Datum Diarienr 2014-12-04 1831-2014 Socialnämnden Luleå kommun Box 212 971 85 Luleå Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung Datainspektionens beslut Datainspektionen konstaterar att Socialnämnden i Luleå kommun behandlar känsliga personuppgifter som avslöjar etniskt ursprung i strid med 7 lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Socialnämnden i Luleå kommun föreläggs att vidta åtgärder för att se till att känsliga personuppgifter som avslöjar etniskt ursprung endast behandlas när de har lämnats i ett ärende eller är nödvändiga för verksamheten. Redogörelse för tillsynsärendet Bakgrund Regeringen har uppdragit åt Datainspektionen att genomföra tillsyn över hur personuppgiftslagen och aktuella registerförfattningar följs inom socialtjänsten och på bostadsmarknaden, med avseende på behandling av känsliga personuppgifter som avslöjar etniskt ursprung, i första hand med inriktning på uppgifter om romer och i andra hand med inriktning på uppgifter om annat etniskt ursprung. Datainspektionens uppdrag kompletterar det uppdrag som regeringen gett till kommissionen om åtgärder mot antiziganism. Syftet med kommissionen är att åstadkomma en kraftsamling i arbetet mot antiziganism och att Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
överbrygga den förtroendeklyfta som finns mellan den romska gruppen och samhället i övrigt. Datainspektionen har inom ramen för regeringens uppdrag genomfört en inspektion hos Socialnämnden (nämnden) den 26 augusti 2014. Syftet med tillsynen var att granska hur personuppgiftslagen respektive lag och förordning om behandling av personuppgifter inom socialtjänsten följs med avseende på känsliga personuppgifter som avslöjar etniskt ursprung. Tillsynen har i första hand inriktat sig på uppgifter om romer inom individoch familjeomsorgen. Protokoll har upprättats och översänts till nämnden för synpunkter. Nämnden har vid inspektionen och den efterföljande skriftväxlingen uppgett bland annat följande. Individ- och familjeomsorgen använder ärendehanteringssystemet Treserva. Behandlingen av personuppgifter skiljer sig inte åt när det gäller romer, jämfört med personer med annat etniskt ursprung. Nämnden för inga kända särskilda register eller sammanställningar över romer, varken elektroniskt eller i pappersform. Socialtjänsten har inte organiserat sitt arbete utifrån de registrerades etniska ursprung. Det finns inte särskilda handläggare för ärenden som rör romer. Nämnden har inte, i vart fall inte sedan 1980-talet, haft särskilda insatser eller uppsökande verksamhet gentemot romer. Luleå kommun ingår i ett pilotprojekt för romsk inkludering. Nämnden behandlar inte några personuppgifter om romer med anledning av pilotprojektet. Uppgift om språk eller etniskt ursprung, exempelvis att någon har romskt ursprung, förekommer endast i utredningar eller journalanteckningar i Treserva. Uppgift om etniskt ursprung skrivs in i Treserva när socialtjänsten bedömer att uppgiften är relevant och har betydelse för ärendet. Uppgiften kommer oftast från den registrerade själv. Språkkunskaper registreras om det finns tolkbehov, men inte annars. Det förekommer ingen kartläggning av släktförhållanden, utöver de uppgifter om samhörighet som kan hämtas in från befolkningsregistret, exempelvis uppgift om make och barn. Det är inte möjligt att använda uppgifter om språk eller etniskt ursprung som sökbegrepp vid sökning i Treserva. I Treserva kan handläggarna endast söka på personnummer, namn eller ärendenummer. Det är således inte möjligt att i Treserva söka fram och sammanställa uppgifter om romer eller personer med ett visst annat etniskt ursprung. Nämnden lämnar inte ut känsliga personuppgifter som avslöjar etniskt ursprung och har dokumenterade rutiner för gallring i Treserva. Individ- och Sida 2 av 7
familjeomsorgen har använt Treserva sedan 2009 och ska börja gallra nu. Individ- och familjeomsorgen har inga skriftliga riktlinjer som rör behandling av känsliga personuppgifter, utöver de rutiner för handläggning och dokumentation som vid inspektionen uppgetts komma från Socialstyrelsen. Nämnden har dock efter inspektionen invänt att rutinerna inte härrör från Socialstyrelsen utan från Skatteverket. Handläggarna har fått instruktioner om att inte skicka personuppgifter via e-post. Vid utredningar om barn använder barn- och ungdomssektionen BBICmodellen. Det innebär att dokumentationen görs i Treserva med färdiga rubriker som har utarbetats av Socialstyrelsen. Socialstyrelsen har riktlinjer för vad som ska dokumenteras under de olika rubrikerna. Alla rubriker behöver inte användas. Datainspektionens kontroller Datainspektionen har utfört kontroller i syfte att granska förekomsten av personuppgifter som avslöjar etniskt ursprung. Datainspektionen har genomfört kontroller i Treserva genom ett 40-tal sökningar på namn som är vanligt förekommande bland personer med romskt ursprung, varvid 27 personakter har granskats närmare i relevanta delar, exempelvis dokumentation i beslut, utredningar och journalanteckningar i ärenden som rör barn och ungdomar respektive försörjningsstöd. Datainspektionen har vidare genomfört vissa stickprovskontroller i Treserva på personer som enligt vad som framkommit inte förefaller ha romsk bakgrund. Datainspektionen har även kontrollerat tre personakter på papper, bland annat en akt som nämnden uppgett gäller en romsk familj. Vid kontrollerna i Treserva har Datainspektionen påträffat uppgifter som avslöjar etniskt ursprung. Exempelvis har noterats att en familj är romer, eller att en mamma till ett barn haft planer på att flytta till en viss ort, men inte är välkommen av andra romer där. Vid kontrollerna av personakterna på papper har Datainspektionen i den sistnämnda personakten påträffat bland annat följande uppgifter om etniskt ursprung (Datainspektionen har avidentifierat personuppgifter i texten för att undvika identifiering av inblandade personer och händelser) - Under rubriken familjens bakgrund och situation: Familjen är Romer. - Under rubriken social integrering: Familjen har svårigheter att integrera sig i de regler och normer som gäller i det svenska samhället. Sida 3 av 7
- Under rubriken identitet: NN identifierar sig med den Romska kulturen och dess värderingar. - Under rubriken socialt uppträdande: NN umgås med andra Romer och där är hennes uppträdande helt i enlighet med deras normer och värderingar. Det uppges i ärendet att socialtjänsten beslutat att inleda en utredning utifrån inkomna anmälningar från skola och polis gällande skolk och stöld. Skäl för beslutet Tillämplig lag I lag (2001:454) respektive förordning (2001:637) om behandling av personuppgifter inom socialtjänsten finns bestämmelser som ska tillämpas när personuppgifter behandlas inom socialtjänsten. Bestämmelserna gäller, enligt 1 lagen om behandling av personuppgifter inom socialtjänsten, även för så kallade manuella register som är sökbara på endast ett kriterium. I den mån som behandlingen av personuppgifter inte särskilt regleras av lagen eller förordningen om behandling av personuppgifter inom socialtjänsten gäller personuppgiftslagen. Känsliga personuppgifter som avslöjar etniskt ursprung får enligt 7 lagen om behandling av personuppgifter inom socialtjänsten endast behandlas om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för verksamheten. Enligt 15 förordningen om behandling av personuppgifter inom socialtjänsten får en kommunal myndighet vid handläggning av ärenden bara använda uppgifter om namn eller uppgifter om person-, samordnings-, eller ärendenummer som sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar. Det är således inte tillåtet att vid ärendehandläggningen använda till exempel uppgift om födelseland eller medborgarskap som sökbegrepp vid sökning efter uppgifter i verksamhetssystemet. Enligt 9 personuppgiftslagen har den personuppgiftsansvarige (nämnden) ett ansvar att se till att personuppgifter behandlas bara om det är lagligt, på ett korrekt sätt och i enlighet med god sed. Enligt 30 personuppgiftslagen får den som arbetar för nämnden bara behandla personuppgifter i enlighet med instruktioner från nämnden. Sida 4 av 7
Datainspektionens bedömning Även om en uppgift om etniskt ursprung inte är sökbar i ärendehanteringssystemet, måste det finnas ett rättsligt stöd för att socialtjänsten ska få behandla uppgiften. Enligt 7 lagen om behandling av personuppgifter inom socialtjänsten finns det ett krav på nödvändighet när socialtjänsten dokumenterar sådana uppgifter i ärendena. Detta innebär att en uppgift om att någon exempelvis har romsk bakgrund, måste vara av betydelse för det enskilda ärendet. Uppgiften i fråga får inte dokumenteras slentrianmässigt, utan endast efter att socialtjänsten har gjort en prövning av behovet i varje enskilt ärende. Uppgifter som avslöjar etniskt ursprung som den registrerade i ett ärende själv har lämnat i samtal med socialtjänsten, får således antecknas om det har betydelse för ärendet. Datainspektionen har uppfattat att socialtjänsten, enligt beskrivningen ovan, gör en prövning av att uppgifter som anger etniskt ursprung endast dokumenteras om de behövs i det enskilda ärendet. Datainspektionen har vid de kontroller som gjorts av personakter i Treserva och på papper påträffat flera personuppgifter om etniskt ursprung. Datainspektionen anser att det finns anledning att kritisera anteckningarna ifråga i ett fall. Det gäller den ovan nämnda utredningen som bland annat föranletts av anmälningar från skola och polis gällande skolk och stöld. I utredningen finns antecknat om en familj med romsk bakgrund, att familjen har svårigheter att integrera sig i de regler och normer som gäller i det svenska samhället, att den registrerade identifierar sig med den romska kulturen och dess värderingar samt umgås med andra romer där den registrerades uppträdande är helt i enlighet med deras normer och värderingar. I det kritiserade fallet förefaller personuppgifterna om etniskt ursprung inte i huvudsak komma från den registrerade själv, utan vara föranledda av socialtjänstens egen bedömning att det finns ett samband mellan uppträdande och normer och värderingar kopplat till etniskt ursprung. Det framgår inte vilka beteenden, normer och värderingar som avses. Datainspektionen anser att informationen i sammanhanget inte är adekvat och relevant och inte tillför ärendet något av vikt. Informationen är således inte nödvändig på det sätt som krävs enligt 7 lagen om behandling av personuppgifter inom socialtjänsten. Enligt 30 personuppgiftslagen får den som arbetar för nämnden bara behandla personuppgifter i enlighet med instruktioner från nämnden. Enligt 9 personuppgiftslagen har nämnden ett ansvar att se till att personuppgifter behandlas bara om det är lagligt, på ett korrekt sätt och i enlighet med god sed. Bestämmelserna innebär att nämnden ansvarar att all behandling av Sida 5 av 7
personuppgifter sker i enlighet med instruktioner från nämnden och att instruktionerna är så tydliga att otillåten behandling inte sker om instruktionerna följs. Frånvaro av tydliga riktlinjer för behandlingen av känsliga personuppgifter som avslöjar etniskt ursprung ökar risken för behandling av personuppgifter som inte är nödvändiga och relevanta. Datainspektionen konstaterar att nämnden behandlar känsliga personuppgifter som avslöjar etniskt ursprung i strid med 7 lagen om behandling av personuppgifter inom socialtjänsten. Nämnden ska därför föreläggas att vidta åtgärder för att se till att känsliga personuppgifter som avslöjar etniskt ursprung endast kommer att behandlas när uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten. Sådana åtgärder kan exempelvis bestå i instruktioner, information eller utbildning hur känsliga personuppgifter som avslöjar etniskt ursprung ska behandlas. Övrigt Efter det att Datainspektionen har beslutat i samtliga tillsynsärenden som ingår i projektet kommer uppdraget att redovisas till Regeringskansliet. Datainspektionen kommer i samband därmed att i en skriftlig rapport redovisa sina iakttagelser och även lämna eventuella synpunkter och råd mot bakgrund av det som framkommit vid tillsynen. Nämnden kommer att få del av rapporten i fråga. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Katarina Högquist. Vid den slutliga handläggningen Sida 6 av 7
har även chefsjuristen Hans-Olof Lindblom och enhetschefen Katarina Tullstedt deltagit. Kristina Svahn Starrsjö Katarina Högquist Sida 7 av 7