Propositionens huvudsakliga innehåll

I propositionen föreslås ändringar i studiestödsdatalagen (2009:287) som syftar till att ge Centrala studiestödsnämnden (CSN) en mer ändamålsenlig dataskyddsreglering och därmed också bättre förutsättningar för myndigheten att utveckla sin verksamhet.

För det första föreslås att de tillåtna ändamålen för personuppgiftsbehandling inte längre ska vara uttömmande reglerade. I stället ska den s.k. finalitetsprincipen utgöra den yttersta ramen för personuppgiftsbehandling i studiestödsverksamheten. Principen innebär att personuppgifter får vidarebehandlas för tillkommande ändamål, men med begränsningen att dessa ändamål inte får vara oförenliga med de ursprungliga insamlingsändamålen.

För det andra föreslås att denna princip även ska gälla känsliga personuppgifter och personuppgifter om lagöverträdelser. Sådana uppgifter får dock bara vidarebehandlas i enlighet med finalitetsprincipen om det är absolut nödvändigt för syftet med behandlingen. Denna ytterligare begränsning syftar till att säkerställa att behandlingen sker med restriktivitet efter en noggrann prövning i det enskilda fallet.

För det tredje föreslås att den gallringsbestämmelse i lagen som innebär att CSN får bevara personuppgifter längre tid än de i lagen angivna gallringsfristerna, ska göras teknikneutral. För närvarande får sådant bevarande endast ske på papper eller annat medium som inte är elektroniskt.

Lagändringarna föreslås träda i kraft den 1 juli 2020.

• Sida 2
•  Original

1. Förslag till riksdagsbeslut

Regeringens förslag: Riksdagen antar regeringens förslag till lag om ändring i studiestödsdatalagen (2009:287).

• Sida 4
•  Original

2. Förslag till lag om ändring i studiestödsdatalagen (2009:287)

Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287)

dels att 4, 6 och 16 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 4 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 §

Personuppgifter får behandlas i Personuppgifter får behandlas i Centrala studiestödsnämndens stu- Centrala studiestödsnämndens studiestödsverksamhet bara om det diestödsverksamhet om det behövs behövs för att för att

1. handlägga ärenden i den verksamheten,

2. administrera handläggningen,

3. förbereda handläggningen,

4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner,

5. ta fram och distribuera bevis om studiestöd för studier till studerande, eller

6. anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna.

Personuppgifter som behandlas enligt första stycket får även behandlas genom att lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyldighet för Centrala studiestödsnämnden att lämna uppgifter följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas för att ge tillgång till vägledande avgöranden.

Regeringen får meddela före-Regeringen får meddela föreskrifter om begränsningar av ända- skrifter om begränsningar av ändamålen i första stycket och om i målen i första stycket och om i vilka fall behandling får göras med vilka fall behandling får göras med stöd av första stycket 3. Regeringen stöd av första stycket 3. Regeringen meddelar föreskrifter om begräns- kan med stöd av 8 kap. 7 § rege-ningar av vilka personuppgifter ringsformen meddela föreskrifter som får behandlas för ett visst än- om begränsningar av vilka persondamål. uppgifter som får behandlas för ett visst ändamål.

4 a §

Personuppgifter som behandlas enligt 4 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

• Sida 5
•  Original

6 §¹Prop. 2019/20:113

Personuppgifter som avses i arti-Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförord- kel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och ning (känsliga personuppgifter) får personuppgifter som avses i arti- med stöd av artikel 9.2 g i samma kel 10 i samma förordning får be- förordning behandlas av Centrala handlas av Centrala studiestöds- studiestödsnämnden för de ändanämnden för ändamål som avses i mål som avses i 4 § första stycket 1 4 § första stycket 1 och 6 och andra och 6 och andra stycket samt 4 a §. stycket.

För de ändamål som avses i första stycket får även personuppgifter som avses i artikel 10 i samma förordning behandlas.

För ändamål som avses i 4 a § får dock personuppgifter som avses i första och andra styckena behandlas endast om det är absolut nödvändigt för syftet med behandlingen.

16 §²

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.

Regeringen eller den myndighet Regeringen eller den myndighet som regeringen bestämmer får som regeringen bestämmer får meddela föreskrifter om att person- meddela föreskrifter om att personuppgifter får bevaras för arkivända- uppgifter får bevaras för arkivändamål av allmänt intresse, vetenskap- mål av allmänt intresse, vetenskapliga eller historiska forskningsän- liga eller historiska forskningsändamål, statistiska ändamål eller för damål, statistiska ändamål eller för redovisningsändamål, även om fö- redovisningsändamål, även om föreskrifterna kommer att avvika från reskrifterna kommer att avvika från första stycket. Centrala studiestöds- första stycket. Centrala studiestödsnämnden får också, trots första nämnden får också, trots första stycket, i enstaka fall besluta att stycket, i enskilda fall besluta att personuppgifterna i ett ärende om personuppgifterna i ett ärende om studiestöd ska bevaras på papper studiestöd ska bevaras, dock längst

¹ Senaste lydelse 2018:1353. ² Senaste lydelse 2018:1353.

• Sida 6
•  Original

Prop. 2019/20:113 eller annat medium som inte är till dess att uppgifterna inte längre

elektroniskt. bedöms nödvändiga för det ändamål för vilka de behandlas.

Denna lag träder i kraft den 1 juli 2020.

• Sida 7
•  Original

3. Ärendet och dess beredning

Centrala studiestödsnämnden (CSN) har i två skrivelser till Utbildningsdepartementet (U2019/00221/GV och U2011/01355/GV) efterfrågat en uppdatering i vissa avseenden av det dataskyddsregelverk som gäller vid behandling av personuppgifter i studiestödsverksamheten. Promemorian Moderniserade dataskyddsbestämmelser – förslag på en mer ändamålsenlig reglering för studiestödsverksamheten (U2019/01948/UH) har därför utarbetats inom Regeringskansliet (Utbildningsdepartementet). En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2.

Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Utbildningsdepartementet (U2019/01948/UH).

Datainspektionen och CSN har beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars lagförslag med vissa språkliga ändringar överensstämmer med lagförslaget i denna lagrådsremiss. CSN har inte haft några synpunkter på utkastet. Datainspektionen har inkommit med synpunkter som behandlas i avsnitt 6 och 7. Yttrandena finns tillgängliga i Utbildningsdepartementet (U2019/01948/UH).

Lagrådet

Regeringen beslutade den 13 februari 2020 att inhämta Lagrådets yttrande över ett lagförslag som är likalydande med propositionens lagförslag. Lagrådets yttrande finns i bilaga 4. Lagrådet har lämnat förslaget utan

^erinran.

4. Modernisering av dataskyddsregleringen på studiestödsområdet efterfrågas

på studiestödsområdet efterfrågas CSN efterfrågar mer ändamålsenliga förutsättningar för personuppgiftsbehandlingen i studiestödsverksamheten, utan att integritetsintrånget för de registrerade överstiger vad som i andra sammanhang har bedömts vara rimligt. CSN vill bl.a. att den i EU:s dataskyddsförordning reglerade s.k. finalitetsprincipen ska utgöra den yttersta ramen inom vilken personuppgifter får behandlas i studiestödsverksamheten. I detta avsnitt ges en övergripande redogörelse för det generella dataskyddsregelverket, vad finalitetsprincipen innebär samt något om särregleringen på studiestödsområdet och skälen för CSN:s önskemål. Därefter lämnas en mer ingående redogörelse för dataskyddsregelverket på studiestödsområdet i avsnitt 5. Förslag till ändringar i regelverket lämnas i avsnitt 6–8.

• Sida 8
•  Original

4.1. Det generella dataskyddsregelverket, registerförfattningar och finalitetsprincipen

Den 25 maj 2018 trädde Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) i kraft, nedan benämnd dataskyddsförordningen. Samtidigt upphävdes personuppgiftslagen (1998:204), förkortad PUL, då dataskyddsförordningen ersatte det tidigare dataskyddsdirektivet, som låg till grund för PUL.

Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2). Att en EU-förordning ska ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat framgår också av fördraget om Europeiska unionens funktionssätt (artikel 288 andra stycket). Till skillnad från EU-direktiv ska alltså EUförordningar inte genomföras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser.

Även om dataskyddsförordningen är direkt tillämplig i medlemsstaterna, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Möjligheten till kompletterande nationella bestämmelser gäller framför allt behandling av personuppgifter inom den offentliga sektorn i respektive medlemsstat. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. när det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2). Förordningen har därmed i vissa delar en direktivliknande karaktär. Om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8).

En allmän dataskyddsrättslig princip är att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt den s.k. finalitetsprincipen får uppgifterna inte senare behandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Denna princip kommer till uttryck i artikel 5.1 b i dataskyddsförordningen. Tidigare fanns den bl.a. i 9 § första stycket c och d PUL.

Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) innehåller bl.a. bestämmelser som förtydligar innehållet i dataskyddsförordningen och kompletterar förordningen i vissa delar. Bestämmelser i annan lag eller förordning som avviker från dataskyddslagen ska ha företräde (1 kap. 6 § dataskyddslagen), dvs. lagen är subsidiär till andra författningar. Det innebär att lagen, på motsvarande sätt som PUL, kan kompletteras av s.k. registerförfattningar, dvs. sektorsspecifika författningar som reglerar behandling av personuppgifter inom olika avgränsade områden.

• Sida 9
•  Original

Det är vanligt att s.k. ändamålsbestämmelser, dvs. bestämmelser som Prop. 2019/20:113 anger för vilka ändamål personuppgifter får behandlas, tas in i en registerförfattning. Sådana bestämmelser finns bl.a. i studiestödsdatalagen (2009:287), se vidare avsnitt 5.2.

Det finns olika sätt att utforma ändamålsregleringen i en registerförfattning. Ett sätt är att uttömmande ange de ändamål för vilken behandling får ske. Ett annat sätt är att de i lagen angivna ändamålen kompletteras med en möjlighet att behandla uppgifter även för ändamål som inte är oförenliga med de för vilka uppgifterna samlades in. Det senare alternativet innebär att finalitetsprincipen utgör den yttersta ramen inom vilken personuppgifter får behandlas.

4.2. Ändamålen för CSN:s personuppgiftsbehandling är uttömmande reglerade

När studiestödsdatalagen infördes gjorde regeringen bedömningen att ändamålen för personuppgiftsbehandlingen i studiestödsverksamheten skulle vara uttömmande reglerade i lagen. I propositionen Behandling av personuppgifter inom studiestödsområdet (prop. 2008/09:96) anförde regeringen bl.a. att de skäl som tidigare hade motiverat förslag med ändamålsregleringar som inte varit uttömmande inte gjorde sig gällande med någon betydande styrka när det gällde studiestöd. De förmåner som rymdes inom studiestödet bedömdes inte vara lika snabbt föränderliga som många av de förmåner som erbjöds inom t.ex. socialförsäkringens administration. Med hänsyn till bl.a. detta ansåg regeringen att de tillåtna ändamålen för behandling av personuppgifter inom CSN:s studiestödsverksamhet skulle vara uttömmande reglerade i studiestödsdatalagen. Det innebär att CSN i sin studiestödsverksamhet inte får behandla personuppgifter för några andra ändamål än de som anges i studiestödsdatalagen. Av förarbetena framgår också att detta ställningstagande innebär att finalitetsprincipen inte är tillämplig och att en behandling av personuppgifter som inte har stöd i lagens ändamålsbestämmelser inte kan tillåtas även om behandlingens syfte i och för sig kan bedömas vara förenligt med de ändamål för vilka uppgifterna samlats in (samma prop. s. 40 f.).

I samband med den översyn som gjordes för att anpassa bl.a. studiestödsdatalagen till dataskyddsförordningen konstaterades det i propositionen Behandling av personuppgifter på utbildningsområdet (prop. 2017/18:218) att studiestödsdatalagens bestämmelser om bl.a. ändamål med behandlingen var förenliga med dataskyddsförordningen och borde behållas (s. 188). Något ställningstagande kring den uttömmande ändamålsregleringen eller finalitetsprincipen gjordes inte i samband med översynen.

• Sida 10
•  Original

4.3. Flera nya förmånstyper har tillkommit sedan lagen infördes

Som nämnts var ett starkt vägande skäl till bedömningen att finalitetsprincipen inte skulle vara tillämplig i studiestödsverksamheten att förmånerna inom studiestödet inte bedömdes vara så snabbt föränderliga. Sedan studiestödsdatalagen infördes har emellertid en rad olika reformer genomförts inom studiestödsverksamheten och flera olika förmånstyper har tillkommit. De helt nya studiestöd som har tillkommit är den s.k. lärlingsersättningen, som regleras i förordningen (2013:1121) om kostnadsersättning till elever i gymnasial lärlingsutbildning och lärlingsliknande utbildning inom introduktionsprogram, och studiestartsstödet, som regleras i lagen (2017:527) om studiestartsstöd. Utöver dessa renodlade studiestöd har också ett nytt körkortslån tillkommit, som regleras i förordningen (2018:1118) om körkortslån. CSN administrerar lånet och studiestödsdatalagen har i departementspromemorian Körkortslån (Ds 2017:35) bedömts vara tillämplig på personuppgiftsbehandlingen i ärenden om körkortslån (s. 26). Flera reformer inom det studiestöd som lämnas enligt studiestödslagen (1999:1395) har också skett. Som ett exempel kan nämnas den s.k. utlandsreformen, som rör villkoren för studiemedel för utlandsstudier, se propositionen Studiemedel i en globaliserad värld (prop. 2012/13:152). Studiestödsverksamheten har således under det senaste decenniet visat sig, i motsats till det antagande som gjordes i förarbetena till studiestödsdatalagen, vara en föränderlig verksamhet.

Vidare är finalitetsprincipen en grundläggande princip i dataskyddsförordningen och kommer även till uttryck i den kompletterande reglering som gäller i verksamheterna hos en rad olika myndigheter som, liksom CSN, har en omfattande personuppgiftsbehandling och en hög grad av automatisering. Det gäller bl.a. Skatteverket, Försäkringskassan, Kronofogdemyndigheten, Arbetsförmedlingen och Migrationsverket.

4.4. Den nuvarande regleringen är inte helt ändamålsenlig

4.4.1. CSN önskar att ändamålen inte ska vara uttömmande reglerade

CSN framför i sin hemställan (U2019/00221/GV) att studiestödsdatalagens restriktiva utformning när det gäller tillåtna ändamål för personuppgiftsbehandling innebär ett återkommande hinder mot utveckling och andra kvalitets- och effektivitetshöjande åtgärder i myndighetens verksamhet. Myndighetens ärendehandläggning och informationshantering är i stort sett helt automatiserad. Den automatiserade behandlingen av personuppgifter är omfattande, avser ett stort antal personer och flera olika förmånstyper. CSN är dessutom statistikansvarig myndighet på området. CSN:s verksamhet är diversifierad och innefattar en omfattande personuppgiftsbehandling. Verksamheten är vidare föränderlig. Detta medför för CSN, liksom för de flesta andra myndigheter med likartade förutsätt-

• Sida 11
•  Original

ningar, ett behov av att behandla personuppgifter insamlade i verksam- Prop. 2019/20:113 heten för ett flertal olika berättigade ändamål. Som exempel nämner CSN utförande av tester som avser utveckling av befintlig eller ny it-infrastruktur (testverksamhet), framställning av statistik med uteslutande ett myndighetsinternt syfte och kvalitetsutveckling av handläggning och service genom att t.ex. kunna söka ut och hitta registrerade vars förutsättningar är sådana att de är lämpliga att kontakta för fördjupade undersökningar av hur CSN:s service kan utvecklas. Som andra exempel nämns genomförande av s.k. predikativa analyser för att motverka felaktiga utbetalningar, dvs. att på automatiserad väg identifiera vissa återkommande omständigheter i ärenden där felaktiga utbetalningar har konstaterats, och utökat informationsutbyte om adressuppgifter med studiestödsmyndigheter i andra länder, under förutsättning att sekretess inte hindrar att uppgifterna kan lämnas. För att CSN ska kunna fullgöra sitt uppdrag, tillhandahålla en säker it-infrastruktur, kontinuerligt söka förbättringspotential och effektiviseringsåtgärder samt utveckla myndighetens handläggning och service behöver personuppgifter som samlats in för handläggning av ärenden få behandlas även för andra ändamål.

CSN föreslår därför att myndigheten ska få en vidare rätt att behandla personuppgifter i studiestödsverksamheten. CSN föreslår att myndigheten ska få rätt att behandla uppgifter som samlats in för ändamål som anges i 4 § för ändamål som inte är oförenliga med de ändamål för vilka personuppgifterna samlats in. Förslaget innebär att finalitetsprincipen ska utgöra den yttersta ramen för behandling av personuppgifter i studiestödsverksamheten.

Särskilt om testverksamhet

CSN föreslår även att myndighetens rätt att behandla personuppgifter för utförande av testverksamhet uttryckligen ska anges i 4 § studiestödsdatalagen, då det enligt myndigheten inte står klart att denna rätt följer av finalitetsprincipen i samtliga fall då sådan personuppgiftsbehandling inte kan undvikas (U2019/00221/GV). CSN hänvisar bl.a. till att testverksamhet som ett särskilt angivet ändamål finns i 11 § utlänningsdatalagen (2016:27).

Särskilt om känsliga personuppgifter

CSN framför också att om studiestödsdatalagen ändras behöver även ett ställningstagande göras om CSN:s rätt att behandla dels känsliga personuppgifter, dels uppgifter om fällande domar i brottmål och överträdelser (personuppgifter om lagöverträdelser) för de tillkommande ändamålen (U2019/00221/GV). I många fall kommer det avsedda syftet med behandlingen av personuppgifter enligt myndigheten att kunna uppnås utan att känsliga uppgifter eller personuppgifter om lagöverträdelser behöver behandlas. Det kommer dock att förekomma situationer då behandling av framför allt känsliga personuppgifter kommer att vara nödvändig för att uppnå det avsedda syftet. Det kan t.ex. röra sig om framtagande av verksamhetsstatistik för att utveckla handläggningen av ärenden om studiestöd under sjukdom. CSN framför att det är nödvändigt att myndigheten ges en grundläggande rätt att behandla även känsliga personuppgifter för de tillkommande ändamålen, bl.a. för att uppnå den flexibili-

• Sida 12
•  Original

Prop. 2019/20:113 tet som behövs. CSN föreslår dock att rätten att behandla känsliga

personuppgifter och personuppgifter om lagöverträdelser begränsas till att uteslutande avse fall där behandling av sådana uppgifter är absolut nödvändig för syftet med behandlingen.

4.4.2. CSN har även efterfrågat en ändring i gallringsbestämmelserna

CSN har även efterfrågat ändringar i 16 § studiestödsdatalagen, som innehåller gallringsbestämmelser U2011/01355/GV). CSN har framfört att det ibland, utöver de tidsfrister för gallring som anges där, kan förekomma att personuppgifter i ett ärende om beviljande av studiestöd eller återbetalning av studiestöd har betydelse för andra ärenden där handläggning fortfarande pågår efter dessa gallringsfrister. Det kan t.ex. gälla situationer där ärendet granskas av en tillsynsmyndighet eller ärenden där beslutet har överklagats och där överprövningen ännu inte är klar. Det kan även gälla andra situationer, t.ex. om någon har begärt skadestånd med anledning av handläggningen av ett ärende hos CSN och handläggningen inte har kunnat slutföras inom de angivna gallringstidpunkterna. För dessa fall kan CSN i dag bevara personuppgifterna på papper eller annat medium som inte är elektroniskt enligt bestämmelsen i 16 § tredje stycket studiestödsdatalagen.

CSN har framfört att myndighetens ärendehantering är uppbyggd på en hantering i ett digitalt handläggningssystem. Att skriva ut den information som tillhör eller kan påverka ett visst ärende kan innebära utskrifter av ett stort antal uppgifter. Dessa riskerar då att tappa sitt sammanhang. Uppgifter kan t.ex. finnas i olika databastabeller. Det är därför inte tillräckligt med ett utdrag ur CSN:s handläggningssystem för att ett gallrat ärende ska kunna registreras på nytt. För att ha en realistisk möjlighet att avsluta de få ärenden som ännu inte har hunnit avslutas inom ramen för gallringsfristen föreslår CSN en ändring som innebär att uppgifterna ska få bevaras i elektroniskt format fram till dess att de inte längre behövs för handläggningen i ärendet.

5. Närmare om den nuvarande dataskyddsregleringen

5.1. Dataskyddsförordningen

Vissa allmänna villkor gäller för all personuppgiftsbehandling

Vilka principer som gäller för behandling av personuppgifter, dvs. vilka allmänna krav som gäller för all personuppgiftsbehandling, anges i artikel 5.1 i dataskyddsförordningen. Den första principen som slås fast är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (a). Vidare anges att personuppgifterna ska sam-

• Sida 13
•  Original

las in för särskilda, uttryckligt angivna och berättigade ändamål och att de Prop. 2019/20:113 inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (b). Uppgifterna ska också bl.a. vara adekvata och korrekta och får inte förvaras under en längre tid än vad som är nödvändigt (c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet, med användning av lämpliga tekniska eller organisatoriska åtgärder (f).

Det är den personuppgiftsansvarige som ska ansvara för och kunna visa att artikel 5.1 efterlevs (artikel 5.2).

Det måste alltid finnas en rättslig grund för personuppgiftsbehandling

Dataskyddsförordningen utgår från att varje behandling av personuppgifter måste vila på någon av de rättsliga grunder som räknas upp i artikel 6.1. Där anges att behandlingen är laglig bl.a. om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (e).

När det gäller behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning måste det även finnas ett annat stöd i rättsordningen än det som ges i dataskyddsförordningen. I artikel 6.3 första stycket anges att den grund för behandlingen som bl.a. avses i artikel 6.1 e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. I artikel 6.3 andra stycket anges vidare att syftet med behandlingen ska fastställas i den rättsliga grunden eller ska, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bl.a. ändamålsbegränsningar och lagringstid.

När det gäller vidarebehandling av personuppgifter anges i skäl 50 till dataskyddsförordningen att behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast bör vara tillåten när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs.

Känsliga personuppgifter

Det är förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Sådana uppgifter benämns i dataskyddsförordningen särskilda kategorier av personuppgifter. I dataskyddslagen benämns de i stället känsliga personuppgifter (3 kap. 1 §).

• Sida 14
•  Original

Prop. 2019/20:113 Förbudet ska dock inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

Känsliga personuppgifter får också behandlas för statistiska ändamål på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 j).

Personuppgifter om lagöverträdelser

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får utföras endast under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs (artikel 10).

Gallring av personuppgifter

När det gäller gallring av personuppgifter är det främst bestämmelsen om lagringsminimering som är av intresse (artikel 5.1 e) som anger att personuppgifterna inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Därtill framgår att personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter.

Den registrerades rättigheter

I tredje kapitlet i dataskyddsförordningen (artiklarna 12–23) anges den registrerades rättigheter i samband med att personuppgifter behandlas. Dessa rättigheter kan under vissa förutsättningar begränsas.

I artikel 12 finns bestämmelser om klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter. I artikel 13 finns bestämmelser om information som ska tillhandahållas om personuppgifterna samlas in från den registrerade och i artikel 14 finns bestämmelser om information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Artikel 15 reglerar den registrerades rätt till tillgång, som huvudsakligen rör den registrerades rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och viss information. Artikel 16 och 17 re-

glerar rätten till rättelse respektive rätten till radering (”rätten att bli bort-

• Sida 15
•  Original

glömd”). Rätten till begränsning av behandling regleras i artikel 18. I arti- Prop. 2019/20:113 kel 19 finns bestämmelser om anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling. Artikel 20 reglerar rätten till dataportabilitet, dvs. den registrerades rätt att under vissa förutsättningar få ut sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och sedan överföra dessa till en annan personuppgiftsansvarig. Artiklarna 21 och 22 reglerar rätten att göra invändningar respektive automatiserat individuellt beslutsfattande, inbegripet profilering.

Av artikel 23.1 följer att såväl unionsrätten som en medlemsstats nationella rätt, under vissa angivna förutsättningar får begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12– 22 och 34 (information till den registrerade om en personuppgiftsincident), samt artikel 5 (principer för behandling av personuppgifter) i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22.

5.2. Studiestödsdatalagen

Som nämns i avsnitt 4.1 kompletteras dataskyddsförordningen av dataskyddslagen. Den lagen är dock subsidiär i förhållande till annan lagstiftning. Studiestödsdatalagen är den registerförfattning som tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet.

Studiestödsverksamheten är en fastställd uppgift av allmänt intresse och ett viktigt allmänt intresse

Studiestödsdatalagen har anpassats till dataskyddsförordningen. Enligt regeringens bedömning i propositionen Behandling av personuppgifter på utbildningsområdet (prop. 2017/18:218 s. 108 f.) är studiestödsverksamhet en i bl.a. studiestödslagen fastställd uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Verksamheten utgör vidare ett viktigt allmänt intresse. Studiestödsdatalagen och studiestödsdataförordningen är sådana mer specifika bestämmelser om personuppgiftsbehandling som är tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen

Ändamålen för behandling av personuppgifter är uttömmande reglerade

I studiestödsdatalagen anges samtliga ändamål för vilka personuppgifter får behandlas. Där anges att personuppgifter får behandlas i CSN:s studiestödsverksamhet bara om det behövs för att 1. handlägga ärenden i den verksamheten, 2. administrera handläggningen, 3. förbereda handläggningen, 4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, 5. ta fram och distribuera bevis om studiestöd för studier till studerande, eller 6. anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna (4 § första stycket).

Personuppgifter som behandlas enligt 4 § första stycket får även behandlas genom att lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyldighet för CSN att lämna uppgifter följer

• Sida 16
•  Original

Prop. 2019/20:113 av lag eller förordning, till andra. Personuppgifter som behandlas enligt

första stycket och som inte direkt pekar ut den registrerade får också behandlas för att ge tillgång till vägledande avgöranden (4 § andra stycket).

Regeringen får enligt ett bemyndigande meddela föreskrifter om begränsningar av ändamålen i 4 § första stycket och om i vilka fall behandling får göras när det gäller att förbereda handläggningen. Vidare finns en upplysningsbestämmelse om att regeringen meddelar föreskrifter om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål (4 § tredje stycket). Regeringen har meddelat sådana föreskrifter i studiestödsdataförordningen (2009:321) när det gäller behandling av personuppgifter för förberedande handläggning av ärenden (3 och 4 §§), information om studiestödsförmåner och studiesociala förmåner (5 §) och framtagande och distribution av bevis om studiestöd för studier (6 §).

När är behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser tillåten?

Personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) och personuppgifter som avses i artikel 10 (personuppgifter om lagöverträdelser) får behandlas av CSN för att handlägga ärenden i studiestödsverksamheten, för att anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna samt för att lämnas ut till den registrerade själv, riksdagen och regeringen samt i övrigt för ändamål som avses i 4 § andra stycket (6 §).

Det finns bestämmelser om sökbegränsningar

Studiestödsdatalagen innehåller vidare bestämmelser som reglerar begränsningar för användning av olika sökbegrepp (8 §).

Det är förbjudet att använda sökbegrepp som avslöjar 1. känsliga personuppgifter, 2. personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning, 3. uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, eller 4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle. Sökbegrepp som avslöjar sådana uppgifter får dock användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en samling vägledande avgöranden. Sökbegrepp får också användas om de avslöjar uppgifter som rör 1. hälsa, om det är nödvändigt för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och 2. inkomst och förmögenhet, om det är nödvändigt för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.

Den interna elektroniska tillgången till personuppgifter begränsas

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som arbetar i CSN:s studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. CSN ska vidare se till att elektronisk tillgång till personuppgifter dokumenteras. Myndigheten ska

också systematiskt och återkommande kontrollera om någon obehörig åt-

• Sida 17
•  Original

komst till uppgifterna har förekommit. Regeringen eller den myndighet Prop. 2019/20:113 som regeringen bestämmer får meddela ytterligare föreskrifter om dokumentation och kontroll (9 §).

Direktåtkomst och annat elektroniskt utlämnande

Direktåtkomst till, och annat elektroniskt utlämnande av, personuppgifter som behandlas i CSN studiestödsverksamhet är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att ändamålsbestämmelserna, bestämmelserna om när känsliga personuppgifter får behandlas och bestämmelserna om sökbegräsningar följs (10 §).

Gallringsbestämmelser

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse (16 § första stycket).

Personuppgifter som behandlas för att förbereda handläggningen ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades (16 § andra stycket).

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. CSN får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt (16 § tredje stycket)

• Sida 18
•  Original

6. Finalitetsprincipen ska utgöra den yttersta ramen för behandling av personuppgifter i studiestödsverksamheten

Regeringens förslag: Ändamålen för personuppgiftsbehandling i studiestödsdatalagen ska inte längre vara uttömmande reglerade. I lagen ska det i stället införas en bestämmelse som anger att personuppgifter som behandlas enligt ändamålsbestämmelserna i lagen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Regeringens bedömning: Tester som avser utveckling av befintlig eller ny it-infrastruktur är en administrativ uppgift som CSN behöver utföra för att kunna sköta studiestödsverksamheten. Uppgiften har ett sådant samband med CSN:s studiestödsverksamhet i övrigt att någon särskild ändamålsbestämmelse inte behövs för den verksamheten.

Promemorians förslag och bedömning: Överensstämmer, utöver en mindre språklig skillnad, med regeringens förslag och bedömning.

Remissinstanserna: En majoritet av remissinstanserna tillstyrker förslaget och bedömningen eller har inget att invända. Detta gäller Kammarrätten i Sundsvall, Förvaltningsrätten i Stockholm, Justitiekanslern, CSN,

Riksarkivet och Sveriges förenade studentkårer.

CSN är positiva till de föreslagna ändringarna och har i övrigt inga synpunkter på förslaget. Sveriges förenade studentkårer har inga invändningar mot förslaget och anför därtill att införandet av finalitetsprincipen inte tycks medföra någon ökad risk för att personuppgifter hanteras på ett oacceptabelt sätt. Dels eftersom myndigheten inte ges någon rätt att behandla personuppgifter som den inte redan har rätt att behandla. Dels eftersom den personuppgiftsansvariges skyldigheter att skydda uppgifterna är oförändrade. Risken att någon obehörig får tillgång till uppgifterna tycks inte öka väsentligt av att de används inom myndighetens testverksamhet.

Endast Datainspektionen avstyrker förslaget. Myndigheten anför att den reglering av finalitetsprincipen som föreslås i promemorian inte överensstämmer med ordalydelsen i dataskyddsförordningen. Den föreslagna regleringen är missvisande och svåröverskådlig vilket skulle kunna innebära en mer utvidgad vidarebehandling än vad dataskyddsförordningen ger stöd för. Datainspektionen framhåller också att det saknas en kartläggning av vilken personuppgiftsbehandling som CSN avser att utföra och de integritetsrisker som kan följa av förslaget. Bland annat finns det brister i angivandet av vilka personuppgifter och i vilken omfattning som behandlingen kommer att ske samt hur eventuella tillkommande ändamål förhåller sig till det ursprungliga ändamålet. Detta leder sammantaget till att det inte är möjligt att genomföra den proportionalitetsbedömning som krävs enligt dataskyddsförordningen. En sådan bedömning ska beakta om personuppgiftsbehandlingen är nödvändig för att uppnå det avsedda ändamålet, eller om det finns alternativ som är mindre integritetskänsliga samt om skyd-

• Sida 19
•  Original

dande åtgärder krävs. När det gäller frågan om testverksamhet anför Data- Prop. 2019/20:113 inspektionen att ordet test är ett mycket vitt begrepp. Det innebär att det inte är möjligt att slå fast att testverksamhet alltid kan bedömas som en administrativ åtgärd som är tillåten. De krav som dataskyddsförordningen uppställer på bland annat öppenhet, uppgiftsminimering, riktighet, proportionalitet och säkerhet måste uppfyllas även vid testverksamhet.

Som nämnts i avsnitt 3 har Datainspektionen och CSN även beretts tillfälle att yttra sig över ett utkast till lagrådsremiss vars förslag överensstämmer med förslaget i rutan. CSN har inte haft några synpunkter. Datainspektionen har förtydligat och understrukit vad myndigheten tidigare har anfört i sitt remissvar.

Skälen för regeringens förslag och bedömning

Testverksamhet är generellt sett en sådan administrativ åtgärd som krävs för att CSN ska kunna utföra studiestödsverksamheten

Av CSN:s skrivelse framgår att myndigheten är osäker på vilket rättsligt stöd som finns när det gäller utförande av testverksamhet av myndighetens it-system och vid nyutveckling av sådana system. Myndigheten framför att den därför gärna skulle se att sådan testverksamhet fördes upp som ett särskilt angivet ändamål i 4 § studiestödsdatalagen.

För att personuppgifter ska få behandlas måste det, som tidigare nämnts, finnas en rättslig grund för behandlingen. När det gäller behandling enligt artikel 6.1 e, ska syftet med behandlingen vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.3 andra stycket). I propositionen Ny dataskyddslag (prop. 2017/18:105) anför regeringen bl.a., i fråga om den rättsliga grunden allmänt intresse, att alla myndigheter, såväl statliga som kommunala, vidtar en rad administrativa åtgärder som krävs för att myndigheten ska fungera. Krav på myndigheterna att vidta sådana administrativa åtgärder kan framgå direkt eller indirekt av författning eller beslut. Det förekommer dock även att myndigheterna, för att fungera, behöver vidta administrativa åtgärder som varken direkt eller indirekt kan sägas följa av författning eller beslut. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är därmed enligt regeringens uppfattning rättsligt grundad i dataskyddsförordningens mening.

Det krävs alltså inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt. Däremot måste de administrativa åtgärderna vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter. Dessa uppgifter måste vara fastställda i enlighet med gällande rätt (s. 60 f.). För CSN:s del är sådana rättsligt fastställda uppgifter t.ex. att handlägga ärenden i studiestödsverksamheten. Som framgår av avsnitt 4.3 har flera nya typer av studiestödsärenden tillkommit sedan studiestödslagen infördes. Detta innebär att CSN:s it-system kontinuerligt behöver byggas om för att de nya ärendetyperna ska kunna handläggas.

I detta sammanhang kan det nämnas att dataskyddsförordningen i sig ställer höga krav på den personuppgiftsansvarige, som enligt artikel 5.2 ska ansvara för och kunna visa att de allmänna villkor som gäller för all

• Sida 20
•  Original

Prop. 2019/20:113 personuppgiftsbehandling enligt artikel 5.1 efterlevs. Myndigheten har,

som personuppgiftsansvarig, ansvar för att vidta åtgärder för att säkerställa säkerheten i de tekniska systemen. Av artikel 24.1. framgår bl.a. att den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Vidare finns det i artikel 32.1 bestämmelser om säkerhet i samband med behandlingen. Där anges bl.a. att med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Ett exempel på en sådan administrativ åtgärd inom vilken personuppgiftsbehandling är tillåten måste, i enlighet med vad som uttalas i de ovan angivna förarbetsuttalandena, kunna vara just när en myndighet, genom utförande av testverksamhet, säkerställer att den har väl fungerande itsystem för att i förlängningen kunna fullgöra de åligganden som vilar på myndigheten i dess verksamhet. För att CSN i studiestödsverksamheten, som är en uppgift av allmänt intresse, ska kunna handlägga ärenden och betala ut den ersättning som studerande har rätt till och samtidigt säkerställa att systemstödet är effektivt också när det gäller återbetalning av studielån krävs att myndigheten har säkra och effektiva system för att kunna fullgöra denna uppgift. Något ytterligare författningsstöd krävs därför inte för att CSN ska kunna behandla personuppgifter för att testa dessa system.

Några särskilda skäl att reglera testverksamheten i just studiestödsverksamheten har inte framkommit

CSN har hänvisat till att en ändamålsbestämmelse för testverksamhet finns i utlänningsdatalagen. Registerförfattningar är dock utformade på olika sätt beroende på vilka villkor som gäller för respektive verksamhet. Denna typ av bestämmelse, dvs. behandling av personuppgifter för teständamål, är också något som normalt inte brukar regleras i särskilda registerförfattningar. Det följer, som nämns ovan, av att myndigheter generellt har en skyldighet att ha säkra tekniska lösningar för att kunna utföra de uppgifter som åligger dem. Av propositionen Utlänningsdatalag (prop. 2015/16:65) framgår dock bl.a. att de tester som Migrationsverket utför många gånger krävs för att myndigheten ska kunna delta i det europeiska samarbetet. Det anges vidare att, när det gäller behandling av personuppgifter för att bedriva testverksamhet, det kan hävdas att sådan verksamhet många gånger måste anses ha ett sådant samband med verksamheten i övrigt att den inte skulle behöva regleras i en särskild ändamålsbestämmelse. Beträffande just testverksamheten inom ramen för utlännings- och medborgarskapslagstiftningen har dock regeringen gjort bedömningen att det bör införas en särskild ändamålsbestämmelse som reglerar den sortens verksamhet (s. 63 f.).

Att testverksamhet inte behöver regleras som ett särskilt ändamål måste således anses vara en slags huvudprincip. Regeringen bedömer att det till skillnad från vad som gäller för utlännings- och medborgarskapslagstiftningen, inte har framkommit några sådana skäl som innebär att testverksamheten inom just studiestödsverksamheten skulle behöva regleras som

• Sida 21
•  Original

ett särskilt ändamål. Den måste i stället, som nämns ovan, anses ha ett så- Prop. 2019/20:113 dant tydligt och nära samband med verksamheten i övrigt, särskilt handläggningen av ärenden, att någon ändring inte behövs för att CSN ska ha rättsliga förutsättningar att kunna utföra personuppgiftsbehandling vid sådan verksamhet. Denna bedömning gäller således oavsett om registerförfattningen innehåller en uttömmande ändamålsreglering eller inte.

Datainspektionen påpekar att ordet test inte är tillräckligt konkret för att utgöra ett preciserat ändamål utan att det är ett mycket vitt begrepp samt att det därmed inte är möjligt att fastslå att testverksamhet alltid kan bedömas som en administrativ åtgärd som är tillåten. De krav som dataskyddsförordningen ställer på bland annat öppenhet, uppgiftsminimering, riktighet, proportionalitet och säkerhet måste uppfyllas även vid testverksamhet.

Regeringen delar uppfattningen att det alltid måste göras en bedömning i det enskilda fallet och att ändamålet då också måste konkretiseras. När det gäller tester behöver myndigheten bl.a. göra en bedömning av om testet behövs för att myndigheten ska kunna utföra verksamheten på det effektiva sätt som krävs enligt 3 § myndighetsförordningen (2007:515) och att, om så är fallet, se till att ändamålet är tillräckligt preciserat samt att testet utförs i enlighet med bestämmelserna i bl.a. dataskyddsförordningen.

För att ge CSN mer ändamålsenliga förutsättningar att utföra sin verksamhet ska ändamålsbestämmelsen inte längre vara uttömmande

Som nämns i avsnitt 5.1 utgår dataskyddsregleringen från att varje behandling av personuppgifter måste vila på en rättslig grund för att vara laglig. Det är alltså bara om det finns en rättslig grund som personuppgifter överhuvudtaget får behandlas. Denna grund framgår för CSN:s del i studiestödslagen, lagen om studiestartstöd och andra författningar. Ändamålsbestämmelser i lagstiftning som reglerar myndigheters personuppgiftsbehandling är sådana specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling enligt artikel 6.2. Detta framgår även av artikel 6.3 där det anges att den rättsliga grunden kan innehålla särskilda bestämmelser om bl.a. ändamålsbegränsningar. I enlighet med artikel 23.2 a i dataskyddsförordningen ska dessutom, åtminstone när så är relevant, lagstiftning som begränsar tillämpningsområdet för förordningens skyldigheter och rättigheter innehålla specifika ändamålsbestämmelser. Som framgått av avsnitt 4.3 är det dock inte vanligt att en registerförfattning innehåller en sådan uttömmande ändamålsreglering som studiestödsdatalagen gör. I stället brukar finalitetsprincipen gälla.

Det är viktigt att CSN har rättsliga förutsättningar att bedriva studiestödsverksamheten på ett effektivt sätt. För att CSN ska ges goda förutsättningar att utveckla sin verksamhet behöver myndigheten ha nödvändiga och ändamålsenliga rättsliga verktyg för sin personuppgiftsbehandling. Sådana verktyg måste vara rimliga i förhållande till myndighetens behov och verksamhetens komplexitet och till att CSN, precis som många andra myndigheter, behandlar en stor mängd personuppgifter i sin verksamhet. Som CSN har påtalat finns det behov att kunna behandla personuppgifter för att myndigheten ska kunna vidareutveckla sin verksamhet. Det råder dock viss osäkerhet om sådan behandling fullt ut ryms inom de angivna ändamålen.

• Sida 22
•  Original

Prop. 2019/20:113 Vissa av de exempel som CSN nämner som skäl för att finalitetsprincipen bör utgöra den yttersta ramen inom vilken personuppgifter får behandlas i studiestödsverksamheten avser uppgifter som har ett nära samband med CSN:s verksamhet i fråga om handläggning av ärenden eller andra ändamål som personuppgifter får behandlas för enligt studiestödsdatalagen. Det gäller t.ex. den kvalitetsutveckling av handläggning och service som myndigheten nämner. Andra exempel är att CSN har behov av att kunna ta fram statistik för myndighetsinterna syften och att använda personuppgifter för att ta fram s.k. predikativa analyser för att motverka felaktiga utbetalningar.

I 3 § myndighetsförordningen anges att myndighetens ledning bl.a. ska se till att verksamheten bedrivs effektivt. I 4 § förordningen (2017:1114) med instruktion för Centrala studiestödsnämnden anges att myndigheten ska motverka bidragsbrott och säkerställa att felaktiga utbetalningar inte görs. Att CSN kan behöva behandla personuppgifter för att ta fram statistik som ett led i att säkerställa att myndigheten bedrivs effektivt kan således anses följa av myndighetsförordningen, medan behandlingen av personuppgifter för att genom olika typer av åtgärder motverka felaktiga utbetalningar följer av myndighetens instruktion. Det finns således en rättslig grund för behandling av personuppgifter i dessa förordningar. Frågan är emellertid om studiestödsdatalagen, genom att den innehåller en uttömmande reglering om personuppgiftsbehandling, kan tolkas som att den begränsar eller till och med står i strid med de krav på CSN som följer av t.ex. myndighetsförordningen och myndighetens instruktion. Utan att ta ställning i den frågan anser regeringen, för att det inte ska finnas några frågetecken kring CSN:s rättsliga stöd för behandling av personuppgifter, att finalitetsprincipen ska utgöra den yttersta ramen inom vilken personuppgifter får behandlas.

En myndighets behov av att få behandla personuppgifter måste dock alltid vägas mot det skydd för enskilda som dataskyddsregleringen syftar till. Det integritetsintrång för enskilda som personuppgiftsbehandling innebär måste alltid stå i proportion både till de åtgärder som myndigheten vidtar och till åtgärder som föreslås på området. Datainspektionen anser att det saknas en kartläggning av vilken personuppgiftsbehandling som CSN avser att utföra och de integritetsrisker som kan följa av förslaget att finalitetsprincipen ska göras tillämplig i CSN:s verksamhet samt att det därför inte är möjligt att genomföra den proportionalitetsbedömning som krävs enligt dataskyddsförordningen. Datainspektionen anser bl.a. att det finns brister i angivandet av vilka personuppgifter och i vilken omfattning som behandlingen kommer ske samt i hur eventuella tillkommande ändamål förhåller sig till det ursprungliga ändamålet. Som exempel på tillkommande ändamål har ovan nämnts bl.a. utförande av tester som avser utveckling av befintlig eller ny it-infrastruktur, framställning av statistik med ett myndighetsinternt syfte, kvalitetsutveckling av handläggning och service och genomförande av s.k. predikativa analyser för att motverka felaktiga utbetalningar. Regeringen konstaterar att finalitetsprincipen är en huvudprincip i dataskyddsförordningen och det normala är att den principen är tillämplig. De bedömningar som Datainspektionen efterlyser är sådana bedömningar som CSN kommer att behöva göra i varje enskilt fall när en behandling av personuppgifter för ett tillkommande ändamål över-

22 vägs. Regeringen bedömer, i likhet med Sveriges förenade studentkårer,

• Sida 23
•  Original

att förslaget att finalitetsprincipen ska göras tillämplig inte medför någon Prop. 2019/20:113 ökad risk för att personuppgifter hanteras på ett oacceptabelt sätt. Vid en avvägning mellan den inskränkning i den personliga integriteten som en tillämpning av finalitetsprincipen kan innebära och vikten av att CSN kan bedriva sin verksamhet på ett ändamålsenlig sätt utifrån de olika krav som ställs på myndigheten, bl.a. utifrån myndighetsförordningen och myndighetens instruktion, gör regeringen bedömningen att förslaget är förenligt med dataskyddsförordningen.

Regeringen föreslår således att ordet ”bara” ska strykas i 4 § studiestödsdatalagen och att det ska införas en ny bestämmelse om att personuppgifter som behandlas enligt 4 § får behandlas även för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (4 a §). Datainspektionen anför att den reglering av finalitetsprincipen som föreslås inte överensstämmer med ordalydelsen i dataskyddsförordningen. Myndigheten anser att den föreslagna regleringen är missvisande och svåröverskådlig vilket skulle kunna innebära en mer utvidgad vidarebehandling än vad dataskyddsförordningen ger stöd för. Om bestämmelsen ändå införs anser Datainspektionen att det i bestämmelsen bör hänvisas till artikel 5.1 b. Som Datainspektionen påtalar är finalitetsprincipen reglerad i artikel 5.1 b i dataskyddsförordningen. Enligt regeringens uppfattning finns det dock anledning att införa en bestämmelse i studiestödsdatalagen som förtydligar att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen. Denna bestämmelse utgör tillsammans med uppräkningen av tillåtna ändamål i 4 § en sådan ändamålsbegränsning som får införas i nationell rätt enligt artikel 6.3 i dataskyddsförordningen (jfr prop. 2017/18:115 s. 16 f.). Bestämmelsen har därtill formulerats på det sätt som är gängse när det gäller registerförfattningar efter att dataskyddsförordningen har trätt i kraft, se t.ex. 1 kap. 5 a § lagen (2001:183) om behandling av personuppgifter i verksamhet med val och omröstningar, 114 kap. 10 § socialförsäkringsbalken, 11 § kustbevakningsdatalag (2019:429), 7 § lagen (1996:1156) om receptregister och 9 § lag (2019:663) om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap som träder i kraft den 1 mars 2020. I nyss nämnda bestämmelser finns det inte någon hänvisning till artikel 5.1 b.

Särskilt om behandling av personuppgifter för utlämnande till en utländsk myndighet

CSN har anfört att myndigheten, om finalitetsprincipen görs tillämplig, skulle kunna få ökade möjligheter att vidarebehandla personuppgifter för att lämna ut adressuppgifter till utländska studiestödsmyndigheter, om ett utlämnade inte hindras av sekretess.

När det gäller personuppgiftsbehandling i syfte att lämna uppgifter till utländska myndigheter finns det i vissa registerförfattningar bestämmelser om att ett sådant utlämnande kan ske om utlämnandet av uppgifterna krävs för att myndigheten ska kunna fullgöra ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Det kan handla om ett åtagande som följer av Sveriges medlemskap i EU, av uppgiftsskyldighet enligt en internationell konvention som Sverige har tillträtt eller enligt ett av riks-

• Sida 24
•  Original

Prop. 2019/20:113 dagen godkänt avtal med främmande stat eller mellanfolklig organisation

(se t.ex. 114 kap. 9 § socialförsäkringsbalken eller 13 § utlänningsdatalagen). Något sådant internationellt åtagande finns inte på studiestödsområdet.

Den situation som CSN nämner rör i stället frivilliga samarbeten mellan studiestödsmyndigheter. Frågan är då om en vidarebehandling utifrån sådana förutsättningar skulle kunna vara förenlig med dataskyddsförordningen. Här finns det anledning att iaktta viss försiktighet. Det kan nämligen inte förutsättas att en vidarebehandling i form av utlämnande av uppgifter till utländska myndigheter är förenlig med dataskyddsförordningen enbart mot bakgrund av att finalitetsprincipen kommer att utgöra den yttersta ramen inom vilken personuppgifter får behandlas. För att en sådan behandling inte ska anses stå i strid med det ursprungliga ändamålet för vilka personuppgifterna samlats in måste CSN göra väl avvägda bedömningar för vilka ändamål som uppgifterna i så fall kan lämnas ut. De omständigheter som anges i artikel 6.4 a–e i dataskyddsförordningen måste beaktas vid bedömningen av om behandlingen är förenlig med insamlingsändamålen. Det handlar bl.a. om att beakta kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen och eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen. CSN måste alltså bedöma i varje enskilt fall att den tänkta behandlingen inte står i strid med det ursprungliga ändamålet för vilka personuppgifterna samlades in.

Om det handlar om att lämna adressuppgifter till utländska studiestödsmyndigheter skulle det kunna anses vara en sådan vidarebehandling som inte är oförenlig med det ursprungliga ändamålet då syftet är att genom ett utökat internationellt samarbete kunna uppnå ökad återbetalning av studielån från låntagare bosatta utomlands.

Det bör dock inte anses vara förenligt med finalitetsprincipen att personuppgifter behandlas för att lämnas ut till andra utländska myndigheter än just studiestödsmyndigheter. Detta eftersom det sannolikt innebär att uppgifterna har efterfrågats för ett syfte som helt saknar samband med studiestödsverksamheten, t.ex. för att ingå i en bedömning av om personen i fråga har rätt eller inte rätt till någon annan förmån eller liknande.

Som CSN nämner är det i detta avseende också viktigt att myndigheten beaktar frågan om sekretess. Om sekretess gäller för uppgiften får, enligt 8 kap. 3 § offentlighets- och sekretesslagen (2009:400), uppgiften inte röjas för en utländsk myndighet eller en mellanfolklig organisation, om inte utlämnande sker i enlighet med särskild föreskrift i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.

I detta sammanhang bör det också nämnas att det i kapitel V i dataskyddsförordningen finns särskilda bestämmelser som handlar om överföring av personuppgifter till tredjeländer eller internationella organisationer. Bland annat finns där bestämmelser om överföring på grundval av ett beslut om adekvat skyddsnivå (artikel 45), överföring som omfattas av lämpliga skyddsåtgärder (artikel 46) och undantag i enskilda situationer (artikel 49). Det innebär att om CSN planerar att överföra personuppgifter

• Sida 25
•  Original

till myndigheter i stater som inte omfattas av dataskyddsförordningen be- Prop. 2019/20:113 höver CSN även beakta de bestämmelser som anges i detta kapitel.

Vid vidarebehandling behöver CSN säkerställa att behandlingen är förenlig med dataskyddsförordningen

De föreslagna ändringarna innebär att finalitetsprincipen kommer utgöra den yttersta ramen inom vilken personuppgifter får behandlas. Av skäl 50 till dataskyddsförordningen framgår också att vid behandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Även om det således inte krävs någon separat rättslig grund för sådan vidarebehandling kan det i detta sammanhang ändå förtjänas att påpekas att CSN inför varje vidarebehandling kommer behöva säkerställa att den tänkta behandlingen är förenlig med dataskyddsförordningen. Den personuppgiftsansvarige måste t.ex. enligt förordningen beakta såväl artikel 89.1, som rör skyddsåtgärder och undantag bl.a. för behandling av arkivändamål av allmänt intresse och statistiska ändamål, som övriga bestämmelser i dataskyddsförordningen. Det gäller bl.a. de grundläggande principerna i artikel 5 om uppgiftsminimering m.m., bestämmelser om behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser i artikel 9.2 och 10 (se vidare avsnitt 6) och bestämmelserna i artikel 13.3 och 14.4 som innebär att de registrerade som huvudregel på förhand måste informeras om återanvändning av personuppgifter.

7. Känsliga personuppgifter och personuppgifter om lagöverträdelser ska endast få vidarebehandlas om det är absolut nödvändigt

Regeringens förslag: Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser ska vara tillåten vid vidarebehandling i enlighet med finalitetsprincipen, dock endast om behandlingen är absolut nödvändig för syftet med behandlingen.

Bestämmelsen i studiestödsdatalagen om när känsliga personuppgifter och personuppgifter får behandlas ska kompletteras med en hänvisning till dataskyddsförordningen.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. Promemorians förslag innehåller, till skillnad från regeringens förslag, ingen hänvisning till artikel 9.2 g i dataskyddsförordningen och har också en annan språklig utformning.

Remissinstanserna: En majoritet av remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Detta gäller Kammarrätten i

Sundsvall, Förvaltningsrätten i Stockholm, Justitiekanslern, CSN, Riksarkivet och Sveriges förenade studentkårer.

• Sida 26
•  Original

CSN är positiva till de föreslagna ändringarna och har i övrigt inga synpunkter på förslaget. Sveriges förenade studentkårer har inga invändningar mot förslaget och anför därtill att det är rimligt att CSN i vissa fall kan hantera känsliga personuppgifter om det är nödvändigt för myndighetens uppdrag.

Endast Datainspektionen avstyrker förslaget. Myndigheten anför att det är förbjudet att behandla känsliga personuppgifter och att undantagen för tillåten behandling är uttömmande angivna i dataskyddsförordningen. Förslaget utgör ett ytterligare undantag som inte finns angivet i dataskyddsförordningen och det är oklart med vilket rättsligt stöd som behandlingen utförs. I bestämmelsen bör det hänvisas till artikel 9.2 g i dataskyddsförordningen eftersom det är den bestämmelsen som utgör det faktiska undantaget.

Som nämnts i avsnitt 3 har Datainspektionen och CSN även beretts tillfälle att yttra sig över utkast till lagrådsremiss, vars förslag överensstämmer med förslaget i rutan. CSN har inte haft några synpunkter. Datainspektionen har förtydligat och understrukit vad myndigheten tidigare har anfört i sitt remissvar.

Skälen för regeringens förslag

Allmänt om behandling av känsliga personuppgifter i dataskyddsförordningen

Om finalitetsprincipen ska utgöra den yttersta ramen inom vilken personuppgifter får behandlas i studiestödsverksamheten har CSN föreslagit att myndigheten också ska ha rätt att vidarebehandla känsliga personuppgifter och personuppgifter om lagöverträdelser, men att denna rätt ska begränsas till att uteslutande avse fall där behandling av sådana uppgifter är absolut nödvändig för syftet med behandlingen.

Som nämns i avsnitt 5.1 är det enligt artikel 9.1 i dataskyddsförordningen förbjudet att behandla känsliga personuppgifter. Bestämmelsen är direkt tillämplig och kräver inga åtgärder av medlemsstaterna. Dataskyddsförordningens förbud ska dock enligt artikel 9.2 inte tillämpas om någon av de situationer som beskrivs i punkterna a–j föreligger. Något utrymme för medlemsstaterna att föreskriva ytterligare undantag från förbudet lämnas inte. Däremot får medlemsstaterna behålla eller införa mer specifika bestämmelser i fråga om behandling som sker med stöd av artikel 6.1 c (rättslig förpliktelse) och e (uppgift av allmänt intresse), även när det gäller känsliga personuppgifter (artikel 6.2 och skäl 10). Vissa av undantagen i artikel 9.2 innehåller också uttryckliga hänvisningar till och krav på innehållet i unionsrätten och medlemsstaternas nationella rätt. Detta gäller bl.a. bestämmelserna i artikel 9.2 g (viktigt allmänt intresse) och artikel 9.2 j (statistiska ändamål).

Både artikel 9.2 g och j innehåller krav på att behandlingen ska vara nödvändig på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Dessa skyddsbestämmelser aktualiseras både vid insamling av känsliga personuppgifter för de angivna

• Sida 27
•  Original

ändamålen och vid vidarebehandling av känsliga personuppgifter för såd- Prop. 2019/20:113 ana ändamål.

Behandling av personuppgifter om lagöverträdelser får enligt artikel 10 i dataskyddsförordningen utföras endast under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Bedömningar i samband med att dataskyddsförordningen började gälla

Enligt 6 § studiestödsdatalagen får känsliga personuppgifter behandlas i CSN:s studiestödsverksamhet för att handlägga ärenden, anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheten, lämnas ut till den registrerade själv, riksdagen och regeringen samt i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra, och ge tillgång till vägledande avgöranden (om uppgifterna inte direkt pekar ut den registrerade).

I propositionen Behandling av personuppgifter på utbildningsområdet (prop. 2017/18:218) gjorde regeringen bedömningen att studiestödsverksamheten är ett viktigt allmänt intresse och att CSN även fortsättningsvis ska få behandla känsliga personuppgifter och uppgifter om lagöverträdelser för vissa ändamål. Regeringen anförde att de specifika avgränsningar som gäller för behandlingen också uppfyller dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Mot denna bakgrund ansåg regeringen att CSN alltjämt ska ha möjlighet att behandla känsliga personuppgifter för de i studiestödsdatalagen angivna ändamålen (s. 174). I propositionen föreslogs en hänvisning till artikel 9.1 i dataskyddsförordningen införas i 6 § studiestödsdatalagen. Regeringen angav att även en hänvisning till 9.2 g skulle införas (s. 174 f.). Av förbiseende infördes dock inte den senare hänvisningen i det lagförslag som lämnades till riksdagen. Regeringen anser, i likhet med Datainspektionen att en sådan hänvisning nu bör införas.

I samma proposition bedömde regeringen att CSN även i fortsättningen ska få behandla personuppgifter om lagöverträdelser för de ändamål som anges i studiestödsdatalagen. Av artikel 10 i dataskyddsförordningen följer att uppgifter om lagöverträdelser får behandlas om det sker under kontroll av myndighet, vilket enligt regeringens bedömning i propositionen Ny dataskyddslag innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter som rör lagöverträdelser (samma prop. s. 187).

Vilka skyddsbestämmelser gäller för studiestödsverksamheten?

De specifika avgränsningar som gäller för behandlingen för att säkerställa den registrerades grundläggande rättigheter och intressen finns bl.a. i 8 och 9 §§studiestödsdatalagen. I 8 § regleras förbud mot användning av vissa sökbegrepp och i 9 § regleras vad som ska gälla hos CSN avseende intern elektronisk tillgång till personuppgifter. I 10 § finns bestämmelser som anger att direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet, bara är tillåtet i

• Sida 28
•  Original

Prop. 2019/20:113 den utsträckning som anges i lag eller förordning och under förutsättning

att 4, 6 och 8 §§ följs.

Utöver bestämmelserna i studiestödsdatalagen finns också bestämmelser i offentlighets- och sekretesslagen. Där regleras bl.a. att sekretess gäller i ärende om studiestöd och i ärende hos CSN om körkortslån för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. I andra ärenden än sådana om studiestöd under sjukdom gäller sekretessen inte beslut i ärendet. För uppgift i en allmän handling gäller sekretessen i högst femtio år (28 kap. 9 § offentlighets- och sekretesslagen). Därutöver finns det i 21 kap. offentlighets- och sekretesslagen s.k. minimiskyddsbestämmelser, dvs. sekretessbestämmelser till skydd för uppgifter om enskilds personliga förhållanden som är tillämpliga oavsett i vilket sammanhang uppgifterna förekommer. Där finns t.ex. bestämmelser om sekretess för uppgifter som rör hälsa och sexualliv och för uppgifter om förföljda personer m.m. (21 kap.1 och 3 §§offentlighets- och sekretesslagen).

Bestämmelserna i studiestödsdatalagen, som reglerar personuppgiftsbehandlingen i CSN:s interna verksamhet men också vilka uppgifter som får lämnas mellan CSN och andra myndigheter och på vilket sätt, samt regleringen om sekretess, innebär att kraven på proportionalitet samt lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen är uppfyllda enligt artikel 9.2 g och artikel 10 när CSN behandlar känsliga personuppgifter och uppgifter om lagöverträdelser för de ändamål som är tillåtna enligt studiestödsdatalagen.

Vidarebehandling av känsliga personuppgifter och personuppgifter om lagöverträdelser ska vara tillåten endast om den är absolut nödvändig för syftet med behandlingen

CSN har framfört att vid vidarebehandling av personuppgifter kommer i många fall de syften som avses med vidarebehandlingen av personuppgifter att kunna uppnås utan att några känsliga personuppgifter eller personuppgifter om lagöverträdelser behöver behandlas. Det kan i detta sammanhang också konstateras att känsliga personuppgifter är något som förekommer i förhållandevis liten utsträckning i CSN:s studiestödsverksamhet. När sådana uppgifter förekommer rör det sig i allmänhet om uppgifter om hälsotillstånd. Känsliga personuppgifter skulle dock enligt myndigheten kunna behöva vidarebehandlas bl.a. för att ta fram intern verksamhetsstatistik för att kunna utveckla handläggningen av ärenden om studiestöd under sjukdom. I undantagsfall kan det enligt myndigheten även finnas behov av att behandla personuppgifter om lagöverträdelser för tillkommande ändamål.

Det är viktigt att CSN fortlöpande kan bevaka effektiviteten och kvaliteten i verksamheten för att kunna vidareutveckla, effektivisera och förbättra myndighetens verksamhet. Detta förutsätter uppföljning och kontroll av olika slag och då kan känsliga personuppgifter eller personuppgifter om lagöverträdelser i vissa fall vara relevanta. Regeringen gör bedömningen att myndigheten har behov att i vissa situationer få vidarebehandla sådana personuppgifter även när behandlingen inte hör samman med den direkta handläggningen av ett ärende.

• Sida 29
•  Original

För att så långt som möjligt värna om den personliga integriteten finns Prop. 2019/20:113 det dock anledning att, precis som CSN föreslår, begränsa myndighetens möjligheter till vidarebehandling av dessa personuppgifter jämfört med vad som i övrigt gäller enligt studiestödsdatalagen. Regeringen föreslår därför att det ska införas en ny bestämmelse i studiestödsdatalagen som stadgar att vidarebehandling av känsliga personuppgifter och personuppgifter om lagöverträdelser ska tillåtas först om det är absolut nödvändigt för syftet med behandlingen (jfr hänvisningen i 6 § studiestödsdatalagen till 4 § samma lag som innebär att personuppgiftsbehandling i andra fall får ske om det behövs).

Datainspektionen har invänt bl.a. att den föreslagna bestämmelsen är oklar samt att den brister i struktur i jämförelse med dataskyddsförordningen och innebär otillåtna integritetsrisker för enskilda.

Kravet på att en behandling av personuppgifter ska vara absolut nödvändig finns i vissa andra registerförfattningar som kompletterar dataskyddsförordningen, t.ex. 14 § utlänningsdatalagen (2016:27), 5 § kriminalvårdsdatalagen (2018:1235) och 12 § kustbevakningsdatalagen (2019:429). I dessa bestämmelser gäller kravet redan vid den ursprungliga behandlingen av känsliga personuppgifter. I förarbetena till 14 § utlänningsdatalagen uttalas att syftet med kravet på absolut nödvändighet är att markera att behandling av känsliga personuppgifter bör ske med försiktighet och aldrig slentrianmässigt. Formuleringen att behandlingen ska vara absolut nödvändig, innebär emellertid inte att känsliga personuppgifter endast får behandlas i undantagsfall. Det innebär dock en markering att behandlingen ska ske med restriktivitet och att behovet av att behandla personuppgiften ska prövas noga i det enskilda ärendet (se prop. 2015/16:65 s. 78–81 och prop. 2017/18:254 s. 30 f.).

Regeringen konstaterar att föreslaget innebär att en terminologi som är vedertagen i andra registerförfattningar som kompletterar dataskyddsförordningen används. Regeringen bedömer även att den föreslagna bestämmelsen står i proportion till det eftersträvade syftet med behandlingen. Regeringen anser därför att förslaget bör genomföras.

Som ovan konstaterats finns det därutöver skyddsåtgärder i regelverket för personuppgiftsbehandling i studiestödsverksamheten i form av bestämmelser om förbud mot användning av vissa sökbegrepp, reglering av intern elektronisk tillgång till personuppgifter och bestämmelser om när direktåtkomst till och annat elektroniskt utlämnande av personuppgifter är tillåten. Därutöver finns det sekretessbestämmelser som är tillämpliga oavsett i vilket sammanhang uppgifterna förekommer. Dessa skyddsbestämmelser kommer att vara tillämpliga också vid vidarebehandling av känsliga personuppgifter och personuppgifter om lagöverträdelser. De befintliga skyddsbestämmelserna bedöms därför även vid vidarebehandling i enlighet med finalitetsprincipen uppfylla de krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs enligt dataskyddsförordningen.

• Sida 30
•  Original

8. Gallringsbestämmelsen görs teknikneutral

Regeringens förslag: CSN ska även fortsättningsvis i enskilda fall få besluta att personuppgifterna i ett ärende om studiestöd får bevaras, dock längst till dess att uppgifterna inte längre bedöms nödvändiga för det ändamål för vilka de behandlas. De ska dock inte, till skillnad från nu, behöva bevaras i pappersform eller på annat medium som inte är elektroniskt, dvs. bestämmelsen görs teknikneutral.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. Promemorians förslag skiljer sig enbart språkligt från regeringens.

Remissinstanserna: En majoritet av remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Detta gäller Kammarrätten i

Sundsvall, Förvaltningsrätten i Stockholm, Justitiekanslern, CSN och Sveriges förenade studentkårer.

CSN är positiva till de föreslagna ändringarna och har i övrigt inga synpunkter på förslaget. Riksarkivet välkomnar att bestämmelsen blir teknikneutral då detta sammanfaller med myndighetens ambition att regelverket på arkivområdet ska vara så teknikneutralt som möjligt. Riksarkivet anser dock inte att det angivna syftet med de språkliga förändringarna, att tydliggöra att bestämmelsen handlar om att CSN ska fatta förvaltningsbeslut i enskilda fall när det bedöms nödvändigt att bevara uppgifterna under en längre tid, uppnås.

Endast Datainspektionen avstyrker förslaget. Myndigheten anför att den reglering av gallringsbestämmelsen som föreslås är en modifiering av bestämmelsen om lagringsminimering i artikel 5.1. e i dataskyddsförordningen samt att den föreslagna regleringen är missvisande och svåröverskådlig.

Som nämnts i avsnitt 3 har Datainspektionen och CSN även beretts tillfälle att yttra sig över utkast till lagrådsremiss vars förslag överensstämmer med förslaget i rutan. CSN har inte haft några synpunkter. Datainspektionen har i sitt yttrande inte berört den föreslagna bestämmelsen.

Skälen för regeringens förslag: En allmän dataskyddsprincip enligt 5.1 e dataskyddsförordningen är att personuppgifter inte får förvaras under en längre tid än vad som är nödvändigt (s.k. lagringsminimering, se avsnitt 5.1). För CSN:s del finns det, i enlighet med artikel 6.1 e och artikel 6.3 första stycket dataskyddsförordningen, en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Enligt artikel 6.2 och 6.3 andra stycket är det då också tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. lagringstid.

I gallringsbestämmelserna i 16 § första stycket studiestödsdatalagen anges när gallring av personuppgifter ska ske i ett ärende om studiestöd (se avsnitt 5.2). Av andra stycket i paragrafen framgår när gallring av personuppgifter ska ske när det är fråga om förberedande handläggning av ett ärende som inte avser studiestöd. Av paragrafens tredje stycke framgår att CSN i enstaka fall får besluta att personuppgifterna i ett ärende om studiestöd, dvs. enligt första stycket, ska bevaras på papper eller annat medium som inte är elektroniskt.

• Sida 31
•  Original

CSN har framfört att det kan förekomma att personuppgifter i ett ärende Prop. 2019/20:113 kan ha betydelse för andra ärenden där handläggning fortfarande pågår efter de angivna gallringsfristerna. Det kan exempelvis handla om situationer där ett ärende granskas av en tillsynsmyndighet eller ett ärende där beslutet har överklagats men där överprövningen ännu inte är klar. I sådana fall är alltså myndigheten hänvisad till att bevara personuppgifter på papper eller annat medium som inte är elektroniskt. Som framgår av CSN:s skrivelse kan detta innebära en stor administration för myndigheten, eftersom uppgifter kan finnas i flera databaser vilket kan innebära utskrifter av ett stort antal uppgifter, som efter en sådan utskrift riskerar att tappa sitt sammanhang.

För att göra CSN:s gallringsbestämmelser mer ändamålsenliga och för att undvika den onödiga administration som den nuvarande regleringen innebär i de få undantagsfall det handlar om, bör den aktuella bestämmelsen i 16 § tredje stycket göras teknikneutral.

Datainspektionen invänder mot hur den i promemorian föreslagna bestämmelsen har formulerats, och anser att bestämmelsen är missvisande och svåröverskådlig i förhållande till dataskyddsförordningen. Regeringen konstaterar att den i promemorian föreslagna lydelsen avviker från hur bestämmelser med motsvarande sakliga innehåll har formulerats i andra registerförfattningar. Regeringen anser därför att bestämmelsen bör ges lydelsen att CSN får, ”trots första stycket, i enskilda fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras, dock längst till dess uppgifterna inte längre bedöms nödvändiga för det ändamål för vilka de behandlas” (jfr 24 § kustbevakningsdatalag [2019:429]). Både av den nuvarande och den av regeringen föreslagna lydelsen framgår att CSN:s ställningstagande i dessa delar innebär att ett förvaltningsbeslut fattas. Något ytterligare förtydligande behövs inte i denna del

De föreslagna ändringarna innebär inte att CSN i sak ska göra någon annan prövning än vad myndigheten redan gör i dag enligt nuvarande lydelse. Det handlar fortsatt om sådana situationer där t.ex. personuppgifterna i ett ärende om studiestöd även efter gallringstidpunkten i undantagsfall har betydelse därför att handläggningen av ärendet i en eller annan mening kan sägas fortsätta hos CSN eller någon annan myndighet. Som nämnts kan det bl.a. handla om att ett beslut om studiestöd har överklagats men där överprövningen ännu inte är klar (jfr prop. 2008/09:96 s.73 och 88).

Förslaget innebär inte att fler personuppgifter kommer att behöva behandlas utan handlar enbart om formen för bevarande till dess att uppgifterna gallras, dvs. att även elektronisk form godtas. Förslaget bedöms stå i proportion till det legitima mål som eftersträvas, dvs. en mer ändamålsenlig, effektiv och rättssäker personuppgiftsbehandling, och bidrar också till en likartad terminologi i förhållande till andra registerförfattningar.

• Sida 32
•  Original

9. Ikraftträdande

Regeringens förslag: Lagändringarna ska träda i kraft den 1 juli 2020.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans har yttrat sig särskilt om tidpunkten för ikraftträdande.

Skälen för regeringens förslag: Lagändringarna bör träda i kraft så snart som möjligt för att CSN ska ges bättre förutsättningar för en ändamålsenlig personuppgiftsbehandling i studiestödsverksamheten. Den 1 juli 2020 bedöms vara den tidigaste tidpunkt det kan ske.

Några särskilda övergångsbestämmelser behövs inte.

10. Konsekvenser

I detta avsnitt analyseras konsekvenserna av förslagen i den utsträckning konsekvenserna inte har redovisats tidigare i denna proposition.

Ekonomiska konsekvenser

Förslagen föranleder inte några kostnadsmässiga eller andra ekonomiska konsekvenser.

Förslagens förenlighet med EU-rätten

Förslagen bedöms vara förenliga med EU-rätten.

Konsekvenser för den personliga integriteten

Som nämns i avsnitt 6 kommer införandet av finalitetsprincipen att innebära att personuppgifter kommer att behandlas för fler ändamål jämfört med i dag. Detta innebär naturligtvis en inskränkning i den personliga integriteten. Samtidigt innebär det en inskränkning från en nivå på integritetsskyddet som är så hög att den riskerar att försämra myndighetens funktionalitet och förslaget avviker inte från grundregleringen i dataskyddsförordningen, som i sig ligger på en hög nivå. När det gäller vidarebehandling av känsliga personuppgifter för tillkommande ändamål ställer den föreslagna lydelsen dessutom högre krav för att sådan behandling ska få ske än vad dataskyddsförordningen gör. Som framgår i avsnitt 6 och 7 bedöms förslagen vara proportionerliga.

När det gäller förslaget om en ändring i gallringsbestämmelserna konstateras att förslaget inte innebär att fler personuppgifter bevaras, utan enbart att bestämmelsen blir teknikneutral. I avsnitt 8 görs bedömningen att också detta förslag är proportionerligt.

Övriga konsekvenser

Den reglering som föreslås i denna proposition bedöms inte få några effekter för den kommunala självstyrelsen, brottsligheten, sysselsätt-

• Sida 33
•  Original

ningen, företags arbets- och konkurrensförmåga eller villkor i övrigt eller Prop. 2019/20:113 jämställdheten mellan kvinnor och män.

11. Författningskommentar

4 §

Personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet om det behövs för att

1. handlägga ärenden i den verksamheten,

2. administrera handläggningen,

3. förbereda handläggningen,

4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner,

5. ta fram och distribuera bevis om studiestöd för studier till studerande, eller

6. anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna.

Personuppgifter som behandlas enligt första stycket får även behandlas genom att lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyldighet för Centrala studiestödsnämnden att lämna uppgifter följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas för att ge tillgång till vägledande avgöranden.

Regeringen får meddela föreskrifter om begränsningar av ändamålen i första stycket och om i vilka fall behandling får göras med stöd av första stycket 3. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

4 a §

Personuppgifter som behandlas enligt 4 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Paragrafen, som är ny, innebär att uppgifter som behandlas enligt 4 § under vissa förutsättningar även får vidarebehandlas för andra ändamål.

Av paragrafen framgår att uppgifter som behandlas för de ändamål som anges i 4 § får behandlas även för andra ändamål under förutsättning att behandlingen inte är oförenlig med de ändamål för vilka de ursprungligen samlades in. Innebörden av uttrycket ”som behandlas” är att det måste pågå en behandling enligt 4 § när man inleder en vidarebehandling enligt paragrafen. Behandlingsbegreppet är dock brett enligt dataskyddsförordningen och innefattar bl.a. lagring av uppgifter (artikel 4 punkt 2 i dataskyddsförordningen).

• Sida 34
•  Original

Prop. 2019/20:113 Bestämmelsen, som är ett uttryck för den s.k. finalitetsprincipen, är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen, och andra motsvarande bestämmelser i registerförfattningar, och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a–e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen.

Övervägandena finns i avsnitt 6.

6 §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av Centrala studiestödsnämnden för de ändamål som avses i 4 § första stycket 1 och 6 och andra stycket samt 4 a §.

För de ändamål som avses i första stycket får behandling även ske av personuppgifter som avses i artikel 10 i samma förordning.

För ändamål som avses i 4 a § får dock personuppgifter som avses i första och andra styckena behandlas endast om det är absolut nödvändigt för syftet med behandlingen.

I paragrafen anges i vilka fall känsliga personuppgifter och personuppgifter om lagöverträdelse får behandlas av CSN.

Paragrafen delas upp i tre stycken för att tydliggöra att förutsättningarna för personuppgiftsbehandling skiljer sig åt, beroende på om det är känsliga personuppgifter eller uppgifter om lagöverträdelser och andra uppgifter som avses i artikel 10 i dataskyddsförordningen, som ska behandlas.

Första stycket renodlas till att enbart reglera behandling av känsliga personuppgifter. I stycket införs också en hänvisning till artikel 9.2 g i EU:s dataskyddsförordning som anger under vilka förutsättningar känsliga personuppgifter får behandlas. Motsvarande hänvisning finns i andra jämförbara registerförfattningar (se t.ex. 13 § lagen [1993:792] om tillstånd att utfärda vissa examina och 19 § lagen [2019:504] om ansvar för god forskningssed och prövning av oredlighet i forskning). Slutligen kompletteras stycket med ett tillägg som innebär att känsliga personuppgifter inte bara får behandlas för de ändamål som avses i 4 § första stycket 1 och 6, utan att sådana uppgifter även får vidarebehandlas i enlighet med finalitetsprincipen, se vidare kommentaren till bestämmelsen i 4 a §.

I andra stycket, som är nytt, finns den bestämmelse om behandling av uppgifter om lagöverträdelser och andra uppgifter som avses i artikel 10 i dataskyddsförordningen, som tidigare fanns i första stycket. Hänvisningen till första stycket innebär att sådana uppgifter inte bara får behandlas för de ändamål som anges i 4 § första stycket 1 och 6, utan att de även får vidarebehandlas i enlighet med finalitetsprincipen.

Tredje stycket, som är nytt, innehåller en bestämmelse om att vidarebehandling enligt finalitetsprincipen av såväl känsliga uppgifter som uppgifter som avses i artikel 10 i dataskyddsförordningen enbart får ske om det är absolut nödvändigt för syftet med behandlingen. Bestämmelsens syfte är att markera att vidarebehandling av sådana uppgifter bör ske med försiktighet och aldrig slentrianmässigt. Bestämmelsen innebär emellertid inte att sådana personuppgifter endast får behandlas i undantagsfall.

Genom kravet på absolut nödvändighet markeras dock att behandlingen ska ske med restriktivitet och att behovet av att behandla personuppgiften

• Sida 35
•  Original

ska prövas noga i det enskilda fallet (jfr 14 § utlänningsdatalagenProp. 2019/20:113 [2016:27], prop. 2015/16:65 s. 78–81 och prop. 2017/18:254 s. 30 f.). När det gäller vidarebehandling av nu avsedda personuppgifter ställs alltså ett striktare krav för att behandlingen ska vara tillåten jämfört med vad som gäller för övriga ändamål i lagen.

Övervägandena finns i avsnitt 7.

16 §

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enskilda fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras, dock längst till dess uppgifterna inte längre bedöms nödvändiga för det ändamål för vilka de behandlas.

I paragrafen finns de gallringsbestämmelser som gäller för personuppgifter i studiestödsverksamheten.

Bestämmelsen i tredje stycket andra meningen ändras så att den blir teknikneutral, dvs. även elektroniskt bevarande av personuppgifter kan tillåtas efter särskilt beslut. Det förtydligas också att uppgifterna bara får bevaras till dess uppgifterna inte längre bedöms nödvändiga för det ändamål för vilka de behandlas.

Ändringarna innebär inte att CSN i sak ska göra någon annan prövning av när uppgifter bör bevaras än vad myndigheten redan gör i dag, utan enbart att bevarande även kan ske elektroniskt. Det kan handla om situationer där personuppgifter bör bevaras längre än vad som följer av första stycket t.ex. därför att ett ärende granskas av en tillsynsmyndighet eller där ett beslut om studiestöd har överklagats men där överprövningen ännu inte är klar (jfr prop. 2008/09:96 s. 73 och 88).

Övervägandena finns i avsnitt 8.

• Sida 36
•  Original