Den funktionshindrades rätt till sekretess
För de flesta människor så är det en helt otänkbar tanke att dela med sig av integritetskänsliga detaljer om hälsa och privatliv till sin omgivning, en vän eller ens till närstående familj. För funktionshindrade med behov av assistans finns inte samma möjlighet till integritet och självbestämmande i privatlivet. En rättighet som offrats till förmån för möjligheten att kunna leva ett bättre och mer normalt liv. Att anlita ett assistansbolag som koordinator och stöd i det dagliga livet har självklart stora fördelar, men med tanke på integriteten så är det inte alltid ett enkelt val. Vid anlitandet av ett assistansbolag förväntas det av den assistansbehövande att ge assistenterna full insyn, men även att utlämna sitt fulla privatliv till en enskild näringsidkare. En tanke som förståeligt kan kännas skrämmande. Vikten av att assistansbolag upprätthåller tydliga rutiner kring sekretess och integritet är därför väldigt stor. Nedan kommer några av de viktigaste principer angående sekretess till fördel för den enskilde presenteras. Tanken är att ge en tydligare bild av vilka rättigheter som den enskilde har gentemot assistansbolaget.
Rätten till tystnadsplikt
Tystnadsplikt förekommer inom flera branscher men den tar form på olika sätt. Tystnadsplikten inom LSS är väldigt omfattande och utgör en tydlig grund för en välfungerande LSS-verksamhet. Tystnadsplikten och dess omfattning finns i 29§ lag (1993:387) om stöd och service till vissa funktionshindrade (LSS). Tystnadsplikten åläggs den som är eller har varit verksam i enskild verksamhet och som bedriver verksamhet i enlighet med LSS. Den enskilda verksamheten får alltså inte röja sådan information som berör personliga förhållanden. Tystnadsplikten gäller assistenter men även tjänstemän inom assistansbolaget eller andra personer som genom uppdrag kommit i kontakt med personlig information, till exempel styrelsemedlemmar. Tystnadsplikten är absolut och gäller tills vidare, plikten upphävs alltså inte efter avslutad anställning.
Tystnadsplikten åläggs som sagt alla individer involverade i en LSS-verksamhet (assistansbolag) och gäller både muntligt och skriftligt. Tystnadsplikten kräver även ett aktivt handlade, i praktiken innebär det bland annat att vissa handlingar bör förvaras på så sätt att det inte är möjligt för obehöriga att medvetet eller omedvetet ta del av handlingarna. Information som skyddas av tystnadsplikt är alla personuppgifter så som hälsotillstånd, funktionshinder, familjesituation, ekonomi, adress, namn m.m. Tystnadsplikten är också absolut mellan anställda inom det verksamma bolaget. Endast personer med insyn genom uppdrag får ta del av personlig information angående den enskilde. Det betyder att den anställde är i behov av information, så som personuppgifter för att kunna utföra ett uppdrag. Det som utmärker bestämmelsen om tystnadsplikt i 29§ LSS är att den inte differentierar mellan känslig information och allmän vardaglig information. Ordalydelsen i lagtexten nämner att tystnadsplikten gäller den enskildes personliga förhållanden. Det innebär att verksamma så som assistenter och tjänstemän i den enskilda verksamheten inte bör förhålla sig till någon skälighetsbedömning. Tystnadsplikten gäller all information angående den enskilde och dennes hälsa, vardag och privatliv i övrigt.
Brott mot tystnadsplikten, innebär att en enskild individ som ingår i den krets som är påtvingad tystnadsplikt röjer uppgifter som är sekretessbelagda. Det kan också innefatta att den som ålagts tystnadsplikt använder den hemliga informationen till dennes fördel. Sker brott mot tystnadsplikten så är det lagstadgat enligt 20 kap. 3§ BrB att straffet kan ge upp till ett års fängelse. Sker röjningen av oaktsamhet så är straffet emellertid begränsat till böter.
Om det är bolagets ansvar att en sekretessuppgift röjdes så kan reglerna om vite i GDPR tillämpas. Längre ner i texten kommer bestämmelserna i GDPR presenteras.
Rätten till gallring och insyn
En assistansanordnare är skyldig enligt LSS att dokumentera handläggning av ärenden som rör den enskilde. Det framgår i 21 a § LSS att dokumentationen skall utvisa beslut och åtgärder som vidtas i ärendet samt faktiskt omständigheter och händelser av betydelse. Enligt förarbeten och praxis är dokumentationsskyldigheten till för att den enskilde ska kunna få insyn i det arbete som görs samt vara säker på att dennes rättigheter tillvaratas korrekt. Dokumentationen som verksamheten för över den enskildes ärende bör utformas med respekt för den enskildes integritet, vilket framgår i 21 b § LSS. Vidare står det även att den enskilde bör hållas upprättad angående vilka anteckningar som förs. Anser den enskilde att någon uppgift inte överensstämmer måste den synpunkten antecknas.
Den omfattande dokumentationen som bör ske innebär emellertid en inskränkning i den enskildes integritet och därför är reglerna om gallring ytterst viktiga. Gallring innebär att material eller handlingar med bland annat personuppgifter raderas och helt tas bort från ett arkiv eller annan dylik form av lagring. I 23 c § LSS framgår vilka gallringsregler som ska tillämpas av enskilda verksamheter inom LSS. Det som framgår är att anteckningar och personuppgifter i en akt första bör bevaras och sedan gallras två år efter det att sista anteckningen i akten är gjord. Uppgifter i en dylik sammanställning ska dock gallras först två år efter att förhållandet som uppgifterna i sammanställningen berör har upphört. Det innebär att gallringsreglerna först ska tillämpas enligt den andra regeln om två år efter att förhållandet upphört. Har förhållandet inte upphört så ska inte uppgifterna gallras även om det gått två år sedan den sista anteckningen gjordes. Gallringsreglerna tillämpas som en integritetsskyddande åtgärd där känsliga personuppgifter inte ska sparas längre än nödvändigt. Det innebär att när det rättsliga åtagandet avslutas och avtal mellan assistansbehövande och verksamheten upphör så gallras alla dokument som angår den enskilde efter att två år har gått.
Utöver regler om gallring så finns även direkta insynsbestämmelser i LSS. Rätten till insyn innebär att den enskilde när som helst ska kunna ta del av den personakt som återfinns hos den enskilda verksamheten. På begäran ska den enskilde tillhandahållas informationen så snart som möjligt, den bestämmelsen hittas i 23 e § LSS. Den enskilde kan på så sätt kontrollera att verksamheten behandlar och förfar sig korrekt med de personuppgifter som uppgetts. Det ger även den enskilde möjlighet att rätta och ändra felaktiga eller föråldrade personuppgifter som inte stämmer. Verksamheten har också en skyldighet att kontrollera att felaktiga uppgifter har ändrats.
GDPR till fördel för den enskilde
Det som i folkmun blivit känt som GDPR (dataskyddsförordningen) har i dagsläget några år på nacken och ska ses som ett ytterligare komplement i skyddet för den enskildes personliga integritet och sekretess. I GDPR framgår det flertalet principer som ska säkerställa att personuppgifter behandlas varsamt och korrekt. Definitionen av en personuppgift inom GDPR skiljer sig från definitionen i LSS (se stycket om tystnadsplikt). I Art. 4 GDPR framgår det att en personuppgift i förordningen är varje upplysning som avser en identifierad eller identifierbar fysisk person. Exempel som ges i förordningen är namn, ID-nummer, lokaliseringsuppgift, online-identifikatorer eller andra faktorer som är specifika för den fysiska personen så som dennes fysiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Differensen mellan personuppgiftsdefinitionen i GDPR och LSS är att GDPR tar sikte på sådana uppgifter som kan hänföras till en specifik person. Det spelar alltså ingen roll om uppgifterna är offentliga, eller dess röjande inte skadar den enskilde. Det kan fortfarande vara ett brott mot GDPR då fokuset ligger på själva behandlingen av personuppgifterna.
Ändamålsbegränsning, uppgiftsminimering, lagringsminimering samt integritet och konfidentialitet är några av de grundprinciper som återfinns i dataskyddsförordningen. För den enskilde inom LSS så innebär GDPR ett extra skydd utöver de regler som redan existerar genom LSS. GDPR har ersatt den lag som tidigare i Sverige hette personuppgiftslagen och även om en del bestämmelser är samma eller bygger på liknande principer så är GDPR mer långtgående. Liknande bestämmelser som återfinns i LSS finns även i GDPR, det vill säga rätten till att bli bortglömd (gallring), delgivning om personuppgifter inhämtats från tredje part och rätten till insyn i behandlingen av personuppgifterna.
Principerna som GDPR bestämmelserna vilar på ser mer detaljerat ut som följande. Först och främst är det en självklar rättighet för den enskilde att personuppgifterna behandlas lagligt, korrekt och öppet i förhållande till den enskilde. Behandlingen och lagringen av personuppgifterna bör endast göras på grund av ett särskilt ändamål. Ändamålet ska även vara tydligt och särskilt uttryckt. Personuppgifterna som lagras bör även vara adekvata, relevanta och inte för omfattande med hänsyn till ändamålet. Även här bör alltid en strikt skälighetsbedömning aktualiseras. Finns det inte ett tydligt syfte med inhämtningen och användningen av personuppgifterna så har det skett en felaktighet. Ändamålet måste därav diskuteras och bestämmas innan behandlingen av personuppgifter påbörjas. Den enskilde ska som sagt även kunna kontrollera förfarandet av användningen och efterfråga information om vilka sekretessåtgärder som tagits av verksamheten. Appliceras principerna i GDPR på relationen assistansanordnare och assistansbehövande så är det av stor vikt att principerna efterföljs och konstant kontrolleras. Det är den enskildes rättighet gentemot verksamheten.
Ibland kan svensk lagstiftning och GDPR stå i strid med varandra. I Art. 6 GDPR framgår det emellertid att nationell lagstiftning har företräde när specifika förutsättningar är uppfyllda. I Art. 6 1 C GDPR står det till exempel att behandling av personuppgifter är lagligt ifall behandlingen är nödvändig för att den personuppgiftsansvarige är rättsligt förpliktad. Den bestämmelsen bekräftar bland annat att 21 a § LSS om behandling av dokumentation inte strider mot GDPR.
Skulle ett privat företag bryta mot bestämmelserna i GDPR så riskerar bolaget att bli ålagda att betala en sanktionsavgift. Det är Datainspektionen som dömer, men den maximala sanktionsavgiften är 20 miljoner euro eller 4% av bolagets globala årsomsättning. Sanktionsavgiften ska emellertid alltid vara effektiv, proportionerlig och avskräckande. Enskilda personer har emellertid även rätt till ersättning om de lidit skada till följd av att ett privat bolag brutit mot GDPR. Det är då det privata bolaget, personuppgiftsansvarige, som ska ersätta skadan som uppstått. Skadan som uppstått behöver inte vara materiell.
Avslutande ord
Sekretessreglerna i LSS och GDPR finns till för den enskilde och det är alltid verksamhetens skyldighet att se till så att dessa rättigheter behandlas korrekt. Den enskilde ska aldrig behöva känna att dennes integritet inte respekteras eller att behandlingen av personuppgifterna sker omdömeslöst och slarvigt. Förutsättningar, ändamål och syfte bör följaktligen alltid vara klara för båda parterna innan en överenskommelse ingås. Helt enkelt en fördelaktigare förutsättning för alla inblandade. Repressalierna i form av fängelse och böter åläggs den privatperson som bryter mot tystnadsplikten. Bryter företaget mot GDPR så kan dessutom bötesbeloppen vara väldigt omfattande, en tydlig indikator på allvaret vid behandling av personuppgifter.
Stort tack till FMF Assistans AB:s juridiska avdelning för personlig assistans för en mycket omfattande och informativ skrivning.