1 kap. Allmänna bestämmelser

Denna lag innehåller bestämmelser om Utbetalningsmyndighetens behandling av personuppgifter.

Denna lag tillämpas vid behandlingen av personuppgifter vid Utbetalningsmyndigheten i dess verksamhet med att administrera systemet med transaktionskonto och att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelserna i 6-8, 10 och 11 §§ samt 2-4 kap. gäller även vid behandling av uppgifter om avlidna.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Utbetalningsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Utbetalningsmyndigheten får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter att 1. administrera ett system med transaktionskonto, och 2. förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen i första stycket.

Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för.

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning (fällande domar i brottmål och lagöverträdelser som innefattar brott). Förbudet omfattar inte sökningar i syfte att få fram ett urval grundat på sådan uppgift om hälsa som hänför sig till en förmån eller ett stöd. Det omfattar inte heller sökningar i en viss handling.

Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Personuppgifter får lämnas ut elektroniskt, dock inte genom direktåtkomst.