SOU 2007:64

Studiestödsdatalag

Sammanfattning

Studiestödsdatalag

Studiestödsdatautredningen har haft i uppdrag att kartlägga och granska regleringen och användningen av personregister och annan behandling av personuppgifter i studiestödsverksamheten inom främst Centrala studiestödsnämnden (CSN) och Överklagandenämnden för studiestöd och lämna förslag till nödvändig författningsreglering. Utredningen har kommit fram till att en särskild författningsreglering utöver den generellt gällande personuppgiftslagen bara behövs för den omfattande behandlingen av personuppgifter i CSN:s studiestödsverksamhet. Den behandling av personuppgifter för studiestöd som förekommer hos övriga aktörer är av förhållandevis ringa omfattning och kan utan olägenhet regleras av personuppgiftslagen.

Utredningen lämnar förslag till en särskild studiestödsdatalag som ska gälla utöver personuppgiftslagen och innehålla specialbestämmelser för behandlingen av personuppgifter i CSN:s studiestödsverksamhet. Den nya lagen föreslås träda i kraft den 1 januari 2009.

När personuppgifter får behandlas

Förutom med den registrerades samtycke får personuppgifter bara behandlas för vissa i lagen uppräknade ändamål. CSN ska få behandla personuppgifter om det behövs för att 1. handlägga ärenden i studiestödsverksamheten, 2. administrera handläggningen, 3. i den utsträckning regeringen föreskriver det förbereda

handläggningen,

4. informera studiestödsberättigade om studiestödsförmåner och

studiesociala förmåner, 5. ta fram och till studerande distribuera bevis om studier med stu-

diestöd, eller 6. om sekretess inte hindrar det anmäla oegentlighet inom studie-

stödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

CSN ska även, i en avskild databas, få behandla personuppgifter som inte direkt pekar ut den registrerade för att återsöka vägledande avgöranden. Avsikten med bestämmelsen är att CSN ska kunna föra en särskild praxisdatabas med vägledande avgöranden där det inte förekommer namn eller personnummer.

De personuppgifter som behandlas får CSN lämna ut till utomstående i den utsträckning en uppgiftsskyldighet för CSN följer av lag eller förordning. Personuppgifterna får också lämnas ut till den registrerade själv och till riksdagen och regeringen. Om sekretess hindrar det, kan något utlämnande inte ske. För elektroniskt utlämnande av personuppgifter gäller särskilda villkor (se nedan).

Behandling av personuppgifter som är tillåten enligt lagen, får enligt huvudregeln utföras även om den registrerade motsätter sig behandlingen. Bara när det rör sig om behandling av personuppgifter enligt 4 och 5 ovan har den registrerade rätt att motsätta sig behandlingen. Dessutom kan den registrerade alltid återkalla ett samtycke som är nödvändigt för att behandlingen ska vara tillåten.

I en anknytande studiestödsdataförordning anges det när CSN får behandla personuppgifter för att förbereda handläggningen av ärenden om studiestöd och vissa begränsningar av vilka personuppgifter som får behandlas.

Behandling av personuppgifter av känslig natur

Känsliga personuppgifter och personuppgifter om lagöverträdelser m.m., enligt definitionerna i personuppgiftslagen, ska bara få behandlas med den registrerades uttryckliga samtycke eller om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten under förutsättning att uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter ska också få behandlas om det behövs för att kunna anmäla oegentlighet inom studie-

stödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten. Sådana personuppgifter ska även få behandlas i CSN:s avskilda praxisdatabas.

Sökbegrepp

Som sökbegrepp får inte användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Vid sökning bara i ett visst ärende om studiestöd, i en viss handling eller i CSN:s avskilda praxisdatabas får dock sådana sökbegrepp användas. Uppgifter som rör hälsa får också användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

Intern elektronisk tillgång till personuppgifter

CSN ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i CSN:s studiestödsverksamhet. Dessa villkor ska bestämmas så att sådan tillgång begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Den faktiska elektroniska tillgången till personuppgifter som sker ska dokumenteras, t.ex. i en logg (behandlingshistorik). Dokumentationen ska avse alla former av elektronisk tillgång som förekommit till personuppgifterna. CSN ska vidare genomföra systematiska och återkommande kontroller av om obehörig åtkomst till personuppgifterna förekommit.

I studiestödsdataförordningen finns det preciserande bestämmelser om att direkt elektronisk tillgång till personuppgifter, som normalt sett inte behövs för återbetalning eller återkrav av studiestöd, i ett ärende om studiestöd ska begränsas till ett fåtal personer senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. Behövs personuppgifterna för ett nytt ärende om studiestöd, ska begränsningen få upphävas. Avsikten är att gamla ärenden ska avföras till en särskild arkivdatabas med begränsad direkt elektronisk tillgång.

Direktåtkomst och annat elektroniskt utlämnande av personuppgifter

Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna om tillåtna ändamål m.m. och sökbegrepp följs. När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på annat sätt lämnas ut elektroniskt till denne, t.ex. via epost. Enstaka personuppgifter ska också alltid få lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation, t.ex. epost, i enskilda fall om sekretess inte hindrar det. Dessutom får CSN lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst i den utsträckning det behövs för att annan ska kunna lämna ut personuppgifter elektroniskt till CSN, t.ex. via direktåtkomst.

Författningsstöd för vissa viktigare fall av tillåtet elektroniskt utlämnande, motsvarande vad som förekommer i dag, anges redan i studiestödsdatalagen och studiestödsdataförordningen. Det gäller bl.a. elektroniskt utlämnande till den registrerade själv, Försäkringskassan, arbetslöshetskassor, Riksrevisionen och läroanstalter som lämnat uppgifter till CSN.

Gallring

I studiestödsdatalagen finns det vissa gallringsföreskrifter. Personuppgifter i ett ärende om studiestöd som kan ha betydelse i ett nytt ärende om studiestöd behöver dock aldrig gallras (förstöras eller avidentifieras) förrän de inte längre kan ha sådan betydelse. CSN får också i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium.

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet i stället gallras senast

tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs.

Personuppgifter som behandlas för att förbereda handläggningen av ärenden ska i den utsträckning de inte tillförts ett ärende om studiestöd gallras senast ett år efter det att uppgifterna registrerades.

Riksarkivet får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål samt för redovisningsändamål.

Författningsförslag

1. Förslag till studiestödsdatalag

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet.

Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får utom i fall som avses i 5 § utföras även om den registrerade motsätter sig behandlingen.

Förhållandet till personuppgiftslagen och lagen om den officiella statistiken

2 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, om inte annat följer av denna lag.

I fråga om Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik gäller bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar i stället för denna lag.

Personuppgiftsansvar

3 § Centrala studiestödsnämnden är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.

Ändamål

4 § Personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet förutom med den registrerades samtycke bara om behandlingen behövs för att

1. handlägga ärenden i den verksamheten,

2. administrera handläggningen,

3. i den utsträckning regeringen föreskriver det förbereda handläggningen,

4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner,

5. ta fram och till studerande distribuera bevis om studier med studiestöd, eller

6. om sekretess inte hindrar det anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

Personuppgifter som behandlas enligt första stycket får dock om sekretess inte hindrar det lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas avskilt för att återsöka vägledande avgöranden.

Regeringen får meddela föreskrifter om begränsningar av ändamålen i första stycket och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

5 § Behandling för ändamål som avses i 4 § första stycket 4 och 5 får utföras bara om den registrerade inte har motsatt sig behandlingen. Centrala studiestödsnämnden ska informera de registrerade om rätten att motsätta sig behandlingen.

6 § I de fall då behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke har den registrerade rätt att när

som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

Behandling av känsliga personuppgifter m.m.

7 § Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får förutom med den registrerades uttryckliga samtycke behandlas bara i enlighet med 4 § första stycket 1 om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter får dock också behandlas i enlighet med 4 § första stycket 6 och andra stycket.

Sökbegrepp

8 § Som sökbegrepp får inte användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Vid sökning bara i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sådana sökbegrepp användas. Uppgifter som rör hälsa får också användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

Intern elektronisk tillgång till personuppgifter

9 § Centrala studiestödsnämnden ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i nämndens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten.

Centrala studiestödsnämnden ska se till att elektronisk tillgång till personuppgifter dokumenteras och genomföra systematiska och återkommande kontroller av om obehörig åtkomst till uppgifterna förekommit.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång enligt första stycket och om dokumentation och kontroll enligt andra stycket.

Direktåtkomst och annat elektroniskt utlämnande av personuppgifter

10 § Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna i 4–6 och 8 §§ följs.

11 § Försäkringskassan och arbetslöshetskassorna får i den utsträckning uppgiftsskyldighet följer av lag eller förordning ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst.

12 § Den registrerade får i den utsträckning sekretess inte hindrar det ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, om uppgifterna

1. avser honom eller henne själv,

2. finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, eller

3. avser dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter.

13 § När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på annat sätt lämnas ut elektroniskt till denne. Enstaka personuppgifter får även i andra fall lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall om sekretess inte hindrar det.

14 § På begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling.

Rättelse och skadestånd

15 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag.

Gallring

16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska i den utsträckning de inte tillförts ett ärende om studiestöd gallras senast ett år efter det att uppgifterna registrerades.

Trots första stycket får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Centrala studiestödsnämnden får också trots första stycket i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium.

1. Denna lag träder i kraft den 1 januari 2009.

2. Bestämmelserna i 16 § ska inte börja tillämpas förrän den 1 januari 2010.

2. Förslag till studiestödsdataförordning

Härigenom föreskrivs följande.

Inledande bestämmelse

1 § I denna förordning ges kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av studiestödsdatalagen (0000:000).

Förberedande handläggning

2 § Centrala studiestödsnämnden får behandla personuppgifter för att förbereda handläggningen av

1. ärenden om studiehjälp för personer som fyller 16 år och för första gången skulle kunna få studiehjälp, och

2. ärenden om studiemedel för personer som antagits till en utbildning som berättigar till studiemedel.

3 § Behandlingen av personuppgifter enligt 2 § 1 får endast avse uppgifter om namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, sekretessmarkering, medborgarskap och invandrings- och utvandringsdatum avseende den person som fyller 16 år och uppgifter om namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, sekretessmarkering, medborgarskap, invandrings- och utvandringsdatum och bankkonto avseende den eller de som för den person som fyller 16 år senast mottog allmänt eller förlängt barnbidrag.

Behandlingen av personuppgifter enligt 2 § 2 får endast avse uppgifter om namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, sekretessmarkering, medborgarskap, invandrings- och utvandringsdatum, studieresultat och den utbildning antagningen avser avseende den på utbildningen antagne personen och personnummer alternativt samordningsnummer för den som personen är vårdnadshavare för.

Information om studiestödsförmåner och studiesociala förmåner

4 § För ändamål som anges i 4 § första stycket 4 studiestödsdatalagen (0000:000) får endast uppgifter om namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, medborgarskap, bankkonto och typ av studiestöd behandlas.

Framtagande och distribution av bevis om studier med studiestöd

5 § För ändamål som anges i 4 § första stycket 5 studiestödsdatalagen (0000:000) får endast uppgifter om namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, studietakt, typ av studiestöd och studietid behandlas.

Intern elektronisk tillgång till personuppgifter

6 § Direkt elektronisk tillgång till personuppgifter, som normalt sett inte behövs för återbetalning eller återkrav av studiestöd, i ett ärende om studiestöd ska begränsas till ett fåtal personer senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. Behövs personuppgifterna för ett nytt ärende om studiestöd, får begränsningen upphävas.

Direktåtkomst

7 § Försäkringskassans direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet får enbart avse uppgifter om personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, utbetalat studiestödsbelopp per viss tidsperiod, beviljat studiestöd per viss tidsperiod och typ av studiestöd.

8 § Arbetslöshetskassornas direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet får enbart avse uppgifter enligt 23 § förordningen (1997:835) om

arbetslöshetsförsäkring och av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer.

9 § En läroanstalt får ha direktåtkomst till de personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet som läroanstalten själv lämnat till Centrala studiestödsnämnden och till anknytande uppgifter om av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, namn, sekretessmarkering och att Centrala studiestödsnämnden beslutat eller sänt meddelande till parten i ärendet om studiestöd.

10 § Direktåtkomst enligt 7–9 §§ får inte avse personuppgifter till vilka den direkta elektroniska tillgången har begränsats enligt 6 §.

Annat elektroniskt utlämnade

11 § Centrala studiestödsnämnden får lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst enligt följande.

Mottagare Kronofogdemyndigheten

Skatteverket

Bank eller annan betalningsförmedlare

Inkassoföretag

Personuppgifter Namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, referensnummer, skulduppgifter, begärd åtgärd och orsak till återkallelse av ärendet Uppgifter som krävs för att fullgöra skyldigheten att lämna kontrolluppgift enligt lagen (2001:1227) om självdeklarationer och kontrolluppgifter Namn, adress, personnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, samordningsnummer, kontonummer, belopp, utbetalningsdatum och aviseringstext Namn, adress, personnummer, samordningsnummer, av Cen-

Myndighet som begär det eller sådant organ som anges i bilagan till sekretesslagen (1980:100) som begär det

Kommun

Företag som tar fram och till studerande distribuerar bevis om studier med studiestöd

Örebro kommun

trala studiestödsnämnden åsatt särskilt identifikationsnummer, skulduppgifter och begärd åtgärd Namn, adress, den studerandes länskod, kommunkod, läroanstaltens kod, studievägskod, årskurs, läroanstaltens namn, utbildningens namn och läroanstaltens länskod Avseende studerande som fått studiehjälp och som har ansökt om stöd enligt 5 kap. 33 § skollagen (1985:1100): Personnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, samordningsnummer, kommunkod, läroanstaltens kod, studieväg, klass, studietid, tid för studieavbrott och närvaro på läroanstalten samt namn, adress, personnummer och samordningsnummer för betalningsmottagare av studiehjälp Namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, typ av bevis och under vilken tidsperiod den studerande bedriver studier med studiestöd Personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, beviljat belopp i bidrag enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan att utbetala till Örebro kommun för kostnad

för kost, logi och annan service i samband med boendet som kommunen tillhandahåller samt den totala kostnaden för sådant

Centrala studiestödsnämnden får också lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst i den utsträckning det behövs för att annan ska kunna lämna ut personuppgifter elektroniskt till nämnden.

Gallring

12 § Riksarkivet får meddela föreskrifter om att personuppgifter trots bestämmelserna om gallring i 16 § första stycket studiestödsdatalagen (0000:000) får bevaras för historiska, statistiska och vetenskapliga ändamål samt redovisningsändamål.

1. Denna förordning träder i kraft den 1 januari 2009.

2. Bestämmelserna i 6 och 12 §§ ska inte börja tillämpas förrän den 1 januari 2010.

1. Utredningsarbetet och betänkandet

1.1. Utredningsarbetet

Utredningens utredningsdirektiv (dir. 2006:90) finns intaget som bilaga till detta betänkande. Utredningen har enligt tilläggsdirektiv (dir. 2007:44) fått förlängd utredningstid till den 28 september 2007.

Utredningen har haft fyra sammanträden. Vid sammanträdena har utkast till texter till betänkandet gåtts igenom och diskuterats. Härutöver har den särskilda utredaren besökt Centrala studiestödsnämndens kontor i Stockholm och Sundsvall. Syftet med besöken har varit att skaffa sig en bild av hur handläggningsrutinerna ser ut i allmänhet och den datoriserade delen av dessa i synnerhet. Genom besöken fick utredningen en sådan bild både vad avser kärnan i den operativa verksamheten (Stockholm) och den handläggning som sker på kontoret med ledningsfunktionerna (Sundsvall).

Vissa underhandskontakter har förekommit med 2005 års informationsutbytesutredning (Fi 2005:08) och Delegationen mot felaktiga utbetalningar, FUT-delegationen (Fi 2005:03).

Utredaren har under utredningsarbetets gång berett Landsorganisationen i Sverige (LO), Tjänstemännens Centralorganisation (TCO), Sametinget och Socialstyrelsens institut för särskilt utbildningsstöd (SISUS) tillfälle att komma in med synpunkter på utkast till vissa texter.

Sveriges förenade studentkårer (SFS) har beretts tillfälle att komma in med synpunkter på utredningsuppdraget. SFS har härvid hämtat in underlag från sina medlemskårer.

1.2. Betänkandet

Utredningen redovisar sitt uppdrag i detta betänkande. Betänkandet är uppdelat i två delar, en del med bakgrundsinformation och en del med överväganden och förslag.

Utredningen har enligt utredningsdirektiven för det första att kartlägga och granska regleringen och användningen av personregister och annan behandling av personuppgifter i studiestödsverksamhet. Den kartläggningen och granskningen redovisas i delen med bakgrundsinformation. Bakgrundsdelen inleds med en översiktlig redovisning av den rättsliga regleringen av studiestödssystemet (avsnitt 2). De personuppgifter som enligt den materiella rättsliga regleringen av studiestödet har betydelse för studiestöd behöver myndigheterna och organisationerna på området nämligen behandla för sin handläggning av ärenden om studiestöd. Därefter följer ett avsnitt om den rättsliga regleringen av behandlingen av personuppgifter (avsnitt 3), inklusive en redogörelse för begreppet personlig integritet. Sedan kommer ett avsnitt om den behandling av personuppgifter som i dag utförs av myndigheterna och organisationerna inom studiestödsverksamheten (avsnitt 4).

För det andra har utredningen enligt utredningsdirektiven att analysera behovet av särskilda författningsbestämmelser för myndigheternas behandling av personuppgifter och lämna förslag till de författningsbestämmelser som behövs. I delen med överväganden och förslag redovisas den delen av utredningsuppdraget. Övervägandedelen inleds med ett avsnitt som innehåller utredningens analys av behovet av en särskild författningsreglering (avsnitt 5). Analysen utmynnar i att det behövs en särskild reglering i lag av behandlingen av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet men att en sådan reglering inte behövs för övriga aktörer på studiestödsområdet. Resterande del av betänkandet ägnas därför åt utformningen av en sådan lag för behandlingen av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet med anknytande förordning (avsnitt 6), inklusive författningskommentar (avsnitt 9). Utredningens författningsförslag finns samlade i inledningen av betänkandet. Frågan om ikraftträdande av den föreslagna lagstiftningen och eventuella övergångsbestämmelser till den berörs i ett särskilt avsnitt (avsnitt 7). Konsekvenserna av förslagen berörs också i ett särskilt avsnitt (avsnitt 8).

2. Studiestödssystemet

2.1. Inledning

Samhällets stöd till studerande regleras i många olika författningar och ges i flera skilda former. Den mest centrala författningen på studiestödsområdet är studiestödslagen (1999:1395) med tillhörande studiestödsförordning (2000:655). Dessa författningar innehåller bestämmelser om studiehjälp och studiemedel.

Studiehjälp lämnas för studier i gymnasieskolan eller annan gymnasial utbildning till och med vårterminen det år den studerande fyller 20 år. Studiemedel lämnas till studerande på eftergymnasial nivå och till vuxenstuderande på grundskole och gymnasienivå. Studiemedel består av studiebidrag och studielån.

Stödformerna studiehjälp och studiemedel administreras av Centrala studiestödsnämnden (CSN). CSN:s beslut rörande dessa stöd kan överklagas till Överklagandenämnden för studiestöd. Beslut i ärenden om återbetalning av studielån kan överklagas till allmän förvaltningsdomstol.

Systemet med studiehjälp och studiemedel kompletteras av andra stödformer som riktar sig till särskilda grupper och som regleras i andra författningar.

Regeringens förordning (CSNFS 1983:17) om bidrag till utlandsstuderande för dagliga resor ger möjlighet för svenska medborgare som har rätt till studiehjälp för studier utom riket att få bidrag för resor.

Bidrag vid studier kan vidare lämnas enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan – s.k. Rg-bidrag – och enligt förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar – s.k. TUFF-ersättning.

Även de nu nämnda stödformerna administreras av CSN. Besluten får inte överklagas.

Även privaträttsliga subjekt har viss roll på studiestödsområdet. Korttidsbidrag kan enligt förordningen (2001:362) om bidrag vid korttidsstudier lämnas vid studier av mindre omfattning och för studier om eget eller närståendes funktionshinder. Bidraget administreras av Landsorganisationen i Sverige (LO), Tjänstemännens Centralorganisation (TCO), Socialstyrelsens institut för särskilt utbildningsstöd och Sametinget. Beslut rörande bidraget kan överklagas till Överklagandenämnden för studiestöd.

När utredningen i det följande talar om studiestöd avses de stödformer som nu nämnts (studiehjälp, studiemedel, bidrag till utlandsstuderande för dagliga resor, Rg-bidrag, TUFF-ersättning och korttidsbidrag) och där det framgår av sammanhanget även de utmönstrade former av stöd som fortfarande kräver CSN:s handläggning.

Till och med den 31 december 2006 kunde rekryteringsbidrag enligt lagen (2002:624) om rekryteringsbidrag till vuxenstuderande lämnas under högst ett år vid studier t.o.m. den 31 december 2007 på grundskole- eller gymnasienivå. Ytterligare bestämmelser om bidraget fanns i förordningen (2002:744) om rekryteringsbidrag till vuxenstuderande. Både kommunerna och CSN var inblandade i administrationen av rekryteringsbidrag.

Det finns även andra stödformer som har viss bäring på studier, t.ex. stöd enligt förordningen (2000:521) om statligt stöd till kompletterande utbildningar och förordningen (1996:1100) om aktivitetsstöd. Det finns även en stödform som hanteras av CSN men som inte har koppling till studier; stöd enligt förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar. Sådana andra stödformer – och den behandling av personuppgifter som därvid kan förekomma – kan inte anses omfattade av utredningens uppdrag och berörs inte vidare i detta betänkande.

2.2. Studiehjälp

2.2.1. Inledning

Studiehjälpen är den näst största stödformen räknat i utbetalat stöd per år (cirka 3,7 miljarder kronor i utbetalat stöd för år 2006). Studiehjälpen syftar till att ge alla, oberoende av social och ekonomisk bakgrund och oavsett bostadsort, möjlighet att få den utbildning

som man har förutsättningar och intresse för. Studiehjälpen är också en del av stödet till barnfamiljerna och ska bidra till att kompensera för de kostnader som är förknippade med barnens utbildning.

Det allmänna barnbidraget betalas ut till och med det kvartal då barnet fyller 16 år. Därefter betalas förlängt barnbidrag så länge barnet studerar i grundskolan. Studiehjälp, som tar vid om barnet studerar efter grundskolan, kommer huvudsakligen i fråga från och med kvartalet närmast efter det att den studerande har fyllt 16 år till och med vårterminen det år denne fyller 20 år. För att studiehjälp ska betalas fordras att den aktuella utbildningen och läroanstalten enligt regeringens förordnande omfattas av rätt till studiehjälp. Studierna ska, för att vara stödberättigande, i princip bedrivas på heltid. Med vissa undantag gäller som ytterligare krav för studiehjälp att den studerande ska vara svensk medborgare eller därmed jämställd alternativt att denne har permanent uppehållstillstånd och bor i riket samt har bosatt sig här i huvudsakligen annat syfte än att genomgå utbildning här.

Det ovan angivna syftet med studiehjälpen realiseras genom studiehjälpens tre delar: studiebidrag, extra tillägg och inackorderingstillägg. Härutöver kan ersättning beviljas för vissa dagliga resor för utlandsstuderande. Denna ersättningsform bör systematiskt hänföras till studiehjälpen.

Studiehjälp kan betalas även vid den studerandes sjukdom. Likaså kan studiehjälp betalas om den studerande inte kan studera på grund av barns eller annan nära anhörigs sjukdom. Studieoförmåga på grund av egen eller anhörigs sjukdom ska på begäran kunna styrkas. För det fall läroanstalten anser att den studerande inte har kunnat fullgöra sin bevisbörda avseende studieoförmåga ska detta rapporteras till CSN.

För det fall den studerandes uppehälle helt eller till väsentlig del bekostas av staten eller av en kommun gäller särskilda bestämmelser om minskning av studiehjälpen. CSN har även i samråd med Kriminalvården meddelat närmare föreskrifter om studiehjälp för studerande som är föremål för kriminalvård. Studiehjälp kan inte beviljas för studier inom kriminalvårdsanstalt eller för studier som ges på ungdomshem (s.k. §12-hem). En studerande som är intagen i kriminalvårdsanstalt och som studerar utanför anstalten kan få studiehjälp med viss reduktion. Studiebidraget reduceras dock inte.

För omyndiga betalas studiehjälpen ut till vårdnadshavare. Studiehjälpen kan också betalas ut till förvaltare eller, vid särskilda

skäl, till en socialnämnd eller någon annan för att användas till den omyndiges utbildning och uppehälle.

För det fall studiehjälp har utbetalats till någon som inte har haft rätt till det, ska CSN återkräva studiehjälpen. Återkrävd studiehjälp ska genast betalas tillbaka. Vid utgången av det år när återbetalningsgäldenären fyller 67 år, eller om han eller hon dessförinnan har avlidit, skrivs kvarstående krav av.

2.2.2. Studiebidrag

Studiebidrag betalas till alla bidragsberättigade utan att någon ansökan behöver göras. Läroanstalter har nämligen ålagts en rapporteringsskyldighet gentemot CSN avseende vilka elever som deltar i undervisningen. Någon behovsprövning eller motsvarande görs inte. Studiebidraget är 1 050 kr per månad, 2 kap. 7 § studiestödslagen.

Antalet studiebidragsberättigade har ökat något beroende på befolkningsökningen. Under läsåret 2005/2006 fick drygt 360 000 studerande studiebidrag, vilket var omkring 10 000 fler än närmast föregående läsår.

2.2.3. Extra tillägg

Det extra tillägget har bl.a. till syfte att öka möjligheterna för studerande i hushåll med dåliga ekonomiska förutsättningar att studera. Behovet av stöd bedöms genom att man räknar fram ett ekonomiskt underlag. Vid beräkningen av detta underlag beaktas både föräldrarnas och den studerandes ekonomiska förhållanden. Extra tillägg betalas bara efter ansökan om det. Den som är myndig får själv göra ansökan, medan förmyndaren får göra ansökan för underåriga. Det extra tillägget är 285, 570 eller 855 kr per månad beroende på det ekonomiska underlagets storlek. Tilläggsbeloppens storlek är fastställda genom 2 kap. 7 § studiestödslagen.

Extra tillägg har minskat något de tre senaste åren, räknat både i antal berättigade och i totalt utbetalat belopp. Under läsåret 2005/2006 fick drygt 10 000 studerande extra tillägg.

2.2.4. Inackorderingstillägg

Inackorderingstillägget syftar till att utjämna de ekonomiska skillnaderna som uppstår mellan elever som studerar på hemorten och elever som tillfälligt måste bosätta sig på skolorten för att gå den utbildning de valt. Rätten till inackorderingstillägg är beroende av bl.a. avståndet mellan föräldrahemmet och skolan samt restiden. Någon ekonomisk behovsprövning sker inte. Inackorderingstillägg betalas bara efter ansökan om det. Inackorderingstilläggets storlek är till sina yttre ramar bestämd genom 2 kap. 7 § studiestödslagen (1 190 upp till 2 350 kr per månad). Efter bemyndigande av regeringen har CSN meddelat mer detaljerade föreskrifter om inackorderingstillägget.

Kostnaderna för inackorderingstillägg har ökat något de tre senaste åren. Under läsåret 2005/2006 fick drygt 7 000 studerande inackorderingstilllägg, vilket var omkring 1 000 fler än närmast föregående läsår.

2.2.5. Dagliga resor

Enligt regeringens förordning (CSNFS 1983:17) om bidrag till utlandsstuderande för dagliga resor kan sådant bidrag beviljas svensk medborgare som har rätt till studiehjälp för studier utom riket. Bidraget motsvarar i princip kostnaderna för att ta sig mellan bostaden och skolan, om detta avstånd överstiger sex kilometer. Bidrag lämnas bara efter ansökan.

Bidrag för dagliga resor är en marginell företeelse och har under de tre senaste åren omfattat cirka 20 studerande per år.

2.3. Studiemedel

2.3.1. Inledning

Studiemedel är den största stödformen räknat i utbetalat stöd (cirka 18 miljarder kronor år 2006) och kan betalas till studerande till och med det kalenderår denne fyller 54 år. Syftet med studiemedel är att minska betydelsen av de studerandes sociala, ekonomiska och geografiska bakgrund samt att bidra till ett högt deltagande i utbildning. Studiemedlen är behovsprövade såtillvida att inkomster som överstiger ett visst belopp (fribeloppet) reducerar

studiemedlen. Studiemedel betalas bara ut efter ansökan, som i vissa fall kan göras elektroniskt.

1

Rätten till studiemedel förutsätter i princip att den berättigade studerar och att skötsamhet har iakttagits såvitt avser återbetalning av tidigare studielån och eventuella återkrav. Studiemedel kan beviljas också för studier utomlands. Med vissa undantag gäller som krav för att vara berättigad till studiemedel att den studerande är svensk medborgare eller därmed jämställd alternativt att denne har permanent uppehållstillstånd och bor i riket samt har bosatt sig här i huvudsakligen annat syfte än att genomgå utbildning här.

Studiemedel består dels av studiebidrag och i förekommande fall tilläggsbidrag, dels av studielån och i förekommande fall tilläggslån och s.k. merkostnadslån.

Det sker viss samordning av studiemedel i förhållande till andra förmåner. Studiemedel får exempelvis inte betalas när den studerande får studiehjälp, sjukersättning, aktivitetsersättning eller rehabiliteringsersättning.

Vid sjukdom kan studiemedel betalas, trots att inga studier bedrivs. Motsvarande gäller vid vård av barn eller annan närstående. Sjukdom kan också under vissa förutsättningar medföra avskrivning av studielån.

För studerande som är intagna i kriminalvårdsanstalt eller vars uppehälle helt eller delvis betalas av staten gäller särskilda villkor för studiemedel.

För det fall studiemedel har betalats till en studerande som inte har haft rätt till det, ska CSN återkräva medlen. Återkrävda medel ska genast betalas tillbaka. Vid utgången av det år återbetalningsgäldenären fyller 67 år, eller om han eller hon dessförinnan har avlidit, skrivs kvarstående krav av.

2.3.2. Studiebidrag

Studiebidraget är skattefritt. Det finns två olika bidragsnivåer; en generell nivå och en högre nivå. Den högre nivån kan komma i fråga om den studerande har fyllt 25 år och studierna gäller utbildning på grundskole- eller gymnasienivå och i vissa fall på högskole-

1

Se förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel och

15 kap. 2 a § Centrala studiestödsnämndens föreskrifter och allmänna råd (CSNFS 2001:1) om beviljning av studiemedel.

nivå. Studiebidraget är pensionsgrundande för studerande bosatta i Sverige.

2.3.3. Tilläggsbidrag

Studerande som har vårdnaden om barn kan få tilläggsbidrag för varje barn till och med det kalenderår barnet fyller 18 år. Även tilläggsbidraget är skattefritt, och det påverkar inte heller andra bidrag som exempelvis bostadsbidrag.

2.3.4. Studielån

Studiebidraget kan kompletteras med studielån. Studielånet ska återbetalas.

Villkoren för återbetalning av studielånet är olika beroende på vid vilken tid som lånet har upptagits. De moderna reglerna om återbetalning av studielån började gälla den 1 januari 1965. Reglerna förändrades den 1 januari 1989 och den 30 juni 2001. Återbetalning sker sålunda enligt tre parallella återbetalningssystem. De olika systemen skiljer sig åt bl.a. vad avser ränteuppräkning av lån, återbetalningstidens längd och återbetalningsbeloppets storlek. En låntagare kan begära att ett äldre lån ska läggas om så att det handläggs enligt villkoren för ett senare återbetalningssystem.

För lån som tagits före 1989 gäller att skulden varje år räknas upp med ett regleringstal. Återbetalningstidens längd beror på skuldens storlek samt på hur gammal låntagaren är när han eller hon börjar betala tillbaka på lånet. Den årliga avgiften som låntagaren ska betala baseras på skuldens storlek och på antalet återbetalningsår.

För lån som tagits mellan 1989 och den 30 juni 2001 gäller att återbetalningen är anpassad till låntagarens inkomstsituation. Syftet med den regleringen var bl.a. att förenkla reglerna och göra dem mer rättvisa. Det årliga belopp som ska återbetalas är i princip fyra procent av årsinkomsten. Skulden räknas upp med en viss ränta som för 2007 är 2,1 procent.

2

Räntan fastställer regeringen varje år.

Den beräknas på ett genomsnitt av statens upplåningskostnad under de tre senaste åren. Låntagaren kan inte göra skatteavdrag för räntekostnaden.

2

Se förordningen (2006:1458) om ränta på studielån för 2007.

Enligt återbetalningsreglerna avseende lån som tagits efter den 30 juni 2001 gäller som huvudregel att lånet ska återbetalas under 25 år. Återbetalningsskyldigheten inträder vid årsskiftet närmast efter det att studierna har avslutats. Till skulden läggs en ränta som beräknas på samma sätt som räntan på lån tagna mellan 1989 och den 30 juni 2001. Det finns inbyggda trygghetsregler i återbetalningssystemet som gör det möjligt att efter ansökan om det ta hänsyn till den enskildes betalningsförmåga.

Låntagaren är skyldig att lämna uppgifter som är av betydelse för tilllämpningen av återbetalningsreglerna till CSN. CSN hämtar även i detta syfte uppgifter från Skatteverket och Försäkringskassan.

Innan de moderna reglerna om återbetalning av studielån började gälla den 1 januari 1965 fanns det andra regler om studielån som i vissa fall fortfarande är tillämpliga. Antalet personer som i dag är berörda av dessa äldre låneformer är av naturliga skäl tämligen lågt. I januari 2007 fanns det 1 176 personer med studielån enligt studiehjälpsreglementet, 4 låntagare med garantilån och 4 låntagare med lån ur allmänna studielånefonden.

2.3.5. Tilläggslån

Tilläggslånet är avsett för studerande som tidigare har haft inkomster från arbete eller näringsverksamhet. Syftet med tilläggslånet är att underlätta övergången från arbete eller näringsverksamhet till studier. Återbetalningsvillkoren för tilläggslånet är samma som för det ordinarie studielånet.

2.3.6. Merkostnadslån

Merkostnadslånet är ett kompletterande lån som kan ges för vissa styrkta merkostnader som har samband med studierna. CSN har efter bemyndigande meddelat tämligen detaljerade föreskrifter om för vilka kostnader merkostnadslån kan beviljas. Som exempel på kostnader som berättigar till merkostnadslån kan nämnas kostnader för dubbel bosättning, studieresor och undervisningsavgifter. Återbetalningsvillkoren för merkostnadslånet är samma som för det ordinarie studielånet.

2.4. Rg-bidrag

Enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan kan s.k. Rg-bidrag lämnas till dels döva eller hörselskadade elever, dels svårt rörelsehindrade elever. Rg-bidraget administreras av CSN och kan lämnas till elever som tillfälligt måste bosätta sig på utbildningsorten. Bidrag kan lämnas för kostnader för resor, kost och logi, merkostnader i studierna på grund av funktionshindret och i vissa fall för kostnad för annan service i samband med boendet.

Från och med den 1 juli 2007 kan Rg-bidrag lämnas som ett tilläggsbidrag till studerande från och med det andra kalenderhalvåret det år de fyller 20 år. Tilläggsbidraget lämnas endast till studerande som för samma tid får aktivitetsersättning enligt lagen (1962:381) om allmän försäkring och därför inte har rätt till studiemedel enligt 3 kap. studiestödslagen. Tilläggsbidraget lämnas med ett belopp per månad som motsvarar det studiebidrag som lämnas inom studiehjälpen (för närvarande 1 050 kr per månad).

Om en elev obehörigen har fått Rg-bidrag, ska vad som lämnats för mycket genast återkrävas. Fordran på grund av återkrav bevakas till dess att eleven avlider eller till det år då denne fyller 65 år. Därefter avskrivs fordran.

2.5. TUFF-ersättning

Ersättning för teckenspråksutbildning för vissa föräldrar (s.k. TUFF-ersättning) regleras i förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar. Syftet med ersättningen är att ge föräldrar till barn, som är beroende av teckenspråk för kommunikation, sådana färdigheter i teckenspråk att de kan främja sitt barns utveckling. TUFF-ersättning kan lämnas till föräldrar som deltar i teckenspråksutbildning som det lämnas statsbidrag för. Den som på grund av deltagande i sådan utbildning förlorar arbetsförtjänst eller motsvarande har rätt till ersättning med visst belopp. Även resekostnadsersättning kan lämnas.

TUFF-ersättning administreras av CSN. Om någon fått för mycket ersättning, ska detta belopp genast återkrävas.

2.6. Korttidsbidrag

Förutsättningarna för att bevilja korttidsbidrag anges för närvarande i förordningen (2001:362) om bidrag vid korttidsstudier.

3

Bidrag kan lämnas till den som bedriver studier i mindre omfattning på grundskole- eller gymnasienivå, den som bedriver studier i mindre omfattning om funktionshinder och den som bedriver studier i vuxenutbildning för utvecklingsstörda (särvux).

Syftet med bidraget till studerande på grundskole- och gymnasienivå är att rekrytera personer med kort tidigare utbildning till studier i mindre omfattning och att stimulera till fortsatta studier. Syftet med bidraget för studier om funktionshinder är att öka kunskapen om det egna funktionshindret och förbättra funktionshindrades möjligheter att ta del av samhällslivet som andra.

Bidraget administreras av Landsorganisationen i Sverige (LO) eller Tjänstemännens Centralorganisation (TCO)

4

förutom när det

gäller bidrag som avser alfabetisering i samiska eller studier med anknytning till funktionshinder och särvux då i stället Sametinget respektive Socialstyrelsens institut för särskilt utbildningsstöd (SISUS) administrerar bidraget.

Viss samordning mellan förmåner sker. Korttidsbidrag får t.ex. inte lämnas för den tid för vilken det lämnas studiemedel.

Bidrag får lämnas även för tid då den studerande på grund av sjukdom inte har deltagit i studierna. Studieoförmågan måste styrkas genom intyg.

Om någon felaktigt fått för mycket korttidsbidrag, ska beloppet återkrävas. Fordran på grund av återkrav bevakas till dess att eleven avlider eller till utgången av det år då gäldenären fyller 67 år. Därefter avskrivs fordran.

Det statliga anslaget för korttidsbidrag uppgår för 2007 till cirka 63 miljoner kronor. Anslaget fördelar sig mellan aktörerna på området på följande sätt:

LO 42 550 000 kr TCO 7 651 000 kr Sametinget 500 000 kr Socialstyrelsen 12 675 000 kr Summa 63 376 000 kr

3

Se också prop. 2000/01:107.

4

Se 8 § lagen (1976:1046) om överlämnande av förvaltningsuppgifter inom Utbildnings-

departementets verksamhetsområde.

Följande antal studerande har år 2006 fått korttidsbidrag:

LO 8 773 TCO 4 086 SISUS 262 Sametinget 89 Summa 13 210

I en remisspromemoria från Regeringskansliet har det nyligen föreslagits förändringar i fråga om korttidsbidraget.

5

Förordningen om

bidrag vid korttidsstudier föreslås upphöra att gälla vid utgången av 2007. Studerande som före denna tidpunkt har beviljats bidrag och påbörjat korttidsstudier och således inrättat sig efter detta, bör enligt förslaget få behålla bidraget även till den del som det lämnas för studier efter utgången av 2007, dock längst till och med den 30 juni 2008. Bidrag för studier i mindre omfattning om funktionshinder, studier på grundskole- eller gymnasienivå som är särskilt anpassade för personer med funktionshinder samt studier inom särvux och alfabetisering i samiska föreslås fortfarande kunna lämnas enligt nya bestämmelser i två särskilda statsbidragsförordningar. De föreslagna statsbidragsförordningarna överensstämmer till sitt innehåll i huvudsak med motsvarande delar i den nu gällande förordningen om bidrag vid korttidsstudier. Det ska dock framhållas att det föreslagits att besluten av de berörda myndigheterna (SISUS) och Sametinget inte längre ska få överklagas. Sammantaget innebär de föreslagna förändringarna att studiestöd för korttidsstudier alltjämt kommer att handläggas av SISUS och Sametinget men att LO:s och TCO:s administration av denna stödform upphör.

2.7. Utmönstrade stödformer

2.7.1. Inledning

Samhällets stöd till studerande tar sig olika uttryck över tiden. Stödformer kommer och går. Relativt nyligen har rekryteringsbidrag, som omnämns i utredningsdirektiven, utmönstrats som stödform. Det finns även andra, äldre upphävda stödformer såsom

5

Se remisspromemorian Bidrag vid korttidsstudier 2007-04-18, U2007/3143/SV.

särskilt utbildningsbidrag (UBS), särskilt vuxenstudiestöd (svux) och särskilt vuxenstudiestöd för arbetslösa (svuxa). Även utmönstrade stödformer kräver ibland behandling av personuppgifter, t.ex. i form av lagring av arkiverade ärenden. Viss aktiv behandling av personuppgifter krävs även för utmönstrade stödformer, eftersom det finns regler om återkrav av felaktigt utbetalat bidrag och om återbetalning av lån i de fall då stödet har betalats i form av lån.

2.7.2. Rekryteringsbidrag

Rekryteringsbidrag, som nämns i utredningsdirektiven, är en numera upphävd form av stöd. Per den 1 januari 2007 upphävdes lagen (2002:624) om rekryteringsbidrag till vuxenstuderande och förordningen (2002:744) om rekryteringsbidrag till vuxenstuderande. Bidragsformen infördes den 1 januari 2003 och syftade till att stimulera personer i åldrarna 25 till 54 år, med tidigare kort utbildning som antingen var eller riskerade att bli arbetslösa eller hade ett funktionshinder, till att utbilda sig. Rekryteringsbidraget avsåg personer som bedömdes ha behov av kompletterande utbildning på grundskole- eller gymnasienivå. Det uttalade syftet med rekryteringsbidraget var att stimulera till fortsatta studier. Som namnet antyder var det i sin helhet fråga om ett bidrag. Bidraget var behovsprövat. Detta bidrag var skattefritt och även pensionsgrundande. Även tilläggsbidrag (se ovan under avsnitt 2.3.3) kunde komma i fråga för studerande med barn. Viss samordning skedde mellan olika bidragsformer. Så kunde t.ex. rekryteringsbidrag inte lämnas om studiemedel eller korttidsbidrag lämnades för perioden.

Prövningen av rätten till rekryteringsbidrag skedde dels av kommunen, dels av CSN. Denna tudelade beslutsbehörighet förutsatte ett nära samarbete mellan kommunerna och CSN. CSN hade därför möjlighet att ge kommunerna direktåtkomst till vissa personuppgifter som lagrats elektroniskt hos CSN. Den bidragsberättigade hade även ålagts en skyldighet att anmäla ändrade förhållanden som kunde påverka bidragsrätten. CSN hade dessutom möjlighet att inhämta viss information från den aktuella skolan. För det fall det skulle komma fram att rekryteringsbidrag har utbetalats felaktigt ska CSN återkräva beloppet.

BAKGRUND

3. Reglering av behandling av personuppgifter

3.1. Inledning

Enligt utredningsdirektiven ska utredningen kartlägga regleringen av personregister och annan behandling av personuppgifter i studiestödsverksamheten.

I detta avsnitt redogörs för generella bestämmelser på nationell och internationell nivå om behandling av personuppgifter som kan ha betydelse för en reglering av behandling av personuppgifter i studiestödsverksamhet. I avsnitt 4 redogörs för specifika bestämmelser om sekretess och inhämtande och utlämnande av personuppgifter som gäller för studiestödsverksamhet.

Eftersom de generella bestämmelserna om behandling av personuppgifter syftar till att skydda mot kränkningar av den personliga integriteten

1

, inleds kapitlet med ett avsnitt om den personliga

integriteten. Därefter följer ett avsnitt om internationella regler, bl.a. EG-direktivet om personuppgifter

2

, och ett avsnitt om

personuppgiftslagen (1998:204). Eftersom utredningen enligt utredningsdirektiven ska analysera behovet av särskilda författningsbestämmelser för behandling av personuppgifter i studiestödsverksamheten, avslutas kapitlet med ett avsnitt om de särskilda registerförfattningar som gäller för andra områden.

1

Jämför t.ex. 2 kap. 3 § andra stycket regeringsformen och 1 § personuppgiftslagen

(1998:204).

2

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för

enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046), kallas i det följande bara EG-direktivet.

3.2. Den personliga integriteten

3

3.2.1. Begreppet personlig integritet

Den personliga integriteten har uppmärksammats i många statliga utredningar och varit föremål för analys även i många andra sammanhang. Det genomgående för dessa överväganden har varit att det alltid visat sig vara svårt att precisera innebörden av begreppet personlig integritet.

Uppfattningen om vad som omfattas av den personliga integriteten varierar mellan olika människor. Det beror i hög grad på den enskildes subjektiva uppfattning om vad denne anser ingå i den rent personliga sfären. Den enskildes uppfattning kan i sin tur påverkas av t.ex. politisk eller religiös övertygelse. Dessutom förändras inställningen till integritet över tiden. Värderingar påverkas mycket av den tidsålder och det samhälle man lever i. När det gäller uppgifter som är personliga kan det också ha betydelse i vilket sammanhang de används om den enskilde uppfattar det som att hans eller hennes integritet har kränkts eller inte.

Det finns en allmän uppfattning i samhället att varje person har ett välgrundat anspråk på att andra personer handlar på ett sådant sätt att hans eller hennes personliga integritet respekteras. Oavsett den exakta definitionen av begreppet personlig integritet finns det en privat sfär som man inte accepterar intrång i. Skyddet för den personliga integriteten uppfattas också som viktigt av de enskilda människor som är berörda. Man skulle kunna tro att människors upplevda obehag av att personuppgifter behandlas i olika sammanhang skulle ha minskat i takt med att användningen av datorer blivit vardagsmat och IT-samhället krupit närmare. Emellertid visar de undersökningar som gjorts att många människor är negativa eller åtminstone tveksamma till att deras personuppgifter används utan att de får reda på det och utan att de har någon möjlighet till inflytande. Människor upplever det som obehagligt att deras personuppgifter flödar fritt utom deras kontroll, oavsett om uppgifterna i någon mening missbrukas eller om de själva har råkat ut för något negativt på grund av att uppgifterna använts.

4

3

Framställningen bygger på den som finns i t.ex. SOU 2004:6 s. 27 ff. och SOU 2002:2 s.

138 ff.

4

SOU 1997:39 s. 183 f. Se för den senaste undersökningen om allmänhetens attityder till

integritetsskydd SOU 2007:22.

Skyddet för den personliga integriteten anses vidare vara en grundläggande mänsklig rättighet, skyddad genom internationella instrument, nationell lagstiftning, tradition och kultur.

Till grund för stadgandet om värnandet av den enskildes privatliv i 1 kap. 2 § fjärde stycket regeringsformen ligger uppfattningen att grundsatsen om den enskildes rätt till en fredad sektor är av så väsentlig betydelse i en demokratisk stat att den bör komma till allmänt uttryck i grundlag.

5

Det kan dock konstateras att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition av begreppet personlig integritet. Så används t.ex. i 1 kap. 2 § fjärde stycket regeringsformen begreppet ”enskilds privatliv” när den grundläggande ambitionen för det allmänna att skydda den ”personliga integriteten” slås fast, eftersom det senare begreppet ansågs svårbegripligt och svårt att avgränsa.

6

Begreppet finns emellertid sedan år 1989 i

2 kap. 3 § andra stycket regeringsformen.

Oavsett svårigheten att definitivt klarlägga innebörden i begreppet personlig integritet måste man på något sätt ta sig an begreppet i alla sammanhang som rör behandling av personuppgifter och tillämpning av personuppgiftslagen. Det grundläggande syftet med lagstiftningen är skyddet för den personliga integriteten. Man måste därför i vart fall ha en föreställning om begreppets innebörd i allmänhet och dess betydelse för den praktiska tillämpningen i det enskilda fallet.

Personlig integritet kan vara att slippa få vissa personliga uppgifter om sig själv spridda till andra människor. Svårigheten att definiera begreppet positivt har dock lett till att man i stället försökt att identifiera vad som konstituerar en kränkning av den personliga integriteten. En integritetskränkning beskrivs i dessa sammanhang som att förlora kontrollen över sin egen person eller en viss typ av uppgifter om sig själv.

När det gäller frågan om vilka förhållanden som generellt sett anses utgöra intrång i annans personliga integritet hänvisas ofta till en av professorn Stig Strömholm upprättad ”kränkningskatalog”. Som exempel ur denna kan nämnas spridande av förtroliga uppgifter, avslöjande inför offentligheten av annans privata förhållanden, utnyttjande av annans namn eller bild och angrepp på annans heder och ära.

7

5

Prop. 1975/76:209 s. 131.

6

Prop. 1975/76:209 s. 131.

7

SvJT 1971 s. 698 f.

Professorn Peter Seipel delar in försöken att precisera innebörden av begreppet personlig integritet i följande kategorier:

8

a. Sfärteorin

Den enskilde har en innersta sfär, där förhållanden, egenskaper och handlingar inte bör vara kända av andra än den enskilde själv. Utanför denna innersta sfär finns andra sfärer med gradvis avtagande känslighet och med växande anspråk från omvärlden på att information måste vara tillgänglig. b. Datakategoriteorin

Det finns olika kategorier av data som kan känslighetsgraderas. Exempelvis är adressuppgifter, generellt sett, mindre integritetskänsliga än uppgifter om politisk övertygelse. c. Situationsteorin

Det finns inga kategorier av data som à priori kan anses okänsliga från integritetsskyddssynpunkt. Intrångsmöjligheterna hänger helt och hållet samman med i vilken situation uppgifter används, dvs. av vem, för vilket syfte, tillsammans med vilka andra uppgifter osv. d. Äganderättsteorin

Data om individen är individens egendom. Han eller hon måste alltid samtycka till att andra får del av dem. e. Autonomiteorin

Integritetsskyddets kärna består i en rätt att bli lämnad ifred, att själv få avgöra i vilka sammanhang och under vilka förutsättningar man träder i förbindelse med omvärlden, framför allt med myndigheter och andra representanter för samhället. f. Empirteorin

Vad som uppfattas som integritetsintrång måste fastställas på statistisk väg. Man måste således hämta vägledning i undersökningar av det slag som vid flera tillfällen har utförts av Statistiska centralbyrån.

Rätten till personlig integritet är vidare inte absolut, utan från tid till annan föremål för inskränkningar. Skyddet för den personliga integriteten måste avvägas mot andra grundläggande demokratiska rättigheter och värden, t.ex. informationsfriheten och yttrandefriheten.

8

Peter Seipel, Juridik och IT, 8:e uppl. s. 257 f.

Man måste också beakta de helt legitima behov som finns att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det vi lever i. Utgångspunkten var i förarbetena till 1973 års datalag att skyddet för den personliga integriteten inte kan sträcka sig längre än vad som är möjligt med hänsyn till de krav samhällsgemenskapen uppställer. Det förutsattes således att en väl fungerande samhällsorganisation alltid kommer att medföra intrång i enskilda individers personliga integritet. Frågan blir då vad som kan tolereras och vad som går utöver det som är acceptabelt samt vad som är ett otillbörligt intrång i den personliga integriteten och vad som inte är det.

Mot bakgrund härav kan man säga att personers integritet kränks i den mån som det sker ett intrång i deras privata sfär och/eller uppgifter om dem, som det finns rimliga skäl att beteckna som integritetskänsliga, sprids. Dessa uppgifter kan gälla personers egenskaper, uppfattningar eller handlingar. Rättigheten till personlig integritet kan beskrivas som en ”prima facierättighet”. Den är en giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre.

9

3.2.2. Personlig integritet vid automatiserad behandling av personuppgifter

Det klassiska målet för integritetsskyddet i samband med automatiserad behandling av personuppgifter – att få bli lämnad i fred – har enligt vissa fått ett nytt innehåll genom att datakvalitetsfrågor tagit över. Man framhåller härvid vikten av att behandlade uppgifter är korrekta, att uppgifterna används i rätt sammanhang och endast för berättigade ändamål. Fokus är mer inriktat på att informationsbehandlingen håller en hög kvalitet än att individens personuppgifter inte får behandlas.

Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.

9

SOU 1997:39 s. 796 och 801.

Sådana tankegångar kan sägas ligga till grund för de dataskyddsprinciper som utarbetats

10

och som ligger till grund för de s.k. han-

teringsreglerna i personuppgiftslagen.

Att den personliga integriteten skyddas innebär enligt Datalagskommittén att användningen av personuppgifter regleras och begränsas. Enligt dess uppfattning står det klart att en integritetsskyddslagstiftning måste hämma användningen av personuppgifter; ju mera användningen hämmas, desto starkare blir integritetsskyddet. Vilken reglering och begränsning av användningen av personuppgifter som är nödvändig för att skydda den personliga integriteten ansåg kommittén till stora delar vara en fråga som är beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörligt intrång i annans personliga integritet ska så långt som möjligt förebyggas. När personuppgifter som är felaktiga eller missvisande används, kan det få svåra konsekvenser för såväl enskilda som verksamheten i samhället. Då kan det bli fråga om direkt mätbara fysiska eller ekonomiska skador, t.ex. när fel person sätts i fängelse eller fel ben amputeras. Att användningen av personuppgifter leder till sådana skador kan givetvis aldrig accepteras; det är därför ett oeftergivligt krav att de uppgifter som används är riktiga och inte missvisande. Men i övrigt – dvs. när och hur i och för sig korrekta personuppgifter används – utgör regleringen av integritetsskyddet en värderingsfråga.

11

Värderingarna i samhället påverkas bl.a. av hur informationstekniken uppfattas och används. Detta är emellertid ett dynamiskt område där utvecklingen går snabbt. Man kan dock urskilja åtminstone fem aspekter när det gäller hur informationstekniken uppfattas och används: automation, informationshantering, vardagsteknik, kommunikation och konvergens.

12

I datorernas barndom var det automation som stod i fokus. De nya maskinerna utgjorde ett effektivt alternativ till manuell hantering av t.ex. beräkningar, eftersom de kunde automatiserat bearbeta information på ett strukturerat sätt.

I takt med att tekniken för att lagra och återhämta information i datorläsbart format förbättrades ökade intresset för informationshantering. Man kunde nu ha enorma mängder information tillgäng-

10

Se om dessa principer avsnitt 3.3.

11

SOU 1997:39 s. 178 f.

12

Indelningen och begreppsbildningen i denna del har inspirerats av en artikel av Peter Seipel i SOU 2002:112 s. 2132.

lig för datorbehandling, och med rätt struktur och teknik kunde man också lätt finna relevant information.

Ungefär i detta skede – när myndigheter och andra stora organisationer kunde både ha informationen lättillgänglig och bearbeta den automatiserat – ökade oron för intrång i den personliga integriteten och utarbetades som ett svar de s.k. dataskyddsprinciper som ligger bakom EG-direktivet.

Men utvecklingen av informationstekniken och synen på och användningen av den stannade inte där.

Datorer, och därmed tekniken att enkelt lagra och bearbeta information, har för det första blivit ett vardagligt arbetsredskap och var mans egendom, en vardagsteknik.

På senare år har för det andra kommunikation alltmer betonats. Internationella datakommunikationsnätverk, såsom Internet, har utvecklats och fått ett enormt genomslag hos organisationer och enskilda. Dessa nätverk kan användas inte bara för att kommunicera enskilt med anslutna användare utan också som ett lättillgängligt massmedium där vem som helst kan publicera information. Därmed har den grundläggande konflikten mellan integritetsskydd och yttrande- och informationsfrihet blivit akut. Det faktum att så många datorer är sammankopplade i världsomspännande nätverk gör också säkerhetsfrågor akuta.

För det tredje har ett fenomen som brukar benämnas konvergens uppmärksammats på senare år. Olika former av informationsteknik smälter samman alltmer – datorkommunikation, telefon, radio och television m.m. – och informationstekniken kommer in på allt fler områden i vårt vardagsliv – positionsbestämning av vardagsföremål såsom fordon och telefoner, ”intelligenta” kylskåp eller hela hem, inpasseringssystem m.m. Den alltmer utbredda och sammansmälta användningen av informationsteknik i vardagslivet, särskilt i kombination med lagring, bearbetning och kommunikation av den information som framkommer, har inneburit nya möjligheter att kartlägga individer på ett ibland osynligt sätt. Kommunikation i nätverk förutsätter vidare oftast att de datorer som är sändare och mottagare är identifierade på något sätt, t.ex. genom s.k. IP-nummer, vilket gör att kommunikationen i sig kan ge upphov till nya former av personanknuten information som kan sparas och användas för att kartlägga individer.

3.3. Internationella regler

3.3.1. Inledning

I flera utredningsbetänkanden från senare tid finns det redogörelser för internationella regler om behandling av personuppgifter, se t.ex. SOU 2004:6 s. 37 ff. och SOU 2006:18 s. 73 ff. För en närmare redogörelse för reglerna kan hänvisas till dessa framställningar. Här lämnas för sammanhangets skull bara en översiktlig redogörelse för de viktigaste för Sverige bindande internationella reglerna.

13

3.3.2. Europarådet

Artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som numera gäller som svensk lag (SFS 1994:1219), lyder enligt följande:

Artikel 8 – Rätt till skydd för privat- och familjeliv

1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder av det allmänna.

EG-domstolen har ansett att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av EG-direktivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter.

14

13

Framställningen bygger bl.a. på den som finns i de nämnda betänkandena.

14

EG-domstolens dom den 20 maj 2003 i mål nr C-465/00 och C-138/01 och C-139/01, REG 2003 s. I-4989.

Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, den s.k. dataskyddskonventionen. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är alltså bindande för Sverige. Det har beslutats om ändringar i dataskyddskonventionen för att göra det möjligt för Europeiska unionen att ansluta sig. Under år 2001 har Europarådets ministerkommitté antagit ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om dataskyddsmyndigheter och överföring av personuppgifter mellan länder. Den svenska regeringen beslutade den 25 oktober 2001 att underteckna och ratificera tilläggsprotokollet, vilket skedde den 8 november samma år. Till konventionen ansluter en rad rekommendationer som inte är direkt bindande.

Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3). Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11).

Konventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart ska vidta de åtgärder som behövs för att dess nationella lagstiftning ska innehålla dessa grundläggande principer. Dessa grundläggande principer ska garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta ska göra det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna.

Kapitel II innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav innebär bl.a. att uppgifterna ska inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga säker-

hetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vissa ytterligare skyddsåtgärder för registrerade personer föreskrivs (artikel 8). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.

Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet och dylikt (artikel 9). För sådana avvikelser krävs det dock dels att de har stöd i nationell lagstiftning, dels att de utgör en nödvändig åtgärd i ett demokratiskt samhälle för att skydda statens säkerhet, allmän säkerhet, statens monetära intressen eller för att undertrycka brottsliga åtgärder eller för att skydda den registrerade eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m.m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål.

Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.

3.3.3. EG-direktivet

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EG-direktivet). EG-direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av Europarådets dataskyddskonvention. Syftet med EGdirektivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte ska kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.

EG-direktivet är direkt bindande för medlemsstaterna i fråga om det resultat som ska uppnås. EG-direktivet måste införlivas i den nationella lagstiftningen. Medlemsstaterna bestämmer själva på vilket sätt EG-direktivet ska införlivas, men de är därvid starkt

bundna av EG-direktivets innehåll. Medlemsstaterna får inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som gäller enligt EG-direktivet.

EG-direktivet omfattar för det första helt eller delvis automatiserad behandling av personuppgifter. För det andra omfattas också manuell behandling av personuppgifter, om uppgifterna ingår i eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter.

EG-direktivet innehåller en rad grundläggande krav på behandlingen av personuppgifter. All behandling av personuppgifter måste vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligen angivna vid tiden för insamling av uppgifterna och ändamålsangivelsen ska vara särskild och inte alltför allmänt hållen. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen (den s.k. finalitetsprincipen).

Personuppgifter får enligt EG-direktivet behandlas bara i vissa fall. Personuppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas. Vissa särskilda i EGdirektivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller sådana uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I vissa, särskilt angivna, undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, t.ex. när behandling av sådana uppgifter är nödvändig för åtgärder inom hälso- och sjukvård eller liknande. Medlemsstaterna får under förutsättning av lämpliga skyddsåtgär-

der och av hänsyn till ett viktigt allmänt intresse besluta om andra undantag än som anges i EG-direktivet.

EG-direktivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv, behöver den registeransvarige inte lämna någon information om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med EG-direktivet rättade, utplånade eller blockerade. Om en uppgift rättas ska den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behövs dock inte i de fall där sådan är omöjlig eller förenad med en oproportionerligt stor arbetsinsats. Medlemsstaterna får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.

Till skydd för den registrerade innehåller EG-direktivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder ska den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.

Enligt EG-direktivet ska varje medlemsstat tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av EG-direktivet. I EG-direktivet föreskrivs ett relativt omfattande anmälningsförfarande till tillsynsmyndigheten när det gäller helt eller delvis automatiserad behandling av personuppgifter. Undantag från anmälningsplikt får dock föreskrivas under vissa förutsättningar.

EG-direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsstaterna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför EU eller EES (tredje land), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får

avgöras med hänsyn tagen till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen. I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen.

EG-direktivet skulle vara införlivat i medlemsländernas nationella lagstiftningar senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tidpunkten, skulle denna bringas i överensstämmelse med EG-direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år.

3.4. Personuppgiftslagen

15

Personuppgiftslagen (1998:204), som trädde i kraft den 24 oktober 1998, genomför EG-direktivet i Sverige.

Lagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter och dessutom på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Personuppgiftslagen är dock subsidiär i den meningen att avvikande bestämmelser i någon annan lag eller i en förordning tar över bestämmelserna i personuppgiftslagen (2 §).

Tillämpningsområdet för personuppgiftslagen har begränsats genom en rad bestämmelser. Lagen omfattar inte sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges det också att lagen inte heller ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tilllämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen (8 § första stycket). Andra undantag i fråga om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket). Vidare gäller vissa undantag från

15

Framställningen bygger bl.a. på den som finns i SOU 2006:82 s. 123 ff.

tillämpning av personuppgiftslagen som tar sikte på arkivering av handlingar (8 § andra stycket). Från och med den 1 januari 2007 gäller slutligen undantag för behandling av personuppgifter i ostrukturerat material (5 a §). Undantag görs från de allra flesta bestämmelserna i lagen för behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. För sådan behandling gäller i stället att den inte får utföras, om den innebär en kränkning av den registrerades personliga integritet

Personuppgiftslagen innehåller i 3 § en rad definitioner av olika begrepp som används i lagen. Med behandling (av personuppgifter) avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Den registrerade är den som en personuppgift avser. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Tredje land är en stat som varken ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

I personuppgiftslagen åläggs den personuppgiftsansvarige att upprätthålla vissa grundläggande krav på behandlingen av personuppgifter (9 §). Personuppgifter ska behandlas bara om det är lagligt. Behandlingen ska alltid ske på ett korrekt sätt och i enlighet med god sed. Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (den s.k. finalitetsprincipen). En behandling för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Personuppgifter som behandlas ska vara adekvata och relevanta i

förhållande till ändamålet med behandlingen. Fler personuppgifter än som är nödvändigt med hänsyn till behandlingen får inte behandlas. De personuppgifter som behandlas ska vara riktiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ursprungliga ändamålen med behandlingen, om det inte behövs för historiska, statistiska eller vetenskapliga ändamål. Myndigheternas arkivering och bevarande av allmänna handlingar hindras dock inte av lagen. Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får enligt huvudregeln användas för att vidta åtgärder i fråga om den registrerade bara om de registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.

I personuppgiftslagen anges det vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Minst en av dessa förutsättningar måste alltså finnas för att en behandling ska vara tillåten enligt lagen. Den inledande av de alternativa förutsättningarna är att den registrerade har lämnat samtycke till behandlingen. Finns det inte något samtycke, kan en behandling vara tillåten om den är nödvändig för ett antal uppräknade syften. Är en behandling nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, så kan den vara tillåten. En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, för att vitala intressen för den registrerade ska kunna skyddas eller för att en arbetsuppgift av allmänt intresse ska kunna utföras. Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen kan en behandling vara tillåten om den är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

För vissa slag av personuppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Huvudregeln i lagen innebär att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv (13 §). Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.

Det finns emellertid en rad undantag från förbudet mot behandling av känsliga personuppgifter angivna direkt i personuppgiftslagen. Sålunda får sådana uppgifter enligt lagen behandlas med den registrerades uttryckliga samtycke eller när denne offentliggjort uppgifterna på ett tydligt sätt (15 §). Känsliga uppgifter får vidare i vissa fall behandlas om det är nödvändigt för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, om det är nödvändigt för att den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke eller om det är nödvändigt för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras (16 §). Förbudet mot att behandla känsliga personuppgifter gäller inte heller när ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandlar personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Endast om den registrerade uttryckligen har samtyckt till det får dock känsliga personuppgifter lämnas ut till tredje man från en sådan ideell organisation (17 §). Känsliga personuppgifter får vidare behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller om uppgifterna omfattas av sjukvårdssekretess (18 §). Slutligen undantas viss behandling för forsknings- och statistikändamål från förbudet mot behandling av känsliga personuppgifter (19 §).

Regeringen, eller den myndighet som regeringens bestämmer, får om det behövs med hänsyn till ett viktigt allmänt intresse medge ytterligare undantag från förbudet att behandlad känsliga uppgifter (20 §).

Det är enligt personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel

eller administrativa frihetsberövanden (21 §). Regeringen eller den myndighet som regeringen bestämmer får dock besluta om undantag från förbudet.

Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Om uppgifter om en person samlas in från personen själv, ska den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna (23 §). Har uppgifterna samlats in från en annan källa ska den registrerade informeras när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen inte ges förrän uppgifterna lämnas ut för första gången. I de fall uppgifter samlas in från någon annan än den registrerade, krävs det inte att information lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, ska dock information lämnas senast i samband med att så sker (24 §). Finns det i lag eller annan författning särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter behöver inte heller information lämnas då uppgifter samlas in från annan källa än den registrerade.

När information ska lämnas ska den enligt 25 § omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas. Enligt 26 § är den personuppgiftsansvarige härutöver skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter ska skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut, s.k. registerutdrag.

Under förutsättning att uppgifterna inte har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål behöver information dock inte lämnas beträffande personuppgifter som behandlas i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller

som utgör minnesanteckning eller liknande. Undantaget för löpande text som inte fått sin slutliga utformning gäller dock inte om personuppgifterna behandlats under längre tid än ett år. Bestämmelserna om informationsskyldighet gäller inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen eller anknytande föreskrifter ska på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige (28 §). Den sistnämnde kan också vara skyldig att underrätta tredje man till vilken uppgifterna har lämnats ut.

Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige (30 §). Om det i lag eller annan författning finns vissa särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, t.ex. om tystnadsplikt och sekretess, ska dessa tillämpas.

Den personuppgiftsansvarige ska enligt 31 § vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade uppgifterna är.

Det är enligt 33 § förbjudet att utan samtycke från den registrerade föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Frågan om ett land har en adekvat skyddsnivå ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Det finns en rad undantag från förbudet angivna direkt i personuppgiftslagen (34 §). Har den registrerade samtyckt till det får personuppgifter överföras utan hinder av huvudregeln. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention.

Vidare får överföring ske om den är nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, för att ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse ska kunna ingås eller fullgöras, för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade ska kunna skyddas.

Regeringen får meddela föreskrifter om undantag från förbudet för överföring till vissa stater och om att en överföring är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen, eller den myndighet som regeringen bestämmer, får vidare meddela föreskrifter om undantag från förbudet om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Slutligen får regeringen eller den myndighet som regeringen bestämmer besluta om undantag från förbudet i vissa enskilda fall.

Behandling av personuppgifter som är helt eller delvis automatiserad omfattas enligt 36 § personuppgiftslagen av anmälningsskyldighet. Den personuppgiftsansvarige ska göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller serie av sådana behandlingar med samma eller liknande ändamål genomförs. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Anmälningsskyldighet för behandlingar föreligger inte heller om den personuppgiftsansvarige tillsätter ett personuppgiftsombud som anmälts till tillsynsmyndigheten (37 §).

I Sverige har Datainspektionen tilldelats uppgiften att vara tillsynsmyndighet. Med rollen som tillsynsmyndighet följer vissa befogenheter, såsom rätt att få tillgång till behandlade personuppgifter och tillträde till lokaler med anknytning till behandlingen (43 §). Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas (44–47 §§). Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas till länsrätt (51 §).

Den personuppgiftsansvarige ska enligt 48 § ersätta den registrerade för skada och kränkning av den personliga integriteten som en

behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock i den utsträckning det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Den som uppsåtligen eller av grov oaktsamhet gör sig skyldig till vissa förfaranden kan enligt personuppgiftslagen dömas till böter eller fängelse (49 §). Det gäller i vissa fall vid lämnande av osann uppgift i information till den registrerade eller i anmälan eller information till tillsynsmyndigheten. Vidare gäller straffansvaret den som behandlar känsliga personuppgifter m.m. i strid med personuppgiftslagen, för över personuppgifter till tredje land i strid med lagen eller låter bli att göra föreskriven anmälan till tillsynsmyndigheten.

En myndighets beslut i vissa frågor, t.ex. om registerutdrag och rättelse, får överklagas till länsrätt (52 § första stycket). Andra beslut enligt personuppgiftslagen får inte överklagas (53 § första stycket). Vid överklagande till kammarrätten krävs det prövningstillstånd (53 § andra stycket). Bestämmelserna om överklagande gäller dock inte beslut av riksdagen, regeringen eller riksdagens ombudsmän (52 § andra stycket).

3.5. Särskilda registerförfattningar

Personuppgiftslagen genomför som nämnts EG-direktivet i Sverige och uppfyller Sveriges skyldigheter enligt EG-direktivet. Som också nämnts tidigare är personuppgiftslagen emellertid subsidiär i förhållande till annan lagstiftning. Personuppgiftslagen innehåller generella regler som ska tillämpas i hela samhället av både myndigheter och privata organisationer och enskilda, och det förutsattes vid lagens tillkomst att behov av undantag och preciseringar för mer speciella områden liksom tidigare skulle tillgodoses genom särskilda registerförfattningar som tar över bestämmelserna i personuppgiftslagen. Sådan särreglering får dock inte stå i strid med EGdirektivet och Europarådets dataskyddskonvention eller utformas så att Sveriges skyldigheter enligt de nämnda internationella instrumenten inte längre uppfylls.

I Sverige finns det en lång tradition med särskilda registerförfattningar för främst myndighetsregister som kompletterar den generella dataskyddslagstiftningen, tidigare 1973 års datalag och numera personuppgiftslagen. De särskilda registerförfattningarna

4. Behandling av personuppgifter för studiestöd

4.1. Inledning

Inom ramen för de olika myndigheternas och organisationernas verksamhet på studiestödsområdet fordras i vissa fall tämligen omfattande behandling av personuppgifter. De olika myndigheternas och organisationernas behandling av personuppgifter samt relevanta sekretessbestämmelser redovisas nedan.

4.2. Centrala studiestödsnämnden (CSN)

4.2.1. Organisation och verksamhet

Centrala studiestödsnämnden, som bildades år 1964 med namnet Centrala studiehjälpsnämnden, är central förvaltningsmyndighet för studiesociala frågor och dess verksamhet regleras primärt i förordningen (1996:502) med instruktion för Centrala studiestödsnämnden (CSN). På CSN arbetar cirka 1 000 personer. Ledningsfunktionerna finns i Sundsvall. Kärnverksamheten bedrivs på kontor, enheter och ett kundcenter på 13 platser runt om i landet. Därtill finns ett antal serviceställen. De olika kontoren och enheterna har i viss mån olika verksamhetsprofiler såtillvida att vissa mer speciella ärendetyper endast hanteras vid vissa kontor eller enheter. Huvuddelen av handläggning som avser stödformerna studiehjälp och studiemedel, inklusive återbetalning, hanteras vid samtliga kontor.

CSN:s verksamhet berör ett tämligen stort antal människor i den betydelsen att CSN:s datoriserade register omfattar cirka 2,5 miljoner personer. Antalet låntagare beräknades för 2006 vara

omkring 1,4 miljoner, som var skyldiga drygt 176 miljarder kronor.

1

4.2.2. Studiestödets Informationssystem (STIS)

Inom CSN:s studiestödsverksamhet behandlas personuppgifter i ett IT-system som kallas för Studiestödets Informationssystem (STIS).

2

För sin behandling av personuppgifter har CSN ett

personuppgiftsombud, se 3638 §§personuppgiftslagen.

För att på ett ändamålsenligt sätt kunna återsöka inkomna ansökningar och andra handlingar använder sig CSN av elektroniskt dokumenthantering inom ramen för STIS. Detta innebär att inkomna pappershandlingar genom en teknisk process läses in och lagras elektroniskt (skannas). För närvarande lagras de inlästa dokumenten som digitala bilder. CSN har med befintlig teknik ingen möjlighet att göra sökningar i de inlästa dokumenten, och CSN planerar inte heller att göra innehållet i de inlästa dokumenten sökbart. Även om man inte kan göra sökningar i innehållet i ett inläst dokument, så kan man söka efter de dokument som hör till ett visst ärende eller en viss person. E-post och ansökningar som görs elektroniskt lagras inte som bilder utan som text.

Uppgifter om flera olika kategorier av personer behandlas systematiserat i STIS. Såvitt gäller studiestödssystemet registreras uppgifter om följande kategorier av personer i STIS: a. personer som antagits till utbildning b. alla som fyller 16 år och för första gången skulle kunna få

studiehjälp och deras föräldrar c. personer som sökt eller beviljats något av de studiestöd som

CSN hanterar d. personer som tar emot utbetalning av något av de studiestöd

som CSN hanterar e. barn till studerande som sökt eller beviljats tilläggsbidrag f. personer med studieskuld g. personer med återkrav riktat mot sig

1

CSN:s årsredovisning för 2006 s. 55.

2

Det IT-system som i betänkandet benämns STIS kallas internt hos CSN för STIS 2000 och

ersatte ett äldre system som internt kallades STIS. STIS 2000 tillkom i mindre skala 1995 och har därefter byggts på med ytterligare applikationer. Studiemedelshandläggningen implementerades 1996.

Härutöver kan även andra personkategorier omnämnas i de handlingar som finns elektroniskt åtkomliga i STIS.

Datasystemet STIS har tagits i bruk i etapper med start 1995 och innehåller sedan maj 2007 i princip alla de funktioner och personuppgifter som CSN i dag behöver i sin verksamhet för studiestöd. Det finns dock två elektroniska informationsmängder som inte är kopplade till STIS. Hanteringen av Rg-bidrag och TUFFersättning sköts nämligen i dag helt genom lokala register som inte har någon koppling till STIS. Hanteringen av Rg-bidrag kommer dock att omfattas av STIS från maj 2008.

För det fall en handläggare behöver uppgifter från äldre system eller uppgifter som inte längre finns kvar i STIS kan sådana uppgifter ofta hämtas in från ett annat datoriserat system, ArkivSvar, som är tillgängligt för handläggaren via CSN:s intranät.

Som ovan beskrivits läses alla dokument som kommer in till CSN in i ett elektroniskt dokumenthanteringssystem i STIS. Det är möjligt för handläggare på alla CSN-kontor att ta del av alla handlingar som kommit in till CSN och lagrats i STIS utom de handlingar som försetts med åtkomstskydd. Det är en särskild funktion i STIS som innebär att CSN kan lägga en spärr mot åtkomst på vissa handlingar i ett ärende, om det behövs från sekretessynpunkt. Det innebär att handläggarna kan se alla andra handlingar förutom just den som har åtkomstskyddats. Dessutom har alla handläggare på samtliga kontor behörighet att ta del av vad som i övrigt registrerats i STIS med undantag för uppgifter angående personer som har en sekretessmarkering i folkbokföringen. Den enda information som är tillgänglig för handläggarna i dessa fall är personnummer och CSN-nummer. För att få tillgång till personuppgifter avseende studerande med sekretessmarkering eller för att ta del av åtkomstskyddade handlingar krävs det att den aktuella handläggaren har en särskild behörighet. Sådan behörighet är det endast 45 personer som har. Behöriga finns på alla enheter och kontor förutom i Kalmar, Lund, Sundsvall, Örebro och Kiruna.

Anledningen till att samtliga handläggare i princip har tillgång till alla personuppgifter i alla ärenden har uppgetts vara att ärendena normalt inte är geografiskt knutna till vissa kontor eller handläggare, att en och samma handläggare kan handlägga olika stödformer respektive återbetalning och återkrav och att det för handläggningen av en viss ärendetyp (t.ex. återbetalning) kan krävas information om en studerandes andra ärendetyper (t.ex. bevilj-

ning av studiestöd). Med behörigheten att ta del av uppgifter följer dock inte motsvarande behörighet att ändra eller lägga till uppgifter i systemet.

Alla ändringar som handläggare gör i STIS registreras i en särskild journal, en s.k. loggfil.

I STIS registreras en stor mängd personuppgifter. De personuppgifter som registreras kan indelas i följande huvudtyper av informationsgrupper:

Information av huvudsakligen administrativ karaktär

Information av huvudsakligen administrativ karaktär kan t.ex. vara utbetalningsdatum för olika stödformer, uppgift för identifikation av betalningar eller datum för visst beslut. Informationen innehåller inget som typiskt och isolerat sett är av särskilt känslig natur för den enskilde.

Information om enskilds personliga förhållanden

CSN behöver för sin verksamhet registrera ett stort antal uppgifter om enskildas personliga förhållanden. Det kan t.ex. röra sig om kontaktuppgifter, uppgifter om barn och föräldrar, information om sjukdomsperioder, medborgarskap, studietakt, examenstidpunkt, antal grundskoleår som studerats utomlands och antal terminer som studerats på gymnasienivå. I denna grupp av uppgifter återfinns uppgifter som från den enskildes perspektiv är tämligen känsliga.

Information om enskilds ekonomiska förhållanden

I många fall måste CSN registrera uppgifter om de enskildas ekonomiska förhållanden. De uppgifter som härvid registreras är t.ex. utbetalat studiebidrag, årsinkomst (innefattar inkomst av tjänst, kapital och näringsverksamhet) och uppgift om eventuell skuldsanering.

Det är inte bara uppgifter om personer inom studiestödssystemet som registreras i STIS. Det finns även uppgifter om kontaktpersoner på läroanstalterna. Registreringen avseende dessa är

huvudsakligen kontaktuppgifter men även viss ytterligare information om t.ex. deras rätt att lämna uppgifter till CSN enligt 6 kap.9 och 10 §§studiestödsförordningen (2000:655) om de studerande vid läroanstalten. Dessa uppgifter har lämnats av läroanstalterna. Även uppgifter om föräldrar, barn och andra närstående till stödtagare kan förekomma.

Trots att det registreras en stor mängd information i STIS är det i fråga om personuppgifter endast ett internt åsatt s.k. CSN-nummer

3

och i förekommande fall personnumret alternativt samord-

ningsnummer som är sökbara för handläggarna. Genom STIS kan en handläggare alltså inte få fram listor över personer med vissa egenskaper genom att använda olika sökbegrepp. Man kan sålunda inte som handläggare söka fram t.ex. alla personer som bor i visst område även om adress är en uppgift som registreras i STIS.

Ett slags mått på kvaliteten hos CSN:s registreringar i STIS är förekomsten av ärenden rörande registreringen hos Datainspektionen, som är tillsynsmyndighet enligt personuppgiftslagen, och Justitiekanslern, som handlägger anspråk på skadestånd med stöd av 48 § personuppgiftslagen. Vid en sökning i Datainspektionens diarium efter ärenden från och med den 24 oktober 1998 som har rört behandling av personuppgifter hos CSN i dess egenskap av ansvarig myndighet för studiestöd erhölls elva relevanta träffar. Ärendena har rört rätten att få registerutdrag i fyra fall, ITsäkerhet i två fall samt två tillsynsärenden, en förfrågan och två samrådsärenden. Vid motsvarande sökning i Justitiekanslerns diarium erhölls två träffar. I båda fallen tillerkändes klaganden skadestånd enligt datalagen (1973:289) på grund av felaktiga registeruppgifter. Med hänsyn till registreringens omfattning kan antalet ärenden, eller ärendenas karaktär, inte anses anmärkningsvärd.

4.2.3. Sekretess

I ärenden om studiestöd kan det förekomma uppgifter om enskilds både personliga och ekonomiska förhållanden av känslig natur, t.ex. om sjukdom eller annan liknande orsak till studieavbrott eller till nedsättning av förmåga att återbetala studielån. Lagstiftaren har ansett att det finns ett behov av sekretess i sådana ärenden.

4

I 9 kap.

3

CSN-nummer är ett individuellt nummer för varje registrerad studerande eller annan

person som kontaktar CSN. Alla personer som kontaktar CSN tilldelas nämligen ett CSNnummer för att möjliggöra diarieföring..

4

Prop. 1979/80:2 Del A s. 267.

5 § andra stycket sekretesslagen (1980:100) har därför införts en bestämmelse om sekretess i ärenden om studiestöd och rekryteringsbidrag

5

såvitt avser uppgift om enskilds personliga eller

ekonomiska förhållanden. Presumtionen är dock att uppgifterna ska vara offentliga, och sekretess hindrar ett utlämnande av uppgifterna bara när det kan antas att den enskilde lider skada eller men av att uppgiften röjs. Detta s.k. raka skaderekvisit leder till att det stora flertalet uppgifter som förekommer i ärenden om studiestöd och som avser personliga eller ekonomiska förhållanden inte omfattas av sekretess.

6

Såvitt gäller annat än studiestöd under sjuk-

dom eller rekryteringsbidrag under sjukdom gäller sekretessen inte heller beslut i ärendet.

Enligt förarbetena till sekretesslagen avsågs med termen studiestöd studiestöd enligt den då gällande studiestödslagen (1973:349).

7

Det har genom åren sedan sekretesslagen trädde i kraft reglerats olika former av stöd till enskilda för deras studier i andra författningar än 1973 års studiestödslag, som ersatts av 1999 års studiestödslag. Dessa stödformer har inte föranlett ändringar i bestämmelsen i 9 kap. 5 § andra stycket sekretesslagen. Bara i ett fall har införandet av en stödform med anknytning till enskildas studier föranlett en komplettering av den bestämmelsen.

8

Det gällde

rekryteringsbidraget (se avsnitt 2.7.2), en stödform beträffande vilken det särskilt framhölls att den inte inordnades i studiestödssystemet utan på anförda skäl ansågs avse annat än studiestöd.

9

Bestämmelsen i 9 kap. 5 § andra stycket sekretesslagen talar om ärende om ”studiestöd”, och genom förarbetenas hänvisning till då gällande studiestödslag kan den slutsatsen dras att därmed får avses kontant stöd av offentliga medel som utges till enskilda för deras egna studier. CSN administrerar numera några stödformer som inte regleras i nu gällande studiestödslag utan genom förordningar: Rg-bidrag (avsnitt 2.4), TUFF-ersättning (avsnitt 2.5) och bidrag för dagliga resor (avsnitt 2.2.5). Bestämmelsen i 9 kap. 5 § andra stycket sekretesslagen får i dag anses omfatta även uppgifter som behandlas av CSN i ärenden om sådant studiestöd.

I ärenden om Rg-bidrag och TUFF-ersättning förekommer det regelmässigt uppgifter om enskilds hälsa, eftersom stödformerna

5

Sekretess såvitt avser rekryteringsbidrag framgår numera av övergångsbestämmelserna till

en ändring i sekretesslagen, SFS 2006:1450.

6

Prop. 1979/80:2 Del A s. 267.

7

A. st.

8

Se prop. 2002/03:1 Utgiftsområde 15 s. 20 f.

9

Se prop. 2001/02:161 s. 29.

förutsätter att någon är döv eller hörselskadad eller svårt rörelsehindrad. För uppgift om enskilds hälsa gäller numera hos alla myndigheter sekretess enligt 7 kap. 1 § sekretesslagen, om det måste antas att den enskilde eller någon närstående till den enskilde kommer att lida betydande men om uppgiften röjs. Det raka skaderekvisitet har ett kvalificerande moment genom att lokutionen ”betydande men” har valts. Offentlighetspresumtionen är härigenom särskilt stark. Det har också varit avsikten, eftersom bestämmelsen är subsidiärt tillämplig inom hela den offentliga sektorn.

10

Enligt 7 kap. 1 a § sekretesslagen gäller vidare numera hos alla myndigheter sekretess för kontaktuppgifter till en enskild, om det av särskild anledning kan antas att den enskilde eller någon som står honom eller henne nära kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs.

Genom 7 kap. 15 § sekretesslagen har regeringen bemyndigats att för vissa större register besluta att sekretess ska gälla, jämför 1 b § sekretessförordningen (1980:657). Regeringen har dock inte förordnat om sådan sekretess på studiestödsområdet.

Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift om det kan antas att ett utlämnande skulle medföra att personuppgiften behandlas i strid med personuppgiftslagen (1998:204). Bestämmelsen är generellt tillämplig och gäller således även personuppgifter hos CSN, se t.ex. RÅ 2002 ref. 54.

Om en uppgiftsskyldighet följer av lag eller förordning, hindrar inte sekretess att CSN lämnar uppgifter till en annan myndighet eller att en annan myndighet lämnar uppgifter till CSN, se 14 kap. 1 § sekretesslagen.

4.2.4. Gallring

Som ovan angivits (se avsnitt 3.4) får en personuppgift som huvudregel enligt personuppgiftslagen inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, 9 § första stycket i) personuppgiftslagen. Av 8 § andra stycket personuppgiftslagen framgår det dock att bestämmelsen om gallring av personuppgifter inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar, jämför 2 kap. 18 § tryckfrihetsförordningen och 3 § tredje stycket arkivlagen (1990:782). Såvitt avser

10

Prop. 2005/06:161 s. 34.

allmänna handlingar stadgas i stället i 10 § arkivlagen att sådana får gallras. De närmare föreskrifterna om gallring meddelas av Riksarkivet, se 12 och 14 §§arkivförordningen (1991:446). Gallring berörs bl.a. i 2 kap. 1 § Riksarkivets föreskrifter (RA-FS 1991:1) och allmänna råd om arkiv hos statliga myndigheter. Däri anges det att med gallring förstås att förstöra allmänna handlingar eller uppgifter i allmänna handlingar. Förstöring av sådana handlingar eller uppgifter i samband med överföring till annan databärare räknas också som gallring, om överföringen medför informationsförlust, förlust av möjliga informationssammanställningar, förlust av sökmöjligheter eller förlust av möjligheten att fastställa informationens autenticitet.

För CSN:s vidkommande har Riksarkivet meddelat ett antal myndighetsspecifika gallringsföreskrifter på studiestödsområdet.

11

Föreskrifterna anger huvudsakligen vilka handlingar som får gallras och om det krävs någon form av annat bevarande av dem innan gallring får ske, såsom mikrofilmning eller skanning. Dessutom anges det vid vilken tidpunkt gallring får ske om sådan är tillåten. Exempel på handlingar som inte får gallras är svuxa-akter som inte är mikrofilmade om sökanden är född den första eller femtonde dagen i någon månad.

12

Gallringsföreskrifterna innehåller inte bara

regler om hur fysiska handlingar på papper får gallras. Föreskrifterna gäller i förekommande fall även upptagningar för automatisk databehandling. Som exempel på sådan föreskrift kan anges RA-MS (2005:22) varigenom stadgas att ADB-upptagningar avseende registrering av ansökan om och utbetalning av resekostnadsersättning avseende 1 juli 1994 till 30 juni 1995 får gallras år 2006.

Enligt nuvarande studiestödslag kan inte studiemedel beviljas i mer än visst antal veckor. Antalet veckor beror på studieform, 3 kap. 8 § studiestödslagen. I ett ärende om studiestöd kan det sålunda behöva utredas om sökanden tidigare har fått studiemedel och i sådant fall i hur många veckor. Ibland behövs av motsvarande skäl också utredning om sökanden fått vissa upphävda studiestöd. Bland annat mot denna bakgrund har CSN varit försiktig med att gallra uppgifter om tidigare utbetalade studiemedel och andra studiestöd. De äldsta uppgifterna som finns i STIS är från 1995. I viss mån har dock gallring av personuppgifter skett såtillvida att vissa personuppgifter har lagts i en särskild databas (Arkivsvar). Denna

11

RA-MS (1988:26), RA-MS (1988:27), RA-MS (1998:42), RA-MS (2000:17), RA-MS (2005:22) och RA-MS (2005:73).

12

2 § och bilagan till RA-MS (2000:17).

databas är tillgänglig för alla handläggare. Såvitt avser fysiska handlingar gallras de ett år efter det att de har lästs in i det elektroniska dokumenthanteringssystemet.

4.2.5. Inhämtande och utlämnande av personuppgifter

Inledning

STIS har tekniska kopplingar till andra myndigheters och organisationers IT-system. Kopplingarna används för att kontrollera, lämna eller inhämta uppgifter. De huvudsakliga informationsflödena beskrivs i det följande.

I några fall har särskilt reglerats frågan om utlämnande av uppgifter från CSN:s register på medium för automatiserad behandling, 14 kap. 7 § lagen (2001:1227) om självdeklarationer och kontrolluppgifter, 6 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan, 1 b § bostadsbidragsförordningen (1993:739) och 5 § förordningen (1996:1036) om underhållsstöd. Genom förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel har regeringen bemyndigat CSN att meddela föreskrifter om att den som gör elektronisk ansökan får ha direktåtkomst till sådana uppgifter om sig själv som finns hos CSN och som får lämnas ut till honom eller henne. CSN har inte utfärdat några sådana föreskrifter.

Skatteverket

Folkbokföringsdatabasen

Enligt 2 kap. 8 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får en myndighet ha direktåtkomst till Skatteverkets folkbokföringsdatabas såvitt avser bl.a. namn och adress. För att en myndighet ska få ha direktåtkomst till uppgift om en registrerads medborgarskap krävs det enligt samma lagrum att myndigheten som önskar direktåtkomst enligt lag eller förordning får behandla en sådan uppgift.

CSN utnyttjar möjligheten till direktåtkomst såtillvida att i samband med att en person registreras i STIS kontrolleras personuppgifterna mot Skatteverkets folkbokföringsdatabas. De uppgifter som hämtas är bl.a. namn, adress och medborgarskap. Om någon

av dessa uppgifter ändras, får CSN meddelande härom. Om den studerande ansökt om tilläggsbidrag (se avsnitt 2.3.3), hämtar CSN även in uppgifter från Skatteverkets folkbokföringsdatabas om vilka barn som den studerande har vårdnaden om.

CSN hämtar även uppgifter om alla landets 16-åringar från Skatteverket. Denna information används tillsammans med information om vilken förälder (eller annan) som är betalningsmottagare av barnbidraget för att sända ut ett s.k. 16-årsbrev till alla landets 16-åringar eller deras vårdnadshavare. Detta innebär att brevet sänds ut även beträffande 16-åringar som inte kommer att studera.

CSN ska enligt 2 § folkbokföringsförordningen (1991:749) underrätta Skatteverket om den adress en person har, så snart det finns anledning att anta att adressen inte är registrerad i folkbokföringen.

13

Någon underrättelse behöver dock inte lämnas om det

är uppenbart att adressen är tillfällig eller av annat skäl inte ska registreras.

Beskattningsdatabasen

CSN har inte möjlighet att få direktåtkomst till Skatteverkets beskattningsdatabas. Beskattningsdatabasen regleras i lagen (2001:181) om uppgifter i Skatteverkets beskattningsverksamhet med anknytande förordning. I förarbetena till lagen (prop. 2000/01:33 s. 132) uttalades att det med hänsyn till det integritetskänsliga materialet i databasen fanns skäl att vara återhållsam med att bereda andra myndigheter direktåtkomst. Regeringen förordade i stället att man övervägde att tillgodose informationsbehovet genom en effektiv informationshantering (a. prop. s. 133). Utlämnande av uppgifter från beskattningsdatabasen har också gjorts möjligt genom 6 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Härigenom har Skatteverket ålagts en skyldighet att på begäran lämna ut uppgifter ur beskattningsdatabasen till CSN i den utsträckning det behövs för bl.a.

a. kontroll av ansökningar om uppskov med betalning av

studiemedelsavgifter i fråga om studiestöd och om avskrivning av studieskuld, och

13

En viss utvidgning av underrättelsesskyldigheten har nyligen föreslagits, se SOU 2007:45 s. 213 ff.

b. kontroll av ansökningar om studiestöd, om nedsättning av

årsbelopp och om avskrivning av studielån samt fastställande av årsbelopp.

De uppgifter som sålunda ska lämnas ut till CSN är uppgifter om överskott eller underskott i inkomstslagen tjänst, näringsverksamhet och kapital, uppgift om förmögenhet och uppgift om eventuell registrering i sjömansregistret.

Eftersom studiemedel är behovsprövat, är den studerandes inkomst en viktig parameter vid bestämmandet av studiemedlens storlek. I ansökan om studiemedel ska därför sökanden lämna uppgift om hur stor inkomsten förväntas bli. Denna uppgivna inkomst jämförs vid en efterkontroll med uppgifterna i beskattningsdatabasen. För personer som har nedsättning med återbetalning av studielån görs motsvarande kontroll. Uppgift om överskott i inkomstslagen tjänst, näringsverksamhet och kapital inhämtas också för att beräkna det årsbelopp med vilket studielånet ska återbetalas (gäller studielån upptagna mellan den 1 januari 1989 och 30 juni 2001).

CSN lämnar även personuppgifter till Skatteverket. Enligt 6 och 8 kap. lagen (2001:1227) om självdeklarationer och kontrolluppgifter finns det en skyldighet för bl.a. CSN att lämna uppgifter till Skatteverket. CSN lämnar härvid kontrolluppgift till Skatteverket om utbetalade skattepliktiga bidrag, om studieskuldens storlek och om betalad återkravsränta. Kontrolluppgiften får lämnas på medium för automatiserad databehandling, 14 kap. 7 § andra stycket lagen (2001:1227) om självdeklarationer och kontrolluppgifter.

Försäkringskassan

Enligt 20 § lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration får CSN ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för att inhämta underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda. Enligt 3 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration får direktåtkomsten avse bl.a. uppgifter om tidpunkter, tidsperioder och belopp för ersättningar och för ersättningsgrundande förhållanden i Försäkringskassans ärenden.

Enligt 6 kap. 7 § studiestödslagen (1999:1395) och 6 kap. 12 § studiestödsförordningen (2000:655) har Försäkringskassan skyldighet att lämna CSN upplysningar om den studerandes eller föräldrarnas inkomst- eller förmögenhetsförhållanden såvitt informationen behövs för ärenden om studiehjälp.

Utöver vad som annars följer av lag eller förordning är Försäkringskassan dessutom skyldig att lämna uppgifter till CSN enligt förordningen (1980:995) om skyldighet för Försäkringskassan att lämna uppgifter till andra myndigheter. Försäkringskassan ska på begäran lämna uppgifter om enskildas adress, deras arbetsgivares namn och adress samt enskildas ekonomiska förhållanden och den tidsperiod en utgiven ersättning avser till CSN, om uppgifterna behövs i ärenden där, 3 § nämnda förordning.

Betalningsmottagare av studiehjälp för omyndig elev är normalt den eller de som tidigare fått det allmänna eller förlängda barnbidraget. Information om detta inhämtas från socialförsäkringsdatabasen. Informationen behövs för att kunna betala ut studiehjälpen. Informationen inhämtas avseende samtliga 16-åringar, även för de som inte fortsätter att studera. Informationen behövs för att sända ut det s.k. 16-årsbrevet till vårdnadshavarna för 16åringarna.

Studiestöd är uteslutet om den enskilde får aktivitetsstöd från Försäkringskassan. CSN kontrollerar därför mot socialförsäkringsdatabasen om någon har aktivitetsstöd för samma period som han eller hon beviljats studiestöd, 6 kap. 13 § första stycket 3 studiestödsförordningen.

Försäkringskassan lämnar även CSN uppgift om en studerandes godkända sjukperioder, 6 kap. 13 § första stycket 1 studiestödsförordningen. Anledningen till att CSN behöver denna uppgift är att endast godkända sjukperioder möjliggör sjukavbrott i studier med bibehållet studiestöd. Dessutom kan godkända sjukperioder föranleda avskrivning av studielån. För det fall den studerande får sjukpenning kan dock denne förpliktas att återbetala visst belopp av utbetalat studielån. För detta ändamål inhämtas uppgifter om sjukpenning från Försäkringskassan, 6 kap. 13 § första stycket 2 studiestödsförordningen.

Sedan den 1 januari 2007 är Försäkringskassan också skyldig att till CSN lämna uppgift om sjukersättning, aktivitetsersättning och rehabiliteringsersättning enligt lagen (1962:381) om allmän försäkring, 6 kap. 13 § första stycket 4 studiestödsförordningen.

CSN lämnar också personuppgifter till Försäkringskassan. Enligt 20 kap. 9 § lagen (1962:381) om allmän försäkring har bl.a. CSN en skyldighet att lämna ut uppgift om namngiven persons förhållanden som är av betydelse för tillämpningen av nyss nämnda lag. Enligt 30 § lagen (1993:737) om bostadsbidrag och 1 b § bostadsbidragsförordningen (1993:739) har CSN en liknande uppgiftsskyldighet även såvitt avser uppgifter som är av betydelse vid Försäkringskassans tillämpning av bidrag enligt nyss nämnda lag. Sådana uppgifter ska lämnas på medium för automatiserad behandling, 1 b § bostadsbidragsförordningen. Även när det gäller bidrag enligt lagen (1996:1030) om underhållsstöd har CSN ålagts en informationsskyldighet, se 42 § lagen om underhållsstöd. Informationen ska lämnas på medium för automatiserad databehandling, 5 § förordningen (1996:1036) om underhållsstöd. CSN har även en uppgiftsskyldighet gentemot Försäkringskassan såvitt avser studerande som har beviljats studiehjälp i form av studiebidrag för det andra kvartalet varje år, 9 § lagen (1986:378) om förlängt barnbidrag.

Uppgift om att en person har studiestöd lämnas ut av CSN och markeras i Försäkringskassans system. Detta görs för att Försäkringskassan dels ska veta för vilka personer som studieoförmåga i stället för arbetsoförmåga på grund av sjukdom ska prövas, dels ska kunna betala ut rätt sjukpenning till studiestödstagare.

Försäkringskassan får även uppgift från CSN om vilka som får studiehjälp i form av studiebidrag för att möjliggöra kontroll dels av att bidraget inte utbetalas samtidigt som förlängt barnbidrag utges, dels av rätten till flerbarnstillägg.

CSN lämnar också uppgifter till Försäkringskassan om vilka studerande som gör studieavbrott.

Härutöver lämnar CSN uppgift till Försäkringskassan om att en person har fått studiemedel för kontroll av underhållsstöd och bostadsbidrag.

Slutligen lämnar CSN uppgifter till Försäkringskassan om studiestödet för att Försäkringskassan ska kunna beräkna pension.

Kronofogdemyndighetens utsöknings- och indrivningsdatabas

Om årsbelopp eller avgifter inte betalas trots påminnelse, får beloppet tas ut genom utmätning utan föregående dom eller utslag,

4 kap. 27 § studiestödslagen (1999:1395).

14

För detta ändamål över-

lämnas uppgifter om gäldenären och skulden till Kronofogdemyndigheten för indrivning enligt lagen (1993:891) om indrivning av statliga fordringar m.m.

Om det inte är fråga om årsbelopp eller avgifter, saknas reglering som medger utmätning utan föregående dom eller utslag. Det kan t.ex. handla om återkrav. I dessa fall ansöker CSN om betalningsföreläggande hos Kronofogdemyndigheten.

Statistiska centralbyrån (SCB)

Enligt 5 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan har CSN ålagts en skyldighet att på begäran av SCB lämna uppgifter om studerandes identitet, studieväg, skolenhet, studiefinansiering och närvaro. CSN överför i enlighet härmed uppgifter till SCB om eleverna i gymnasieskolan. Dessa uppgifter får lämnas till statistiska centralbyrån på medium för automatisk databehandling, 6 § sistnämnda förordning. Enligt 3 kap. 1 § förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor ska SCB föra ett register och där ange uppgifterna individuellt för varje studerande. För detta ändamål inhämtar SCB uppgifter från universitet och högskolors studieregister, från SCB:s egna register, från system för antagning av studerande vid universitet och högskolor och även från CSN, 3 kap. 4–6 §§ samma förordning. De uppgifter som inhämtas från CSN är identitetsuppgift, uppgift om utbetalade studiemedel fördelade på bidrag och lån per kalenderhalvår samt uppgift om utlandsstudier. För uppgifterna hos SCB gäller sekretess enligt 9 kap. 4 § sekretesslagen (1980:100). SCB har även ålagts en skyldighet att tillse att enskild person inte avslöjas i de statistiska redovisningarna, 9 § förordningen (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan.

CSN lämnar även uppgifter till SCB:s inkomst- och förmögenhetsstatistik. Detta sker en gång per år.

14

Detta gäller även för gamla lån, se 8 kap. 16 § studiestödslagen (1973:349) och punkten 1 i övergångsbestämmelserna till nu gällande studiestödslag vad avser lån tagna mellan 1989 och den 30 juni 2001 samt punkten 1 i övergångsbestämmelserna till lagen (1988:877) om ändring i studiestödsdatalagen (1973:349) för lån tagna före 1989.

Swedbank AB

Utbetalningen av studiestöd sker via Swedbank AB. Inför utbetalning överför CSN uppgift till banken om betalningsmottagarens personnummer eller samordningsnummer, namn, adress och vilket belopp som ska utbetalas. Efter fullgjort betalningsuppdrag får CSN information om huruvida beloppet sattes in på den studerandes konto eller om betalningen skedde genom en kontantavi (tidigare sparbanksutbetalning), dvs. i form av en sorts check som kan lösas in hos Swedbank AB.

Information inhämtas även om kontonummer för betalningsmottagare av det senast utbetalade allmänna eller förlängda barnbidraget i samband med att det s.k. 16-årsbrevet sänds ut. Detta görs för att förbereda för kommande utbetalningar av studiehjälp avseende 16-åringar som fortsätter att studera.

Migrationsverket

För prövning av utländska medborgares rätt till studiestöd (se avsnitt 2.2 och 2.3) krävs det att en utlännings ansökan om studiestöd kompletteras med information från Migrationsverket. Sådan information inhämtas därför från Migrationsverket, 6 kap. 13 a § studiestödsförordningen. Den information som Migrationsverket är skyldigt att lämna CSN är uppgift om namn, person- eller samordningsnummer, medborgarskap, tillstånd eller annat bevis om rätt att vistas i Sverige med angivande av vilken typ av tillstånd eller annat bevis som har beviljats eller utfärdats, dag för beslut om tillstånd eller utfärdande av annat bevis om rätt att vistas i Sverige samt uppgift om hur länge tillståndet eller beviset gäller, klassning av tillstånd eller annat bevis om rätt att vistas i Sverige enligt Migrationsverkets klassificeringssystem och upplysning om en person saknas. Uppgifterna får dock bara lämnas till CSN om de har betydelse för tillämpningen av bestämmelserna om studiehjälp och studiemedel.

Arbetslöshetskassor

Arbetslöshetskassorna lämnar i princip inte ersättning till personer som studerar, 10 § 1 lagen (1997:238) om arbetslöshetsförsäkring. För att arbetslöshetskassorna ska kunna kontrollera om någon

deltar i utbildning har CSN ålagts en uppgiftsskyldighet gentemot arbetslöshetskassorna såvitt avser uppgifter av betydelse för tilllämpningen av nämnda lag, se 48 c § lagen om arbetslöshetsförsäkring. Uppgiftsskyldigheten har preciserats i 23 § förordningen (1997:835) om arbetslöshetsförsäkring.

Enligt 48 d § lagen om arbetslöshetsförsäkring har arbetslöshetskassorna ålagts en uppgiftsskyldighet gentemot bl.a. CSN. Uppgiftsskyldigheten omfattar uppgifter som har betydelse hos CSN i ett ärende om förmån, ersättning eller annat stöd åt enskild. Uppgiftsskyldigheten har preciserats i 25 § förordningen (1997:835) om arbetslöshetsförsäkring.

Arbetsmarknadsstyrelsen och länsarbetsnämnderna

15

Enligt 5 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten får Arbetsmarknadsstyrelsen och länsarbetsnämnderna behandla personuppgifter för tillhandahållande av information som behövs inom CSN:s verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd. Enligt 12 § samma lag får CSN ha direktåtkomst till personuppgifter som behandlas i en arbetsmarknadspolitisk databas för de nu nämnda ändamålen. Efter bemyndigande har regeringen meddelat mer detaljerade föreskrifter om vilka personuppgifter som får behandlas i detta hänseende, 3 och 6 §§ förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. De uppgifter som direktåtkomsten får avse är namn, person- eller samordningsnummer, adress, e-postadress, telefonnummer, andra identifieringsuppgifter, medborgarskap och kod för medborgarskap eller födelseland, uppgift om arbetslöshet och tillhörighet till arbetslöshetskassa, arbets- och uppehållstillstånd, uppgifter om sökt arbete, önskemål om arbetstid och arbetets varaktighet och belägenhet, körkort och tillgång till bil, utbildning, arbetslivserfarenhet och tidigare arbetsgivare, speciell kompetens och andra uppgifter som underlättar vid arbetssökning, uppgifter om tidpunkter, händelser och innehåll i kontakter med den offentliga arbetsförmedlingen, uppgifter om anvisning av arbetsmarknadspolitiska program, typ av program,

15

Den 1 januari 2008 ersätts de nämnda myndigheterna med en ny sammanhållen myndighet vid namn Arbetsförmedlingen, prop. 2006/07:89 och bet. 2006/07:AU13. Vad som här sägs om Arbetsmarknadsstyrelsen och länsarbetsnämnderna gäller då istället Arbetsförmedlingen, SFS 2007:410.

utbetalad ersättning från arbetslöshetskassa eller för deltagande i arbetsmarknadspolitiska program, om de tidsperioder utbetalningarna avser och om samordning med andra förmåner samt uppgifter om anvisning till arbete, resultatet av gjorda anvisningar samt uppgifter som behövs inför ett beslut om stöd för nystartsjobb. Härutöver får personuppgifter som framgår av följande lagrum behandlas:

a. 24 a § förordningen (1996:1100) om aktivitetsstöd – namn,

personnummer och i förekommande fall samordningsnummer för den som ska få stödet, under vilken tid en person är anvisad till ett program, omfattningen av programmet, vem som anordnar programmet eller aktiviteten och i förekommande fall lön, andra anställningsförmåner och viss typ av pensionsförmån b. 20 § förordningen (1997:835) om arbetslöshetsförsäkring –

namn, personnummer och i förekommande fall samordningsnummer, från och med vilken dag en person är anmäld eller avanmäld som arbetssökande vid den offentliga arbetsförmedlingen, vilket arbetsmarknadspolitiskt program personen har anvisats till, omfattningen av anvisningen och under vilken tidsperiod den gäller och om en anvisning till ett arbetsmarknadspolitiskt program har ändrats eller återkallats c. 16 § förordningen (2000:628) om den arbetsmarknads-

politiska verksamheten – om en arbetssökande som får eller begär ersättning från en arbetslöshetskassa antingen avvisar ett lämpligt arbete eller ett arbetsmarknadspolitiskt program som erbjuds, på annat sätt genom sitt uppträdande uppenbarligen vållar att en anställning eller ett deltagande i ett program inte kommer tillstånd, uppträder så att det finns anledning för den offentliga arbetsförmedlingen att förmoda att sökanden inte vill eller kan anta något som helst arbete, frivilligt och utan godtagbar anledning lämnat en anställning eller blivit avskedad på grund av otillbörligt uppförande eller i övrigt inte bedöms uppfylla de allmänna villkoren för rätt till ersättning i 9 § 1, 2, 4 eller 5 lagen (1997:238) om arbetslöshetsförsäkring. Uppgift om arbetssökande som får eller begär ersättning från kassan inte besökt eller kontaktat arbetsförmedlingen efter kallelse eller enligt överenskommelse (avanmälan) är även sådan

uppgift som får behandlas enligt 16 § förordningen om den arbetsmarknadspolitiska verksamheten. Uppgift om att en avanmäld person återanmäler sig på arbetsförmedlingen får också behandlas.

Som ovan nämnts begränsas CSN:s direktåtkomst till en arbetsmarknadspolitisk databas i 5 och 12 §§ lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Direktåtkomst till databasen får endast ske i den utsträckning det behövs för underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd. Detta innebär att CSN inte får ha direktåtkomst till en tämligen stor del av de ovan angivna personuppgifterna.

Verket för högskoleservice

Verket för högskoleservice får enligt 4 kap. 1 § förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor föra ett antagningsregister och där ange uppgifterna individuellt för varje studerande. De uppgifter som registreras i antagningsregistret är uppgift om behörighet, urvalsgrund, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller tillgodoräknad verksamhet, examen, behörighetsgrundande meriter, urvalsgrundande meriter och uppgifter samt de uppgifter i övrigt som en studerande åberopar i samband med antagning till en utbildning, se 4 kap. 2 § första stycket nu nämnd förordning. Uppgifter från antagningsregistret får lämnas ut på medium för automatiserad behandling till CSN om uppgifterna behövs för beviljande och utbetalning av studiestöd, 4 kap. 4 § 2 samma förordning.

Läroanstalter

Enligt 6 kap. 6 § första stycket studiestödslagen får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om en läroanstalts

16

skyldighet att till CSN lämna uppgifter som är av

betydelse för tillämpningen av studiestödslagen och föreskrifter som har meddelats med stöd av lagen. Uppgiftsskyldigheten

16

Med läroanstalt förstås i studiestödsförordningen sådan läroanstalt eller utbildning som anges i bilagan till förordningen, 1 kap. 7 § studiestödsförordningen.

omfattar information om en studerande som har studiehjälp har övergått till en annan läroanstalt eller har avbrutit sina studier samt även i övrigt om en studerande som har tagits in i utbildning som ger rätt till studiehjälp och CSN begär det (6 kap. 9 § studiestödsförordningen). Uppgiftsskyldigheten omfattar även upplysning om tid och omfattning för utbildningar vid läroanstalten som ger rätt till studiemedel (6 kap. 10 § första stycket studiestödsförordningen) och, för en studerande som har ansökt om eller beviljats studiemedel, uppgift om utbildning, studietid, studiernas omfattning, studieaktivitet och studieresultat (6 kap. 10 § andra stycket studiestödsförordningen).

CSN kan meddela närmare föreskrifter om läroanstalters uppgiftsskyldighet både såvitt avser studiehjälp (6 kap. 9 § tredje stycket studiestödsförordningen) och studiemedel (6 kap. 10 § tredje stycket studiestödsförordningen).

CSN:s mer detaljerade föreskrifter om läroanstalters uppgiftsskyldighet avseende studiehjälp återfinns i 9 kap. Centrala studiestödsnämndens föreskrifter och allmänna råd (CSNFS 2001:6) om studiehjälp. Föreskrifterna är utformade på så sätt att läroanstalternas uppgiftsskyldighet är tredelad; läroanstalterna ska lämna information dels om vilka utbildningar de har, dels, i samband med terminsstart, uppgift om alla utbildningar och elever, dels också löpande under terminen, uppgift om någon elevs förändrade studier eller frånvaro. Denna information ska lämnas på sätt som CSN och läroanstalten kommit överens om.

Läroanstalters uppgiftsskyldighet med bäring på studiemedel återfinns i Centrala studiestödsnämndens föreskrifter och allmänna råd (CSNFS 2001:1) om beviljning av studiemedel. Läroanstalterna har ålagts en skyldighet att intyga vilken utbildning som den studerande påbörjat och registrerat sig på samt uppgift om utbildningens omfattning och tid, 16 kap. 6 § första stycket 2 nyss nämnda föreskrifter.

I förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor finns ytterligare bestämmelser om informationsutbyte. Varje högskola och universitet har enligt 2 kap. 1 § andra stycket nämnda förordning ett åliggande att föra ett studieregister. Enligt 2 kap. 3 § samma förordning ska studieregistret innehålla uppgift för varje studerande om bl.a. behörighet, urvalsgrund, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet och examen. Dessa uppgifter får lämnas ut på

medium för automatiserad behandling till CSN om uppgifterna behövs för beviljande och utbetalning av studiestöd, 2 kap. 6 § 2 förordningen om redovisning av studier m.m. vid universitet och högskolor. CSN har direktåtkomst till Ladok som är ett nationellt system för studieadministration inom högre utbildning i Sverige. Systemet består av respektive universitets och högskolas eget system som är sammankopplat genom en överbyggnad som kallas PING. CSN har också direktåtkomst till motsvarande register hos Handelshögskolan i Stockholm. CSN hämtar in uppgifter därifrån i samband med terminsstart. Uppgifterna avser samtliga studerande som registrerat sig på universitet och högskolor oavsett om de (ännu) sökt studiemedel. Från läroanstalter som anges i avdelning A1 och A2 i bilagan till studiestödsförordningen (2000:655) inhämtas uppgifter, bl.a. avseende studieresultat, om de personer som antagits till de utbildningar vid läroanstalterna som anges i de nämnda avdelningarna i bilagan.

Enligt 10 kap. 3 § högskoleförordningen (1993:100) ska det vid varje högskola finnas en disciplinnämnd. Under vissa förutsättningar får en sådan nämnd besluta om avstängning under maximalt sex månader av en studerande, se 10 kap.1 och 2 §§högskoleförordningen. När ett beslut om avstängning har fattats ska underrättelse om detta genast tillställas CSN, 10 kap. 13 § högskoleförordningen.

Som ovan angivits (se avsnitt 2.2.2) lämnas studiehjälp i form av studiebidrag utan ansökan. I samband med terminsstarten meddelar skolorna vilka elever som bedriver studier och vilken studieomfattning eleven har. Under terminen meddelar skolorna avvikelser som kan vara olika typer av frånvaro och avbrott från studierna. För detta finns sedan maj 2007 en särskild webbaserad elevrapporteringsrutin. Beroende på hur skolornas eget elevrapporteringssystem ser ut kan de välja mellan att föra över en fil till CSN, att rapportera direkt på en webbplats eller att via specialbyggda skolsystem som samlar in uppgifter från flera skolor i kommunen skicka dem till CSN över en s.k. SHS-nod (spridnings- och hämtningssystemet). Vid användningen av den webbaserade elevrapporteringsrutinen får den rapporterande skolan tillgång till de uppgifter den skolan tidigare lämnat till CSN. Den information som sålunda inhämtas av CSN lagras inte omedelbart i STIS utan till en början utanför detta system. Informationen lagras första dagen i en särskild mellanlagringstabell. I en körning natten därpå töms tabellen och informationen lagras som studierapporter i STIS.

Handläggarna kan titta på rapporterna via fönster i STIS. Denna information är också tillgänglig för skolans s.k. elevrapportörer genom direktåtkomst. För att få tillgång till denna informationsmängd måste elevrapportören logga in med en personlig användaridentitet med kod. Användaridentitet och kod beställs av skolans rektor. Det kan maximalt finnas elva elevrapportörer på varje skola. Elevrapportören kan endast se uppgifter som härrör från den skola på vilken han eller hon verkar. Förutom innevarande läsår kommer elevrapportören att kunna se historiska uppgifter två läsår tillbaka i tiden.

Det statliga personadressregistret (SPAR)

Enligt lagen (1998:527) om det statliga personadressregistret ska det med hjälp av automatiserad behandling föras ett statligt personadressregister (SPAR). Uppgifterna i SPAR som är tillgängliga för CSN är uppgift om namn, personnummer, adress, folkbokföringsort, födelsehemort, svenskt medborgarskap, make eller vårdnadshavare, avregistrering från folkbokföringen på grund av dödsfall, summan av taxerad förvärvsinkomst och inkomst av kapital, beskattningsbar förmögenhet, ägare av småhusenhet eller lantbruksenhet med småhus med uppgift om belägenhet samt taxeringsvärde för småhusenhet.

Uppgiften om födelsehemort är i och för sig tillgänglig för CSN men uppgiften får inte lämnas ut i elektronisk form, 6 § förordningen (1998:1234) om det statliga personadressregistret.

Enligt 8 a § nyss nämnda förordning får Statens personadressregisternämnd besluta om att vissa uppgifter som rör samtliga personer i SPAR får lämnas ut i elektronisk form (s.k. bruttoavisering). Bruttoavisering får endast medges den som i sin verksamhet regelmässigt behandlar uppgifter om en betydande andel av befolkningen och fortlöpande behöver uppdatera dessa. Något sådant beslut har emellertid inte fattats avseende CSN. CSN har i stället via Statens personadressregisternämnds personuppgiftsbiträde, Infodata AB, ett avtal som medger att CSN hos Infodata AB lägger upp ett register över personer som är aktuella hos CSN. Infodata AB uppdaterar detta register dagligen med aktuella ändringar från SPAR. När CSN har behov av det hämtas uppgifterna från detta register. Det blir således inte fråga om bruttoavisering,

eftersom det endast inhämtas uppgifter om personer registrerade av CSN.

CSN hämtar i dag in uppgifter från SPAR för vissa ärendetyper. Senast 2009 kommer CSN helt att upphöra med att hämta information från SPAR och i stället övergå till att hämta all motsvarande information från Skatteverkets folkbokföringsdatabas.

Resebyrå och försäkringsmäklare

CSN verkar för att sänka resekostnaderna för studerande utomlands. För att bereda sådana studerande möjlighet att komma hem till Sverige ett par gånger varje år under studietiden utarbetade CSN 1996 en rutin för bokning och fakturering av resa, den s.k. reserutinen. En studerande kan boka sin resa hos en resebyrå, som kontrollerar huruvida resenären är studerande gentemot CSN:s register. Resebyrån fakturerar resan till CSN som i sin tur bokför kostnaden för resan direkt mot den studerandes studielån.

Om en studerande vid ansökan om merkostnadslån särskilt så önskar (markeras genom ett kryss i ansökningsblanketten), så vidarebefordras information till försäkringsmäklare som kan hjälpa den studerande att teckna en relevant försäkring för studier utomlands.

Olika företag för kortadministration

Uppgift om vilka personer som beviljats studiestöd lämnas av CSN till Mecenat AB för utfärdande av CSN-kort eller Mecenatkort (jämför RÅ 2002 ref. 54).

CSN-kortet, vilket ger vissa förmåner och rabatter, distribueras kostnadsfritt till vissa grupper av studerande som studerar med studiestöd under minst tre månader på minst halvtid. Enligt avtal med Mecenat AB är CSN personuppgiftsansvarig och Mecenat AB CSN:s personuppgiftsbiträde vid behandlingen av personuppgifter i samband med CSN-kortet.

Mecenatkortet, vilket också ger vissa förmåner och rabatter, distribueras av Mecenat AB kostnadsfritt till studerande vid universitet och högskolor i Sverige som är medlemmar i en studentkår.

Uppgifter om vilka personer som beviljats studiestöd lämnas av CSN även till Studentkortet AB för utfärdande av Studentkortet.

Studentkortet kan, mot avgift, ges till studerande vid universitet och högskolor i Sverige som är medlemmar i en studentkår.

Uppgifterna om vilka personer som beviljats studiestöd lämnas av CSN också till Wadsworth DataSystems AB för utfärdande av Membitkortet. Membitkortet är ett kombinerat förmåns- och medlemskort som också fungerar som studentlegitimation.

Högskolans avskiljandenämnd

En studerande på högskola kan under vissa förutsättningar avskiljas från utbildningen, 4 kap. 6 § högskolelagen (1992:1434) och 1 § förordningen (1987:915) om avskiljande av studerande från högskoleutbildning. Enligt 21 § nyss nämnda förordning ska CSN genast underrättas om ett sådant beslut. Även beslut om upphävande av avskiljande ska rapporteras till CSN.

Statens räddningsverk

Statens räddningsverk bedriver utbildningar i olika former inom ämnesområdet säkerhet i vid bemärkelse. En studerande vid en sådan utbildning kan under vissa förutsättningar avskiljas eller avstängas från utbildningen, se 6 och 7 §§ förordningen (2003:477) om utbildning i skydd mot olyckor. Sådana frågor prövas av en särskild nämnd vid Statens räddningsverk. När ett beslut om avskiljande eller avstängning har fattats, ska underrättelse om detta genast lämnas till CSN, se 8 § nyss nämnda förordning.

Domstolar

För det fall allmän domstol har beslutat i någon fråga rörande faderskap eller adoption ska, sedan avgörandet vunnit laga kraft, meddelande härom sändas till CSN om barnet fyllt 15 men inte 18 år, se 1 och 2 §§ förordningen (1949:661) om skyldighet för domstol att lämna uppgifter i mål och ärenden enligt föräldrabalken, m.m. Enligt 3 § samma förordning ska information om beslut och domar som avser vårdanden om barn som fyllt 15 år tillställas CSN. Domstolsverket har enligt 13 § nämnda förordning uppdragits att meddela närmare föreskrifter om hur domstol ska fullgöra sin uppgiftsskyldighet enligt förordningen. Domstolsverket har genom

Domstolsverkets föreskrifter (1991:16) om domstols rapportering i vissa mål och ärenden enligt föräldrabalken föreskrivit att rapporteringsskyldigheten ska fullgöras genom översändande av kopia av domen såvitt avser avgöranden om faderskap och vårdnad eller genom översändande av särskild blankett såvitt avser avgöranden om adoption.

Kommuner

I ett pilotprojekt som bedrivs i samarbete med bland annat Borlänge kommun försöker kommunen komma till rätta med felutbetalningar inom ramen för den kommunala biståndsverksamheten (den s.k. Borlängepiloten). För detta ändamål är viss information som CSN har av intresse. De deltagande kommunerna skickar frågefiler till CSN när som helst på dygnet. Dessa besvaras en gång per dygn efter en nattlig körning hos CSN. De uppgifter som lämnas ut är huvudsakligen uppgift om stödform, vilka veckor som stödet beviljats för och utbetalat belopp per stödform. Uppgifterna avser tiden tre månader tillbaka räknat ifrån frågedatum samt den då innevarande månaden.

Enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan (Rg-bidrag) kan för eleverna vid riksgymnasierna i Örebro lämnas ersättning för skäliga kostnader för kost, logi och annan service i samband med boendet (5 §). Ersättningen betalas av CSN ut direkt till Örebro kommun som tillhandahåller nyttigheterna (11 § andra stycket). För redovisning till Örebro kommun lämnar CSN elektroniskt på fil ut uppgifter om beviljat bidrag för kostnad för kost, logi och annan service i samband med boendet som kommunen tillhandahåller samt den totala kostnaden för sådant.

Enligt 5 kap. 33 § skollagen (1985:1100) ska en hemkommun i vissa fall lämna ekonomiskt stöd till elever i gymnasieskolan som behöver inackordering till följd av skolgången (kommunalt inackorderingsstöd). Det gäller dock bl.a. inte i fråga om utlandssvenska elever som får inackorderingstillägg enligt studiestödslagen. För att få underlag för utbetalningen av kommunalt inackorderingsstöd hämtar kommunerna elektroniskt från CSN månatligen under terminerna uppgifter om studerande som varit inackorderade. Uppgifterna rör bl.a. närvaro, studieavbrott och betalningsmottagare för studiestöd.

Om en socialnämnd har godkänt ett avtal om vårdnad enligt föräldrabalken, ska ett meddelande om avtalets innehåll sändas till CSN under förutsättning att avtalet gäller ett barn som har fyllt 15 år, 6 kap. 17 b § föräldrabalken.

Polismyndighet och Åklagarmyndigheten

I bidragsbrottslagen (2007:612) finns det från och med den 1 augusti 2007 bestämmelser om straff för bidragsbrott. Den som uppsåtligen eller av grov oaktsamhet lämnar oriktiga uppgifter eller inte anmäler ändrade förhållanden som han eller hon är skyldig att anmäla enligt lag eller förordning, och på så sätt orsakar fara för att en ekonomisk förmån felaktigt betalas ut eller betalas ut med ett för högt belopp, kan dömas för bidragsbrott respektive vårdslöst bidragsbrott. Enligt 6 § bidragsbrottslagen ska CSN göra anmälan till en polismyndighet eller till Åklagarmyndigheten om det kan misstänkas att brott enligt bidragsbrottslagen har begåtts. CSN har således en anmälningsplikt. CSN får därmed anses ha ålagts en skyldighet att lämna ut uppgifter om misstankar om brott enligt bidragsbrottslagen, inklusive personuppgifter, till polismyndighet eller Åklagarmyndigheten. Denna skyldighet får anses vara en sådan uppgiftsskyldighet som genombryter sekretess enligt 14 kap. 1 § sekretesslagen (1980:100).

Riksrevisionen

Som ett led i granskningen av den verksamhet som bedrivs av staten granskas även CSN, se 1 § första stycket lagen (2002:1023) med instruktion för Riksrevisionen. Riksrevisionen beställer för detta ändamål bl.a. personuppgifter från CSN. CSN har enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. en skyldighet att tillmötesgå en sådan begäran och lämna Riksrevisionen den hjälp och de uppgifter och upplysningar som Riksrevisionen behöver för granskningen. Skyldigheten att tillhandahålla uppgifter omfattar alla uppgifter oavsett medium som bär uppgifterna. Det innebär således att uppgiftsskyldigheten omfattar uppgiftslämnande på medium för automatiserad behandling.

17

Uppgifts-

17

Prop. 2001/02:190 s. 158.

skyldigheten genombryter eventuell sekretess enligt 14 kap. 1 § sekretesslagen.

De personuppgifter som Riksrevisionen inhämtar från CSN är i huvudsak sorterade utifrån CSN-nummer. Dock får Riksrevisionen – på begäran – även en fil där CSN-nummer och personnummer har kopplats ihop. Informationen överförs årligen i januari månad på fil till Riksrevisionen.

Studerande med studiemedel och låntagare

Studerande med studiemedel och låntagare erbjuds möjligheten att ta del av vissa av sina uppgifter via Internet genom funktionen ”Mina sidor” på CSN:s hemsida. För att komma åt denna funktion krävs det att man loggar in med sitt personnummer och lösenord alternativt e legitimation.

Studerande erbjuds också möjligheten att elektroniskt lämna in ansökan om studiemedel och andra uppgifter samt att ta del av CSN:s beslut m.m. genom funktionen ”Mina sidor”, jämför förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel. För att nå denna del av ”Mina sidor” krävs e-legitimation.

Övrigt

Myndigheter är enligt 6 kap. 7 § andra stycket studiestödslagen skyldiga att lämna uppgifter till CSN i fråga om vissa personer, om uppgifterna är av betydelse för tillämpningen av bestämmelserna om återbetalning av studielån.

Enligt 6 kap. 12 § studiestödsförordningen får CSN inhämta uppgifter även från andra myndigheter än Försäkringskassan om den studerandes eller föräldrarnas inkomst- eller förmögenhetsförhållanden såvitt behövs för tillämpning av bestämmelser om studiehjälp.

CSN utför även behandling av personuppgifter såvitt avser äldre studiestödsformer. Inför varje avisering till de personer som lånat enligt gamla regler (se avsnitt 2.3.4) görs en automatisk uppdatering mot det statliga personadressregistret (SPAR). Uppdateringen sker med nya adresser och med uppgift om eventuella dödsfall.

4.2.6. CSN:s arbete med statistik

Sveriges officiella statistik

Med syfte att det ska finnas tillgång till underlag för allmän information, utredningsverksamhet och forskning har den officiella statistiken författningsreglerats i Sverige, lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. För respektive statistikområde finns det en statistikansvarig myndighet som regeringen utser, 1 § andra stycket lagen om den officiella statistiken. CSN är sådan myndighet på studiestödsområdet, 2 § förordningen om den officiella statistiken. Inom sitt område beslutar CSN om statistikens innehåll och omfattning om inte regeringen beslutar annat, 2 § andra stycket nu nämnd förordning.

Statliga myndigheter ska till CSN lämna de uppgifter som behövs för framställning av officiell statistik, 6 § förordningen om den officiella statistiken. Även CSN har en skyldighet att lämna andra statistikansvariga myndigheter motsvarande uppgifter.

Framställningen och offentliggörandet av statistiken ska ske med beaktandet av behovet av skydd för fysiska och juridiska personers intressen, 5 § lagen om den officiella statistiken. I nu nämnt lagrum har även särskilt erinrats om bestämmelserna i sekretesslagen (1980:100) och personuppgiftslagen (1998:204). Personuppgiftslagen gäller endast subsidiärt i förhållande till lagen om den officiella statistiken, 2 § sist nämnda lag. Den statistikverksamhet som bedrivs enligt aktuella författningar ska vara avgränsad från myndighetens verksamhet i övrigt, 10 § förordningen om den officiella statistiken. Av 9 kap. 4 § sekretesslagen följer att sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider skada eller men.

Enligt 14 § lagen om den officiella statistiken får CSN såsom statistikansvarig myndighet behandla personuppgifter för att framställa statistik. CSN får dock behandla sådana känsliga person-

uppgifter som avses i 13 § personuppgiftslagen (personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös övertygelse, filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv) och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § första stycket personuppgiftslagen bara om det följer av föreskrifter som regeringen meddelat, 15 § lagen om den officiella statistiken. Regeringen har inte meddelat några sådana föreskrifter, jämför 8 § förordningen om den officiella statistiken.

Uppgifter i den officiella statistiken får inte sammanföras med andra uppgifter i syfte att utröna en enskilds identitet, 6 § lagen om den officiella statistiken.

Uppgifter som inte längre behövs för sitt ändamål ska gallras, 19 § lagen om den officiella statistiken. Innan sådan gallring sker ska Riksarkivet underrättas, 12 § förordningen om den officiella statistiken.

CSN:s del av den officiella statistiken beskriver beviljning av studiestöd och återbetalning av studiestöd. Statistiken över tilldelning av studiestöd presenteras läsårsvis och statistiken över återbetalning tas fram per kalenderår.

Övrig statistik

Förutom att CSN tar fram statistik för den officiella statistiken framtas även annan statistik. Det är t.ex. fråga om antalet studiemedelstagare i utlandsstudier per världsdel och land. Av 1 § tredje stycket lagen om den officiella statistiken följer att CSN får behandla personuppgifter även för att framställa annan statistik än officiell statistik och att vad som ovan angivits om förbud mot behandling av sådana personuppgifter som avses i 13 § och 21 § första stycket personuppgiftslagen gäller även vid denna statistikframtagning, liksom bestämmelserna om gallring.

4.2.7. Internationellt informationsutbyte

Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredje land om landet inte har en adekvat nivå för skyddet av personuppgifterna. Trots detta förbud är det tillåtet att föra över personuppgifter till tredje land med en

icke adekvat skyddsnivå bl.a. om den registrerade har samtyckt till överföringen, 34 § personuppgiftslagen.

CSN har inte något löpande eller strukturerat utbyte av personuppgifter med någon utomlands. En studerandes uppgifter kan dock på studerandens begäran göras tillgängliga via Internet genom funktionen ”Mina sidor” på CSN:s hemsida (för en beskrivning av denna funktion se avsnitt 4.2.5). För att komma åt informationen via Internet krävs det att man loggar in med sitt personnummer och lösenord alternativt e-legitimation. Via Internet kan man på detta sätt komma åt informationen även när man är utomlands. Att studerande från utlandet loggar in på ”Mina sidor” för att där få tillgång till informationen får under alla förhållanden anses utgöra ett samtycke enligt 34 § personuppgiftslagen. Oavsett om förfarandet innebär en överföring av personuppgifterna i personuppgiftslagens mening

18

, är förfarandet således tillåtet enligt den

lagen.

4.3. Överklagandenämnden för studiestöd

4.3.1. Inledning

Av 6 kap. 10 § studiestödslagen framgår det att CSN:s beslut i ärenden om återbetalning av studielån får överklagas till länsrätt. Av 11 § samma kapitel framgår det att CSN:s beslut i övriga frågor enligt studiestödslagen får överklagas till en särskild överklagandenämnd – Överklagandenämnden för studiestöd. Enligt den numera upphävda 22 § lagen (2002:624) om rekryteringsbidrag till vissa vuxenstuderande fick CSN:s beslut enligt denna lag i princip alltid överklagas till Överklagandenämnden för studiestöd. I fråga om korttidsbidrag gäller att besluten, oavsett om de meddelats av LO, TCO, Sametinget eller Socialstyrelsens institut för särskilt utbildningsstöd, får överklagas till Överklagandenämnden för studiestöd, 30 § förordningen (2001:362) om bidrag vid korttidsstudier.

19

18

Se EG-domstolen dom den 6 november 2003 i mål C-101/01 (det s.k. konfirmandlärarmålet), där domstolen slog fast att det inte föreligger någon ”överföring av … uppgifter till tredje land” i den mening som avses i artikel 25 i EG-direktivet när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en hemsida på Internet och den som tillhandahåller servertjänsten är etablerad i samma medlemsstat eller i en annan medlemsstat, oberoende av att uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land. Bestämmelserna om överföring av personuppgifter till tredje land i personuppgiftslagen ska tolkas på samma sätt som bestämmelserna i direktivet enligt Högsta domstolens dom NJA 2005 s. 361.

19

Se dock avsnitt 2.6 ovan om de föreslagna förändringarna av korttidsbidraget.

Överklagandenämnden för studiestöd är sista instans i ärenden som överklagas dit.

För fullständighets skull ska nämnas att beslut i studiestödsfrågor av CSN enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan (Rg-bidrag), förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar (TUFF-ersättning) och förordningen (CSNFS 1983:17) om bidrag till utlandsstuderande för dagliga resor inte får överklagas.

4.3.2. Organisation och verksamhet

Överklagandenämnden för studiestöd som bildades 2001 är en statlig myndighet vars verksamhet huvudsakligen regleras genom förordningen (2001:79) med instruktion för Överklagandenämnden för studiestöd. Nämndens huvudsakliga uppgift är att pröva överklaganden av vissa beslut fattade av CSN. Överklagandena kan avse CSN:s beslut om studiemedel, studiehjälp eller återkrav av dessa stöd.

20

CSN:s beslut i ärenden om återbetalning av

studielån kan inte överklagas hos nämnden. Sådana beslut kan i stället överklagas hos förvaltningsdomstol. Nämnden prövar även överklaganden av beslut avseende korttidsbidrag fattade av Landsorganisationen i Sverige (LO), Tjänstemännens Centralorganisation (TCO), Sametinget och Socialstyrelsens institut för särskilt utbildningsstöd. Överklagandenämnden för studiestöd är sista instans, det vill säga det går inte att överklaga nämndens beslut.

Ledamöterna i Överklagandenämnden för studiestöd utses av regeringen. Enligt nämndens instruktion ska nämnden bestå av en ordförande och en vice ordförande samt direktören, dvs. myndighetens chef, samt fem ledamöter. Ordföranden och vice ordföranden ska vara eller ha varit ordinarie domare. Av de övriga ledamöterna ska två vara jurister, två ska ha särskild insikt i studerandes förhållanden och en ska ha särskild sakkunskap om utbildningsväsendet. I den utsträckning det behövs ska det också finnas ersättare för ledamöterna.

Flertalet ärenden avgörs i enlighet med nämndens delegationsordning av direktören eller, i enstaka fall, av ordföranden eller vice ordföranden ensam. Det är i huvudsak ärenden av principiell natur

20

Även CSN:s beslut i ärenden om den numera upphävda bidragsformen rekryteringsbidrag (se avsnitt 2.7.2) kan överklagas till Överklagandenämnden för studiestöd.

som avgörs av nämnden i dess helhet efter föredragning av handläggarna vid nämndens sammanträden.

Nämndens kansli är beläget i Härnösand och har 15 anställda. Nämnden sammanträder i regel en gång per månad. År 2006 avgjordes drygt 5 000 ärenden.

4.3.3. Överklagandenämndens datasystem – Diabas

Överklagandenämnden är som nämnts ovan överinstans i vissa studiestödsfrågor. Den mesta informationsinhämtningen sker sålunda från respektive underinstans. Underinstansernas akter och övriga uppgifter därifrån samt överklagandena finns hos nämnden som regel bara på papper, även om viss information kan komma in via epost.

Överklagandenämnden har för sin hantering av ärenden ett datoriserat diarieförings- och handläggningssystem, Diabas. De personuppgifter som registreras i Diabas är endast namn, personnummer och adress/postadress. Övriga uppgifter som är nödvändiga för den materiella tillämpningen av studiestödsförfattningarna framgår endast av akten. I Diabas registreras i princip endast personuppgifter om den klagande. Det enda undantaget härifrån är en sällsynt ärendetyp avseende återkrav av studiestöd då CSN:s återkravsbeslut avser ett myndigt barn men beslutet fattades innan barnet blev myndigt. I dessa fall registreras ärendet på barnets personnummer men med angivande av vårdnadshavarens namn och adress. Det sagda innebär sålunda att en klagandes ombud, föräldrar eller barn inte registreras i det datoriserade systemet. Uppgifter härom kan dock givetvis framgå av pappershandlingarna i akten eftersom dessa uppgifter kan vara av betydelse för den materiella frågan eller handläggningen av ärendet.

Något utlämnande av personuppgifter till någon utanför Sverige sker inte förutom att beslut i enstaka fall expedieras i elektronisk form till e-postadresser som en s.k. pdf-fil (pdf är ett digital dokumentformat).

Överklagandenämnden för studiestöd publicerar på sin hemsida på Internet uppgifter om vissa av sina avgöranden. Några uppgifter som direkt kan hänföras till en person publiceras dock inte, utan bara uppgift om diarienummer.

Överklagandenämnden för studiestöd har i dagsläget inga planer på förändring av det sätt på vilket personuppgifter behandlas. När

de ekonomiska och tekniska förutsättningarna finns, kan dock ett utökat elektroniskt informationsutbyte bli aktuellt med såväl CSN som Försäkringskassan, Migrationsverket och andra myndigheter.

Överklagandenämnden för studiestöd förekommer inte i Justitiekanslerns eller Datainspektionens diarier när sökning har gjorts efter motsvarande sökkriterier som för CSN (se avsnitt 4.2.2).

4.3.4. Sekretess

Av uppenbara skäl har Överklagandenämnden för studiestöd behov att behandla personuppgifter som kan vara ömtåliga ur ett integritetsperspektiv. I verksamheten hos Överklagandenämnden för studiestöd gäller sekretess enligt de sekretessbestämmelser som gäller för alla myndigheter, 7 kap. 1 § (uppgift om enskilds hälsa och sexualliv), 7 kap. 1 a § (enskilds kontaktuppgifter) och 7 kap. 16 § (personuppgifter om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen), samt sekretess enligt 9 kap. 5 § andra stycket sekretesslagen (ärenden om studiestöd).

På sätt som beskrivits ovan under avsnitt 4.2.3 hindrar inte sekretess att uppgifter lämnas mellan myndigheter om skyldighet därtill föreskrivs i lag eller förordning, 14 kap. 1 § sekretesslagen.

4.3.5. Gallring

Som ovan beskrivits under avsnitt 4.2.4 har Riksarkivet möjlighet att meddela närmare föreskrifter om gallring. Förutom Riksarkivets generella föreskrifter (bl.a. RA-FS 1991:1) gäller för Överklagandenämnden för studiestöd endast ett myndighetsspecifikt beslut om gallring. Beslutet – Riksarkivets beslut (RA-MS 2006:50) om gallring hos Överklagandenämnden för studiestöd – gör att Överklagandenämnden för studiestöd omedelbart får gallra vissa angivna handlingar.

4.3.6. Inhämtande och utlämnande av personuppgifter

Överklagandenämnden för studiestöd har behov av informationsutbyte med andra myndigheter. Nämnden behöver för det första få handlingarna i överklagade ärenden från den myndighet eller orga-

nisation som fattat det överklagade beslutet. De övriga huvudsakliga informationsflödena beskrivs i det följande.

Försäkringskassans socialförsäkringsdatabas

På motsvarande sätt som gäller beträffande CSN har Försäkringskassan en skyldighet att lämna Överklagandenämnden för studiestöd information om en studerandes godkända sjukperioder, ersättning enligt vissa arbetsskadeförsäkringar, aktivitetsstöd samt sjukersättning, aktivitetsersättning och rehabiliteringsersättning 6 kap. 7 § studiestödslagen och 6 kap. 13 § studiestödsförordningen. Någon möjlighet till direktåtkomst till Försäkringskassans socialförsäkringsdatabas finns inte för Överklagandenämnden för studiestöd, jämför 20 § lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration. Uppgifterna inhämtas i stället per telefon, brev eller e-post.

Överklagandenämnden för studiestöd har även en skyldighet att lämna uppgifter till Försäkringskassan. Enligt 20 kap. 9 § lag (1962:381) om allmän försäkring har nämligen bl.a. Överklagandenämnden för studiestöd en skyldighet att lämna ut uppgift om namngiven persons förhållanden som är av betydelse för tillämpningen an nyss nämnda lag.

Migrationsverket

Enligt 6 kap. 13 a § studiestödsförordningen har Migrationsverket en skyldighet att på begäran lämna Överklagandenämnden för studiestöd uppgift om en utlänning vistas i Sverige enligt utlänningslagen (2005:716). Den information som Migrationsverket är skyldigt att lämna Överklagandenämnden för studiestöd är uppgift om namn, person- eller samordningsnummer, medborgarskap, tillstånd eller annat bevis om rätt att vistas i Sverige med angivande av vilken typ av tillstånd eller annat bevis som har beviljats eller utfärdats, dag för beslut om tillstånd eller utfärdande av annat bevis om rätt att vistas i Sverige samt uppgift om hur länge tillståndet eller beviset gäller, klassning av tillstånd eller annat bevis om rätt att vistas i Sverige enligt Migrationsverkets klassificeringssystem och upplysning om en person saknas. Enligt 6 kap. 13 a § andra stycket studiestödsförordningen får uppgifterna bara lämnas om de har betydelse

för tillämpningen av bestämmelserna om studiehjälp och studiemedel. Informationen inhämtas genom förfrågningar per telefon, brev eller e-post.

Läroanstalter

21

Efter bemyndigande i 6 kap. 6 § andra stycket studiestödslagen har regeringen i 6 kap. 11 § studiestödsförordningen förordnat om läroanstalters uppgiftsskyldighet gentemot Överklagandenämnden för studiestöd såvitt avser uppgifter som är av betydelse för tillämpningen av studiestödslagen och föreskrifter som har meddelats med stöd av lagen. Uppgiftsskyldigheten omfattar information om en studerande som har studiehjälp har övergått till en annan läroanstalt eller har avbrutit sina studier samt även i övrigt om en studerande som har tagits in i utbildning som ger rätt till studiehjälp (6 kap. 9 § studiestödsförordningen). Uppgiftsskyldigheten omfattar även upplysning om tid och omfattning för utbildningar vid läroanstalten som ger rätt till studiemedel (6 kap. 10 § första stycket studiestödsförordningen) och, för en studerande som har ansökt om eller beviljats studiemedel, uppgift om utbildning, studietid, studiernas omfattning, studieaktivitet och studieresultat (6 kap. 10 § andra stycket studiestödsförordningen). Överklagandenämnden inhämtar sådana uppgifter genom kontakter per telefon, brev eller e-post.

Det statliga personadressregistret (SPAR)

Vad som beskrivits ovan om författningsregleringen av CSN:s tillgång till SPAR (se avsnitt 4.2.5) gäller även för Överklagandenämnden för studiestöd med det undantaget att uppgift om medborgarskap inte får lämnas ut till Överklagandenämnden för studiestöd i elektronisk form, jämför 7 § förordningen (1998:1234) om det statliga personadressregistret.

21

Med läroanstalt förstås i studiestödsförordningen sådan läroanstalt eller utbildning som anges i bilagan till förordningen, 1 kap. 7 § studiestödsförordningen.

4.4. Landsorganisationen i Sverige (LO) och Tjänstemännens centralorganisation (TCO)

Landsorganisationen i Sverige (LO) och Tjänstemännens centralorganisation (TCO) har på ovan beskrivet sätt (se avsnitt 2.6) tilldelats vissa myndighetsuppgifter genom att de båda organisationerna administrerar det statliga korttidsbidraget enligt förordningen (2001:362) om bidrag vid korttidsstudier.

De båda organisationerna är angivna i bilagan till sekretesslagen.

22

Detta innebär att organisationerna blir underkastade

offentlighetsprincipen såvitt avser deras handhavande av nu aktuellt bidrag, se 1 kap. 8 § andra stycket första meningen sekretesslagen (1980:100). En betydande öppenhet skulle därmed uppkomma för uppgifter som för den enskilde kan vara av ömtålig karaktär. Detta problem löses dock genom att organisationerna, genom uppräkningen i bilagan till sekretesslagen, jämställs med myndigheter vid tillämpningen av nämnda lag såvitt avser verksamhet i form av hantering av nu aktuellt bidrag, 1 kap. 8 § andra stycket andra meningen sekretesslagen. I denna verksamhet gäller därför sekretess för uppgift om enskilds hälsa och sexualliv enligt 7 kap. 1 § sekretesslagen, för enskilds kontaktuppgifter enligt 1 a § samma kapitel och för personuppgifter om det kan antas om ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204), 7 kap. 16 § sekretesslagen. På sätt som redogjorts för ovan (se avsnitt 4.2.3) gäller sekretessen enligt 9 kap. 5 § andra stycket sekretesslagen för uppgifter som LO och TCO hanterar i ärenden om korttidsbidrag.

Ingen myndighet har ålagts uppgiftsskyldighet gentemot någon av organisationerna. Någon möjlighet till direktåtkomst till någon myndighets register för organisationerna är inte heller föreskriven såvitt avser korttidsbidrag.

Genom den ovan nämnda uppräkningen i sekretesslagen blir arkivlagen även tillämplig för både LO och TCO till den del arkivet härrör från den verksamhet som avses i bilagan till sekretesslagen, 2 § arkivlagen (1990:782). Detta innebär att båda organisationerna har en plikt att bevara handlingar hänförliga till verksamheten avseende korttidsbidrag, 3 § tredje stycket arkivlagen. Någon gallringsföreskrift har inte meddelats av Riksarkivet.

22

Se prop. 2000/01:107 s. 15 f.

Varken LO eller TCO förekommer i Datainspektionens diarier när sökning har gjorts efter motsvarande sökkriterier som för CSN (se avsnitt 4.2.2).

LO

I LO:s verksamhet registreras uppgifter dels elektroniskt, dels manuellt. I det elektroniska systemet registreras uppgifter om namn, adress, personnummer, utbildningsbakgrund kursens namn och datum för denna. På ansökningsblanketten lämnar dock sökanden flera uppgifter, t.ex. telefonnummer. Dessa uppgifter registreras emellertid inte elektroniskt utan framgår endast av ansökningshandlingen. Denna ansökningshandling tilldelas ett referensnummer som anges i det elektroniska systemet. Handlingen blir på så sätt återsökbar. Av handlingen kan det även framgå uppgifter om sökandens medlemskap i arbetstagarorganisation och om den aktuella kursen har inriktning mot något funktionshinder. Båda dessa uppgifter faller under definitionen av känsliga personuppgifter enligt 13 § personuppgiftslagen. Ingen av uppgifterna är obligatorisk att ange i ansökningshandlingen.

LO lämnar inte ut personuppgifter till någon annan organisation eller myndighet, med undantag för uppgifter som lämnas till Överklagandenämnden för studiestöd med anledning av överklagade ärenden. Inte heller inhämtas personuppgifter från någon annan organisation eller myndighet. Uppgiftsutlämnande till någon utanför Sverige förekommer inte.

För närvarande görs ansökningar genom att ansökningshandlingen skickas i pappersform till LO. LO har dock diskuterat om viss informationsinhämtning i stället skulle kunna ske genom att utbildningsanordnaren lämnar information om kursdeltagare över Internet.

LO har inte företagit någon gallring avseende uppgifterna hänförliga till korttidsbidraget.

TCO

I TCO:s verksamhet registreras namn, personnummer och kontaktuppgifter hänförliga till sökanden samt utbildningsnivå på sökanden. Numera registreras härutöver om sökanden är medlem i

TCO-förbund, men inga uppgifter om eventuellt medlemskap i annat förbund. Slutligen registreras uppgifter om utbildningen som avses med korttidsbidraget. Registret är datoriserat. I systemet kan man som sökbegrepp använda namn eller personnummer. Varje ärende tilldelas dessutom ett diarienummer, vilket även åsätts själva ansökningshandlingen. Ansökningshandlingen blir på så sätt återsökbar. Även själva diarienumret kan användas som sökbegrepp.

Inga uppgifter lämnas ut till andra organisationer eller myndigheter, med undantag för uppgifter som lämnas till Överklagandenämnden för studiestöd med anledning av överklagade ärenden. Uppgifterna lämnas då i pappersform. Uppgifter inhämtas inte heller från andra organisationer eller myndigheter på annat sätt än genom telefon. Det uppgiftsinhämtande som sker per telefon inskränker sig till att TCO, vid misstanke om att en sökande redan uppburit korttidsbidrag eller studiemedel för sökt period kontaktar de andra aktörerna som administrerar korttidsbidrag respektive CSN och efterhör hur det förhåller sig. Om misstanken är riktig, meddelas ett avslagsbeslut. Inga personuppgifter lämnas ut till någon utanför Sverige.

TCO har inga planer på att förändra sin ovan beskrivna hantering av personuppgifterna.

4.5. Socialstyrelsens institut för särskilt utbildningsstöd (SISUS) och sametinget

Socialstyrelsens institut för särskilt utbildningsstöd (SISUS) och Sametinget handhar vissa delar av korttidsbidraget enligt förordningen (2001:362) om bidrag vid korttidsstudier. Precis som vid andra stödformer hanteras typiskt sett uppgifter som från den enskildes horisont kan te sig känsliga ur ett integritetsperspektiv. Båda dessa myndigheter

23

är underkastade sekretesslagens bestäm-

melser, varför sekretessbestämmelserna som redogjorts för ovan under avsnitt 4.4 är tillämpliga även för nu aktuella myndigheter.

Det finns inte någon i lag eller förordning föreskriven uppgiftsskyldighet för annan myndighet gentemot de nu båda aktuella myndigheterna såvitt avser korttidsbidrag.

Riksarkivet har inte utfärdat några myndighetsspecifika gallringsföreskrifter för vare sig SISUS eller Sametinget.

23

Att sametinget är en myndighet framgår bl.a. av 1 kap. 1 § sametingslagen (1992:1433).

Varken SISUS eller Sametinget förekommer i Justitiekanslerns eller Datainspektionens diarier när sökning har gjorts efter motsvarande sökkriterier som för CSN (se avsnitt 4.2.2).

SISUS

De personuppgifter som registreras i datorsystem hos SISUS är namn och personnummer. I vissa fall registreras även adress och kontonummer. Inga personuppgifter lämnas ut till någon annan myndighet eller organisation, i eller utanför Sverige, förutom till Överklagandenämnden för studiestöd. Den övervägande delen av ansökningarna görs kollektivt. Detta innebär att utbildningsanordnaren lämnar in en ansökan om förhandsbesked. När SISUS beviljat denna ansöker de enskilda studerandena om bidraget. Det är först då som SISUS får tillgång till deltagarnas personuppgifter.

Sametinget

De personuppgifter som registreras hos Sametinget med anledning av ärenden om korttidsbidrag är namn, e-postadress, adress, personnummer, utbildningsbakgrund, språklig bakgrund, tid, utbildning och sökt bidrag. Uppgift om språklig bakgrund anges som ett av följande tre alternativ ”själv, föräldrar, far- eller morföräldrar har eller har haft samiska som språk i hemmet”, ”med i sameröstlängden” eller ”annan”. Härutöver anges det vilken grad av förståelse man har i samiska (förstår, talar, läser eller skriver). Slutligen anges det om det är nord-, lule- eller sydsamiska som det är fråga om. Inga personuppgifter lämnas ut till någon annan myndighet eller organisation, i eller utanför Sverige, förutom till Överklagandenämnden för studiestöd. Inga personuppgifter hämtas heller in från någon annan myndighet eller organisation.

4.6. Framtida utveckling

I utredningsdirektiven betonas vikten för CSN och Överklagandenämnden för studiestöd att ha möjlighet att utnyttja modern informationsteknik för att höja effektiviteten och kvaliteten i arbetet. Detta gäller dels arbetet med enskilda ärenden, dels möjligheten att svara mot ökade krav i fråga om ärende- och verksam-

hetsdokumentation. En särskild författningsreglering av behandlingen av personuppgifter på studiestödsområdet anses angelägen för att verksamheten ska kunna utföras på ett effektivt och rättssäkert sätt samtidigt som ett fullgott skydd för den personliga integriteten garanterades. I detta sammanhang nämndes uppdraget för 2005 års informationsutbytesutredning (Fi 2005:08). Denna utredning hade i uppdrag att bl.a. se över om kommunernas socialtjänst bör få elektronisk tillgång till uppgifter från CSN för att kontrollera riktigheten av lämnade uppgifter (dir. 2005:91). Utgångspunkten för uppdraget var att sådan tillgång till andra myndigheters databaser i största möjliga utsträckning skulle ske genom direktåtkomst. I utredningsuppdraget för 2005 års informationsutbytesutredning ingick dessutom att se över om och under vilka förutsättningar myndigheter bör ha möjlighet eller vara skyldiga att på eget initiativ underrätta andra myndigheter vid misstanke om oegentligheter.

I sitt betänkande Utökat elektroniskt informationsutbyte (SOU 2007:45) har 2005 års informationsutbytesutredning lämnat förslag som i viss utsträckning har bäring på CSN. Förslagen för CSN:s vidkommande kan starkt sammanfattat redovisas på följande sätt. En sekretessbrytande bestämmelse införs i socialtjänstlagen (2001:453) i form av en uttrycklig uppgiftsskyldighet för CSN gentemot socialnämnderna. Förslaget innebär att CSN till socialnämnderna via direktåtkomst får lämna uppgifter om förmån, ersättning eller annat stöd som har betydelse i ärenden om ekonomiskt bistånd, se vidare avsnitt 6.12.5. Det föreslås vidare att det införs en anmälningsskyldighet för CSN om CSN bedömer att Arbetsförmedlingen, Försäkringskassan, Migrationsverket, kommunerna (socialnämnderna) eller arbetslöshetskassorna felaktigt har beviljat eller betalat ut ett bidrag eller en ekonomisk förmån till en enskild.

ger ett anpassat integritetsskydd på de områden författningarna reglerar och innebär en högre grad av konkretion än de generella reglerna i personuppgiftslagen.

Den uttalade ambitionen från regeringens och riksdagens sida är att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag, som beslutas av riksdagen, även om det inte är nödvändigt med lagform enligt grundlagarna.

En registerlag för t.ex. en myndighets behandling

av personuppgifter kompletteras ofta av en av regeringen utfärdad registerförordning med detaljregler som inte ansetts nödvändiga att höra riksdagen om. Numera finns det åtminstone över etthundra olika författningar som innehåller bestämmelser om behandling av personuppgifter till komplettering av personuppgiftslagen och som därför kan kallas för särskilda registerförfattningar. Som exempel på nyare registerlagar som reglerar behandling av personuppgifter i myndigheters verksamhet kan nämnas lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen, lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration.

Innehållet i de särskilda registerförfattningarna varierar. Det är vanligt att registerförfattningar som reglerar en myndighets behandling av personuppgifter innehåller bestämmelser om, förutom givetvis vilket tilllämpningsområde författningen har, förhållandet till personuppgiftslagen (om författningen ersätter eller bara kompletterar personuppgiftslagen), för vilka ändamål personuppgifter får behandlas, under vilka förutsättningar särskilt integritetskänsliga personuppgifter får behandlas, vem som är personuppgiftsansvarig, under vilka förutsättningar personuppgifter får lämnas ut på elektronisk väg (genom s.k. direktåtkomst eller utlämnande på medium för automatiserad behandling), vilka s.k. sökbegrepp som får användas när man söker bland personuppgifterna, när personuppgifterna ska gallras och vad som ska gälla i fråga om rättelse och skadestånd om något blivit fel.

Se allmänt om särskilda registerförfattningar Sören Öman, ”Särskilda registerförfattningar” i Festskrift till Peter Seipel, 2006, s. 685–705.

Prop. 1997/98:44 s. 41 och bet. 1997/98:KU18 s. 43 samt prop. 1990/91:60 s. 58 och bet. 1990/91:KU11 s. 11.

5. Behövs särskild författningsreglering

5.1. Inledning

Utredningen har enligt utredningsdirektiven för det första att kartlägga och granska regleringen och användningen av personregister och annan behandling av personuppgifter i studiestödsverksamhet. Den kartläggningen och granskningen har redovisats i föregående bakgrundsavsnitt. För det andra har utredningen enligt utredningsdirektiven att analysera behovet av särskilda författningsbestämmelser för myndigheternas behandling av personuppgifter och lämna förslag till de författningsbestämmelser som behövs. I detta avsnitt analyserar utredningen behovet av en särskild författningsreglering.

I dag finns det alltså inte någon särskild författningsreglering av myndigheternas behandling av personuppgifter i studiestödsverksamhet, utan behandlingen regleras av bl.a. de generella bestämmelserna i personuppgiftslagen (1998:204). Regeringen och riksdagen har vid flera tillfällen gett uttryck för den principiella utgångspunkten att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag.

1

Utredningen anser att det ställningstagandet bör bilda utgångspunkten även för utredningens analys. Frågan blir då för det första om myndigheternas behandling av personuppgifter i studiestödsverksamhet kan anses vara av sådant slag – avse ett stort antal registrerade och särskilt känsliga personuppgifter – att behandlingen i enlighet med ställningstagandet ska regleras i lag.

Omfattningen av behandlingen av personuppgifter i studiestödsverksamhet skiljer sig väsentligt mellan aktörerna på området. Centrala studiestödsnämnden (CSN) med sin omfattande studie-

1

Se t.ex. prop. 1997/98:44 s. 41 och bet. 1997/98:KU18 s. 43 samt prop. 1990/91:60 s. 50

och bet. 1990/91:KU11 s. 11.

stödsverksamhet intar här en särställning i förhållande till övriga aktörer. De andra aktörernas behandling av personuppgifter i studiestödsverksamhet framstår som förhållandevis begränsad i jämförelse med CSN:s. Det är också bara beträffande CSN:s behandling av personuppgifter i studiestödsverksamhet som behovet av en särskild författningsreglering har lyfts fram i olika sammanhang.

2

Utredningen anser det därför riktigast att analysera

behovet av en särskild författningsreglering för varje myndighet för sig och börjar med CSN.

5.2. Centrala studiestödsnämnden (CSN)

Utredningens bedömning: Behandlingen av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bör regleras särskilt i lag.

Centrala studiestödsnämnden (CSN) är en myndighet med en omfattande verksamhet som kommit långt i sin datorisering. CSN:s verksamhet på studiestödsområdet avser ett mycket stort antal personer. Nästan alla medborgare som i modern tid har studerat utöver grundskolan finns eller har funnits registrerade hos CSN. Många låntagare finns vidare registrerade hos CSN under mycket lång tid, merparten av deras yrkesverksamma liv.

I CSN:s databaser finns det alltså ett mycket stort antal registrerade, varav många finns registrerade under mycket lång tid. Databaserna innehåller vidare bl.a. personuppgifter om ekonomiska förhållanden, sjukdomsperioder och skolk. Sådana uppgifter upplever många människor som känsliga.

Enligt utredningens mening är CSN:s behandling av personuppgifter i studiestödsverksamheten av sådant slag att den utan tvekan uppfyller de kriterier regeringen och riksdagen ställt upp för att anse att behandlingen ska regleras särskilt i lag. Redan denna bedömning gör det befogat för utredningen att föreslå en särskild registerlag för CSN:s behandling av personuppgifter i studiestödsverksamheten.

2

Se bl.a. prop. 2000/01:129 s. 69 och prop. 2001/02:161 s. 47 samt CSN:s skrivelse till

regeringen U2000/4901/SV, Riksdagens ombudsmäns (JO:s) yttrande med anledning av Informationsutbytesutredningens betänkande SOU 2000:97 och Statskontorets utvärdering Informationsutbyte kräver bra förutsättningar (rapport 2006:7) s. 9 och 106.

För ett sådant förslag finns det givetvis också tungt vägande sakliga skäl av välkänd natur. Genom en särskild författningsreglering av behandling av personuppgifter i en myndighets verksamhet som omfattar många människor och åtminstone vissa särskilt känsliga uppgifter kan ett anpassat integritetsskydd uppnås som tar hänsyn till såväl de särskilda integritetsrisker verksamheten innebär som myndighetens behov av tydligt författningsstöd för behandlingen med ändamålsenliga bestämmelser som inte i onödan hindrar effektiviteten. Allmänhetens förtroende för myndighetens hantering av personuppgifterna kan också ytterligare stärkas genom en författningsreglering samtidigt som författningsregleringen i sig kan bidra till att öka medvetenheten om den behandling av personuppgifter som förekommer. Genom en särskild författningsreglering med ett anpassat integritetsskydd kommer CSN vidare i samma läge som flera andra myndigheter, t.ex. Skatteverket och Försäkringskassan, som CSN regelbundet utbyter personuppgifter med.

Utredningen kan inte se några bärande skäl för varför CSN:s behandling av personuppgifter i studiestödsverksamheten inte skulle regleras särskilt i lag.

Utredningens slutsats är alltså att CSN:s behandling av personuppgifter i studiestödsverksamheten bör regleras särskilt i lag. Utredningen tar senare upp frågan om hur omfattande den särskilda regleringen i lag bör vara i förhållande till såväl reglering på annan författningsnivå (förordningar utfärdade av regeringen och föreskrifter utfärdade av myndighet), avsnitt 6.2, som personuppgiftslagen, avsnitt 6.6.1.

5.3. De övriga aktörerna på studiestödsområdet

Utredningens bedömning: Det behövs inte någon särskild författningsreglering av behandlingen av personuppgifter i studiestödsverksamheten hos andra aktörer på studiestödsområdet än Centrala studiestödsnämnden.

Som framgår av bakgrundsavsnitten (avsnitt 4.3–4.5) är behandlingen av personuppgifter i studiestödsverksamheten hos Överklagandenämnden för studiestöd, Landsorganisationen i Sverige (LO), Tjänstemännens centralorganisation (TCO), Social-

styrelsens institut för särskilt utbildningsstöd (SISUS) och Sametinget av förhållandevis ringa omfattning. Datoriseringsgraden i studiestödsverksamheten hos dessa aktörer är i dag inte heller på långt när lika hög som hos CSN. Det har föreslagits att LO:s och TCO:s befattning med studiestöd ska upphöra vid årsskiftet.

Det är hos Överklagandenämnden för studiestöd som den mest omfattande studiestödsverksamheten bedrivs utanför CSN. Den verksamheten omfattar omkring 5 500 ärenden per år.

Enligt utredningens mening kan behandlingen av personuppgifter i studiestödsverksamheten hos var och en av de övriga aktörerna på studiestödsområdet inte anses avse ett så stort antal registrerade att en särskild reglering i lag av behandlingen är nödvändig i enlighet med det ställningstagande av regeringen och riksdagen som redovisats tidigare. Den bedömningen gäller även om man skulle betrakta behandlingen i studiestödsverksamheten hos alla de övriga aktörerna sammantaget och även om man beaktar att det i viss utsträckning kan förekomma uppgifter av särskilt känslig karaktär, t.ex. uppgifter om sjukdomar och handikapp, i verksamheten.

Frågan blir då om det ändå finns skäl för en särskild reglering i lag eller på lägre författningsnivå av behandlingen av personuppgifter i studiestödsverksamheten hos de övriga aktörerna.

Det ska då först noteras att ingen av de övriga aktörerna har till utredningen framfört att det skulle finnas ett behov av särskild

3

författningsreglering. Inte heller någon annan har till utredningen

eller, såvitt utredningen fått kännedom om, i annat sammanhang framfört att det skulle finnas ett sådant behov. Några särskilda problem med den nuvarande regleringen av eller klagomål på aktörernas hantering av personuppgifter har vidare inte kommit fram.

Studiestödsverksamheten hos LO, TCO, SISUS och Sametinget har inte några direkta kopplingar till den behandling av personuppgifter hos CSN som utredningen funnit bör regleras i lag. Det har däremot verksamheten hos Överklagandenämnden för studiestöd, som bl.a. handlägger överklaganden av CSN:s beslut i domstolsliknande former. Behandlingen av personuppgifter i överprövningsverksamheten hos Överklagandenämnden för studiestöd, som visserligen avser studiestöd, torde dock ha mera gemensamt med den behandling som sker i domstol än den som sker vid handläggningen hos CSN. Utredningen anser därför att det förhållandet att

3

Korttidsbidrag och studiemedel får visserligen inte lämnas för samma tid, men några

automatiserade system för kontroll av detta har inte införts.

CSN:s behandling av personuppgifter i studiestödsverksamheten regleras särskilt inte utgör ett tillräckligt skäl för att samtidigt särskilt reglera behandlingen av personuppgifter i verksamheten hos Överklagandenämnden för studiestöd. Däremot kan det finnas anledning att när en modern särskild reglering av behandlingen av personuppgifter i domstolsväsendet utarbetas

4

överväga om det är

lämpligt att låta behandlingen av personuppgifter hos Överklagandenämnden för studiestöd omfattas av en motsvarande reglering.

Utredningen har sammanfattningsvis inte funnit behov av eller tillräckliga skäl för en särskild författningsreglering av behandlingen av personuppgifter i studiestödsverksamheten hos andra aktörer än CSN. Utredningen föreslår därför inte någon författningsreglering avseende verksamheten hos Överklagandenämnden för studiestöd, LO, TCO, SISUS och Sametinget.

4

Jämför SOU 2001:100.

ÖVERVÄGANDEN OCH FÖRSLAG

6. Studiestödsdatalag

6.1. Inledning

Utredningen har alltså funnit att behandlingen av personuppgifter i CSN:s studiestödsverksamhet bör regleras särskilt i lag och att det inte behövs någon särskild författningsreglering av behandlingen av personuppgifter i studiestödsverksamheten hos de andra aktörerna på studiestödsområdet.

Enligt utredningsdirektiven bör utredningen anlägga ett helhetsperspektiv och inrikta sig på att en framtida reglering ska bli ändamålsenlig och samtidigt passa väl in i gällande regelsystem. Ett mål är, enligt utredningsdirektiven, att skapa enkla, tydliga och hållbara regler som inte är beroende av att vissa tekniska lösningar används och som uppfyller kravet på ett fullgott skydd för den personliga integriteten vid behandling av personuppgifter. Den rättsliga analysen bör utgå från att myndigheterna ska kunna arbeta minst lika effektivt som i dag. Regelverket bör ge möjligheter att utveckla datasystem som underlättar utbytet av nödvändig information såväl mellan olika myndigheter, nationellt och internationellt, som mellan enskilda och myndigheterna.

I detta avsnitt berörs utredningens förslag till lagstiftning för behandlingen av personuppgifter i CSN:s studiestödsverksamhet, som har utformats med beaktande av det som anges i utredningsdirektiven.

6.2. Nivån på författningsregleringen

Utredningens bedömning: De grundläggande bestämmelserna om vad Centrala studiestödsnämnden ska och får göra beträffande behandling av personuppgifter i studiestödsverksamheten bör finnas i lag. Lagen bör kunna kompletteras genom författningar och beslut på lägre nivå för att anpassa regleringen till förhållanden som kan förändras snabbt eller ofta.

Att behandlingen av personuppgifter i CSN:s studiestödsverksamhet i enlighet med den principiella utgångspunkt regeringen och riksdagen flera gånger gett uttryck för bör regleras särskilt i lag innebär, som utredningen ser det, att åtminstone de grundläggande bestämmelserna om vad CSN ska och får göra bör finnas i lag. I vilken utsträckning det bör vara tillåtet för regeringen eller någon myndighet att komplettera de grundläggande lagreglerna eller besluta om undantag från dem är enligt utredningens mening en lämplighetsfråga. Av lagen bör det dock i den utsträckning det är nödvändigt framgå när så får ske. I avsnitt 6.17 berör utredningen de kompletterande förordningsföreskrifter som föreslås.

I utredningsdirektiven betonas att den rättsliga analysen bör utgå från att myndigheterna ska kunna arbeta minst lika effektivt som i dag och att regelverket bör ge möjligheter att utveckla datasystem som underlättar utbytet av nödvändig information.

Eftersom förhållanden som rör datoriserad behandling av personuppgifter ofta förändras, bl.a. i takt med den tekniska utvecklingen, t.ex. avseende det elektroniska informationsutbyte som blir möjligt eller önskvärt, är det inte lämpligt att ha alltför detaljerade bestämmelser i lag. Det skulle nämligen vara alltför tidsödande och omständligt med ofta förekommande lagändringar. Då är det smidigare att i förordning utfärdad av regeringen kunna ha kompletterande reglering. Lagregleringen bör alltså ge det grundläggande integritetsskyddet och spelreglerna för CSN, medan den nödvändiga anpassningen av regleringen bör kunna göras på lägre författningsnivå. I det följande motiverar utredningen särskilt i vilken utsträckning det bör vara möjligt att anpassa de föreslagna lagreglerna genom författningar och beslut på lägre nivå.

Vad sedan gäller vilka områden som de grundläggande bestämmelserna i lag bör täcka betonas i utredningsdirektiven att den föreslagna regleringen bör passa väl in i gällande regelsystem. Enligt

utredningens mening kan man i denna fråga hämta vägledning från vad som brukar regleras i särskilda registerlagar om behandlingen av personuppgifter i verksamhet hos myndigheter (se avsnitt 3.5). I enlighet härmed bör det övervägas bl.a. i vilken utsträckning det behövs lagregler om lagens tillämpningsområde, förhållandet till personuppgiftslagen (om författningen ersätter eller bara kompletterar personuppgiftslagen), vem som är personuppgiftsansvarig, för vilka ändamål personuppgifter får behandlas, under vilka förutsättningar särskilt integritetskänsliga personuppgifter får behandlas, under vilka förutsättningar personuppgifter får lämnas ut på elektronisk väg (genom s.k. direktåtkomst eller utlämnande på medium för automatiserad behandling), vilka s.k. sökbegrepp som får användas när man söker bland personuppgifterna, när personuppgifterna ska gallras och vad som ska gälla i fråga om rättelse och skadestånd om något blivit fel. Även bestämmelser om den interna elektroniska tillgången till personuppgifter förekommer inte så sällan i särskilda registerlagar. Även behovet av sådana bestämmelser bör övervägas.

6.3. Lagens namn

Utredningens förslag: Lagen om behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet ska heta studiestödsdatalagen.

Utredningen har övervägt om den föreslagna lagen bör ha ett beskrivande namn, såsom lagen om behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, eller ett kort namn, såsom studiestödsdatalagen. Båda varianterna förekommer i lagstiftningen i dag.

1

Utredningen anser att det är mest

praktiskt med ett kort namn som ändå ger vägledning om vad lagen handlar om. Studiestödsdatalagen är ett passande namn, tycker utredningen. Eftersom bara CSN handlägger ärenden om studiestöd enligt studiestödslagen, för namnet på ett rättvisande sätt tankarna till CSN:s datoriserade hantering av studiestödet. Att lagen – av mer formella än praktiska skäl – föreslås omfatta även viss behandling av personuppgifter som inte är datoriserad (se

1

Se t.ex. lagen (2006:469) om behandling av personuppgifter vid Inspektionen för

arbetslöshetsförsäkringen respektive polisdatalagen (1998:622).

avsnitt 6.4), gör enligt utredningens mening inte namnet studiestödsdatalagen missvisande

2

, bl.a. eftersom det i praktiken

inte torde förekomma någon icke datoriserad behandling hos CSN som omfattas av lagen.

6.4. Studiestödsdatalagens tillämpningsområde

Utredningens förslag: Studiestödsdatalagen ska tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet. Lagen gäller dock bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

6.4.1. Den verksamhet som omfattas

Varje lagstiftning måste ha ett visst tillämpningsområde. Studiestödsdatalagen ska reglera CSN:s behandling av personuppgifter. Lagen bör dock inte omfatta all behandling av personuppgifter som CSN utför. Förutom i studiestödsverksamheten finns det behov för CSN att behandla personuppgifter inom ramen för verksamheten avseende hemutrustningslån (jämför avsnitt 2.1) och för intern administration, såsom lokal- och personalhantering.

Behandling av personuppgifter vid allmänt internt administrativt arbete i en myndighets verksamhet är normalt inte reglerad i särskilda registerförfattningar för annan offentlig verksamhet, och utredningen har inte sett något behov av eller skäl för att låta CSN:s behandling av personuppgifter för den interna administrationen utan direkt koppling till handläggningen av ärenden om studiestöd omfattas av studiestödsdatalagen.

När det gäller behandling av personuppgifter i CSN:s verksamhet avseende hemutrustningslån, som har en förhållandevis ringa omfattning, torde en reglering av den behandlingen inte omfattas av utredningens uppdrag. CSN:s registerföring avseende hemutrustningslån regleras redan av 28 och 29 §§ förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa

2

Jämför prop. 1997/98:44 s. 42.

andra utlänningar, och 2005 års informationsutbytesutredning har i och för sig ansett att de bestämmelser som avser CSN:s behandling av personuppgifter i detta avseende bör ses över i annat sammanhang.

3

CSN har dock inte för utredningen påtalat något behov av

att ytterligare reglera behandlingen av personuppgifter i den verksamheten.

Utredningens slutsats är således att bara CSN:s behandling av personuppgifter i studiestödsverksamheten bör omfattas av studiestödsdatalagen.

Med studiestödsverksamhet avser utredningen för det första beviljning av studiestöd, återkrav av felaktigt utbetalat studiestöd och återbetalning av studiestöd samt den hantering som sker i anslutning till ärenden om beviljning, återkrav och återbetalning av studiestöd, oavsett om hanteringen av ärendet leder till att studiestöd exempelvis beviljas, nekas, återkrävs eller återbetalas. Med studiestöd avser utredningen allt offentligt stöd för enskildas egna studier som CSN enligt författning administrerar. Inte bara det stöd som regleras i studiestödslagen avses således utan även de andra former av studiestöd som CSN administrerar, för närvarande Rg-bidrag, TUFF-ersättning och bidrag för dagliga resor samt de utmönstrade former av stöd som fortfarande kräver CSN:s handläggning, såsom rekryteringsbidrag.

Med studiestödsverksamhet avser utredningen för det andra den verksamhet på det studiesociala området som CSN bedriver, t.ex. hanteringen av CSN-kortet.

Studiestödsdatalagen omfattar således enligt utredningens förslag CSN:s studiestödsverksamhet i bred mening. I vilka fall det är tillåtet för CSN att i den verksamheten behandla personuppgifter bestäms bl.a. av de tilllåtna ändamål för behandlingen som utredningen föreslår (se avsnitt 6.8). Bara för de enligt lagen tillåtna ändamålen får CSN behandla personuppgifter inom lagens tillämpningsområde, dvs. i CSN:s studiestödsverksamhet.

Av vad som sägs i avsnitt 6.6.2 framgår det att CSN:s behandling av personuppgifter för att framställa statistik i studiestödsverksamheten inte regleras av studiestödsdatalagen utan av de särskilda författningsbestämmelserna för statistikansvariga myndigheter.

Det bör här nämnas att det nyligen har gjorts gällande att vid direktåtkomst mellan myndigheter begränsningar av tillåtna sök-

3

SOU 2007:45 s. 270 f.

begrepp i en särskild registerförfattning för behandling av personuppgifter i den utlämnande myndighetens verksamhet gäller också för den mottagande myndigheten.

4

Utredningen, som anser att ett

sådant rättsläge i och för sig vore önskvärt, nöjer sig med att konstatera att avsikten är att utredningens förslag avseende lagens tillämpningsområde inte ska i detta avseende avvika från vad som kan gälla i fråga om de många särskilda registerförfattningar som har tillämpningsområdet angivet på motsvarande sätt.

6.4.2. Den behandling som omfattas

Automatiserad och strukturerad manuell behandling

Personuppgiftslagen omfattar helt eller delvis automatiserad behandling av personuppgifter och dessutom annan, manuell behandling av personuppgifter under förutsättning att uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Det vanliga är att särskilda registerförfattningar omfattar samma typer av behandling som personuppgiftslagen.

Den föreslagna regleringen bör, enligt utredningsdirektiven, passa väl in i gällande regelsystem, och målet är att skapa enkla, tydliga och hållbara regler som inte är beroende av att vissa tekniska lösningar används. Utredningen anser därför att det är mest ändamålsenligt att studiestödsdatalagen omfattar samma typer av behandling som personuppgiftslagen. Med hänsyn till att CSN:s datorisering är långt framskriden torde det dock i praktiken inte i CSN:s studiestödsverksamhet förekomma någon sådan manuell behandling som omfattas av personuppgiftslagen.

Bara personuppgifter

Personuppgiftslagen omfattar bara behandling av personuppgifter, varmed avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det förekommer att särskilda registerförfattningar omfattar även behandling av uppgifter om juridiska personer eller avlidna fysiska personer.

4

SOU 2007:45 s. 198 f.

Behandling av uppgifter om sådana personer torde bara undantagsvis förekomma i CSN:s studiestödsverksamhet, t.ex. uppgifter om s.k. friskolor. Bland annat därför föreslår utredningen inte att tillämpningsområdet för studiestödsdatalagen ska omfatta behandling av andra uppgifter än personuppgifter.

Automatiserad behandling av personuppgifter i ostrukturerat material bör inte undantas

Från och med den 1 januari 2007 har det i personuppgiftslagen införts ett undantag från de flesta bestämmelserna i lagen för automatiserad behandling av personuppgifter i ostrukturerat material, såsom löpande text eller ljud eller bild (5 a §). Sådan behandling får dock enligt en ny bestämmelse i lagen inte utföras, om den innebär en kränkning av den registrerades personliga integritet.

Mot den bakgrunden skulle man kunna överväga att undanta automatiserad behandling av personuppgifter i ostrukturerat material från tillämpningsområdet för studiestödsdatalagen. Det skulle i så fall innebära att personuppgiftslagen ensam skulle vara tillämplig på sådan behandling.

Definitionen av behandling av personuppgifter i ostrukturerat material i personuppgiftslagen – ”behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter” – är sådan att alla de personuppgifter som finns i CSN:s databaser inte omfattas av definitionen. Det gäller även t.ex. inskannade dokument i ärenden om studiestöd och promemorior med löpande text som tjänstemän kan skriva i sådana ärenden. Med hänsyn till den långt gångna strukturerade datoriseringen hos CSN torde det i studiestödsverksamheten inte vara mycket som skulle kunna omfattas av definitionen.

De särskilda bestämmelser som bör finnas i studiestödsdatalagen bör vidare enligt utredningens mening vara specialanpassade för CSN:s studiestödsverksamhet och utformade så att de är ändamålsenliga och utan större besvär kan tillämpas även på behandling av personuppgifter i ostrukturerat material. Enligt utredningsdirektiven är ju ett mål för utredningsuppdraget att skapa enkla, tydliga och hållbara regler som inte är beroende av att vissa tekniska lösningar används och som uppfyller kravet på ett

fullgott skydd för den personliga integriteten vid behandling av personuppgifter.

Av dessa skäl har utredningen funnit att CSN:s behandling av personuppgifter i ostrukturerat material i studiestödsverksamheten inte bör undantas från tillämpningsområdet för studiestödsdatalagen.

6.5. Den registrerades inflytande

Utredningens förslag: Behandling av personuppgifter som enligt studiestödsdatalagen är tillåten utan den registrerades samtycke får som huvudregel utföras även om den registrerade motsätter sig behandlingen.

Den registrerade ska dock ha rätt att motsätta sig att Centrala studiestödsnämnden behandlar personuppgifter för att till honom eller henne sända information om förmåner och bevis om studier med studiestöd. Centrala studiestödsnämnden ska informera de registrerade om den rätten.

I de fall då behandling av personuppgifter bara är tillåten enligt studiestödsdatalagen när den registrerade lämnat sitt samtycke har den registrerade rätt att när som helst återkalla ett lämnat samtycke, varefter ytterligare personuppgifter om den registrerade inte får behandlas.

Den registrerade ska enligt EG-direktivet (artikel 14) åtminstone i vissa fall, bl.a. när det gäller en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgiften har lämnats ut, ha rätt att motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. Det är alltså enligt EGdirektivet tillåtet att föreskriva att den registrerade inte har rätt att motsätta sig behandlingen. Den registrerade har dock enligt EGdirektivet en ovillkorlig rätt att motsätta sig behandling som rör direkt marknadsföring.

I personuppgiftslagen finns det en bestämmelse om att den registrerade inte har rätt att motsätta sig sådan behandling som är tillåten utan samtycke enligt personuppgiftslagen (12 §) och en bestämmelse om att personuppgifter inte får behandlas för ändamål

som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling (11 §).

Mot bakgrund av bestämmelserna i EG-direktivet föreskrivs det i särskilda registerförfattningar ofta i vilken utsträckning den registrerade kan eller har rätt att motsätta sig sådan behandling som regleras i den aktuella författningen.

5

Utformningen av bestämmel-

sen i 12 § personuppgiftslagen har ansetts medföra att det är svårt att i särskilda registerförfattningar direkt hänvisa till den.

6

De registerlagar som trädde i kraft närmast efter personuppgiftslagen saknade uttryckliga bestämmelser om den registrerades möjlighet att motsätta sig behandling av personuppgifter som var tillåten enligt lagen.

7

Mot bakgrund av bestämmelserna i EG-direk-

tivet förordade Lagrådet i lagstiftningsärendet år 2000/01 om behandling av personuppgifter inom skatt, tull och exekution att uttryckliga bestämmelser om den registrerades möjlighet att motsätta sig behandling av personuppgifter skulle tas in i de då aktuella registerlagarna.

8

I registerlagar som tillkommit därefter har det i

stor utsträckning tagits in sådana bestämmelser.

9

Men det finns

även från senare tid exempel på registerlagstiftning som saknar sådan uttrycklig reglering.

10

Enligt utredningens mening står det klart att CSN:s behandling av personuppgifter i samband med handläggningen av ärenden om studiestöd inte rimligen bör vara beroende av den registrerades inställning till behandlingen. Av bestämmelserna i studiestödsdatalagen bör det framgå när sådan behandling får ske, och en registrerad bör inte kunna förhindra en enligt lagen tillåten rationell och datoriserad handläggning av hans eller hennes ärende om studiestöd. Huvudregeln i studiestödsdatalagen bör därför vara att

5

Se Sören Öman & Hans-Olof Lindblom, Personuppgiftslagen – En kommentar, tredje

upplagan 2007, s. 66 f. med vidare hänvisningar.

6

Se bl.a. prop. 2000/01:33 s. 346 och prop. 2001/02:144 s. 20.

7

Se t.ex. lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i

brottsutredningar, lagen (1999:163) om penningtvättsregister, lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga och lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

8

Prop. 2000/01:33 s. 346.

9

Se t.ex. lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska

verksamheten, lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration, lagen (2005:258) om läkemedelsförteckning, lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, lagen (2006:444) om passagerarregister och lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen.

10

Lagen (2006:378) om lägenhetsregister.

behandling av personuppgifter som enligt lagen är tilllåten utan den registrerade samtycke får utföras även om den registrerade motsätter sig behandlingen.

När det däremot gäller behandling av personuppgifter som inte är nödvändig för att CSN ska kunna fullgöra sin kärnverksamhet med bl.a. handläggning av ärenden om studiestöd, bör det kunna finnas ett utrymme för att ge den registrerade inflytande över om behandlingen ska få komma till stånd.

I de fall där det enligt studiestödsdatalagen krävs den registrerades samtycke för att behandlingen ska få utföras (se närmare om detta i avsnitt 6.8 och 6.9) har den registrerade givetvis ett sådant inflytande i den meningen att han eller hon kan vägra att lämna ett efterfrågat samtycke. Den registrerade bör i dessa fall – i enlighet med vad som gäller enligt personuppgiftslagen (12 § första stycket) – även ha rätt att när som helst återkalla ett lämnat samtycke och därmed förhindra att CSN därefter behandlar ytterligare personuppgifter om honom eller henne för det aktuella ändamålet.

Som framgår av avsnitt 6.8.2 föreslår utredningen att behandling av personuppgifter för viss verksamhet avseende främst det studiesociala området i stort som i första hand syftar till att kommunicera information och bevis om studier med studiestöd med den registrerade ska vara tillåten utan samtycke. Det gäller närmare bestämt behandling av personuppgifter för att a) informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner och b) ta fram och till studerande distribuera bevis om studier med studiestöd.

Sådan behandling är inte direkt nödvändig i samband med handläggningen av ärenden om studiestöd även om den delvis syftar till att underlätta CSN:s handläggning. Behandlingen har vissa likheter med behandling av personuppgifter för ändamål som rör direkt marknadsföring och sker i första hand för att underlätta för den registrerade. Man kan därför överväga att ge registrerade som trots allt inte önskar information och bevis en rätt att motsätta sig behandlingen. Det kan antas att de allra flesta tycker att förfarandet med information och bevis är bra och att således ganska få personer skulle utnyttja den rätten, men det förringar givetvis inte värdet av en sådan rätt för de personer som faktiskt vill utnyttja den. Samtidigt bör det beaktas att en sådan rätt innebär i vart fall ett visst administrativt besvär för CSN.

Utredningen har vid en sammanvägning kommit fram till att man så långt möjligt bör respektera den enskildes vilja även om det

innebär visst administrativt besvär. I nu aktuella fall bör den registrerade således ha en rätt att motsätta sig behandlingen. Det innebär med andra ord att CSN – utan samtycke – får utföra behandlingen bara så länge den registrerade inte har motsatt sig behandlingen. Motsättandet bör få ske muntligen eller skriftligen. Ångrar den registrerade sig, kan han eller hon alltid samtycka till den aktuella behandlingen. Ett återtagande av ett lämnat motsättande får tolkas som ett sådant samtycke.

För att säkerställa att de registrerade får kännedom om den nu angivna rätten att motsätta sig behandling och därmed kan utnyttja den i praktiken föreslår utredningen att CSN ska informera de registrerade om rätten att motsätta sig behandlingen. Det kan ske t.ex. på CSN:s webbplats och i broschyrer som sänds till registrerade samt i de utskick som avses med behandlingen.

6.6. Förhållandet till annan lagstiftning

Utredningens förslag: Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, om inte annat följer av studiestödsdatalagen.

I fråga om Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik gäller bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar i stället för studiestödsdatalagen.

Utredningens bedömning: Det är onödigt att i studiestödsdatalagen ta in en uttrycklig erinran om att lagen inte får tillämpas i strid med grundlag.

6.6.1. Personuppgiftslagen

Personuppgiftslagen är generellt tillämplig men subsidiär, och avvikande bestämmelser i annan lag eller i förordning har företräde framför personuppgiftslagen (2 §). Detta förhållande medför att en särskild registerförfattning kan utformas på olika sätt.

En metod är att konstruera en särskild registerförfattning så att den bara kompletterar personuppgiftslagen. Den särskilda registerförfattningen kommer då att gälla utöver personuppgiftslagen, vilket innebär att när reglering saknas i den särskilda författningen

kommer bestämmelserna i personuppgiftslagen att vara tillämpliga. Nackdelen med denna lösning är att lagtillämparen kan ha svårt att få överblick över vilka bestämmelser i personuppgiftslagen som är tillämpliga. Metoden har använts i de allra flesta särskilda registerförfattningar.

En annan metod är att ta in de bestämmelser som avviker från personuppgiftslagen i den särskilda registerförfattningen, ange att författningen gäller i stället för personuppgiftslagen och uttryckligen hänvisa till de lagrum i personuppgiftslagen som trots allt ska vara tillämpliga. Fördelarna med denna metod är att lagstiftningen blir mer överskådlig, tydlig och lättillämpad än om inga hänvisningar görs till personuppgiftslagen. Metoden har emellertid fått kritik av Lagrådet som bl.a. ansett att lagstiftningstekniken är riskfylld, med hänsyn såväl till svårigheten att överblicka om EGdirektivet (se avsnitt 3.3.3) blir till fullo genomfört i registerförfattningarna som till möjligheten att vid kommande lagändringar hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga.

11

Metoden har dock på senare tid använts i lagen

(2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, som reglerar en verksamhet som delvis faller utanför tillämpningsområdet för EG-direktivet.

En tredje metod är att låta den särskilda registerförfattningen gälla i stället för personuppgiftslagen och innehålla en fullständig reglering av behandlingen av personuppgifter inom sitt tillämpningsområde. De bestämmelser i personuppgiftslagen som trots allt ska vara tillämpliga upprepas således i registerförfattningen. Exempel på sådan lagstiftning finns i den nyligen antagna lagstiftningen om behandling av personuppgifter hos Försvarsmakten respektive Försvarets radioanstalt.

12

Dessa två lagar är speciella såtillvida att de

reglerar behandling av personuppgifter som faller utanför tillämpningsområdet för EG-direktivet.

13

I utredningsdirektiven tas klart ställning för den förstnämnda metoden, som också är den vanligaste. Av utredningsdirektiven framgår det nämligen att den författningsreglering som föreslås ska gälla utöver personuppgiftslagen och begränsas till att avse frågor som är specifika för de verksamheter som omfattas av författnings-

11

Se prop. 2000/01:33 s. 345.

12

Lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Prop. 2006/07:46.

13

Artikel 3.2 första strecksatsen i EG-direktivet. Se prop. 2006/07:46 s. 45 f.

regleringen. Också utredningen anser att studiestödsdatalagen bör förhålla sig på det sättet till personuppgiftslagen. Utredningen föreslår alltså att personuppgiftslagen ska gälla vid behandling av personuppgifter i CSN:s studiestödsverksamhet, om inte annat följer av studiestödsdatalagen.

De kompletterande föreskrifter som kan komma meddelas av regeringen eller underlydande myndigheter med stöd av studiestödsdatalagen torde inte i sig innehålla bestämmelser som avviker från personuppgiftslagen. Någon uttrycklig bestämmelse i studiestödsdatalagen om förhållandet mellan sådana kompletterande föreskrifter och personuppgiftslagen föreslås därför inte.

Som framgår av avsnitt 6.4.2 har det från och med den 1 januari 2007 i personuppgiftslagen införts ett undantag från de flesta bestämmelserna i lagen för automatiserad behandling av personuppgifter i ostrukturerat material, såsom löpande text eller ljud eller bild (5 a §). Sådan behandling får dock enligt en ny bestämmelse i personuppgiftslagen inte utföras, om den innebär en kränkning av den registrerades personliga integritet. Av det nämnda avsnittet framgår det också att CSN:s behandling av personuppgifter i ostrukturerat material i studiestödsverksamheten enligt utredningens förslag inte undantagits från tillämpningsområdet för studiestödsdatalagen. När det uttryckligen anges i studiestödsdatalagen att CSN får behandla personuppgifter, innebär det en särreglering i förhållande till personuppgiftslagen. Att CSN behandlar personuppgifter när det uttryckligen tillåtits i studiestödsdatalagen kan således inte angripas med stöd av den nya bestämmelsen i personuppgiftslagen om att viss behandling inte får utföras, om den innebär en kränkning av den registrerades personliga integritet.

6.6.2. Lagstiftningen om den officiella statistiken

Enligt utredningsdirektiven ska utredningen uppmärksamma frågor om behandling av personuppgifter för statistikändamål.

Lagen (2001:99) om den officiella statistiken gäller för statistikansvariga myndigheters verksamhet inom ramen för den officiella statistiken. Lagen innehåller även bestämmelser om sådana myndigheters övriga statistikverksamhet (se avsnitt 4.2.6).

CSN är en sådan statistikansvarig myndighet som vid behandling av personuppgifter för framställning av statistik omfattas av

bestämmelserna i lagen om den officiella statistiken och den anknytande förordningen (2001:100) om den officiella statistiken. CSN:s statistikverksamhet ska vidare enligt 10 § förordningen om den officiella statistiken vara organiserad så att den är avgränsad från CSN:s verksamhet i övrigt.

Behandlingen av personuppgifter i CSN:s statistikverksamhet, som ska hållas avgränsad från övrig verksamhet, är således redan författningsreglerad. En översyn av den redan särskilt författningsreglerade behandlingen av personuppgifter kan inte anses falla under utredningens utredningsuppdrag. I vart fall har utredningen inte funnit skäl att föreslå ändringar i gällande ordning. Bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar bör alltså gälla i stället för bestämmelserna i den föreslagna studiestödsdatalagen i fråga om CSN:s behandling av personuppgifter för att framställa statistik. Detta bör för tydlighets skull anges uttryckligen i studiestödsdatalagen.

Att personuppgifter som samlats in i CSN:s studiestödsverksamhet, t.ex. för att handlägga ärenden i den verksamheten, senare behandlas för att framställa statistik är något som inte regleras i den föreslagna studiestödsdatalagen. Den behandlingen av personuppgifter för att framställa statistik får alltså utföras om den är tillåten enligt bestämmelserna i bl.a. lagen om den officiella statistiken och anslutande författningar samt personuppgiftslagen (se t.ex. 9 § andra stycket personuppgiftslagen, varav framgår att behandling av personuppgifter för statistiska ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in). Att CSN använder (behandlar) personuppgifter som samlats in i studiestödsverksamheten för att sända ut enkäter för att senare genom inkomna enkätsvar få underlag för att framställa statistik får t.ex. ses som en behandling av personuppgifter för att framställa statistik.

Att CSN genom elektroniskt utlämnande av personuppgifter till Statistiska centralbyrån fullgör uppgiftsskyldigheten enligt 5 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan får också ses som en behandling av personuppgifter för att framställa statistik.

6.6.3. Bestämmelser i grundlag

Bestämmelser i grundlag tar alltid över bestämmelser i vanlig lag, såsom den föreslagna studiestödsdatalagen, utan att det behöver anges i varje vanlig lag. I personuppgiftslagen har det i klargörande syfte – trots Lagrådets protester – införts uttryckliga bestämmelser om att personuppgiftslagen inte får tillämpas i strid med bestämmelser i grundlag (7 § första stycket och 8 § första stycket).

14

Det

klart vanligaste är dock att vanlig lag inte förses med sådana i princip onödiga bestämmelser med upplysning om förhållandet till grundlagarna.

CSN ska alltså oberoende av vad som anges i den föreslagna studiestödsdatalagen följa grundlag. Det gäller t.ex. skyldigheterna enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen att söka efter, sammanställa och lämna ut personuppgifter.

I enlighet med vad som är vanligast anser utredningen att det är onödigt att i den föreslagna studiestödsdatalagen ta in en uttrycklig erinran om att lagen inte får tillämpas i strid med grundlag.

6.6.4. Bestämmelser om uppgiftsskyldighet och sekretess

För tydlighets skull bör det i detta sammanhang avslutningsvis lämnas en samlad redogörelse för hur den föreslagna studiestödsdatalagen förhåller sig till bestämmelser om uppgiftsskyldighet och sekretess.

15

Med bestämmelser om uppgiftsskyldighet avser utred-

ningen bestämmelser i lag eller förordning som innebär att CSN ska lämna ut vissa uppgifter till annan myndighet eller sådana privata organ som vid tillämpningen av sekretesslagen jämställs med myndighet, såsom arbetslöshetskassorna, eller till enskilda, dvs. bestämmelser av sådan typ som avses i 14 kap. 1 § sekretesslagen (1980:100) och som innebär att eventuell föreskriven sekretess inte hindrar utlämnande till annan myndighet. Sådana bestämmelser om uppgiftsskyldighet bör skiljas från bestämmelser som bara anger att CSN får lämna ut vissa uppgifter eller att sekretess inte hindrar ett utlämnande av vissa uppgifter.

Den föreslagna studiestödsdatalagen innehåller inte någon bestämmelse om uppgiftsskyldighet. De bestämmelser som föreslås t.ex. i fråga om ändamål med behandlingen och om direktåtkomst

14

Prop. 1997/98:44 s. 46 och 51 f.

15

Jämför SOU 2007:22 Del 1 s. 461 ff. för synpunkter rörande bl.a. otydlig reglering i de särskilda registerförfattningarna.

och annat elektroniskt utlämnande av personuppgifter anger nämligen bara vad som får ske.

I annan lag eller i förordning förekommer det dock, såsom framgått av bakgrundsavsnitten, inte så sällan bestämmelser om uppgiftsskyldighet för CSN. Avsikten är att den föreslagna studiestödsdatalagen ska vara subsidiär i förhållande till sådana bestämmelser om uppgiftsskyldighet för CSN. CSN ska alltså få fortsätta att fullgöra uppgiftsskyldigheten enligt bestämmelserna oberoende av vad som anges i den föreslagna studiestödsdatalagen. Man skulle i och för sig kunna tänka sig att ha ett inledande stadgande i studiestödsdatalagen som klargör detta förhållande. Så har särskilda registerförfattningar dock inte brukat utformas. Utredningen anser också att regleringen blir tydligast om vad som gäller i fråga om bestämmelser om uppgiftsskyldighet anges först vid de bestämmelser i den föreslagna studiestödsdatalagen där de har relevans.

Utredningen föreslår således i anslutning till att tillåtna ändamål med behandlingen av personuppgifter i studiestödsverksamheten anges en uttrycklig bestämmelse om att de personuppgifter som behandlas också får lämnas ut till utomstående i den utsträckning uppgiftsskyldighet följer av lag eller förordning, se närmare avsnitt 6.8.4. Den bestämmelsen anger alltså enbart att uppgifterna får lämnas ut och inte hur utlämnandet får ske, muntligen, skriftligen på papper eller genom direktåtkomst eller annat elektroniskt utlämnande. I fråga om just utlämnandeformerna direktåtkomst och annat elektroniskt utlämnande föreslår utredningen av integritetsskyddsskäl en inskränkning som innebär att dessa former av utlämnande är tillåtna bara i den utsträckning som anges i lag eller förordning. Enligt en uttrycklig bestämmelse i den föreslagna studiestödsdatalagen får ett par utomstående instanser ha direktåtkomst i den utsträckning uppgiftsskyldighet följer av lag eller förordning. Se närmare i fråga om direktåtkomst och annat elektroniskt utlämnande av personuppgifter avsnitt 6.12.

Om det i lag eller förordning finns en uppgiftsskyldighet för CSN, kan CSN således utan hinder av studiestödsdatalagen fullgöra skyldigheten genom att lämna ut uppgifterna muntligen eller skriftligen på papper eller annat icke elektroniskt medium.

16

Öns-

kar CSN däremot fullgöra skyldigheten genom direktåtkomst eller

16

Skulle uppgiftsskyldighet vara föreskriven i förhållande till enskilda måste bestämmelser om sekretess iakttas, eftersom bestämmelsen i 14 kap. 1 § sekretesslagen om att uppgiftsskyldighet bryter sekretess bara gäller utlämnande till myndighet.

annat elektroniskt utlämnande, måste CSN dock ha särskilt stöd för detta i studiestödsdatalagen, annan lag eller förordning.

Den föreslagna studiestödsdatalagen innehåller som nämnts inte någon bestämmelse om uppgiftsskyldighet som enligt 14 kap. 1 § sekretesslagen skulle kunna bryta igenom sekretess vid utlämnande till myndighet. Avsikten är att den föreslagna lagen inte heller i övrigt ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen. Trots att det i den föreslagna lagen anges t.ex. att personuppgifter får behandlas i CSN:s studiestödsverksamhet om behandlingen behövs för att handlägga ärenden i den verksamheten, kan en behandling av personuppgifter som i och för sig behövs för att handlägga ärenden i studiestödsverksamheten men som innebär ett utlämnande av personuppgifter i sekretesslagens mening således hindras av sekretess enligt sekretesslagen. Utredningen anser att det är så självklart att det inte behöver anges uttryckligen i den föreslagna lagen; den föreslagna studiestödsdatalagen anger på sedvanligt sätt bara vad som får ske om inte annan lagstiftning – eller t.ex. ekonomiska eller tekniska eller andra förhållanden – hindrar det.

På motsvarande sätt betraktar utredningen bestämmelserna om sekretess i sekretesslagen; bestämmelserna anger när uppgifter inte får lämnas ut på grund av sekretess, men utsäger inget om när uppgifter får lämnas ut eller när uppgifter inte får lämnas ut på grund av bestämmelser i annan lagstiftning. I den utsträckning det skulle följa av den föreslagna studiestödsdatalagen att en personuppgift inte får behandlas genom att lämnas ut, ska det alltså gälla oberoende av om sekretess hindrar utlämnandet eller inte. En annan sak är att sådant utlämnande av uppgifter som CSN är skyldig att göra enligt grundlag, t.ex. enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen, får ske oberoende av vad det står i den föreslagna studiestödsdatalagen, se avsnitt 6.6.3.

6.7. Personuppgiftsansvar

Utredningens förslag: Centrala studiestödsnämnden är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.

Enligt definitionen i 3 § personuppgiftslagen är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på behandling av personuppgifter iakttas. Vidare innebär personuppgiftsansvaret en skyldighet att lämna information till den registrerade (2327 §§personuppgiftslagen), att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med personuppgiftslagen (28 §), att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §), att – enligt huvudregeln – anmäla all automatiserad behandling av personuppgifter till Datainspektionen (36 §) samt att ersätta den registrerade för den skada en lagstridig behandling av personuppgifter för med sig (48 §).

I lag eller förordning kan det bestämmas vem som är personuppgiftsansvarig. En sådan bestämmelse är tillåten enligt EGdirektivet (artikel 2 d) och tar över regleringen i personuppgiftslagen (2 § personuppgiftslagen). I särskilda registerförfattningar om behandling av personuppgifter i olika slags verksamheter har det ofta ansetts lämpligt från integritetsskyddssynpunkt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling av personuppgifter som regleras i de särskilda författningarna. Ibland har detta också ansetts nödvändigt med tanke på att ändamålen anges i lagen i stället för att bestämmas av den ifrågavarande myndigheten.

I fråga om behandling av personuppgifter i CSN:s studiestödsverksamhet kan inte gärna annan än CSN vara personuppgiftsansvarig. Mot bakgrund av att de tillåtna ändamålen med CSN:s behandling anges i den föreslagna studiestödsdatalagen föreslår utredningen att det uttryckligen i lagen ska anges att CSN är personuppgiftsansvarig för den behandling av personuppgifter som CSN utför. Personuppgiftsansvaret innebär även ett ansvar för att en behandling av personuppgifter faktiskt utförs när den ska ske, t.ex. att rättelse, blockering eller gallring sker i föreskriven tid och på rätt sätt, liksom ett ansvar för att behandling av personuppgifter inte utförs när det inte får ske. Personuppgiftsansvaret gäller alltså också vid underlåtenhet att utföra en behandling som åligger CSN.

6.8. När personuppgifter får behandlas

Utredningens förslag Personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet förutom med den registrerades samtycke bara om behandlingen behövs för att

1. handlägga ärenden i den verksamheten, 2. administrera handläggningen, 3. i den utsträckning regeringen föreskriver det förbereda hand-

läggningen, 4. informera studiestödsberättigade om studiestödsförmåner

och studiesociala förmåner, 5. ta fram och till studerande distribuera bevis om studier med

studiestöd, eller 6. om sekretess inte hindrar det anmäla oegentlighet inom

studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

Personuppgifter som behandlas enligt vad som nu sagts får dock om sekretess inte hindrar det lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Personuppgifter som inte direkt pekar ut den registrerade får också behandlas avskilt för att återsöka vägledande avgöranden.

Regeringen får meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

6.8.1. Inledning och sammanfattning

Enligt artikel 6.1 b i EG-direktivet och 9 § personuppgiftslagen får personuppgifter samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifterna får senare inte behandlas för något ändamål som är oförenligt med de ändamål för vilka uppgifterna samlades in (den s.k. finalitetsprincipen).

I särskilda registerförfattningar brukar det regelmässigt anges för vilka ändamål personuppgifter får behandlas. Sådana bestämmelser anger alltså ramen för den behandling som får förekomma i den verksamhet som regleras i författningen.

Utredningen föreslår att de tillåtna ändamålen med behandling av personuppgifter i CSN:s studiestödsverksamhet på sedvanligt sätt anges i studiestödsdatalagen. Utredningen har därvid tagit med samtliga de ändamål för vilka CSN i dag behandlar personuppgifter för att utföra de arbetsuppgifter som åligger nämnden inom studiestödverksamheten. Eftersom det ansetts inte innebära några risker i integritetsskyddshänseende, föreslås det att CSN dessutom alltid får behandla personuppgifter i studiestödsverksamheten om de registrerade samtyckt till behandlingen. I detta fall har CSN att ange ändamålet med den behandling av personuppgifter som avses med samtycket.

Såvitt framkommit samlar CSN inte i studiestödsverksamheten in och annars behandlar personuppgifter som CSN inte själv behöver för verksamheten utan som avses lämnas ut till andra myndigheter. Det har därför inte varit aktuellt att utforma s.k. sekundära ändamål.

Däremot förekommer det naturligtvis att CSN lämnar ut personuppgifter som behandlas till andra myndigheter och enskilda. I många fall torde den behandling som utlämnandet av personuppgifterna utgör ske med samtycke eller för att uppfylla de tillåtna ändamål som angetts för CSN:s behandling av personuppgifter i studiestödsverksamheten och därmed vara tillåten. I andra situationer behöver det dock inte vara fallet, t.ex. när CSN ålagts en uppgiftsskyldighet gentemot en annan myndighet. Utredningen föreslår därför en uttrycklig bestämmelse om att personuppgifter – oberoende av samtycke och de tillåtna ändamål som angetts – får lämnas ut i den utsträckning uppgiftsskyldighet följer av lag eller förordning, om sekretess inte hindrar det

17

(se om förhållandet till

bestämmelser om uppgiftsskyldighet också avsnitt 6.6.4). Det föreslås vidare en uttrycklig bestämmelse om att CSN dessutom alltid får lämna ut personuppgifter till riksdagen och regeringen

18

och,

om sekretess inte hindrar det, till den registrerade själv. Dessa bestämmelser om utlämnande av personuppgifter kan sägas innebära att personuppgifterna i CSN:s studiestödsverksamhet, på det sätt som krävs enligt artikel 6.1 i EG-direktivet, samlas in även för att senare eventuellt lämnas ut i de angivna fallen.

17

Se 14 kap. 1 § andra meningen sekretesslagen om att sekretess inte hindrar att uppgift lämnas till annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.

18

Se 14 kap. 1 § första meningen sekretesslagen om att sekretess inte hindrar att uppgift lämnas till regeringen eller riksdagen.

Det föreslås att den reglering som nu angetts ska vara uttömmande i den meningen att CSN inte i andra fall, eller för andra ändamål, får behandla personuppgifter i studiestödsverksamheten. För att en behandling av personuppgifter i studiestödsverksamheten ska vara tillåten krävs det alltså att den är nödvändig för de tillåtna ändamålen, sker med samtycke eller, i andra fall, avser utlämnande enligt en uppgiftsskyldighet i lag eller förordning eller till riksdagen, regeringen eller den registrerade själv. Det är alltså inte tillåtet att i studiestödsverksamheten hos CSN behandla personuppgifter som samlats in för de tillåtna ändamålen för något annat ändamål även om detta ändamål inte skulle vara oförenligt med de tillåtna ändamålen (jämför finalitetsprincipen i 9 § första stycket d personuppgiftslagen); en sådan senare behandling för ett annat ändamål är tillåten bara med samtycke eller om behandlingen avser utlämnande i de fall som nyss angetts. För att behandlingen ska få genomföras krävs det dock givetvis också att övriga bestämmelser om behandlingen följs, t.ex. de föreslagna särskilda bestämmelserna med restriktioner i fråga om personuppgifter av känslig natur, sökbegrepp och direktåtkomst och annat elektroniskt utlämnande.

Den reglering som nu angetts avses vidare inte innebära avvikelser från bestämmelserna i personuppgiftslagen i den meningen att inskränkningarna i personuppgiftslagen i fråga om behandling av personnummer (22 §) och överföring av personuppgifter till tredje land (33 §) inte skulle gälla. Frågan om det bör finnas särskilda bestämmelser i den föreslagna studiestödsdatalagen om behandling av personnummer och om överföring av personuppgifter till tredje land berörs i avsnitt 6.9 respektive 6.13. När det gäller inskränkningarna i personuppgiftslagen i fråga om behandling av känsliga personuppgifter (13 §) och personuppgifter om lagöverträdelser m.m. (21 §) finns det däremot särskilda bestämmelser i den föreslagna studiestödsdatalagen som tar över bestämmelserna i personuppgiftslagen, se avsnitt 6.9.

6.8.2. Tillåtna ändamål med behandlingen

Utredningen har undersökt för vilka ändamål CSN i dag behandlar personuppgifter för att utföra de arbetsuppgifter som åligger nämnden inom studiestödsverksamheten. Utredningen har därvid inte funnit att CSN skulle behandla personuppgifter för något

obefogat ändamål. Utredningen föreslår därför att de ändamål för vilka CSN i dag behandlar personuppgifter för att utföra de arbetsuppgifter som åligger nämnden inom studiestödsverksamheten anges i studiestödsdatalagen såsom tillåtna ändamål. Utredningen föreslår i enlighet härmed en bestämmelse om att personuppgifter får behandlas i CSN:s studiestödsverksamhet förutom med den registrerades samtycke bara om behandlingen behövs för att 1. handlägga ärenden i den verksamheten, 2. administrera handläggningen, 3. i den utsträckning regeringen föreskriver det förbereda

handläggningen, 4. informera studiestödsberättigade om studiestödsförmåner och

studiesociala förmåner, 5. ta fram och till studerande distribuera bevis om studier med stu-

diestöd, eller 6. om sekretess inte hindrar det anmäla oegentlighet inom studie-

stödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

Utredningen föreslår vidare att personuppgifter som behandlas enligt de angivna tillåtna ändamålen och som inte direkt pekar ut den registrerade också får behandlas avskilt för att återsöka vägledande avgöranden.

Bestämmelsen om tillåtna ändamål innebär en avvikelse från personuppgiftslagen såtillvida att den ersätter 10 § personuppgiftslagen. CSN får således i studiestödsverksamheten inte t.ex. behandla personuppgifter efter en intresseavvägning enligt 10 § f personuppgiftslagen.

När det i studiestödsdatalagen anges att ”behandlingen behövs” eller ”uppgifterna behövs” för olika syften avses detsamma som när det i artikel 7 i EG-direktivet och 10 § personuppgiftslagen anges att ”behandlingen är nödvändig” för olika syften.

För att en personuppgift ska få (behandlas genom att) samlas in krävs det att behandlingen behövs för åtminstone något av de angivna tillåtna ändamålen.

De personuppgifter som för de angivna ändamålen får behandlas i CSN:s studiestödsverksamhet får anses insamlade för samtliga ändamål. Personuppgifter som har samlats in i första hand för att handlägga ärenden i studiestödsverksamheten kan således utan hinder av den s.k. finalitetsprincipen i 9 § första stycket d person-

uppgiftslagen senare behandlas t.ex. för att ta fram och till studerande distribuera bevis om studier med studiestöd. Däremot får CSN inte i studiestödsverksamheten utan samtycke från den registrerade behandla personuppgifter för något annat ändamål än vad som framgår ovan. Detta är inte ens tillåtet om ändamålet med denna behandling inte skulle vara oförenligt med det för vilket personuppgifterna ursprungligen samlades in. Vad som gäller i fråga om utlämnande av personuppgifter berörs i avsnitt 6.8.4.

Handlägga ärenden

För att kunna fullgöra sina arbetsuppgifter enligt studiestödslagen och andra författningar om studiestöd behöver CSN behandla en stor mängd personuppgifter. CSN bör givetvis få behandla personuppgifter om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten.

Med handläggning avses inte bara åtgärder som direkt syftar till att kunna fatta beslut i ett ärende om studiestöd utan samtliga åtgärder i ärendet både före och efter beslutet. Sådana åtgärder i ett ärende kan vara bl.a. att på begäran sända ut ansökningsblanketter, att ta emot och skanna in handlingar, att sända ut förfrågningar, att upprätta minnesanteckningar, sammanställningar och utkast inför beslut, att utforma ett beslut, att expediera beslutet, att administrera utbetalning och att efter beslutet ha kontakter med den studiestödsberättigade. Dessa efterföljande kontakter kan t.ex. gå ut på att lämna information om förändrad ränta för studielån. När CSN sänder ut ett meddelande som behövs för att handlägga ett ärende om studiestöd och bifogar information omkring det studiestöd ärendet gäller, får även lämnandet av informationen anses behövlig för att handlägga ärendet.

Att ge den registrerade elektronisk eller annan tillgång till uppgifterna i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan får anses ingå i handläggningen av ärenden (jämför om direktåtkomst för den registrerade avsnitt 6.12.6).

Även behandling av personuppgifter som sker för att kontrollera exempelvis att studiestöd har beslutats, betalats ut och betalats tillbaka på ett riktigt sätt utgör en del av handläggningen av ärendet om studiestöd. Kontroller av bl.a. sökandens uppgifter ingår således i handläggningen. Att en handläggare tar del av vägledande

avgöranden för att kunna pröva ett ärende om studiestöd ingår också i handläggningen av ärendet. Detsamma gäller när en anställd tar del av material i vägledande fall för att utforma handböcker och liknande till ledning för handläggningen av ärenden.

Också CSN:s kravverksamhet avseende återbetalning eller återkrav av studiestöd ingår i handläggningen av ärenden. Det kan handla om att sända ärenden för indrivning till inkassoföretag eller att ansöka om betalningsföreläggande eller verkställighet hos Kronofogdemyndigheten.

Även sådan bokföring och redovisning avseende ärendena om studiestöd som är föreskriven får anses ingå i handläggningen av ärenden.

Om skadeståndsanspråk riktas mot staten med anledning av skada som inträffat inom CSN:s verksamhetsområde, kan CSN vara behörig att själv handlägga skadeståndsanspråket, 5 § förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten. Samråd kan dock behöva ske med Justitiekanslern, och i vissa fall är det i stället Justitiekanslern som har att handlägga skadeståndsanspråket. Om skadeståndsanspråket avser CSN:s studiestödsverksamhet, får också CSN:s handläggning av själva skadeståndsanspråket anses avse handläggning av ärende i studiestödsverksamheten. Det gäller även när CSN för handläggningen av skadeståndsanspråket behöver lämna ut personuppgifter till Justitiekanslern. På motsvarande sätt får CSN:s handläggning avseende svar på förfrågningar från tillsynsinstanser, t.ex. Riksdagens ombudsmän (JO), rörande CSN:s studiestödsverksamhet anses avse handläggning av ärende i studiestödsverksamheten.

Den behandling av personuppgifter som behövs för att handlägga ärenden i studiestödsverksamheten bör få utföras även om den registrerade motsätter sig behandlingen (se avsnitt 6.5).

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Administrera handläggningen av ärenden

För att kunna handlägga ärendena i studiestödsverksamheten behövs det en omfattande administration hos CSN. Denna administration innefattar viss behandling av personuppgifter som inte på

ett naturligt sätt kan sägas ingå i den direkta handläggningen av ärenden i studiestödsverksamheten som avses under närmast föregående rubrik. Ett exempel på sådan behandling är förandet av register över anmälda kontaktpersoner på olika läroanstalter. Ett sådant kontaktregister används nämligen bara för att underlätta handläggningen av ärendena om studiestöd. Ett annat exempel är den behandling av personuppgifter om såväl handläggare som sökande som sker i samband med att ärenden om studiestöd på automatiserat vis fördelas mellan CSN:s handläggare.

Det bör därför uttryckligen anges att CSN får behandla personuppgifter i studiestödsverksamheten om behandlingen behövs för att administrera handläggningen. Den behandling av personuppgifter som behövs för detta bör få utföras även om den registrerade motsätter sig behandlingen (se avsnitt 6.5).

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Förbereda handläggningen av ärenden

CSN:s handläggning av ärenden avseende studiehjälp och beviljande av studiemedel utgör en masshantering, där många beslut måste fattas och verkställas genom utbetalning vid ungefär samma tider varje år. CSN förbereder hanteringen genom att i förväg hämta in personuppgifter beträffande alla 16-åringar om bl.a. personnummer, namn, adress, vårdnadshavare och betalningsmottagare för allmänt eller förlängt barnbidrag samt beträffande personer som antagits till någon utbildning som berättigar till studiemedel om bl.a. uppgifter om personnummer, namn och adress. Den behandlingen av personuppgifter avseende 16-åringar som inte fortsätter att studera respektive antagna studerande som inte ansöker om studiemedel behövs inte för att handlägga ärenden som berör dem (eftersom några ärenden avseende de nämnda personerna inte är eller kommer att bli aktuella). Däremot är det nödvändigt att den nämnda förberedande behandlingen avseende alla personer som kan bli aktuella för stöd genomförs för att med rimliga resurser handlägga ärendena beträffande 16-åringar som fortsätter att studera respektive antagna studerande som ansöker om studiemedel och betala ut vad de har rätt till i rätt tid.

Vid utformningen av den särskilda registerförfattningen för bl.a. Försäkringskassans verksamhet inom socialförsäkringens administration har det ansetts att sådana förberedande åtgärder bör hänföras till ett särskilt ändamål vid sidan av ändamålet att handlägga ärenden, eftersom det bedömts att handläggning av ärenden kan förekomma först när ett ärende har anhängiggjorts.

19

Det kan här nämnas att CSN också hämtar in uppgifter om ungdomar som är äldre än 16 år och som antagits till en utbildning som berättigar dem till studiehjälp. I detta fall får behandlingen av personuppgifter anses ske för att handlägga det ärende om studiehjälp som aktualiserats genom antagningen till utbildningen.

Det får anses särskilt integritetskänsligt att en myndighet behandlar personuppgifter om individer som inte alls berörs av myndighetens ålagda arbetsuppgifter. Samtidigt är det enligt utredningens bedömning rimligt och proportionerligt att så får fortsätta att ske, beträffande de förhållandevis harmlösa uppgifter det är fråga om, för att den majoritet av berörda personer som kommer att ha rätt till studiehjälp respektive studiemedel med rimliga resurser ska kunna få det i rimlig tid. Integritetskänsligheten av behandlingen gör dock att den bör kringgärdas av särskilda garantier för integritetsskyddet. Att ge den enskilde ett inflytande över om hans eller hennes personuppgifter ska behandlas eller inte (dvs. att införa en rätt att motsätta sig behandlingen) kan vara en sådan garanti. Det skulle emellertid inte vara särskilt ändamålsenligt bl.a. eftersom fördelarna med förberedandet av masshanteringen då skulle gå delvis förlorade och då det torde vara svårt att på ett effektivt sätt i förväg informera de berörda om rätten att motsätta sig behandlingen.

Utredningen anser i stället att en lämplig garanti för integritetsskyddet är att överlåta åt regeringen att föreskriva om i vilka fall behandling av uppgifter om personer som inte (ännu) berörs av något ärende hos CSN ska vara tillåten för att vidta förberedande åtgärder för handläggningen. Därmed får man på ett flexibelt sätt en garanti för att det görs en konkret bedömning av att inte fler personer eller fler personuppgifter än vad som verkligen är nödvändigt berörs av de förberedande åtgärderna. Frågan om en anknytande förordningsreglering berörs i avsnitt 6.17.2.

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekre-

19

Prop. 2002/03:135 s. 62 f.

tesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Informera om studiestödsförmåner och studiesociala förmåner

Enligt sin instruktion är CSN central förvaltningsmyndighet för studiesociala frågor, och enligt studiestödslagen och andra författningar om studiestöd har CSN att handlägga ärenden om studiestöd. Syftet med studiestödet är ofta att bl.a. bidra till ett högt deltagande i utbildning. Det sagda får anses innebära att det åligger CSN att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. CSN anser det och sysslar en hel del med sådan information. Även utredningen anser det befogat att behandla personuppgifter för att på det sättet informera studiestödsberättigade åtminstone så länge de berörda inte motsatt sig det.

Utredningen föreslår därför att CSN i studiestödsverksamheten får behandla personuppgifter om behandlingen behövs för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Den behandlingen av personuppgifter, som inte är nödvändig i samband med handläggningen av ärenden, bör dock bara få utföras så länge den registrerade inte har motsatt sig behandlingen, se avsnitt 6.5. CSN har att informera de registrerade om rätten att motsätta sig behandlingen, lämpligen bl.a. genom att ta med den informationen i varje informationsutskick.

Det är bara information till studiestödsberättigade som avses. Avser informationen studiestödsförmåner måste det kunna antas att informationsmottagarna i och för sig är berättigade till just den aktuella förmånen om de skulle börja studera på visst sätt, vilket t.ex. är fallet med mottagarna av det s.k. 16-årsbrevet avseende studiehjälp. Det krävs alltså inte att personen redan studerar.

Med studiestödsförmåner avses det som ibland kallas studiefinansiell verksamhet, dvs. CSN:s kärnverksamhet med studiestöd.

20

Information om studiestödsförmåner kan avse t.ex. olika

stödformer och villkoren för dessa och därmed sammanhängande frågor. Det ska röra sig om information om någon stödform som CSN har att hantera. Vilka stödformer det kan röra sig om kan komma att variera över tiden. För närvarande är det fråga om stöd

20

Se CSN:s skrivelse (dnr 2006-100-12243) till Utbildnings- och kulturdepartementet den 19 oktober 2006 s. 8.

enligt studiestödslagen, TUFF-ersättning, Rg-bidrag och ersättning för dagliga resor.

Med studiesociala förmåner avses sådan studiesocial verksamhet som kan antas vara till fördel för den som studerar. Det kan vara fråga om rabatter på resor eller försäkringar som riktar sig just till studerande. Information om de olika rabatt- och förmånskort som i dag finns för studerande faller under bestämmelsen. Vad som är en förmån får bedömas från fall till fall. Det ska typiskt sett vara fråga om något som för studerandekollektivet, eller i vart fall för en inte ringa del av det, framstår som en nyttighet eller i vart fall något önskvärt.

I avsnitt 6.17.3 finns det överväganden om vilka personuppgifter som bör få behandlas för det aktuella ändamålet.

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Distribuera bevis om studier med studiestöd

En del av CSN:s verksamhet inom ramen för den studiesociala verksamheten består i att se till att studerande med studiestöd får olika rabatt- och förmånskort, se avsnitt 4.2.5 ovan. Det rör sig för närvarande om CSN-kortet, Mecenatkortet, Studentkortet och Membitkortet. Det är inte CSN som själv tar fram och distribuerar dessa kort, men personuppgifterna som används kommer från CSN:s register och lämnas ut till olika företag för ändamålet. CSN är personuppgiftsansvarig för den behandling av personuppgifter som utlämnandet till kortföretagen innebär. För den övriga behandling av personuppgifter som behövs för att ta fram och distribuera korten är CSN personuppgiftsansvarig bara för den behandling avseende CSN-kortet som ett företag utför såsom personuppgiftsbiträde åt CSN.

Utredningen anser att det är befogat och normalt till fördel för studiestödstagarna att behandla personuppgifter för att på det beskrivna sättet ta fram och distribuera bevis om studier med studiestöd som kan användas för att styrka rätten till olika förmåner för studerande. Det gäller åtminstone så länge de berörda inte motsatt sig det.

Utredningen föreslår därför att CSN i studiestödsverksamheten får behandla personuppgifter om behandlingen behövs för att ta fram och till studerande distribuera bevis om studier med studiestöd. Den behandlingen, som inte är nödvändig i samband med handläggningen av ärenden, bör dock bara få utföras så länge den registrerade inte har motsatt sig behandlingen, se avsnitt 6.5. CSN har att informera de registrerade om rätten att motsätta sig behandlingen.

I avsnitt 6.17.3 finns det överväganden om vilka personuppgifter som bör få behandlas för det aktuella ändamålet.

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Anmäla oegentligheter

I studiestödsverksamheten kan det upptäckas oegentligheter. Det kan gälla sökande som fuskat eller försökt fuska, t.ex. genom att lämna oriktiga uppgifter eller förfalskade handlingar. Det kan också gälla oegentligheter begångna i studiestödsverksamheten av andra än sökande, t.ex. dataintrång av CSN:s personal, personal vid annan instans med direktåtkomst eller någon helt utomstående eller mutbrott och bestickning.

När det gäller sökandes fusk har det nyligen införts en skyldighet för CSN att till polismyndighet eller Åklagarmyndigheten anmäla brott enligt bidragsbrottslagen (2007:612). Det har av 2005 års informationsutbytesutredning vidare föreslagits att en anmälningsskyldighet införs för bl.a. CSN när det finns anledning att anta att ett bidrag eller en annan ekonomisk förmån för personligt ändamål från trygghetssystemen felaktigt har beviljats eller betalats ut till en enskild från vissa myndigheter.

21

En sådan anmälan ska

göras till den myndighet som har beviljat eller betalat ut förmånen. Det kan också finnas andra anmälningsskyldigheter som kan ha betydelse vid oegentligheter i studiestödsverksamheten. En anmälningsskyldighet får samtidigt anses innebära en sådan uppgiftsskyldighet som genombryter sekretess enligt 14 kap. 1 § sekretesslagen (1980:100) vid utlämnande till myndighet och som utred-

21

SOU 2007:45 s. 385 ff.

ningen föreslår ska kunna fullgöras oberoende av bestämmelserna om ändamål i studiestödsdatalagen (se avsnitt 6.6.4 och 6.8.4).

Någon generell skyldighet för CSN att anmäla oegentligheter i studiestödsverksamheten finns dock inte. Anmälningsskyldigheten enligt bidragsbrottslagen avser t.ex. inte oriktigt uppgiftslämnande i ett ärende om avskrivning av studielån som kan innebära bedrägeri enligt brottsbalken.

22

I sådana fall där det inte finns anmälnings-

skyldighet får CSN själv välja om en anmälan om oegentligheten ska göras till behörig myndighet eller inte. CSN måste dock i dessa fall först avgöra om sekretess kan hindra anmälan; ofta kan emellertid en anmälan till myndighet göras utan hinder av annars gällande sekretess enligt 14 kap.2 och 3 §§sekretesslagen (1980:100).

Även om det finns vissa risker i integritets- och rättssäkerhetshänseende med att en myndighet har, inte en skyldighet att vidta en åtgärd utan, en viss valmöjlighet i fråga om en för den enskilde klart negativ åtgärd ska vidtas eller inte, anser utredningen att det är rimligt och proportionerligt att CSN även när det inte finns en anmälningsskyldighet får behandla personuppgifter för att om sekretess inte hindrar det anmäla en oegentlighet inom studiestödsverksamhet till ett offentligt organ som enligt offentligrättsliga regler har att utreda eller beivra oegentligheten.

Utredningen föreslår därför såsom ett särskilt ändamål en bestämmelse om att CSN i studiestödsverksamheten får behandla personuppgifter om behandlingen behövs för att, om sekretess inte hindrar det, anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

Anmälan ska alltså avse sådant inom studiestödsverksamheten som kan betecknas som en oegentlighet som något offentligt organ har att utreda eller beivra. Det kan gälla t.ex. brottsmisstankar som anmäls till polismyndighet eller Åklagarmyndigheten. Det kan också gälla sådant som kan föranleda en arbetsrättslig åtgärd, såsom disciplinansvar, åtalsanmälan, uppsägning eller avskedande, som anmäls till någon myndighets personalansvarsnämnd inklusive personalansvarsnämnden hos CSN.

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

22

Prop. 2006/07:80 s. 79 och 80.

Återsöka vägledande avgöranden

CSN har behov av att kunna samla vägledande avgöranden från den egna verksamheten och från överprövnings- och tillsynsinstanser bl.a. för att kunna handlägga ärendena, utbilda handläggare och skriva vägledningar om regelverket och dess tillämpning. När avgöranden används för sådana ”praxisändamål” är det egentligen inte intressant vilka namngivna individer avgörandena rört. Det intressanta är i stället de rättsliga bedömningar som gjorts.

För att CSN ska kunna ha en särskild praxisdatabas där vägledande avgöranden samlas föreslår utredningen en bestämmelse om att personuppgifter som behandlas för de tillåtna ändamålen och som inte direkt pekar ut den registrerade får behandlas avskilt för att återsöka vägledande avgöranden.

Närmare föreskrifter om ändamålen

Som framgått har de tillåtna ändamålen med behandlingen angetts på ett förhållandevis allmängiltigt sätt. Utredningen har nämligen ansett att det inte är lämpligt eller möjligt med bestämmelser med större precision i lag. Det kan emellertid inte uteslutas att det i vissa fall kan vara önskvärt att av integritetsskyddsskäl ytterligare precisera bestämmelserna om ändamål.

Utredningen föreslår därför att regeringen bemyndigas att meddela föreskrifter om begränsningar av de i studiestödsdatalagen angivna tillåtna ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. Utredningen lämnar ett förslag till en till lagen anknytande förordning med bl.a. sådana föreskrifter. Frågan om innehållet i förordningen berörs i avsnitt 6.17.

6.8.3. Den registrerades samtycke till andra behandlingar

I sin roll som central förvaltningsmyndighet för studiesociala frågor kan CSN på olika sätt vilja erbjuda studiestödsberättigade service av skilda slag. Som exempel kan nämnas det informationsutbyte som sker mellan CSN och resebyrå respektive försäkringsmäklare (se närmare avsnitt 4.2.5). Studerande som är berättigade till stöd för resa kan begära att CSN till resebyrå lämnar ut nödvändiga personuppgifter för att CSN ska betala den studerandes

resa direkt till resebyrån. På motsvarande sätt kan studerande som önskar kontakt med försäkringsmäklare begära att CSN vidarebefordrar information till sådan mäklare.

Den service som CSN i dag erbjuder synes bygga på de registrerades samtycke eller åtminstone utan olägenhet kunna bygga på sådant samtycke.

Enligt utredningens mening finns det över huvud taget inga beaktansvärda integritetsskyddsskäl som talar emot att tillåta CSN att inom ramen för studiestödsverksamheten behandla personuppgifter för vilket ändamål som helst med stöd av frivilligt samtycke från den registrerade.

23

Utredningen anser vidare att det inte

är nödvändigt med bestämmelser som förbjuder eller gör det möjligt att förbjuda en behandling inom ramen för studiestödsverksamheten som sker med den registrerades samtycke.

Utredningen föreslår därför en bestämmelse om att personuppgifter får behandlas i CSN:s studiestödsverksamhet om den registrerade har samtyckt till behandlingen.

Behandlingen av personuppgifter i studiestödsverksamheten får med samtycke avse vilket ändamål som helst. Eftersom personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och senare inte får behandlas för något ändamål som är oförenligt med de ändamål för vilka uppgifterna samlades in (9 § första stycket c och d personuppgiftslagen), måste CSN i detta fall själv ange ändamålet med behandlingen. De personuppgifter som har samlats in med stöd av den registrerades samtycke får således – till skillnad från vad som gäller för personuppgifter som har samlats in bara med stöd av de angivna tilllåtna ändamålen (se avsnitt 6.8.2) – senare användas för ändamål som inte är oförenliga med det ändamål för vilket de insamlades (9 § första stycket d personuppgiftslagen).

Den registrerade kan samtycka till att personuppgifter som redan samlats in för de angivna tillåtna ändamålen senare används för något annat ändamål. Den fortsatta behandlingen för det nya ändamålet är då tillåten med stöd av samtycket.

Med samtycke avses detsamma som enligt personuppgiftslagen (3 §), nämligen varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Även frågorna om när den registrerade själv kan lämna ett sam-

23

Motsvarande bedömning har nyligen gjorts av Patientdatautredningen på hälso- och sjukvårdsområdet, SOU 2006:82.

tycke och om vem som kan lämna ett samtycke för en registrerad som inte kan det får bedömas på samma sätt som enligt personuppgiftslagen.

24

6.8.4. Utlämnande av personuppgifter utan samtycke för andra ändamål

I den utsträckning CSN har en skyldighet enligt lag eller förordning att lämna ut uppgifter för annat än de tillåtna ändamålen, bör den skyldigheten få fullgöras oberoende av den föreslagna studiestödsdatalagen även om den registrerade inte lämnat sitt samtycke till det.

Utredningen föreslår därför en bestämmelse om att CSN får, om sekretess inte hindrar det, till myndigheter och enskilda lämna ut personuppgifter som behandlas i studiestödsverksamheten enligt de tillåtna ändamålen eller med stöd av den registrerades samtycke i den utsträckning uppgiftsskyldighet följer av lag eller förordning.

Med uppgiftsskyldighet avses detsamma som enligt 14 kap. 1 § sekretesslagen (1980:100). Uppgiftsskyldigheten kan avse utlämnande till andra myndigheter eller till enskilda. Även skyldigheten enligt 4 kap. 11 § riksdagsordningen att på begäran lämna riksdagens utskott upplysningar och yttranden avses.

Som exempel på uppgiftsskyldighet kan nämnas 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. Enligt den bestämmelsen ska CSN på begäran lämna Riksrevisionen den hjälp och de uppgifter och upplysningar som Riksrevisionen behöver för sin granskning.

Även de helt generella bestämmelserna om skyldighet att på begäran lämna ut uppgifter till enskilda och myndigheter i 15 kap.4 och 5 §§sekretesslagen avses. Enligt den förstnämnda bestämmelsen ska CSN på begäran av enskild lämna uppgift ur allmän handling som förvaras hos CSN i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång, och enligt den sistnämnda bestämmelsen ska CSN på begäran av annan myndighet lämna uppgift som CSN förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Att CSN enligt dessa bestämmelser på begäran av enskild eller myndighet lämnar ut per-

24

Se SOU 1997:39 s. 341 f. och Sören Öman & Hans-Olof Lindblom, Personuppgiftslagen – En kommentar, tredje upplagan 2007, s. 90 f. med vidare hänvisningar.

sonuppgifter hindras alltså inte av den föreslagna studiestödsdatalagen. Inte heller CSN:s skyldigheter enligt grundlag att lämna ut personuppgifter, t.ex. på begäran av enskild enligt offentlighetsprincipen, hindras av den föreslagna lagen (se avsnitt 6.6.3).

Utredningen anser vidare att CSN utan hinder av den föreslagna studiestödsdatalagen bör få lämna ut personuppgifter som behandlas i studiestödsverksamheten enligt de tillåtna ändamålen eller med stöd av den registrerades samtycke till riksdagen och regeringen och föreslår en bestämmelse om detta. Sekretess hindrar inte sådant utlämnande, se 14 kap. 1 § sekretesslagen.

Slutligen anser utredningen att det inte finns några integritetsskyddsskäl som talar emot att personuppgifter som behandlas i studiestödsverksamheten enligt de tillåtna ändamålen eller med stöd av den registrerades samtycke lämnas ut till den registrerade själv om sekretess inte hindrar det. Utredningen föreslår därför en uttrycklig bestämmelse om detta.

Frågan om i vilken utsträckning utlämnande av personuppgifter får ske i elektronisk form berörs i avsnitt 6.12.

6.9. Behandling av personuppgifter av känslig natur

Utredningens förslag: Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får förutom med den registrerades uttryckliga samtycke behandlas bara för att handlägga ärenden i studiestödsverksamheten under förutsättning att uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter får dock också behandlas

1. om det behövs för att, om sekretess inte hindrar det, kunna

anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten, 2. för att, om sekretess inte hindrar det, lämnas ut till den regi-

strerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra, och 3. i en avskild praxisdatabas med personuppgifter som bara

indirekt pekar ut den registrerade.

Det är vanligt att det i särskilda registerförfattningar finns bestämmelser om när känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) och personuppgifter om lagöverträdelser m.m. enligt 21 § samma lag får behandlas. Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen personuppgifter som rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. De uppgifter som avses i 21 § personuppgiftslagen är personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det är vanligt att sådana personuppgifter som nu sagts, enligt bestämmelser i de särskilda registerförfattningarna, får behandlas om de har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, jämför också den generella bestämmelsen i 8 § personuppgiftsförordningen (1998:1191).

Utredningen anser att sådana bestämmelser, som inte hindrar den nödvändiga handläggningen av ärenden, är lämpliga även i fråga om behandling av personuppgifter i CSN:s studiestödsverksamhet.

Utredningen kan vidare inte se någon anledning att förhindra att känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. behandlas med den registrerades uttryckliga samtycke.

Utredningen föreslår därför att sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas bara med den registrerades uttryckliga samtycke eller om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten under förutsättning om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende.

Med den registrerades uttryckliga samtycke avses detsamma som enligt 15 § personuppgiftslagen.

Utredningen har föreslagit att personuppgifter ska få behandlas i studiestödsverksamheten när det behövs för att, om sekretess inte hindrar det, anmäla oegentlighet inom studiestödsverksamhet till en myndighet som har att utreda eller beivra oegentligheten, se avsnitt 6.8.2. I sådana anmälningar kan det behöva anges alla slags personuppgifter. Utredningen föreslår därför att det även ska vara tillåtet att behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag om det behövs för att kunna anmäla oegentlighet inom studiestödsverksamhet till en myndighet som har att utreda eller beivra oegentligheten.

Även i de fall där utredningen föreslagit att behandlade personuppgifter får lämnas ut kan utlämnandet behöva avse alla slags personuppgifter. Utredningen föreslår därför att det också ska vara tillåtet att behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag om det behövs för att lämna ut personuppgifter till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.

Utredningen har föreslagit att personuppgifter som inte direkt pekar ut den registrerade får behandlas avskilt för att återsöka vägledande avgöranden. De vägledande avgörandena i den avskilda praxisdatabasen kan innehålla alla slags (indirekta) personuppgifter. Utredningen föreslår därför att det även ska vara tillåtet att behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser

m.m. som avses i 21 § samma lag i den avskilda samlingen av personuppgifter för återsökning av vägledande avgöranden.

För att behandlingen av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ska vara tillåten krävs det dessutom att behandlingen över huvud taget är tillåten enligt de bestämmelser som beskrivs i avsnitt 6.8. För att behandlingen av dessa personuppgifter ska få genomföras krävs det givetvis också att övriga bestämmelser om behandlingen följs, t.ex. de föreslagna särskilda bestämmelserna med restriktioner i fråga om sökbegrepp och direktåtkomst och annat elektroniskt utlämnande.

Avsikten är att angivandet i den föreslagna lagen av när behandlingen av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. får ske inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

De nu berörda föreslagna reglerna innebär avvikelser från bestämmelserna i 1321 §§personuppgiftslagen och tar över dessa bestämmelser.

I personuppgiftslagen finns det också bestämmelser om behandling av personnummer som innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till något beaktansvärt skäl, t.ex. ändamålet med behandlingen eller vikten av en säker identifiering (22 § personuppgiftslagen). Dessa bestämmelser förefaller utredningen ändamålsenliga även när det gäller behandlingen av personuppgifter i CSN:s studiestödsverksamhet. Utredningen föreslår därför inte någon särreglering av behandlingen av personnummer och samordningsnummer i studiestödsdatalagen, varför bestämmelserna i 22 § personuppgiftslagen är tillämpliga när CSN behandlar personuppgifter i studiestödsverksamheten. En annan sak är att CSN vid t.ex. handläggningen av ärenden regelmässigt har sådana skäl som krävs enligt lagrummet för att behandla uppgifter om personnummer och samordningsnummer.

Utredningen har inte funnit anledning att föreslå generella restriktioner i fråga om behandlingen av andra typer av personuppgifter än känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Frågan om vilka typer av personuppgifter som inte bör få användas som sökbegrepp berörs i nästa avsnitt.

6.10. Sökbegrepp

Utredningens förslag: Som sökbegrepp får inte användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Vid sökning bara i ett visst ärende om studiestöd, i en viss handling eller i en avskild praxisdatabas med personuppgifter som bara indirekt pekar ut den registrerade får dock sådana sökbegrepp användas. Uppgifter som rör hälsa får också användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

Frågan om på vilket sätt personuppgifter sammanställs anses ofta som en av de viktigare frågorna ur integritetsperspektiv. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet.

25

Vilka möjligheter till sammanställningar som finns i en myndighets datoriserade samlingar av uppgifter har betydelse för huruvida en handling är allmän och därmed omfattas av offentlighetsprincipen enligt 2 kap. tryckfrihetsförordningen. Möjligheterna till sammanställningar har betydelse på två sätt; dels i fråga om vilka tekniska möjligheter som finns avseende sammanställningar, dels i fråga om vilka legala inskränkningar i möjligheterna till sammanställningar som finns. För att en handling ska vara allmän hos en myndighet krävs det att den är förvarad hos myndigheten, 2 kap. 3 § första stycket andra meningen tryckfrihetsförordningen.

Den tekniska aspekten är av betydelse eftersom en upptagning, som kan uppfattas endast med tekniska hjälpmedel, enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen anses förvarad hos en myndighet endast om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock förvarad hos myndigheten endast om myndigheten kan göra sammanställningen till-

25

SOU 2006:82 s. 210.

gänglig med rutinbetonade åtgärder. Allt det som myndigheten faktiskt kan göra tillgängligt med rutinbetonade åtgärder utgör således i princip allmän handling som envar har rätt att ta del av om sekretess inte hindrar det. Det gäller även om myndigheten tidigare aldrig gjort den efterfrågade sammanställningen och oavsett om myndigheten behöver den för sin verksamhet. Man talar i dessa fall om s.k. potentiella handlingar.

Enligt den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen anses en sammanställning av uppgifter ur en upptagning för automatiserad behandling dock inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Syftet med begränsningsregeln är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet är förhindrad att ta fram i sin egen verksamhet.

26

Det är alltså i fråga

om datoriserade samlingar med personuppgifter möjligt att inskränka offentlighetsprincipen genom förordning eller annan lag än sekretesslagen. Genom att i en särskild registerförfattning ta in föreskrifter om att en myndighet inte får använda vissa s.k. sökbegrepp kan man tillgodose intresset av integritetsskydd hos de personer som är registrerade utan att myndigheten behöver förbjudas att registrera vissa personuppgifter som behövs i verksamheten. Det är vanligt att det i särskilda registerförfattningar finns bestämmelser som inskränker vilka sökbegrepp som får användas. Det har gjorts gällande att vid direktåtkomst mellan myndigheter begränsningar av tillåtna sökbegrepp i en särskild registerförfattning för behandling av personuppgifter i den utlämnande myndighetens verksamhet gäller också för den mottagande myndigheten.

27

Med sökbegrepp brukar förstås bokstäver, koder eller siffror med vars hjälp man tillsammans med en sökmotor eller liknande funktion kan ta fram ett urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd som man har tillgång till.

28

Om exempelvis bokstavskombinationen ”Artillerigatan”

används för att söka fram alla mottagare av studiestöd som bor på just denna gata, är ”Artillerigatan” det sökbegrepp som har använts.

26

Prop. 2001/02:70 s. 23.

27

SOU 2007:45 s. 198 f.

28

SOU 2006:82 s. 211.

I CSN:s verksamhet behöver det på ett strukturerat sätt registreras en hel del personuppgifter av ömtålig natur, t.ex. om inkomstförhållanden och skolk. CSN skannar i dag vidare i princip in alla inkomna pappersdokument så att de finns tillgängliga elektroniskt. Inkomna pappersdokument kan innehålla vilka personuppgifter som helst. Uppgifterna i sådana dokument gör CSN i dag dock inte sökbara. Det kan dock inte uteslutas att CSN i framtiden kommer att möjliggöra sökning i sådana dokument.

Med hänsyn till den stora mängden registrerade uppgifter och förekomsten av personuppgifter av ömtålig natur anser utredningen att det finns goda skäl att av integritetsskyddshänsyn i studiestödsdatalagen införa begränsningar som innebär att vissa särskilt känsliga typer av uppgifter som CSN inte behöver använda som sökbegrepp i sin studiestödsverksamhet inte heller får användas. Därmed inskränks offentlighetsprincipen i motsvarande mån. Även andra myndigheters möjligheter att få ut sammanställningar från CSN inskränks.

Det finns för det första normalt sett inget behov för CSN att använda sådana känsliga uppgifter som avses i 13 § personuppgiftslagen som sökbegrepp. Det bör därför i studiestödsdatalagen tas in ett förbud mot att använda sådana uppgifter som sökbegrepp. De uppgifter det är fråga om är sådana uppgifter som rör hälsa eller sexualliv eller som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening.

Utredningen har försökt att identifiera vilka övriga typer av uppgifter av ömtålig natur som ofta förekommer i CSN:s databaser och som CSN inte för sin studiestödsverksamhet behöver använda som sökbegrepp.

Som framgått av avsnitt 2.2.1 och 2.3.1 ovan kan storleken på studiestödet påverkas av om det allmänna bekostar den studerandes uppehälle. Det är då i praktiken ofta fråga om att någon har tagits in på institution. En uppgift som avslöjar att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle är normalt känslig ur ett integritetsperspektiv, och såvitt framkommit behöver CSN i sin studiestödsverksamhet inte använda uppgiften som sökbegrepp.

En central del i CSN:s uppgiftsinsamlande berör de registrerades ekonomiska förhållanden. Uppgifter om inkomst behövs t.ex. för att CSN ska kunna handlägga ärenden i studiestödsverksamheten. Uppgifter om ekonomiska förhållanden upplevs ofta vara av ömtålig natur. Såvitt framkommit behöver CSN i sin studiestöds-

verksamhet inte använda uppgifter som rör inkomst eller förmögenhet som sökbegrepp. CSN hämtar visserligen från Skatteverket in uppgifter om inkomst bl.a. för alla med studiemedel som jämförs med de inkomstuppgifter de studerande lämnat, men då används personnumret som sökbegrepp för att finna de ärenden där de studerande haft inkomster enligt Skatteverket och där Skatteverkets uppgift ska jämföras med den uppgift CSN har.

Anledning till att en person gör ett studieavbrott kan variera. Det kan t.ex. vara fråga om skolk, intagning på behandlingshem eller fängelse eller egen eller anhörigs sjukdom. Information om anledningen till studieavbrott kan sålunda inrymma mycket integritetskänsliga uppgifter. Såvitt framkommit behöver CSN i sin studiestödsverksamhet normalt sett inte använda uppgifter som rör anledningen till studieavbrott som sökbegrepp.

Utredningen föreslår alltså sammanfattningsvis en grundläggande bestämmelse i studiestödsdatalagen om att som sökbegrepp inte får användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Det blir därmed inte tillåtet att söka fram listor över t.ex. personer med viss sjukdom, inkomst överstigande visst belopp eller visst etniskt ursprung.

Avsikten med att införa begränsningar av vilka sökbegrepp som får användas är i första hand att förhindra att sådana listor med flera personer som har en viss egenskap gemensam tas fram. Att den som väl hittat fram till ett visst ärende om studiestöd eller en viss befintlig handling söker inom ramen för det ärendet eller den handlingen efter olika uppgifter kan däremot utgöra en naturlig del av och förenkla handläggningen av ärendet. Ett exempel är att den som har öppnat ett ordbehandlingsdokument i ett ordbehandlingsprogram använder det programmets funktion för att söka efter ord i det dokumentet. En sådan begränsad sökning kan inte heller anses innebära några särskilda integritetsrisker. Utredningen föreslår därför – av närmast praktiska skäl – att alla slags sökbegrepp får användas vid sökning bara i ett visst ärende om studiestöd eller i en viss handling.

Det ligger vidare i sakens natur att den som vill återsöka vägledande avgöranden i en särskild praxisdatabas med avidentifierade sådana avgöranden kan behöva använda alla slags sökbegrepp. Med

hänsyn till att praxisdatabasen ska hållas avskild från verksamhetsdatabaserna och innehålla bara ett urval avgöranden som inte innehåller personuppgifter som direkt pekar ut den registrerade (se avsnitt 6.8.2) kan en sådan sökning inte anses innebära några särskilda integritetsrisker. Utredningen föreslår därför att alla slags sökbegrepp får användas vid sökning i den särskilda praxisdatabasen.

Som tidigare angetts behöver CSN normalt sett inte använda uppgifter som rör hälsa eller anledningen till studieavbrott som sökbegrepp. Det har emellertid visat sig att CSN i sitt datoriserade handläggningssystem styr ärenden som innefattar prövning av avskrivning av studielån på grund av sjukdom enbart till vissa handläggare med särskild erfarenhet och behörighet. Dessa ärenden söks alltså fram för att kunna fördelas mellan behöriga handläggare. Utan att CSN ändrar arbetssätt och interna regler om beslutsbehörighet, vilket inte framstår som rimligt, är det svårt att undvika en sådan framsökning av aktuella ärenden. Utredningen föreslår därför att uppgifter som rör hälsa får användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

6.11. Intern elektronisk tillgång till personuppgifter

Utredningens förslag: Centrala studiestödsnämnden ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i nämndens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Centrala studiestödsnämnden ska se till att elektronisk tillgång till personuppgifter dokumenteras och genomföra systematiska och återkommande kontroller av om obehörig åtkomst till uppgifterna förekommit. Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång och om dokumentation och kontroll.

Så gott som all information i ärenden om studiestöd finns hos CSN lagrad i datorformat. Det har framkommit att i princip alla handläggare hos CSN har möjlighet till elektronisk tillgång till nästan all

information i så gott som alla ärenden om studiestöd utan t.ex. sakliga begränsningar (såsom att ärendet är av viss typ eller att handläggaren har att arbeta med ärendet) eller geografiska begränsningar (såsom att det härrör från något visst upptagningsområde). Det har också kommit fram att CSN inte har gallrat särskilt intensivt i sina databaser och att loggningen av när någon haft tillgång till information i en viss sökandes ärende inte är heltäckande.

Kombinationen av en mycket vid möjlighet till elektronisk tillgång till personuppgifter för alla handläggare, som kan omfatta även inaktuella personuppgifter som ännu inte gallrats, och avsaknaden av en effektiv loggning av vilken tillgång som förekommit samt kontroll av loggarna inger betänkligheter från integritetsskyddssynpunkt. Risken för obehörig elektronisk åtkomst till personuppgifter – i betydelsen åtkomst som inte utgör ett led i handläggarens arbetsuppgifter utan som sker av andra skäl, t.ex. nyfikenhet – är uppenbar. Utredningen har dock inte underlag för att påstå att sådan obehörig åtkomst skulle förekomma. Det går nämligen inte att få fram sådant underlag när effektiv loggning saknas och därmed den elektroniska åtkomsten till personuppgifterna inte kan kontrolleras.

Av personuppgiftslagen framgår det att de personer som arbetar under CSN:s ledning, dvs. handläggarna och andra anställda, får behandla personuppgifter, t.ex. genom att ta del av dem, bara i enlighet med instruktioner från CSN (30 §) och att det åligger CSN att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §). Datainspektionen har vidare gett ut allmänna råd om säkerhet för personuppgifter. Även bestämmelsen om straff för dataintrång i 4 kap. 9 c § brottsbalken bör nämnas.

Mot den redovisade bakgrunden anser utredningen att det finns skäl att i den föreslagna studiestödsdatalagen precisera vad som bör gälla i fråga om intern elektronisk tillgång till personuppgifter i CSN:s studiestödsverksamhet. Utredningen anser att följande grundläggande bestämmelser är både naturliga och nödvändiga: CSN ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i CSN:s studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. CSN ska vidare se till att elektronisk tillgång till personuppgifter dokumenteras och genomföra systematiska och

återkommande kontroller av om obehörig åtkomst till uppgifterna förekommit.

Den enskilde handläggaren hos CSN bör alltså inte ha elektronisk tillgång till personuppgifter i större utsträckning än vad som behövs för att handläggaren ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Behörigheten bör framgå av interna regler och bör lämpligen kompletteras med tekniska begränsningar som förhindrar att handläggaren elektroniskt kommer åt personuppgifter som han eller hon enligt reglerna inte har behörighet till. De villkor för elektronisk tillgång till personuppgifter som CSN bestämmer kan ha betydelse vid tillämpningen av bestämmelsen om straff för dataintrång i 4 kap. 9 c § brottsbalken.

Vilken elektronisk tillgång till personuppgifter som en enskild handläggare behöver för att kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten är i första hand upp till CSN att bedöma. Avsikten är dock att bedömningen ska göras på ett betydligt mer nyanserat sätt än vad den synes ha gjorts hittills så att inte i princip varje handläggare hela tiden har möjlighet till elektronisk tillgång till uppgifter om flera miljoner människor. Avsikten är emellertid inte att CSN på något genomgripande sätt ska behöva ändra sitt arbetssätt eller sin organisation.

CSN behöver bl.a. med hänsyn till de långa återbetalningstiderna för studielån i vissa fall spara personuppgifter i ärenden om studiestöd under mycket lång tid. Alla sparade personuppgifter behövs emellertid inte normalt sett för att kunna hantera återbetalning eller återkrav av studiestöd. Det gör enligt utredningens mening att det är både nödvändigt och rimligt att efter en viss tid begränsa den direkta elektroniska tillgängligheten till personuppgifter som normalt sett inte behövs för att kunna hantera återbetalning eller återkrav av studiestöd. Frågan om ytterligare begränsningar av den direkta elektroniska tillgängligheten till sparade personuppgifter efter en viss tid hänger samman med de bestämmelser som bör gälla i fråga om bevarande och gallring av personuppgifter. Utredningen berör därför den frågan tillsammans med frågan om gallring i ett senare, gemensamt avsnitt, avsnitt 6.16.

De behörighetsvillkor som CSN har att ställa upp bör som sagt lämpligen kompletteras med motsvarande tekniska begränsningar. Det torde dock inte vara praktiskt möjligt att med tekniska begränsningar förhindra all elektronisk tillgång till personuppgifter

som inte behövs för att en handläggare ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. För att kunna utreda och beivra obehörig åtkomst som inte förhindras av tekniska begränsningar och försök från anställda och utomstående att kringgå de tekniska begränsningarna (t.ex. genom s.k. hackning) krävs det för det första att den faktiska elektroniska tillgången till personuppgifter dokumenteras i en logg (behandlingshistorik). Dokumentationen ska avse alla former av elektronisk tillgång som förekommit till personuppgifterna oavsett om det är anställda som internt berett sig tillgång eller om utomstående har gjort det t.ex. via direktåtkomst. För det andra krävs det att det genomförs systematiska och återkommande kontroller av om obehörig åtkomst till personuppgifterna förekommit. Det räcker alltså inte att loggarna kontrolleras bara när CSN på annat sätt fått anledning att misstänka att obehörig åtkomst har förekommit. Det bör i första hand vara upp till CSN att bedöma hur kontrollen bör genomföras. Avsikten är att åstadkomma en sådan lämplig säkerhetsnivå som avses i 31 § personuppgiftslagen.

Att loggning sker och att loggarna av CSN kontrolleras systematiskt och återkommande innebär inte bara att obehörig åtkomst kan upptäckas och beivras i efterhand utan torde också ha en avhållande effekt. Dessa effekter av loggningen förstärks också genom utredningens förslag om att den registrerade, i den utsträckning uppgifterna får lämnas ut till honom eller henne, får ha direktåtkomst till dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter, se avsnitt 6.12.6. Loggarna utgör vidare allmänna handlingar som den registrerade kan begära att få ta del av med stöd av offentlighetsprincipen. Det torde normalt inte gälla sekretess gentemot den registrerade för uppgifterna i loggarna.

Utredningen har vidare övervägt att föreslå en uttrycklig bestämmelse om att CSN på begäran ska lämna den registrerade begriplig information om den elektroniska tillgång till hans eller hennes uppgifter som förekommit. En motsvarande bestämmelse har t.ex. föreslagits för hälso- och sjukvårdens del.

29

Utredningen

har emellertid stannat för att inte lämna något sådant förslag. Det får nämligen förutsättas att CSN på egen hand ser till att det är möjligt för registrerade som begär det att få se sådan dokumentation av den elektroniska tillgången som de kan förstå. Skulle det

29

SOU 2006:82 s. 371f.

visa sig att det trots allt behövs uttryckliga bestämmelser i det avseendet, kan sådana bestämmelser meddelas av regeringen i förordning (jämför nedan).

Eftersom det inte kan uteslutas att det på området kan behövas mer preciserade bestämmelser som inte lämpligen bör meddelas i lag, bör det uttryckligen anges i studiestödsdatalagen att regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång och om dokumentation och kontroll.

De nu berörda bestämmelserna i den föreslagna studiestödsdatalagen avviker inte från bestämmelserna om säkerheten vid behandling i 3032 §§personuppgiftslagen utan utgör preciseringar av dessa bestämmelser. CSN har således att i andra avseenden än som särskilt regleras i studiestödsdatalagen vidta lämpliga åtgärder enligt vad som följer av personuppgiftslagen för att skydda de personuppgifter som behandlas.

6.12. Direktåtkomst och annat elektroniskt utlämnande av personuppgifter

6.12.1. Inledning

I personuppgiftslagen regleras det inte särskilt på vilket sätt – elektroniskt eller på annat sätt, t.ex. muntligt eller på papper – personuppgifter får lämnas ut när uppgifterna över huvud taget får lämnas ut.

I många särskilda registerförfattningar finns det dock bestämmelser om utomståendes direktåtkomst till myndigheters register och databaser och om när personuppgifter får lämnas ut på medium för automatiserad behandling. Det finns inte någon legaldefinition av begreppet direktåtkomst eller begreppet utlämnande på medium för automatiserad behandling, men frågor om sådana former av elektroniska utlämnanden har diskuterats i ett flertal förarbeten. Begreppsbildningen är oklar och inte enhetlig.

30

I fråga om direktåtkomst har Integritetsskyddskommittén efter en genomgång av olika särskilda registerförfattningar sammanfattningsvis angett bl.a. följande:

31

30

Se för en genomgång av förarbeten och begreppsbildningen Samsetrapport 2005:1. Se också SOU 2007:45 s. 159 ff.

31

SOU 2007:22 Del 1 s. 463 f.

Grundläggande bestämmelser om så kallad direktåtkomst brukar i allmänhet ha form av lag. Skälet till detta är att frågan om direktåtkomst har ansetts central från integritetsskyddssynpunkt. Vad som avses med detta begrepp kan dock inte anses helt klarlagt. Den grundläggande innebörden av begreppet torde vara att någon för myndigheten utomstående har rätt att på egen hand söka i myndighetens databaserade informationssamlingar, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet (se t.ex. prop. 2004/05:164 s. 83 f.). I begreppet direktåtkomst ligger också att den som är ansvarig för informationssamlingen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Genom direktåtkomsten öppnas alltså myndighetens informationssamlingar helt eller delvis för den utomstående. Om det är fråga om uppgifter som omfattas av sekretess, måste man alltså i förväg fastställa att den utomstående har rätt att ta del av informationssamlingen utan att någon sekretessprövning skall göras i det individuella fallet.

En bestämmelse som tillåter direktåtkomst har inte ansetts i sig innebära en sådan uppgiftsskyldighet som enligt 14 kap. 1 § SekrL medför att ett utlämnande av uppgifter till en annan myndighet inte hindras av sekretess. Det torde bero på att det i bestämmelser om direktåtkomst brukar anges vilka myndigheter som får ha direktåtkomst till den aktuella myndighetens informationssamlingar. […]

[…]Den regleringsmodell som i allmänhet används är således att det i den aktuella registerlagen anges att direktåtkomst får medges. Därutöver meddelar regeringen i en förordning kompletterande bestämmelser om uppgiftsskyldighet. I lagen brukar det inte hänvisas till att det i förordning finns sådana sekretessbrytande regler. Av lagen framgår alltså i allmänhet inte att direktåtkomsten kompletteras av bestämmelser om uppgiftsskyldighet.

Kommittén ansåg att det vore önskvärt att bestämmelser om direktåtkomst utformas så att det framgår huruvida denna åtkomst kompletteras med bestämmelser om uppgiftsskyldighet. Därmed skulle den enskilde redan av de grundläggande bestämmelserna i lagen kunna läsa ut vilken slags integritetsinskränkning det var fråga om.

32

Det har någon gång betonats att det i praktiken inte behöver vara så stor skillnad mellan direktåtkomst och utlämnande på medium för automatiserad behandling.

33

I fråga om begreppet

utlämnande på medium för automatiserad behandling brukar man fästa avseende vid sådant som att det är avsändaren som, åtminstone i teorin, i det enskilda fallet bestämmer vilka uppgifter som ska lämnas ut och som därvid gör en sekretessprövning och att

32

SOU 2007:22 Del 1 s. 464 f

33

Se t.ex. prop. 2004/05:164 s. 82.