Framsida » Avgöranden » Värdkommunmodell och registeransvarig, samt överföring av kunduppgifter då organisationsansvaret överförs

Värdkommunmodell och registeransvarig, samt överföring av kunduppgifter då organisationsansvaret överförs

Dataombudsmannens avgörande 22.2.2007, 150/49/2007

Sammandrag:

Dataombudsmannen anser att en s.k. värdkommun eller den ifrågavarande organisationen är registeransvarig i enlighet med personuppgiftslagen. Då kommuner har avtalat om överförande av ansvar att tillhandahålla tjänster till t.ex. en s.k. värdkommun eller samkommun, kan i samband med detta också flyttas personuppgifterna till den nya registeransvarige. Eftersom rätten att överföra personuppgifterna i viss mån är flertydig, har dataombudsmannen också ansett att överföringen av uppgifterna bör regleras genom lag och har därför fört saken till inrikesministeriets och social- och hälsovårdsministeriets vetskap. Det ifrågavarande ställningstagandet kan ändå anses vara vägledande till dess att nya bestämmelser stiftas.

Ärendet framgår och motiveringen belyses genom följande svar som dataombudsmannen gett till Finlands Kommunförbund:

Er förfrågan:

Ni bad om dataombudsmannens ställningstagande vid registerförandet och därtill hörande ansvar då kommunen ordnar service genom samarbete i enlighet med kommunlagens 76 § och 77 §, så att en kommun handhar tjänster för en eller flera kommuners del (s.k. värdkommun). I det fallet kan också komma på fråga att ordna ett gemensamt organ. Värdkommunens organ är det som sköter de serviceuppgifter för avtalskommunernas del vilka föreskrivits eller beordrats dem. Ni sände dataombudsmannen även ett memorandum angående värdkommunmodellen. Värdkommunen sköter andra kommuners service på eget ansvar och med egen beslutanderätt. Enligt värdkommunmodellen är personalen i värdkommunens tjänst. Ett gemensamt organ är verksamt i värdkommunen och är inte endast ett förvaltningsorgan. Ni berättade att ärendet är betydande i fråga om kommun- och servicestrukturreformen. Ramlagens 5 § likställer samkommun och värdkommun med varandra.

I lagen om kommun- och servicestrukturreformen (169/2007; s.k. ramlag) föreskrivs om arrangemang, vilka kommer att förutsätta ett mer omfattande samarbete än tidigare kommunerna emellan. Som medel för förnyelsen nämns i lagens 4 § bl.a. att servicestrukturerna stärks genom att den service som förutsätter ett större befolkningsunderlag än en kommuns sammanförs och genom att samarbetet mellan kommunerna utökas.

I ramlagens 5 § stiftas om bildande av kommunen och samarbetsområdet. Utgångspunkten är att kommunen skulle bildas av området för förvärvsarbetet eller andra liknande verksamhets enheter, som har ekonomiskt och personalresursmässiga förutsättningar att ansvara för ordnandet och finansieringen av servicen.

Om kommunindelningen inte går att förändra på ett sådant sätt att kommunen skulle bilda sådana helheter som nämnts och om i den nya kommunen inte finns mer än 20 000 invånare, skulle kommunerna borda bilda en funktionell helhet i form av samarbetsområde vilket behandlats tidigare. Ramlagens 5 § 3 mom. kräver att kommuner eller samarbetsområden, som ansvarar för uppgifter i primärhälsovården och till denna i nära samband hörande socialvård, bör ha minst ca 20 000 invånare. Som alternativ för skötsel av uppgifter, för primärhälsovården och till denna anslutande socialvården, är alltså:
· en kommun med minst 20 000 invånare
· ett samarbetsområde med minst 20 000 invånare

I yrkesinriktad utbildning skall utbildningsanordnaren ha ett befolkningsunderlag på minst 50 000 invånare enligt 5 § 4 mom.

I enlighet med ramlagens 5 § kan uppgifterna i samarbetsområden skötas genom grundande av en samkommun eller så kan uppgifterna ges åt en kommun (värdkommun) i enlighet med kommunlagens 76 § 2 mom, varpå skall bildas ett organ enligt kommunlagens 77 § som gemensamt svarar för kommunernas uppgifter.

Personalen i värdkommunmodellen är i anställning hos värdkommunen. Således skall i samarbetsavtalet också avtalas om hur andra avtalskommuners personal skall överföras till värdkommunens tjänstgöring.

Hörande:

Dataombudsmannen har i utfärdandet av sitt avgörande hört förutom Finlands Kommunförbund också inrikesministeriet och social- och hälsovårdsministeriet, och i sitt avgörande tagit i beaktande deras synpunkter i ärendet.

Dataombudsmannens avgörande:

Då kommunernas verksamhet organiseras på nytt t.ex. i enlighet med värdkommunmodellen, är det viktigt att alla i samarbetet inblandade kommuners invånares dataskydd säkras. Dataskyddet bör integreras som en del av förnyelsen. Datasystemet skall konstrueras så, att datauppgifterna kan skyddas från att utomstående får dem i sin behandling. Med utomstående menas t.ex. i lagen om patientens ställning och rättigheter (785/1992) 13 § personer som inte vid verksamhetsenheten eller på uppdrag av den deltar i vården av patienten eller i andra uppgifter i samband med vården.

Min uppfattning är att kommun- och servicestrukturreformens praktiska förverkligande utgörs av planerings-, förhandlings-, förverkligande- och verkställningsfaser. Det är viktigt att försäkra sig om, att dataskyddet säkras tillräckligt i reformens alla stadier. Till exempel då kommunerna förhandlar om samarbetsförfarandet, borde kommunerna även förhandla om säkrande av dataskyddet vid behandling av personuppgifter.

Vid övergången till värdkommunmodellen eller annan samarbetsform bör också uppmärksammas att kommunerna kan ha skött sin omvårdnad av data och service så, att avtal berörande dem kan komma att uppdateras för dataskyddets del också då uppgifterna överförs på en ny ansvarig ordnare (t.ex. avtalens uppsägning osv.).

Eftersom lagen om offentlighet i myndigheternas verksamhet också tillämpas på kommunerna skall speciellt uppmärksamhet fästas vid den nämnda lagens 18 § som behandlar iakttagande av god informationshantering. Den ifrågavarande bestämmelsen förutsätter att myndigheten skall värna om skyddande av bl.a. handlingar och lämpligt skydd av datasystem.

Enligt första momentets 3 punkt skall myndigheterna vid den beredning som sker när datasystem tas i bruk samt vid beredningen av en förvaltnings- eller lagstiftningsreform utreda vilka följder de planerade åtgärderna kommer att ha för handlingsoffentligheten, handlingssekretessen, skyddet för handlingar och handlingskvaliteten liksom även vidta de åtgärder som behövs för att trygga rätten till information och kvaliteten på informationen samt för att skydda handlingarna och datasystemen samt uppgifterna i dem. Samma moments 4 punkt förutsätter också bl.a. planering av ett lämpligt datasäkerhetssystem och förverkligande. 5 punkten behandlar personalens utbildning och övervakning av uppföljande av anvisningar.

1. Organiserande av service kommunerna emellan – Värdkommun

Enligt ramlagens 5 § och kommunlagens 76-77 §§ kan kommuner komma överens om att överföra ansvaret över organiseringen av t.ex. social- och hälsovården till den s.k. värdkommunen. Med det gemensamma organet som nämns i paragrafen menas den som sköter de föreskrivna eller utsedda uppgifterna också för andra kommuners del. Således har t.ex. grundsäkerhetsnämnden behörighet i alla samarbetskommuner då ärendet berör dessa frågor. Normalt upphör de andra kommunernas motsvarande nämnder att verka. Socialtjänstens befattningar kan ändå med stöd av ramlagen flyttas över på värdkommunen eller samarbetsområdet bara delvis. Fastän nämnden i dessa fall inte upphör så får värdkommunen fullt organisationsansvar för den överförda befattningen. Senare avgöranden gäller även överförandet av deluppgifternas organisationsansvar på värdkommunens ansvar. I värdkommunmodellen är personalen i tjänst hos värdkommunen. Principerna i detta avgörande lämpar sig också i tillämpliga delar på situationer där servicens organiseringsansvar har flyttats över till t.ex. en samkommun.

Enligt personuppgiftslagens 3 § 4 mom. är en registerförare t.ex. en sammanslutning eller inrättning för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register.

Dataombudsmannen anser att eftersom organisationsansvaret i det beskrivna fallet överförs på värdkommunen, så överförs samtidigt även den registeransvariges ansvar för uppgifterna på denna. Således kan värdkommunen eller den ifrågavarande organisationen ses som registerförare. Det avgörande är att ansvaret för uppgiftens utförande flyttas över på värdkommunen.

Dataombudsmannen har t.ex. ansett för socialvårdens del att nämnden som sköter uppgifterna för kommunens socialvård är registerförare. Också gemensamma nämnder för socialvården kan enligt dataombudsmannen anses vara registerförare. Vid hälsovården är verksamhetsenheten för hälsovården t.ex. hälsocentralen registerförare. I så fall skall registerförarens ansvar flyttas över på värdkommunens hälsovårdscentral, då de andra hälsocentralerna i avtalskommunerna upphör att verka.

I detta fall kan också de medverkande kommunernas invånares uppgifter hållas i samma register. Lagringen av uppgifterna i registren skall ändå skötas så att de lagrade uppgifterna i registret eller annars registrerade uppgifter, går att skriva ut eller särskilja så att de olika kommunernas invånares uppgifter fås enskilt. Detta är viktigt i det fallet att samarbetet upphör. Uppgifterna behövs också för fakturering av de enskilda kommunerna.

Personuppgiftslagens 24 § förutsätter att den registeransvarige vid insamling av personuppgifter skall se till att kunden eller patienten kan få uppgift om bl.a. vem den registeransvarige är. En specifik författning om patienters rättigheter är lagen om patienters ställning och rättigheter 13 § och 21 §. Således skall i det beskrivna fallet patienterna och kunderna informeras om förändringen som sker i behandlingen av deras personuppgifter. Detta kan behändigt göras då dessa för övrigt informeras om verksamhetens strukturförändring.

2. Registerförarens upphörande och de insamlade registeruppgifterna

Särskilt skall ännu avgöras frågan angående de förutsättningar som finns för de tidigare insamlade uppgifterna att överföras t.ex. från en kommuns socialnämnd vilken är delaktig av avtalet till värdkommunen eller från en upphörande hälsostation till värdkommunens hälsostation. I social- och hälsovården är det enligt personuppgiftslagen fråga om känsliga personuppgifter. Uppgifterna är även sekretessbelagda. Härmed ser dataombudsmannen det befogat att det särskilt genom lag skulle stiftas om rättigheten att överföra nödvändiga personuppgifter i samband med verksamhetens överförande på annan part. Av denna orsak för jag detta ställningstagande även till Inrikesministeriets och Social- och hälsovårdsministeriets vetskap.

Social- och hälsovårdsministeriet har för övrigt redan vid behandlande av detta ärende, meddelat dataombudsmannen att de är av samma åsikt i frågan om att den nuvarande lagstiftningen borde förnyas, så att överförandet av organisationsansvaret på ett vederbörligt sätt skulle beaktas. Ministeriet meddelade även att de i framtiden försöker inkludera nödvändiga stadgeändringar i verksamhetsplanen. Jag presenterar även att överväga frågan ifall det är tillräckligt att behandla lagändrings frågan endast i social- och hälsovårds ärenden, eller borde ärendet behandlas i en lag gällande all kommunal verksamhet. På så vis skulle den även beröra t.ex. undervisningsväsendets strukturreform.

I avsaknad av lagstiftning som berättigar överföring av uppgifterna är ärendet i min mening tolkningsbar i viss mån. Tidigare har för samma situation rått en tolkning, att i samband med överföringen av verksamhetens organisationsansvar skulle också personuppgifterna följa med, varpå personuppgifterna kan överföras på denna grund. Enligt min mening kan denna tolkning följas fram till dess att speciallagstiftning för ärendet stiftas. Denna tolkning kan man basera på att också personalen flyttas över till värdkommunens tjänst och uppgifternas behandling därmed förblir den samma. Naturligtvis kan personuppgifterna även överföras eller överlämnas på basis av ett uttryckligt samtycke till detta.

3. Av värdkommunen köpta tjänster och dennes avtal om registerföring

Till slut vill jag även fästa uppmärksamhet på att kommunen även kan avtala om köp av tjänster på basis av sysslomannaavtal så att tjänsternas organisationsansvar fortfarande förblir hos kommunen själv. I dessa situationer förblir kommunen, nämnden eller organisationen fortfarande registerförare. På motsvarande sätt kan värdkommunen, som har ansvar för t.ex. social- och hälsovårdstjänster, köpa service och service producenter genom sysslomannaavtal i kommunens namn. På detta sätt förblir t.ex. värdkommunens socialnämnd eller hälsocentralen registerförare. Ifall det handlar om ett annat avtal än ett sysslomannaavtal, t.ex. ett avtal värdkommunen och service producenten emellan, förblir producenten registerförare.

Till ärendet hörande lagstiftning:

I kommunlagens 76 § stadgas om former för kommunernas samarbetsformer. Enligt dennas första moment kan kommuner med stöd av avtal sköta sina uppgifter tillsammans. Det andra momentet stadgar att kommunerna kan komma överens om att anförtro en annan kommun att sköta en uppgift för en eller flera kommuners räkning eller att uppgiften skall skötas av en samkommun.

Samma lags 77 § behandlar gemensamma organ. Dennas första moment stadgar att när en kommun med stöd av ett avtal sköter en uppgift för en eller flera andra kommuners räkning, kan kommunerna komma överens om att en del av ledamöterna som sköter uppgiften i det organ i denna kommun, skall utses av de andra kommunerna.

I personuppgiftslagens (523/1999) 3 § 4 mom. avses med registeransvarig en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register.

I samma lags 5 § föreskrivs om aktsamhetsplikten. Enligt den skall den registeransvarige behandla personuppgifterna i enlighet med lag samt iaktta aktsamhet och god informationshantering och även i övrigt förfara så att skyddet av den registrerades privatliv och andra grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten inte begränsas utan en i lag angiven grund. Samma skyldighet har den som i egenskap av självständig näringsidkare eller företagare handlar för den registeransvariges räkning.

I personuppgiftslagen 6 § föreskrivs om planering av personuppgifternas behandling. Enligt denna skall personuppgifter vara sakligt motiverade med hänsyn till den registeransvariges verksamhet. De ändamål för vilka personuppgifter behandlas samt varifrån personuppgifter i regel samlas in och vart personuppgifter i regel lämnas ut, skall anges innan personuppgifter börjar insamlas eller ordnas som ett personregister. Ändamålet med behandlingen skall preciseras så att av det framgår för vilka av den registeransvariges funktioner personuppgifter behandlas.

Enligt ifrågavarande lags 11 § är behandling av känsliga personuppgifter förbjuden. Till känsliga uppgifter räknas bl.a. någons hälsotillstånd, sjukdom eller handikapp eller vårdåtgärder eller därmed jämförbara åtgärder som gäller honom, samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit.

Enligt personuppgiftslagens 12 § utgör vad som bestäms i 11 § inte hinder för sådan behandling av uppgifter som den registrerade har gett sitt uttryckliga samtycke till (1 mom.) eller sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den registeransvarige i lag (5 mom.). I ifrågavarande paragrafs 10 moment berättigas att en verksamhetsenhet inom hälsovården eller en yrkesutbildad person inom hälso- och sjukvården behandlar uppgifter som de i denna verksamhet fått om bl.a. den registrerades hälsotillstånd eller sjukdom. Enligt 12 momentet får bl.a. en socialvårdsmyndighet som i sin verksamhet har fått uppgifter om bl.a. den registrerades socialvårds behov och socialatjänster.

Samma lags 24 § stadgar att den registeransvarige vid insamling av personuppgifter skall se till att den registrerade kan få uppgift om den registeransvarige och vid behov om dennes företrädare, ändamålet med behandlingen av personuppgifterna samt vart uppgifter i regel lämnas ut, liksom om de uppgifter som behövs för att utöva den registrerades rättigheter vid behandlingen av personuppgifter. Uppgifterna skall ges då personuppgifter samlas in och registreras eller, om uppgifterna samlas in hos någon annan än den registrerade själv och avsikten är att lämna ut uppgifterna, senast då uppgifterna första gången lämnas ut. Undantag från den upplysningsplikt som anges i 1 mom. får göras
1) om den registrerade redan har fått dessa uppgifter,
2) om det är nödvändigt på grund av statens säkerhet, försvaret eller den allmänna ordningen och säkerheten, för att förebygga eller utreda brott eller för en tillsynsuppgift som har samband med beskattningen eller den offentliga ekonomin, eller
3) då uppgifter samlas in hos någon annan än den registrerade själv, om det är omöjligt att ge uppgifter till den registrerade eller detta kräver oskäligt besvär eller orsakar väsentlig skada eller olägenhet för den registrerade eller för ändamålet med behandlingen av uppgifterna och de uppgifter som registreras inte används till sådant beslutsfattande som gäller den registrerade eller om insamling, registrering eller utlämnande av uppgifter uttryckligen har reglerats i lag.

Enligt personuppgiftslagens skall den registeransvarige genomföra de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifterna mot obehörig åtkomst och mot förstöring, ändring, utlämnande och översändande som sker av misstag eller i strid med lag eller mot annan olaglig behandling. Vid genomförandet av åtgärderna skall hänsyn tas till de tillgängliga tekniska möjligheterna, kostnaderna som orsakas av åtgärderna, uppgifternas art, mängd och ålder samt vilken betydelse behandlingen av uppgifterna har med avseende på integritetsskyddet. Den som i egenskap av självständig näringsidkare handlar för den registeransvariges räkning skall innan behandlingen av uppgifterna inleds ge den registeransvarige tillbörliga utredningar och förbindelser och i övrigt tillräckliga garantier för att personuppgifterna skyddas på det sätt som avses i 1 mom.

Lag om klientens ställning och rättigheter inom socialvården (812/2000, senare socialvårdens klientlag) stadgar i 13 § att klienten eller dennes företrädare har rätt att innan uppgifter lämnas till den som ordnar eller lämnar socialvård få veta för vilket ändamål de uppgifter som han eller hon lämnar behövs, för vilka ändamål uppgifterna normalt utlämnas samt i ett hurdant i personuppgiftslagen avsett personregister uppgifterna kommer att registreras. Klienten eller dennes lagliga freträdare skall upplysas om hur de i personuppgiftslagen avsedda rättigheterna kan utövas, om klienten inte redan har fått denna information.

I socialvårdens klientlags 21 § 1 mom. stadgas att en socialvårdsmyndighet kan av skattemyndigheterna och folkpensionsanstalten med hjälp av teknisk anslutning få sekretessbelagda personuppgifter som avses i 20 § ur dessas personregister oberoende av klientens samtycke för fastställande av avgift och kontroll av uppgifter. Socialvårdsmyndigheten skall i förväg underrätta klienten om denna möjlighet.

 
Publicerad 6.2.2014