Datum Diarienr 2014-12-04 1317-2014 Utbildnings- och arbetsmarknadsnämnden Uppsala kommun 753 75 Uppsala Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung Datainspektionens beslut Datainspektionen konstaterar att Utbildnings- och arbetsmarknadsnämnden i Uppsala kommun kan komma att behandla känsliga personuppgifter som avslöjar etniskt ursprung i strid med 7 lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Datainspektionen förutsätter att Utbildnings- och arbetsmarknadsnämnden i Uppsala kommun ger instruktioner gällande behandling av känsliga personuppgifter som avslöjar etniskt ursprung, så att dessa personuppgifter endast behandlas när de har lämnats i ett ärende eller är nödvändiga för verksamheten. Redogörelse för tillsynsärendet Bakgrund Regeringen har uppdragit åt Datainspektionen att genomföra tillsyn över hur personuppgiftslagen och aktuella registerförfattningar följs inom socialtjänsten och på bostadsmarknaden, med avseende på behandling av känsliga personuppgifter som avslöjar etniskt ursprung, i första hand med inriktning på uppgifter om romer och i andra hand med inriktning på uppgifter om annat etniskt ursprung. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Datainspektionens uppdrag kompletterar det uppdrag som regeringen gett till kommissionen om åtgärder mot antiziganism. Syftet med kommissionen är att åstadkomma en kraftsamling i arbetet mot antiziganism och att överbrygga den förtroendeklyfta som finns mellan den romska gruppen och samhället i övrigt. Datainspektionen har inom ramen för regeringens uppdrag genomfört en inspektion hos Utbildnings- och arbetsmarknadsnämnden (nämnden) den 5 juni 2014. Syftet med tillsynen var att granska hur personuppgiftslagen respektive lag och förordning om behandling av personuppgifter inom socialtjänsten följs med avseende på känsliga personuppgifter som avslöjar etniskt ursprung. Tillsynen har i första hand inriktat sig på uppgifter om romer inom individ- och familjeomsorgen. Protokoll har upprättats och översänts till nämnden för synpunkter. Nämnden har vid inspektionen och den efterföljande skriftväxlingen uppgett bland annat följande. Individ- och familjeomsorgen använder ärendehanteringssystemet Procapita. Förutom personakter på papper finns inga manuella sammanställningar av personuppgifter, exempelvis i pärmar. Behandlingen av personuppgifter skiljer sig inte åt när det gäller romer, jämfört med personer med annat etniskt ursprung. Nämnden för inte några särskilda register eller sammanställningar över romer, eller personer med ett visst annat etniskt ursprung, varken elektroniskt eller i pappersform. Det förekommer ingen registrering av släktförhållanden, utöver att det av grundbilden i Procapita framgår om man har gemensamt hushåll. Mellan åren 1994-2007 hade socialtjänsten en Romerenhet. Individ- och familjeomsorgen har idag inte organiserat sitt arbete utifrån de registrerades etniska ursprung. Det finns inte längre särskilda handläggare för ärenden som rör romer. Engagerade anställda som tidigare arbetat inom Romerenheten startade ett arbetsmarknadsprojekt, Romano Zor, med syfte att hjälpa romer att komma ut i arbete, utbildning och egenförsörjning, som avslutades år 2012. Därefter inleddes ett nytt arbetsmarknadsprojekt, Romané Bucá, som avslutades i somras. Nämnden är personuppgiftsansvarig för personuppgiftsbehandlingen inom ramen för projektet. Det förs inga anteckningar med anledning av projektet i Procapita. Det framgår dock i Procapita om personen har en insats som gör att han eller hon deltar i projektet. Personuppgiftsbehandlingen inom ramen för projektet uppges vara densamma som för all Sida 2 av 7
personuppgiftsbehandling som sker inom socialtjänstens område. Nämnden har inte närmare än så kunnat redogöra för behandlingen av personuppgifter inom ramen för projektet. Uppgift om etniskt ursprung, exempelvis att någon har romsk bakgrund, kan förekomma i löpande text i Procapita, exempelvis i journalanteckningar eller utredningar. Uppgiften kommer i så fall från personen själv. Handläggarna kan lägga in uppgift om språk exempelvis när det finns behov av tolk. Det är inte möjligt att använda uppgifter om språk eller etniskt ursprung som sökbegrepp vid sökning i Procapita. I Procapita kan handläggarna bara söka på namn, personnummer eller del av personnummer. Det är således inte möjligt att i Procapita söka fram och sammanställa uppgifter om romer eller personer med ett visst annat etniskt ursprung. Nämnden lämnar inte ut känsliga personuppgifter som avslöjar etniskt ursprung och har en dokumenterad bevarande- och gallringsplan. På frågan om nämnden har skriftliga riktlinjer som rör behandling av känsliga personuppgifter har nämnden hänvisat till Socialstyrelsens publikation Handläggning och dokumentation inom socialtjänsten. Det finns viss information på intranätet och möjlighet att kontakta personuppgiftsombudet för råd. Nyanställda får en introduktion och därefter hålls löpande utbildningar. Datainspektionens kontroller Datainspektionen har utfört kontroller i syfte att granska förekomsten av personuppgifter som avslöjar etniskt ursprung. Datainspektionen har vid kontroller i Procapita genomfört sökningar på ett femtontal namn som är vanligt förekommande bland personer med romskt ursprung, varav omkring tio akter har granskats närmare i relevanta delar, exempelvis utredningar och journalanteckningar. Datainspektionen har även granskat två pappersakter gällande personer som enligt uppgifter i personakterna har romsk bakgrund. Vid kontrollerna i Procapita har Datainspektionen påträffat vissa uppgifter som avslöjar etniskt ursprung och språk. Exempelvis har noterats att en person är rom, pratar romani eller deltar i något av arbetsmarknadsprojekten som riktar sig till personer med romsk bakgrund. Sida 3 av 7
I ett ärende som rör en ansökan om byte av bostad år 2009 från en person med romskt ursprung finns antecknat under rubriken anledning till ansökan Hot och trakasserier från grannar och bostadsrättsföreningen på nuvarande bostadsområde. Inga uppgifter som avslöjar etniskt ursprung finns antecknat. I ett ärende om ekonomiskt bistånd från år 2010 som rör ansökan om försörjningsstöd finns under rubriken social bakgrund antecknat att Makarna är romer som är födda i Sverige och de är svenska medborgare. Under rubriken behov av tolk och språk finns antecknat att Familjens hemspråk är romani, men de talar en god svenska eftersom de är födda i Sverige och något tolkbehov finns inte. Under rubriken den enskildes bedömning finns antecknat att De vill handläggas av vanlig socialbidragsexpedition och de tycker att stöd via Romano Zor vore bra. Att makarna aktualiseras på Romano Zor anges som en förutsättning för bistånd. Uppgiften gällande vanlig socialbidragsexpedition har förklarats av nämnden på så sätt att det under en övergångsperiod på cirka två år efter det att Romerenheten upphörde år 2008, fanns en socialsekreterare med stor kompetens när det gäller romer, som blev handläggare för de romer som önskade det. Datainspektionen har i en av de granskade pappersakterna påträffat ett utdrag av en intern e-postkonversation från år 2010 med anledning av en ansökan om flytthjälp. I e-posten efterfrågas om det är något särskilt som man ska observera? Eller är det bara att boka in packning, transport och städning som socialbidragshandläggaren skulle göra för vanliga klienter icke romer. Svaret blir att Det finns inget särskilt att ta hänsyn till i övrigt. Frågeställaren avslutar med repliken jag nöjer mig med ditt svar som sakkunnig, alltså ingen skillnad. Skäl för beslutet Tillämplig lag I lag (2001:454) respektive förordning (2001:637) om behandling av personuppgifter inom socialtjänsten finns bestämmelser som ska tillämpas när personuppgifter behandlas inom socialtjänsten. Bestämmelserna gäller, enligt 1 lagen om behandling av personuppgifter inom socialtjänsten, även för så kallade manuella register som är sökbara på endast ett kriterium. I den mån som behandlingen av personuppgifter inte särskilt regleras av lagen eller förordningen om behandling av personuppgifter inom socialtjänsten gäller personuppgiftslagen. Sida 4 av 7
Känsliga personuppgifter som avslöjar etniskt ursprung får enligt 7 lagen om behandling av personuppgifter inom socialtjänsten endast behandlas om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för verksamheten. Enligt 15 förordningen om behandling av personuppgifter inom socialtjänsten får en kommunal myndighet vid handläggning av ärenden bara använda uppgifter om namn eller uppgifter om person-, samordnings-, eller ärendenummer som sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar. Det är således inte tillåtet att vid ärendehandläggningen använda till exempel uppgift om födelseland eller medborgarskap som sökbegrepp vid sökning efter uppgifter i verksamhetssystemet. Enligt 9 personuppgiftslagen har den personuppgiftsansvarige (nämnden) ett ansvar att se till att personuppgifter behandlas bara om det är lagligt, på ett korrekt sätt och i enlighet med god sed. Enligt 30 personuppgiftslagen får den som arbetar för nämnden bara behandla personuppgifter i enlighet med instruktioner från nämnden. Datainspektionens bedömning Även om en uppgift om etniskt ursprung inte är sökbar i ärendehanteringssystemet, måste det finnas ett rättsligt stöd för att socialtjänsten ska få behandla uppgiften. Enligt 7 lagen om behandling av personuppgifter inom socialtjänsten finns det ett krav på nödvändighet när socialtjänsten dokumenterar sådana uppgifter i ärendena. Detta innebär att en uppgift om att någon exempelvis har romsk bakgrund, måste vara av betydelse för det enskilda ärendet. Uppgiften i fråga får inte dokumenteras slentrianmässigt, utan endast efter att socialtjänsten har gjort en prövning av behovet i varje enskilt ärende. Uppgifter som avslöjar etniskt ursprung som den registrerade i ett ärende själv har lämnat i samtal med socialtjänsten, får således antecknas om det har betydelse för ärendet. Av nämndens egen beskrivning, framgår det inte klart om socialtjänsten gör en prövning så att uppgifter som anger etniskt ursprung endast dokumenteras om de behövs i det enskilda ärendet. Datainspektionen konstaterar att det förefaller finnas skillnader i handläggningen när det gäller behandling av uppgifter om etniskt ursprung. Nämnden har uppgett att handläggarna kan lägga in uppgift om språk exempelvis när det finns behov av tolk. I ett ärende om försörjningsstöd finns under rubriken behov av tolk och språk antecknat att familjens hemspråk är romani, men att något tolkbehov inte finns eftersom de är födda i Sverige och talar god svenska. Datainspektionen anser att en uppgift om hemspråk, i vart fall i kombination med andra uppgifter, Sida 5 av 7
kan avslöja etniskt ursprung. Det kan inte anses nödvändigt att behandla en uppgift om hemspråk för att konstatera att något tolkbehov inte finns. När det gäller behandlingen i e-postkonversationen ifrågasätter Datainspektionen om det kan anses nödvändigt och relevant att behandla känsliga personuppgifter om etniskt ursprung i samband med flytthjälp. Enligt 30 personuppgiftslagen får den som arbetar för nämnden bara behandla personuppgifter i enlighet med instruktioner från nämnden. Enligt 9 personuppgiftslagen har nämnden vidare ett ansvar att se till att personuppgifter behandlas bara om det är lagligt, på ett korrekt sätt och i enlighet med god sed. Bestämmelserna innebär att nämnden ansvarar för att all behandling av personuppgifter sker i enlighet med instruktioner från nämnden och att instruktionerna är så tydliga att otillåten behandling inte sker om instruktionerna följs. Frånvaro av tydliga riktlinjer för behandlingen av känsliga personuppgifter som avslöjar etniskt ursprung ökar risken för behandling av personuppgifter som inte är nödvändiga och relevanta. De oklarheter som framkommit i ärendet när det gäller socialtjänstens behandling av personuppgifter om etniskt ursprung ger vid handen att socialtjänsten inte alltid gör en prövning av att sådana uppgifter endast behandlas om de är nödvändiga för verksamheten eller har lämnats i ett ärende. Datainspektionen konstaterar att nämnden därför riskerar att behandla känsliga personuppgifter som avslöjar etniskt ursprung i strid med 7 lagen om behandling av personuppgifter inom socialtjänsten. Datainspektionen anser därför att det behövs tydligare instruktioner i verksamheten när det gäller förutsättningarna för att behandla känsliga personuppgifter som avslöjar etniskt ursprung. Datainspektionen förutsätter att nämnden utformar så tydliga instruktioner gällande behandling av känsliga personuppgifter som avslöjar etniskt ursprung att sådana personuppgifter endast behandlas när de har lämnats i ett ärende eller är nödvändiga för verksamheten. Övrigt Efter det att Datainspektionen har beslutat i samtliga tillsynsärenden som ingår i projektet kommer uppdraget att redovisas till Regeringskansliet. Datainspektionen kommer i samband därmed att i en skriftlig rapport redovisa sina iakttagelser och även lämna eventuella synpunkter och råd mot bakgrund av det som framkommit vid tillsynen. Nämnden kommer att få del av rapporten i fråga. Sida 6 av 7
Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Katarina Högquist. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Katarina Tullstedt deltagit. Kristina Svahn Starrsjö Katarina Högquist Sida 7 av 7