag (2022:914).

Har upphävts genom lag (2003:136).

Personuppgifter får behandlas bara om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten skall kunna utföras.

Personuppgifter får även behandlas för uppgiftsutlämnande som föreskrivs i lag eller förordning.

En registrerad person har inte rätt att motsätta sig sådan behandling av uppgifter som är tillåten enligt denna lag.

Socialtjänsten får behandla

1. person- och samordningsnummer,
2. personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), samt
3. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter enligt första stycket får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.

Känsliga personuppgifter får behandlas med stöd av artikel
9.2 h i EU:s dataskyddsförordning under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt. Lag (2018:440).

I sammanställningar av personuppgifter får det inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden.

Undantag från första stycket gäller för

1. uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om den bestämmelse som ett sådant beslut grundar sig på,
2. uppföljning, utvärdering och kvalitetssäkring,
3. tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg,
4. administration som bedrivs av Statens institutionsstyrelse centralt, och
5. verksamhet enligt lagen (2007:606) om utredningar för att förebygga vissa skador och dödsfall.

Uppgift som avslöjar medlemskap i fackförening får aldrig tas in. Lag (2018:1376).

Regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om sammanställning av personuppgifter. Lag (2003:136).

I fråga om utlämnande av personuppgifter som finns inom socialtjänsten gäller de begränsningar som följer av offentlighets- och sekretesslagen (2009:400), socialtjänstlagen (2025:400) och lagen (1993:387) om stöd och service till vissa funktionshindrade. Lag (2025:424).

Om den digitala teknik som används vid insatser enligt
10 kap. 6 § socialtjänstlagen (2025:400) har funktioner som möjliggör monitorering, sensorering eller positionering, ska den personuppgiftsansvarige säkerställa att

1. endast de personuppgifter som är nödvändiga för att uppnå ändamålet med användningen av tekniken behandlas, och

2. insamlade personuppgifter inte sparas under längre tid än vad som är nödvändigt för att uppnå det ändamål för vilket uppgifterna samlades in.

Den personuppgiftsansvarige får endast behandla personuppgifter om den som beviljats en sådan insats som avses i första stycket samtycker till behandlingen. Om insatsen medför behandling av personuppgifter som avser en närstående som stadigvarande sammanbor med den som beviljats insatsen, ska även den närstående samtycka till behandlingen.
Lag (2025:424).

Den personuppgiftsansvarige ska för uppgifter om enskilda som förs helt eller delvis automatiserat

1. bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter,
2. se till att åtkomst till sådana uppgifter dokumenteras och kan kontrolleras, och
3. göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.

Behörigheten enligt första stycket 1 ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter inom socialtjänsten. Lag (2023:821).

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. vilka som är personuppgiftsansvariga,
2. begränsning av den i 6 § tillåtna behandlingen av personuppgifter,
3. sökbegrepp,
4. direktåtkomst,
5. samkörning av personuppgifter, och
6. de krav som gäller för den personuppgiftsansvarige enligt

9 § första stycket.

Regeringen får även meddela föreskrifter om när personuppgifter får föras över till tredjeland.
Lag (2023:821).

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet samt dokumentation och kontroll av åtkomst enligt 10 §. Lag (2023:821).