Datum Diarienr 2014-12-04 1393-2014 Styrelsen för proaros Västerås stad Stadshuset 721 87 Västerås Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung Datainspektionens beslut Datainspektionen konstaterar att det vid inspektionen inte framkommit något som visar att Styrelsen för proaros i Västerås stad behandlar personuppgifter som avslöjar etniskt ursprung i strid med lagen om behandling av personuppgifter inom socialtjänsten och dess förordning eller personuppgiftslagen. Datainspektionen avslutar ärendet. Redogörelse för tillsynsärendet Bakgrund Regeringen har uppdragit åt Datainspektionen att genomföra tillsyn över hur personuppgiftslagen och aktuella registerförfattningar följs inom socialtjänsten och på bostadsmarknaden, med avseende på behandling av känsliga personuppgifter som avslöjar etniskt ursprung, i första hand med inriktning på uppgifter om romer och i andra hand med inriktning på uppgifter om annat etniskt ursprung. Datainspektionens uppdrag kompletterar det uppdrag som regeringen gett till kommissionen om åtgärder mot antiziganism. Syftet med kommissionen är att åstadkomma en kraftsamling i arbetet mot antiziganism och att Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
överbrygga den förtroendeklyfta som finns mellan den romska gruppen och samhället i övrigt. Datainspektionen har inom ramen för regeringens uppdrag genomfört en inspektion hos Styrelsen för proaros (styrelsen) den 9 juni 2014. Syftet med tillsynen var att granska hur personuppgiftslagen respektive lag och förordning om behandling av personuppgifter inom socialtjänsten följs med avseende på känsliga personuppgifter som avslöjar etniskt ursprung. Tillsynen har i första hand inriktat sig på uppgifter om romer inom individ- och familjeomsorgen. Protokoll har upprättats och översänts till styrelsen för synpunkter. Styrelsen har vid inspektionen och den efterföljande skriftväxlingen uppgett bland annat följande. Styrelsen är den kommunala utföraren inom individ- och familjeomsorgen och använder IT-systemet Procapita. Behandlingen av personuppgifter skiljer sig inte åt när det gäller romer, jämfört med personer med annat etniskt ursprung. Styrelsen för inte några särskilda register eller sammanställningar över romer, varken elektroniskt eller i pappersform. Styrelsen har inte organiserat sitt arbete utifrån de registrerades etniska ursprung. Det förekommer ingen systematisk kartläggning av släktförhållanden eller sociala nätverk. Av grundbilden i Procapita framgår samhörighet, exempelvis om någon är gift och har barn. I genomförandeplanen kan släktförhållanden eller sociala nätverk noteras om det har betydelse, exempelvis hur hemsituationen ser ut. Styrelsen får sitt uppdrag, en så kallad vårdplan, som föregåtts av ett biståndsbeslut från Individ- och familjenämnden. Vårdplanen förs över elektroniskt i Procapita från Individ- och familjenämnden till styrelsen för proaros. Styrelsen har bara elektroniska personakter. När en vårdplan kommit in upprättar styrelsen, tillsammans med den registrerade, en genomförandeplan. Genomförandeplanen skickas till Individ- och familjenämnden som lägger handlingen till den registrerades pappersakt. Uppgifter om etniskt ursprung, exempelvis att någon har romskt ursprung, förekommer bara i löpande text, exempelvis i genomförandeplanen eller journalanteckningar. Uppgiften kommer i så fall från den registrerade själv, exempelvis när denne beskriver sin situation i samband med arbetet med att ta fram en genomförandeplan. Sida 2 av 5
Det är endast möjligt att använda uppgifter om namn, personnummer eller del av personnummer som sökbegrepp vid sökning i Procapita. Det är således inte möjligt att i Procapita söka fram och sammanställa uppgifter om romer eller personer med ett visst annat etniskt ursprung. Västerås stad deltog tidigare i ett nationellt arbetsmarknadsprojekt riktat till romer. Därefter inleddes, via Samordningsförbundet Västerås, projektet Romane Droma (betyder Romska vägar), som har till syfte att förbättra romers möjligheter att etablera sig på arbetsmarknaden. Styrelsen har ingen egen dokumentation med anledning av projektet. Försäkringskassan ansvarar för uppföljningssystemet SUS, där personuppgifter behandlas om deltagare i projektet. Deltagarna har lämnat sitt samtycke till att deras personuppgifter får registreras i SUS. SUS-databasen administreras av Försäkringskassan och är en del av socialförsäkringsdatabasen. SUS är myndighetsgemensamt, vilket innebär att inblandade myndigheter (Arbetsförmedling, kommuner, landsting och Försäkringskassa) har ett gemensamt ansvar för att uppgifter om bland annat insatser, aktiviteter och projekt som finansieras genom anslaget Bidrag för sjukskrivningsprocessen registreras i SUS. En projektledare som är anställd av styrelsen men avlönad av samordningsförbundet, är den enda inom Västerås stad som har behörighet att lägga in personer i SUS-registret. Styrelsen har ingen roll vad gäller SUSregistret och registret används inte inom organisationen. Projektet avslutades i augusti i år och hade då pågått i två år. Styrelsen har härutöver inte haft särskilda insatser eller uppsökande verksamhet gentemot romer. Styrelsen lämnar inte ut känsliga personuppgifter som avslöjar etniskt ursprung och har dokumenterade rutiner för gallring av personuppgifter i Procapita. Styrelsen har inga särskilda riktlinjer som rör behandlingen av personuppgifter. Datainspektionens kontroller Datainspektionen har utfört kontroller i syfte att granska förekomsten av personuppgifter som avslöjar etniskt ursprung. Datainspektionen har gått igenom omkring 200 namn på personer som är aktuella inom öppenvården. Av dessa har Datainspektionen granskat fem elektroniska personakter avseende bland annat personer med namn som är vanligt förekommande bland personer med romskt ursprung, främst genomförandeplaner. Sida 3 av 5
Vid kontrollerna har Datainspektionen inte påträffat några personuppgifter som avslöjar etniskt ursprung. Skäl för beslutet Tillämplig lag I lag (2001:454) respektive förordning (2001:637) om behandling av personuppgifter inom socialtjänsten finns bestämmelser som ska tillämpas när personuppgifter behandlas inom socialtjänsten. Bestämmelserna gäller, enligt 1 lagen om behandling av personuppgifter inom socialtjänsten, även för så kallade manuella register som är sökbara på endast ett kriterium. I den mån som behandlingen av personuppgifter inte särskilt regleras av lagen eller förordningen om behandling av personuppgifter inom socialtjänsten gäller personuppgiftslagen. Känsliga personuppgifter som avslöjar etniskt ursprung får enligt 7 lagen om behandling av personuppgifter inom socialtjänsten endast behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten. Enligt 15 förordningen om behandling av personuppgifter inom socialtjänsten får en kommunal myndighet vid handläggning av ärenden bara använda uppgifter om namn eller uppgifter om person-, samordnings-, eller ärendenummer som sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar. Det är således inte tillåtet att vid ärendehandläggningen använda till exempel uppgift om födelseland eller medborgarskap som sökbegrepp vid sökning efter uppgifter i verksamhetssystemet. Sökbegränsningarna gäller inte verksamhet som avser tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten. Datainspektionen bedömning Även om en uppgift om etniskt ursprung inte är sökbar i verksamhetssystemet, måste det finnas ett rättsligt stöd för att socialtjänsten ska få behandla uppgiften. Enligt 7 lagen om behandling av personuppgifter inom socialtjänsten finns det ett krav på nödvändighet när socialtjänsten dokumenterar sådana uppgifter. Datainspektionen anser att en uppgift om att någon har exempelvis romsk bakgrund, måste vara av betydelse i det enskilda fallet. Uppgiften i fråga får inte dokumenteras slentrianmässigt, utan endast efter att socialtjänsten har gjort en prövning av behovet i varje enskilt fall. Uppgifter som avslöjar etniskt ursprung som den registrerade själv har lämnat i samtal med socialtjänsten, kan således antecknas om det har betydelse för verksamheten. Sida 4 av 5
Datainspektionen har vid de kontroller som gjorts i Procapita inte påträffat några känsliga personuppgifter som avslöjar etniskt ursprung. Datainspektionen konstaterar att det vid inspektionen inte framkommit något som tyder på att nämnden behandlar personuppgifter som avslöjar etniskt ursprung i strid med lagen om behandling av personuppgifter inom socialtjänsten och dess förordning eller personuppgiftslagen. Ärendet kan därmed avslutas. Övrigt Efter det att Datainspektionen har beslutat i samtliga tillsynsärenden som ingår i projektet kommer uppdraget att redovisas till Regeringskansliet. Datainspektionen kommer i samband därmed att i en skriftlig rapport redovisa sina iakttagelser och även lämna eventuella synpunkter och råd mot bakgrund av det som framkommit vid tillsynen. Styrelsen kommer att få del av rapporten i fråga. Katarina Högquist Sida 5 av 5