SOU 2007:64

Studiestödsdatalag

Sammanfattning

Studiestödsdatalag

Studiestödsdatautredningen har haft i uppdrag att kartlägga och granska regleringen och användningen av personregister och annan behandling av personuppgifter i studiestödsverksamheten inom främst Centrala studiestödsnämnden (CSN) och Överklagandenämnden för studiestöd och lämna förslag till nödvändig författningsreglering. Utredningen har kommit fram till att en särskild författningsreglering utöver den generellt gällande personuppgiftslagen bara behövs för den omfattande behandlingen av personuppgifter i CSN:s studiestödsverksamhet. Den behandling av personuppgifter för studiestöd som förekommer hos övriga aktörer är av förhållandevis ringa omfattning och kan utan olägenhet regleras av personuppgiftslagen.

Utredningen lämnar förslag till en särskild studiestödsdatalag som ska gälla utöver personuppgiftslagen och innehålla specialbestämmelser för behandlingen av personuppgifter i CSN:s studiestödsverksamhet. Den nya lagen föreslås träda i kraft den 1 januari 2009.

När personuppgifter får behandlas

Förutom med den registrerades samtycke får personuppgifter bara behandlas för vissa i lagen uppräknade ändamål. CSN ska få behandla personuppgifter om det behövs för att 1. handlägga ärenden i studiestödsverksamheten, 2. administrera handläggningen, 3. i den utsträckning regeringen föreskriver det förbereda

handläggningen,

4. informera studiestödsberättigade om studiestödsförmåner och

studiesociala förmåner, 5. ta fram och till studerande distribuera bevis om studier med stu-

diestöd, eller 6. om sekretess inte hindrar det anmäla oegentlighet inom studie-

stödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

CSN ska även, i en avskild databas, få behandla personuppgifter som inte direkt pekar ut den registrerade för att återsöka vägledande avgöranden. Avsikten med bestämmelsen är att CSN ska kunna föra en särskild praxisdatabas med vägledande avgöranden där det inte förekommer namn eller personnummer.

De personuppgifter som behandlas får CSN lämna ut till utomstående i den utsträckning en uppgiftsskyldighet för CSN följer av lag eller förordning. Personuppgifterna får också lämnas ut till den registrerade själv och till riksdagen och regeringen. Om sekretess hindrar det, kan något utlämnande inte ske. För elektroniskt utlämnande av personuppgifter gäller särskilda villkor (se nedan).

Behandling av personuppgifter som är tillåten enligt lagen, får enligt huvudregeln utföras även om den registrerade motsätter sig behandlingen. Bara när det rör sig om behandling av personuppgifter enligt 4 och 5 ovan har den registrerade rätt att motsätta sig behandlingen. Dessutom kan den registrerade alltid återkalla ett samtycke som är nödvändigt för att behandlingen ska vara tillåten.

I en anknytande studiestödsdataförordning anges det när CSN får behandla personuppgifter för att förbereda handläggningen av ärenden om studiestöd och vissa begränsningar av vilka personuppgifter som får behandlas.

Behandling av personuppgifter av känslig natur

Känsliga personuppgifter och personuppgifter om lagöverträdelser m.m., enligt definitionerna i personuppgiftslagen, ska bara få behandlas med den registrerades uttryckliga samtycke eller om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten under förutsättning att uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter ska också få behandlas om det behövs för att kunna anmäla oegentlighet inom studie-

stödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten. Sådana personuppgifter ska även få behandlas i CSN:s avskilda praxisdatabas.

Sökbegrepp

Som sökbegrepp får inte användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Vid sökning bara i ett visst ärende om studiestöd, i en viss handling eller i CSN:s avskilda praxisdatabas får dock sådana sökbegrepp användas. Uppgifter som rör hälsa får också användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

Intern elektronisk tillgång till personuppgifter

CSN ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i CSN:s studiestödsverksamhet. Dessa villkor ska bestämmas så att sådan tillgång begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Den faktiska elektroniska tillgången till personuppgifter som sker ska dokumenteras, t.ex. i en logg (behandlingshistorik). Dokumentationen ska avse alla former av elektronisk tillgång som förekommit till personuppgifterna. CSN ska vidare genomföra systematiska och återkommande kontroller av om obehörig åtkomst till personuppgifterna förekommit.

I studiestödsdataförordningen finns det preciserande bestämmelser om att direkt elektronisk tillgång till personuppgifter, som normalt sett inte behövs för återbetalning eller återkrav av studiestöd, i ett ärende om studiestöd ska begränsas till ett fåtal personer senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. Behövs personuppgifterna för ett nytt ärende om studiestöd, ska begränsningen få upphävas. Avsikten är att gamla ärenden ska avföras till en särskild arkivdatabas med begränsad direkt elektronisk tillgång.

Direktåtkomst och annat elektroniskt utlämnande av personuppgifter

Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna om tillåtna ändamål m.m. och sökbegrepp följs. När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på annat sätt lämnas ut elektroniskt till denne, t.ex. via epost. Enstaka personuppgifter ska också alltid få lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation, t.ex. epost, i enskilda fall om sekretess inte hindrar det. Dessutom får CSN lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst i den utsträckning det behövs för att annan ska kunna lämna ut personuppgifter elektroniskt till CSN, t.ex. via direktåtkomst.

Författningsstöd för vissa viktigare fall av tillåtet elektroniskt utlämnande, motsvarande vad som förekommer i dag, anges redan i studiestödsdatalagen och studiestödsdataförordningen. Det gäller bl.a. elektroniskt utlämnande till den registrerade själv, Försäkringskassan, arbetslöshetskassor, Riksrevisionen och läroanstalter som lämnat uppgifter till CSN.

Gallring

I studiestödsdatalagen finns det vissa gallringsföreskrifter. Personuppgifter i ett ärende om studiestöd som kan ha betydelse i ett nytt ärende om studiestöd behöver dock aldrig gallras (förstöras eller avidentifieras) förrän de inte längre kan ha sådan betydelse. CSN får också i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium.

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet i stället gallras senast

tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs.

Personuppgifter som behandlas för att förbereda handläggningen av ärenden ska i den utsträckning de inte tillförts ett ärende om studiestöd gallras senast ett år efter det att uppgifterna registrerades.

Riksarkivet får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål samt för redovisningsändamål.

Författningsförslag

1. Förslag till studiestödsdatalag

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet.

Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får utom i fall som avses i 5 § utföras även om den registrerade motsätter sig behandlingen.

Förhållandet till personuppgiftslagen och lagen om den officiella statistiken

2 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, om inte annat följer av denna lag.

I fråga om Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik gäller bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar i stället för denna lag.

Personuppgiftsansvar

3 § Centrala studiestödsnämnden är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.

Ändamål

4 § Personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet förutom med den registrerades samtycke bara om behandlingen behövs för att

1. handlägga ärenden i den verksamheten,

2. administrera handläggningen,

3. i den utsträckning regeringen föreskriver det förbereda handläggningen,

4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner,

5. ta fram och till studerande distribuera bevis om studier med studiestöd, eller

6. om sekretess inte hindrar det anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

Personuppgifter som behandlas enligt första stycket får dock om sekretess inte hindrar det lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas avskilt för att återsöka vägledande avgöranden.

Regeringen får meddela föreskrifter om begränsningar av ändamålen i första stycket och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

5 § Behandling för ändamål som avses i 4 § första stycket 4 och 5 får utföras bara om den registrerade inte har motsatt sig behandlingen. Centrala studiestödsnämnden ska informera de registrerade om rätten att motsätta sig behandlingen.

6 § I de fall då behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke har den registrerade rätt att när

som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

Behandling av känsliga personuppgifter m.m.

7 § Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får förutom med den registrerades uttryckliga samtycke behandlas bara i enlighet med 4 § första stycket 1 om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter får dock också behandlas i enlighet med 4 § första stycket 6 och andra stycket.

Sökbegrepp

8 § Som sökbegrepp får inte användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Vid sökning bara i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sådana sökbegrepp användas. Uppgifter som rör hälsa får också användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

Intern elektronisk tillgång till personuppgifter

9 § Centrala studiestödsnämnden ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i nämndens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten.

Centrala studiestödsnämnden ska se till att elektronisk tillgång till personuppgifter dokumenteras och genomföra systematiska och återkommande kontroller av om obehörig åtkomst till uppgifterna förekommit.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång enligt första stycket och om dokumentation och kontroll enligt andra stycket.

Direktåtkomst och annat elektroniskt utlämnande av personuppgifter

10 § Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna i 4–6 och 8 §§ följs.

11 § Försäkringskassan och arbetslöshetskassorna får i den utsträckning uppgiftsskyldighet följer av lag eller förordning ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst.

12 § Den registrerade får i den utsträckning sekretess inte hindrar det ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, om uppgifterna

1. avser honom eller henne själv,

2. finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, eller

3. avser dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter.

13 § När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på annat sätt lämnas ut elektroniskt till denne. Enstaka personuppgifter får även i andra fall lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall om sekretess inte hindrar det.

14 § På begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling.

Rättelse och skadestånd

15 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag.

Gallring

16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska i den utsträckning de inte tillförts ett ärende om studiestöd gallras senast ett år efter det att uppgifterna registrerades.

Trots första stycket får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Centrala studiestödsnämnden får också trots första stycket i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium.

1. Denna lag träder i kraft den 1 januari 2009.

2. Bestämmelserna i 16 § ska inte börja tillämpas förrän den 1 januari 2010.

2. Förslag till studiestödsdataförordning

Härigenom föreskrivs följande.

Inledande bestämmelse

1 § I denna förordning ges kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av studiestödsdatalagen (0000:000).

Förberedande handläggning

2 § Centrala studiestödsnämnden får behandla personuppgifter för att förbereda handläggningen av

1. ärenden om studiehjälp för personer som fyller 16 år och för första gången skulle kunna få studiehjälp, och

2. ärenden om studiemedel för personer som antagits till en utbildning som berättigar till studiemedel.

3 § Behandlingen av personuppgifter enligt 2 § 1 får endast avse uppgifter om namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, sekretessmarkering, medborgarskap och invandrings- och utvandringsdatum avseende den person som fyller 16 år och uppgifter om namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, sekretessmarkering, medborgarskap, invandrings- och utvandringsdatum och bankkonto avseende den eller de som för den person som fyller 16 år senast mottog allmänt eller förlängt barnbidrag.

Behandlingen av personuppgifter enligt 2 § 2 får endast avse uppgifter om namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, sekretessmarkering, medborgarskap, invandrings- och utvandringsdatum, studieresultat och den utbildning antagningen avser avseende den på utbildningen antagne personen och personnummer alternativt samordningsnummer för den som personen är vårdnadshavare för.

Information om studiestödsförmåner och studiesociala förmåner

4 § För ändamål som anges i 4 § första stycket 4 studiestödsdatalagen (0000:000) får endast uppgifter om namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, medborgarskap, bankkonto och typ av studiestöd behandlas.

Framtagande och distribution av bevis om studier med studiestöd

5 § För ändamål som anges i 4 § första stycket 5 studiestödsdatalagen (0000:000) får endast uppgifter om namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, studietakt, typ av studiestöd och studietid behandlas.

Intern elektronisk tillgång till personuppgifter

6 § Direkt elektronisk tillgång till personuppgifter, som normalt sett inte behövs för återbetalning eller återkrav av studiestöd, i ett ärende om studiestöd ska begränsas till ett fåtal personer senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. Behövs personuppgifterna för ett nytt ärende om studiestöd, får begränsningen upphävas.

Direktåtkomst

7 § Försäkringskassans direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet får enbart avse uppgifter om personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, utbetalat studiestödsbelopp per viss tidsperiod, beviljat studiestöd per viss tidsperiod och typ av studiestöd.

8 § Arbetslöshetskassornas direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet får enbart avse uppgifter enligt 23 § förordningen (1997:835) om

arbetslöshetsförsäkring och av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer.

9 § En läroanstalt får ha direktåtkomst till de personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet som läroanstalten själv lämnat till Centrala studiestödsnämnden och till anknytande uppgifter om av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, namn, sekretessmarkering och att Centrala studiestödsnämnden beslutat eller sänt meddelande till parten i ärendet om studiestöd.

10 § Direktåtkomst enligt 7–9 §§ får inte avse personuppgifter till vilka den direkta elektroniska tillgången har begränsats enligt 6 §.

Annat elektroniskt utlämnade

11 § Centrala studiestödsnämnden får lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst enligt följande.

Mottagare Kronofogdemyndigheten

Skatteverket

Bank eller annan betalningsförmedlare

Inkassoföretag

Personuppgifter Namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, referensnummer, skulduppgifter, begärd åtgärd och orsak till återkallelse av ärendet Uppgifter som krävs för att fullgöra skyldigheten att lämna kontrolluppgift enligt lagen (2001:1227) om självdeklarationer och kontrolluppgifter Namn, adress, personnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, samordningsnummer, kontonummer, belopp, utbetalningsdatum och aviseringstext Namn, adress, personnummer, samordningsnummer, av Cen-

Myndighet som begär det eller sådant organ som anges i bilagan till sekretesslagen (1980:100) som begär det

Kommun

Företag som tar fram och till studerande distribuerar bevis om studier med studiestöd

Örebro kommun

trala studiestödsnämnden åsatt särskilt identifikationsnummer, skulduppgifter och begärd åtgärd Namn, adress, den studerandes länskod, kommunkod, läroanstaltens kod, studievägskod, årskurs, läroanstaltens namn, utbildningens namn och läroanstaltens länskod Avseende studerande som fått studiehjälp och som har ansökt om stöd enligt 5 kap. 33 § skollagen (1985:1100): Personnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, samordningsnummer, kommunkod, läroanstaltens kod, studieväg, klass, studietid, tid för studieavbrott och närvaro på läroanstalten samt namn, adress, personnummer och samordningsnummer för betalningsmottagare av studiehjälp Namn, adress, personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, typ av bevis och under vilken tidsperiod den studerande bedriver studier med studiestöd Personnummer, samordningsnummer, av Centrala studiestödsnämnden åsatt särskilt identifikationsnummer, beviljat belopp i bidrag enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan att utbetala till Örebro kommun för kostnad

för kost, logi och annan service i samband med boendet som kommunen tillhandahåller samt den totala kostnaden för sådant

Centrala studiestödsnämnden får också lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst i den utsträckning det behövs för att annan ska kunna lämna ut personuppgifter elektroniskt till nämnden.

Gallring

12 § Riksarkivet får meddela föreskrifter om att personuppgifter trots bestämmelserna om gallring i 16 § första stycket studiestödsdatalagen (0000:000) får bevaras för historiska, statistiska och vetenskapliga ändamål samt redovisningsändamål.

1. Denna förordning träder i kraft den 1 januari 2009.

2. Bestämmelserna i 6 och 12 §§ ska inte börja tillämpas förrän den 1 januari 2010.

1. Utredningsarbetet och betänkandet

1.1. Utredningsarbetet

Utredningens utredningsdirektiv (dir. 2006:90) finns intaget som bilaga till detta betänkande. Utredningen har enligt tilläggsdirektiv (dir. 2007:44) fått förlängd utredningstid till den 28 september 2007.

Utredningen har haft fyra sammanträden. Vid sammanträdena har utkast till texter till betänkandet gåtts igenom och diskuterats. Härutöver har den särskilda utredaren besökt Centrala studiestödsnämndens kontor i Stockholm och Sundsvall. Syftet med besöken har varit att skaffa sig en bild av hur handläggningsrutinerna ser ut i allmänhet och den datoriserade delen av dessa i synnerhet. Genom besöken fick utredningen en sådan bild både vad avser kärnan i den operativa verksamheten (Stockholm) och den handläggning som sker på kontoret med ledningsfunktionerna (Sundsvall).

Vissa underhandskontakter har förekommit med 2005 års informationsutbytesutredning (Fi 2005:08) och Delegationen mot felaktiga utbetalningar, FUT-delegationen (Fi 2005:03).

Utredaren har under utredningsarbetets gång berett Landsorganisationen i Sverige (LO), Tjänstemännens Centralorganisation (TCO), Sametinget och Socialstyrelsens institut för särskilt utbildningsstöd (SISUS) tillfälle att komma in med synpunkter på utkast till vissa texter.

Sveriges förenade studentkårer (SFS) har beretts tillfälle att komma in med synpunkter på utredningsuppdraget. SFS har härvid hämtat in underlag från sina medlemskårer.

1.2. Betänkandet

Utredningen redovisar sitt uppdrag i detta betänkande. Betänkandet är uppdelat i två delar, en del med bakgrundsinformation och en del med överväganden och förslag.

Utredningen har enligt utredningsdirektiven för det första att kartlägga och granska regleringen och användningen av personregister och annan behandling av personuppgifter i studiestödsverksamhet. Den kartläggningen och granskningen redovisas i delen med bakgrundsinformation. Bakgrundsdelen inleds med en översiktlig redovisning av den rättsliga regleringen av studiestödssystemet (avsnitt 2). De personuppgifter som enligt den materiella rättsliga regleringen av studiestödet har betydelse för studiestöd behöver myndigheterna och organisationerna på området nämligen behandla för sin handläggning av ärenden om studiestöd. Därefter följer ett avsnitt om den rättsliga regleringen av behandlingen av personuppgifter (avsnitt 3), inklusive en redogörelse för begreppet personlig integritet. Sedan kommer ett avsnitt om den behandling av personuppgifter som i dag utförs av myndigheterna och organisationerna inom studiestödsverksamheten (avsnitt 4).

För det andra har utredningen enligt utredningsdirektiven att analysera behovet av särskilda författningsbestämmelser för myndigheternas behandling av personuppgifter och lämna förslag till de författningsbestämmelser som behövs. I delen med överväganden och förslag redovisas den delen av utredningsuppdraget. Övervägandedelen inleds med ett avsnitt som innehåller utredningens analys av behovet av en särskild författningsreglering (avsnitt 5). Analysen utmynnar i att det behövs en särskild reglering i lag av behandlingen av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet men att en sådan reglering inte behövs för övriga aktörer på studiestödsområdet. Resterande del av betänkandet ägnas därför åt utformningen av en sådan lag för behandlingen av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet med anknytande förordning (avsnitt 6), inklusive författningskommentar (avsnitt 9). Utredningens författningsförslag finns samlade i inledningen av betänkandet. Frågan om ikraftträdande av den föreslagna lagstiftningen och eventuella övergångsbestämmelser till den berörs i ett särskilt avsnitt (avsnitt 7). Konsekvenserna av förslagen berörs också i ett särskilt avsnitt (avsnitt 8).

2. Studiestödssystemet

2.1. Inledning

Samhällets stöd till studerande regleras i många olika författningar och ges i flera skilda former. Den mest centrala författningen på studiestödsområdet är studiestödslagen (1999:1395) med tillhörande studiestödsförordning (2000:655). Dessa författningar innehåller bestämmelser om studiehjälp och studiemedel.

Studiehjälp lämnas för studier i gymnasieskolan eller annan gymnasial utbildning till och med vårterminen det år den studerande fyller 20 år. Studiemedel lämnas till studerande på eftergymnasial nivå och till vuxenstuderande på grundskole och gymnasienivå. Studiemedel består av studiebidrag och studielån.

Stödformerna studiehjälp och studiemedel administreras av Centrala studiestödsnämnden (CSN). CSN:s beslut rörande dessa stöd kan överklagas till Överklagandenämnden för studiestöd. Beslut i ärenden om återbetalning av studielån kan överklagas till allmän förvaltningsdomstol.

Systemet med studiehjälp och studiemedel kompletteras av andra stödformer som riktar sig till särskilda grupper och som regleras i andra författningar.

Regeringens förordning (CSNFS 1983:17) om bidrag till utlandsstuderande för dagliga resor ger möjlighet för svenska medborgare som har rätt till studiehjälp för studier utom riket att få bidrag för resor.

Bidrag vid studier kan vidare lämnas enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan – s.k. Rg-bidrag – och enligt förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar – s.k. TUFF-ersättning.

Även de nu nämnda stödformerna administreras av CSN. Besluten får inte överklagas.

Även privaträttsliga subjekt har viss roll på studiestödsområdet. Korttidsbidrag kan enligt förordningen (2001:362) om bidrag vid korttidsstudier lämnas vid studier av mindre omfattning och för studier om eget eller närståendes funktionshinder. Bidraget administreras av Landsorganisationen i Sverige (LO), Tjänstemännens Centralorganisation (TCO), Socialstyrelsens institut för särskilt utbildningsstöd och Sametinget. Beslut rörande bidraget kan överklagas till Överklagandenämnden för studiestöd.

När utredningen i det följande talar om studiestöd avses de stödformer som nu nämnts (studiehjälp, studiemedel, bidrag till utlandsstuderande för dagliga resor, Rg-bidrag, TUFF-ersättning och korttidsbidrag) och där det framgår av sammanhanget även de utmönstrade former av stöd som fortfarande kräver CSN:s handläggning.

Till och med den 31 december 2006 kunde rekryteringsbidrag enligt lagen (2002:624) om rekryteringsbidrag till vuxenstuderande lämnas under högst ett år vid studier t.o.m. den 31 december 2007 på grundskole- eller gymnasienivå. Ytterligare bestämmelser om bidraget fanns i förordningen (2002:744) om rekryteringsbidrag till vuxenstuderande. Både kommunerna och CSN var inblandade i administrationen av rekryteringsbidrag.

Det finns även andra stödformer som har viss bäring på studier, t.ex. stöd enligt förordningen (2000:521) om statligt stöd till kompletterande utbildningar och förordningen (1996:1100) om aktivitetsstöd. Det finns även en stödform som hanteras av CSN men som inte har koppling till studier; stöd enligt förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar. Sådana andra stödformer – och den behandling av personuppgifter som därvid kan förekomma – kan inte anses omfattade av utredningens uppdrag och berörs inte vidare i detta betänkande.

2.2. Studiehjälp

2.2.1. Inledning

Studiehjälpen är den näst största stödformen räknat i utbetalat stöd per år (cirka 3,7 miljarder kronor i utbetalat stöd för år 2006). Studiehjälpen syftar till att ge alla, oberoende av social och ekonomisk bakgrund och oavsett bostadsort, möjlighet att få den utbildning

som man har förutsättningar och intresse för. Studiehjälpen är också en del av stödet till barnfamiljerna och ska bidra till att kompensera för de kostnader som är förknippade med barnens utbildning.

Det allmänna barnbidraget betalas ut till och med det kvartal då barnet fyller 16 år. Därefter betalas förlängt barnbidrag så länge barnet studerar i grundskolan. Studiehjälp, som tar vid om barnet studerar efter grundskolan, kommer huvudsakligen i fråga från och med kvartalet närmast efter det att den studerande har fyllt 16 år till och med vårterminen det år denne fyller 20 år. För att studiehjälp ska betalas fordras att den aktuella utbildningen och läroanstalten enligt regeringens förordnande omfattas av rätt till studiehjälp. Studierna ska, för att vara stödberättigande, i princip bedrivas på heltid. Med vissa undantag gäller som ytterligare krav för studiehjälp att den studerande ska vara svensk medborgare eller därmed jämställd alternativt att denne har permanent uppehållstillstånd och bor i riket samt har bosatt sig här i huvudsakligen annat syfte än att genomgå utbildning här.

Det ovan angivna syftet med studiehjälpen realiseras genom studiehjälpens tre delar: studiebidrag, extra tillägg och inackorderingstillägg. Härutöver kan ersättning beviljas för vissa dagliga resor för utlandsstuderande. Denna ersättningsform bör systematiskt hänföras till studiehjälpen.

Studiehjälp kan betalas även vid den studerandes sjukdom. Likaså kan studiehjälp betalas om den studerande inte kan studera på grund av barns eller annan nära anhörigs sjukdom. Studieoförmåga på grund av egen eller anhörigs sjukdom ska på begäran kunna styrkas. För det fall läroanstalten anser att den studerande inte har kunnat fullgöra sin bevisbörda avseende studieoförmåga ska detta rapporteras till CSN.

För det fall den studerandes uppehälle helt eller till väsentlig del bekostas av staten eller av en kommun gäller särskilda bestämmelser om minskning av studiehjälpen. CSN har även i samråd med Kriminalvården meddelat närmare föreskrifter om studiehjälp för studerande som är föremål för kriminalvård. Studiehjälp kan inte beviljas för studier inom kriminalvårdsanstalt eller för studier som ges på ungdomshem (s.k. §12-hem). En studerande som är intagen i kriminalvårdsanstalt och som studerar utanför anstalten kan få studiehjälp med viss reduktion. Studiebidraget reduceras dock inte.

För omyndiga betalas studiehjälpen ut till vårdnadshavare. Studiehjälpen kan också betalas ut till förvaltare eller, vid särskilda

skäl, till en socialnämnd eller någon annan för att användas till den omyndiges utbildning och uppehälle.

För det fall studiehjälp har utbetalats till någon som inte har haft rätt till det, ska CSN återkräva studiehjälpen. Återkrävd studiehjälp ska genast betalas tillbaka. Vid utgången av det år när återbetalningsgäldenären fyller 67 år, eller om han eller hon dessförinnan har avlidit, skrivs kvarstående krav av.

2.2.2. Studiebidrag

Studiebidrag betalas till alla bidragsberättigade utan att någon ansökan behöver göras. Läroanstalter har nämligen ålagts en rapporteringsskyldighet gentemot CSN avseende vilka elever som deltar i undervisningen. Någon behovsprövning eller motsvarande görs inte. Studiebidraget är 1 050 kr per månad, 2 kap. 7 § studiestödslagen.

Antalet studiebidragsberättigade har ökat något beroende på befolkningsökningen. Under läsåret 2005/2006 fick drygt 360 000 studerande studiebidrag, vilket var omkring 10 000 fler än närmast föregående läsår.

2.2.3. Extra tillägg

Det extra tillägget har bl.a. till syfte att öka möjligheterna för studerande i hushåll med dåliga ekonomiska förutsättningar att studera. Behovet av stöd bedöms genom att man räknar fram ett ekonomiskt underlag. Vid beräkningen av detta underlag beaktas både föräldrarnas och den studerandes ekonomiska förhållanden. Extra tillägg betalas bara efter ansökan om det. Den som är myndig får själv göra ansökan, medan förmyndaren får göra ansökan för underåriga. Det extra tillägget är 285, 570 eller 855 kr per månad beroende på det ekonomiska underlagets storlek. Tilläggsbeloppens storlek är fastställda genom 2 kap. 7 § studiestödslagen.

Extra tillägg har minskat något de tre senaste åren, räknat både i antal berättigade och i totalt utbetalat belopp. Under läsåret 2005/2006 fick drygt 10 000 studerande extra tillägg.

2.2.4. Inackorderingstillägg

Inackorderingstillägget syftar till att utjämna de ekonomiska skillnaderna som uppstår mellan elever som studerar på hemorten och elever som tillfälligt måste bosätta sig på skolorten för att gå den utbildning de valt. Rätten till inackorderingstillägg är beroende av bl.a. avståndet mellan föräldrahemmet och skolan samt restiden. Någon ekonomisk behovsprövning sker inte. Inackorderingstillägg betalas bara efter ansökan om det. Inackorderingstilläggets storlek är till sina yttre ramar bestämd genom 2 kap. 7 § studiestödslagen (1 190 upp till 2 350 kr per månad). Efter bemyndigande av regeringen har CSN meddelat mer detaljerade föreskrifter om inackorderingstillägget.

Kostnaderna för inackorderingstillägg har ökat något de tre senaste åren. Under läsåret 2005/2006 fick drygt 7 000 studerande inackorderingstilllägg, vilket var omkring 1 000 fler än närmast föregående läsår.

2.2.5. Dagliga resor

Enligt regeringens förordning (CSNFS 1983:17) om bidrag till utlandsstuderande för dagliga resor kan sådant bidrag beviljas svensk medborgare som har rätt till studiehjälp för studier utom riket. Bidraget motsvarar i princip kostnaderna för att ta sig mellan bostaden och skolan, om detta avstånd överstiger sex kilometer. Bidrag lämnas bara efter ansökan.

Bidrag för dagliga resor är en marginell företeelse och har under de tre senaste åren omfattat cirka 20 studerande per år.

2.3. Studiemedel

2.3.1. Inledning

Studiemedel är den största stödformen räknat i utbetalat stöd (cirka 18 miljarder kronor år 2006) och kan betalas till studerande till och med det kalenderår denne fyller 54 år. Syftet med studiemedel är att minska betydelsen av de studerandes sociala, ekonomiska och geografiska bakgrund samt att bidra till ett högt deltagande i utbildning. Studiemedlen är behovsprövade såtillvida att inkomster som överstiger ett visst belopp (fribeloppet) reducerar

studiemedlen. Studiemedel betalas bara ut efter ansökan, som i vissa fall kan göras elektroniskt.

1

Rätten till studiemedel förutsätter i princip att den berättigade studerar och att skötsamhet har iakttagits såvitt avser återbetalning av tidigare studielån och eventuella återkrav. Studiemedel kan beviljas också för studier utomlands. Med vissa undantag gäller som krav för att vara berättigad till studiemedel att den studerande är svensk medborgare eller därmed jämställd alternativt att denne har permanent uppehållstillstånd och bor i riket samt har bosatt sig här i huvudsakligen annat syfte än att genomgå utbildning här.

Studiemedel består dels av studiebidrag och i förekommande fall tilläggsbidrag, dels av studielån och i förekommande fall tilläggslån och s.k. merkostnadslån.

Det sker viss samordning av studiemedel i förhållande till andra förmåner. Studiemedel får exempelvis inte betalas när den studerande får studiehjälp, sjukersättning, aktivitetsersättning eller rehabiliteringsersättning.

Vid sjukdom kan studiemedel betalas, trots att inga studier bedrivs. Motsvarande gäller vid vård av barn eller annan närstående. Sjukdom kan också under vissa förutsättningar medföra avskrivning av studielån.

För studerande som är intagna i kriminalvårdsanstalt eller vars uppehälle helt eller delvis betalas av staten gäller särskilda villkor för studiemedel.

För det fall studiemedel har betalats till en studerande som inte har haft rätt till det, ska CSN återkräva medlen. Återkrävda medel ska genast betalas tillbaka. Vid utgången av det år återbetalningsgäldenären fyller 67 år, eller om han eller hon dessförinnan har avlidit, skrivs kvarstående krav av.

2.3.2. Studiebidrag

Studiebidraget är skattefritt. Det finns två olika bidragsnivåer; en generell nivå och en högre nivå. Den högre nivån kan komma i fråga om den studerande har fyllt 25 år och studierna gäller utbildning på grundskole- eller gymnasienivå och i vissa fall på högskole-

1

Se förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel och

15 kap. 2 a § Centrala studiestödsnämndens föreskrifter och allmänna råd (CSNFS 2001:1) om beviljning av studiemedel.

nivå. Studiebidraget är pensionsgrundande för studerande bosatta i Sverige.

2.3.3. Tilläggsbidrag

Studerande som har vårdnaden om barn kan få tilläggsbidrag för varje barn till och med det kalenderår barnet fyller 18 år. Även tilläggsbidraget är skattefritt, och det påverkar inte heller andra bidrag som exempelvis bostadsbidrag.

2.3.4. Studielån

Studiebidraget kan kompletteras med studielån. Studielånet ska återbetalas.

Villkoren för återbetalning av studielånet är olika beroende på vid vilken tid som lånet har upptagits. De moderna reglerna om återbetalning av studielån började gälla den 1 januari 1965. Reglerna förändrades den 1 januari 1989 och den 30 juni 2001. Återbetalning sker sålunda enligt tre parallella återbetalningssystem. De olika systemen skiljer sig åt bl.a. vad avser ränteuppräkning av lån, återbetalningstidens längd och återbetalningsbeloppets storlek. En låntagare kan begära att ett äldre lån ska läggas om så att det handläggs enligt villkoren för ett senare återbetalningssystem.

För lån som tagits före 1989 gäller att skulden varje år räknas upp med ett regleringstal. Återbetalningstidens längd beror på skuldens storlek samt på hur gammal låntagaren är när han eller hon börjar betala tillbaka på lånet. Den årliga avgiften som låntagaren ska betala baseras på skuldens storlek och på antalet återbetalningsår.

För lån som tagits mellan 1989 och den 30 juni 2001 gäller att återbetalningen är anpassad till låntagarens inkomstsituation. Syftet med den regleringen var bl.a. att förenkla reglerna och göra dem mer rättvisa. Det årliga belopp som ska återbetalas är i princip fyra procent av årsinkomsten. Skulden räknas upp med en viss ränta som för 2007 är 2,1 procent.

2

Räntan fastställer regeringen varje år.

Den beräknas på ett genomsnitt av statens upplåningskostnad under de tre senaste åren. Låntagaren kan inte göra skatteavdrag för räntekostnaden.

2

Se förordningen (2006:1458) om ränta på studielån för 2007.

Enligt återbetalningsreglerna avseende lån som tagits efter den 30 juni 2001 gäller som huvudregel att lånet ska återbetalas under 25 år. Återbetalningsskyldigheten inträder vid årsskiftet närmast efter det att studierna har avslutats. Till skulden läggs en ränta som beräknas på samma sätt som räntan på lån tagna mellan 1989 och den 30 juni 2001. Det finns inbyggda trygghetsregler i återbetalningssystemet som gör det möjligt att efter ansökan om det ta hänsyn till den enskildes betalningsförmåga.

Låntagaren är skyldig att lämna uppgifter som är av betydelse för tilllämpningen av återbetalningsreglerna till CSN. CSN hämtar även i detta syfte uppgifter från Skatteverket och Försäkringskassan.

Innan de moderna reglerna om återbetalning av studielån började gälla den 1 januari 1965 fanns det andra regler om studielån som i vissa fall fortfarande är tillämpliga. Antalet personer som i dag är berörda av dessa äldre låneformer är av naturliga skäl tämligen lågt. I januari 2007 fanns det 1 176 personer med studielån enligt studiehjälpsreglementet, 4 låntagare med garantilån och 4 låntagare med lån ur allmänna studielånefonden.

2.3.5. Tilläggslån

Tilläggslånet är avsett för studerande som tidigare har haft inkomster från arbete eller näringsverksamhet. Syftet med tilläggslånet är att underlätta övergången från arbete eller näringsverksamhet till studier. Återbetalningsvillkoren för tilläggslånet är samma som för det ordinarie studielånet.

2.3.6. Merkostnadslån

Merkostnadslånet är ett kompletterande lån som kan ges för vissa styrkta merkostnader som har samband med studierna. CSN har efter bemyndigande meddelat tämligen detaljerade föreskrifter om för vilka kostnader merkostnadslån kan beviljas. Som exempel på kostnader som berättigar till merkostnadslån kan nämnas kostnader för dubbel bosättning, studieresor och undervisningsavgifter. Återbetalningsvillkoren för merkostnadslånet är samma som för det ordinarie studielånet.

2.4. Rg-bidrag

Enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan kan s.k. Rg-bidrag lämnas till dels döva eller hörselskadade elever, dels svårt rörelsehindrade elever. Rg-bidraget administreras av CSN och kan lämnas till elever som tillfälligt måste bosätta sig på utbildningsorten. Bidrag kan lämnas för kostnader för resor, kost och logi, merkostnader i studierna på grund av funktionshindret och i vissa fall för kostnad för annan service i samband med boendet.

Från och med den 1 juli 2007 kan Rg-bidrag lämnas som ett tilläggsbidrag till studerande från och med det andra kalenderhalvåret det år de fyller 20 år. Tilläggsbidraget lämnas endast till studerande som för samma tid får aktivitetsersättning enligt lagen (1962:381) om allmän försäkring och därför inte har rätt till studiemedel enligt 3 kap. studiestödslagen. Tilläggsbidraget lämnas med ett belopp per månad som motsvarar det studiebidrag som lämnas inom studiehjälpen (för närvarande 1 050 kr per månad).

Om en elev obehörigen har fått Rg-bidrag, ska vad som lämnats för mycket genast återkrävas. Fordran på grund av återkrav bevakas till dess att eleven avlider eller till det år då denne fyller 65 år. Därefter avskrivs fordran.

2.5. TUFF-ersättning

Ersättning för teckenspråksutbildning för vissa föräldrar (s.k. TUFF-ersättning) regleras i förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar. Syftet med ersättningen är att ge föräldrar till barn, som är beroende av teckenspråk för kommunikation, sådana färdigheter i teckenspråk att de kan främja sitt barns utveckling. TUFF-ersättning kan lämnas till föräldrar som deltar i teckenspråksutbildning som det lämnas statsbidrag för. Den som på grund av deltagande i sådan utbildning förlorar arbetsförtjänst eller motsvarande har rätt till ersättning med visst belopp. Även resekostnadsersättning kan lämnas.

TUFF-ersättning administreras av CSN. Om någon fått för mycket ersättning, ska detta belopp genast återkrävas.

2.6. Korttidsbidrag

Förutsättningarna för att bevilja korttidsbidrag anges för närvarande i förordningen (2001:362) om bidrag vid korttidsstudier.

3

Bidrag kan lämnas till den som bedriver studier i mindre omfattning på grundskole- eller gymnasienivå, den som bedriver studier i mindre omfattning om funktionshinder och den som bedriver studier i vuxenutbildning för utvecklingsstörda (särvux).

Syftet med bidraget till studerande på grundskole- och gymnasienivå är att rekrytera personer med kort tidigare utbildning till studier i mindre omfattning och att stimulera till fortsatta studier. Syftet med bidraget för studier om funktionshinder är att öka kunskapen om det egna funktionshindret och förbättra funktionshindrades möjligheter att ta del av samhällslivet som andra.

Bidraget administreras av Landsorganisationen i Sverige (LO) eller Tjänstemännens Centralorganisation (TCO)

4

förutom när det

gäller bidrag som avser alfabetisering i samiska eller studier med anknytning till funktionshinder och särvux då i stället Sametinget respektive Socialstyrelsens institut för särskilt utbildningsstöd (SISUS) administrerar bidraget.

Viss samordning mellan förmåner sker. Korttidsbidrag får t.ex. inte lämnas för den tid för vilken det lämnas studiemedel.

Bidrag får lämnas även för tid då den studerande på grund av sjukdom inte har deltagit i studierna. Studieoförmågan måste styrkas genom intyg.

Om någon felaktigt fått för mycket korttidsbidrag, ska beloppet återkrävas. Fordran på grund av återkrav bevakas till dess att eleven avlider eller till utgången av det år då gäldenären fyller 67 år. Därefter avskrivs fordran.

Det statliga anslaget för korttidsbidrag uppgår för 2007 till cirka 63 miljoner kronor. Anslaget fördelar sig mellan aktörerna på området på följande sätt:

LO 42 550 000 kr TCO 7 651 000 kr Sametinget 500 000 kr Socialstyrelsen 12 675 000 kr Summa 63 376 000 kr

3

Se också prop. 2000/01:107.

4

Se 8 § lagen (1976:1046) om överlämnande av förvaltningsuppgifter inom Utbildnings-

departementets verksamhetsområde.

Följande antal studerande har år 2006 fått korttidsbidrag:

LO 8 773 TCO 4 086 SISUS 262 Sametinget 89 Summa 13 210

I en remisspromemoria från Regeringskansliet har det nyligen föreslagits förändringar i fråga om korttidsbidraget.

5

Förordningen om

bidrag vid korttidsstudier föreslås upphöra att gälla vid utgången av 2007. Studerande som före denna tidpunkt har beviljats bidrag och påbörjat korttidsstudier och således inrättat sig efter detta, bör enligt förslaget få behålla bidraget även till den del som det lämnas för studier efter utgången av 2007, dock längst till och med den 30 juni 2008. Bidrag för studier i mindre omfattning om funktionshinder, studier på grundskole- eller gymnasienivå som är särskilt anpassade för personer med funktionshinder samt studier inom särvux och alfabetisering i samiska föreslås fortfarande kunna lämnas enligt nya bestämmelser i två särskilda statsbidragsförordningar. De föreslagna statsbidragsförordningarna överensstämmer till sitt innehåll i huvudsak med motsvarande delar i den nu gällande förordningen om bidrag vid korttidsstudier. Det ska dock framhållas att det föreslagits att besluten av de berörda myndigheterna (SISUS) och Sametinget inte längre ska få överklagas. Sammantaget innebär de föreslagna förändringarna att studiestöd för korttidsstudier alltjämt kommer att handläggas av SISUS och Sametinget men att LO:s och TCO:s administration av denna stödform upphör.

2.7. Utmönstrade stödformer

2.7.1. Inledning

Samhällets stöd till studerande tar sig olika uttryck över tiden. Stödformer kommer och går. Relativt nyligen har rekryteringsbidrag, som omnämns i utredningsdirektiven, utmönstrats som stödform. Det finns även andra, äldre upphävda stödformer såsom

5

Se remisspromemorian Bidrag vid korttidsstudier 2007-04-18, U2007/3143/SV.

särskilt utbildningsbidrag (UBS), särskilt vuxenstudiestöd (svux) och särskilt vuxenstudiestöd för arbetslösa (svuxa). Även utmönstrade stödformer kräver ibland behandling av personuppgifter, t.ex. i form av lagring av arkiverade ärenden. Viss aktiv behandling av personuppgifter krävs även för utmönstrade stödformer, eftersom det finns regler om återkrav av felaktigt utbetalat bidrag och om återbetalning av lån i de fall då stödet har betalats i form av lån.

2.7.2. Rekryteringsbidrag

Rekryteringsbidrag, som nämns i utredningsdirektiven, är en numera upphävd form av stöd. Per den 1 januari 2007 upphävdes lagen (2002:624) om rekryteringsbidrag till vuxenstuderande och förordningen (2002:744) om rekryteringsbidrag till vuxenstuderande. Bidragsformen infördes den 1 januari 2003 och syftade till att stimulera personer i åldrarna 25 till 54 år, med tidigare kort utbildning som antingen var eller riskerade att bli arbetslösa eller hade ett funktionshinder, till att utbilda sig. Rekryteringsbidraget avsåg personer som bedömdes ha behov av kompletterande utbildning på grundskole- eller gymnasienivå. Det uttalade syftet med rekryteringsbidraget var att stimulera till fortsatta studier. Som namnet antyder var det i sin helhet fråga om ett bidrag. Bidraget var behovsprövat. Detta bidrag var skattefritt och även pensionsgrundande. Även tilläggsbidrag (se ovan under avsnitt 2.3.3) kunde komma i fråga för studerande med barn. Viss samordning skedde mellan olika bidragsformer. Så kunde t.ex. rekryteringsbidrag inte lämnas om studiemedel eller korttidsbidrag lämnades för perioden.

Prövningen av rätten till rekryteringsbidrag skedde dels av kommunen, dels av CSN. Denna tudelade beslutsbehörighet förutsatte ett nära samarbete mellan kommunerna och CSN. CSN hade därför möjlighet att ge kommunerna direktåtkomst till vissa personuppgifter som lagrats elektroniskt hos CSN. Den bidragsberättigade hade även ålagts en skyldighet att anmäla ändrade förhållanden som kunde påverka bidragsrätten. CSN hade dessutom möjlighet att inhämta viss information från den aktuella skolan. För det fall det skulle komma fram att rekryteringsbidrag har utbetalats felaktigt ska CSN återkräva beloppet.

BAKGRUND

3. Reglering av behandling av personuppgifter

3.1. Inledning

Enligt utredningsdirektiven ska utredningen kartlägga regleringen av personregister och annan behandling av personuppgifter i studiestödsverksamheten.

I detta avsnitt redogörs för generella bestämmelser på nationell och internationell nivå om behandling av personuppgifter som kan ha betydelse för en reglering av behandling av personuppgifter i studiestödsverksamhet. I avsnitt 4 redogörs för specifika bestämmelser om sekretess och inhämtande och utlämnande av personuppgifter som gäller för studiestödsverksamhet.

Eftersom de generella bestämmelserna om behandling av personuppgifter syftar till att skydda mot kränkningar av den personliga integriteten

1

, inleds kapitlet med ett avsnitt om den personliga

integriteten. Därefter följer ett avsnitt om internationella regler, bl.a. EG-direktivet om personuppgifter

2

, och ett avsnitt om

personuppgiftslagen (1998:204). Eftersom utredningen enligt utredningsdirektiven ska analysera behovet av särskilda författningsbestämmelser för behandling av personuppgifter i studiestödsverksamheten, avslutas kapitlet med ett avsnitt om de särskilda registerförfattningar som gäller för andra områden.

1

Jämför t.ex. 2 kap. 3 § andra stycket regeringsformen och 1 § personuppgiftslagen

(1998:204).

2

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för

enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046), kallas i det följande bara EG-direktivet.

3.2. Den personliga integriteten

3

3.2.1. Begreppet personlig integritet

Den personliga integriteten har uppmärksammats i många statliga utredningar och varit föremål för analys även i många andra sammanhang. Det genomgående för dessa överväganden har varit att det alltid visat sig vara svårt att precisera innebörden av begreppet personlig integritet.

Uppfattningen om vad som omfattas av den personliga integriteten varierar mellan olika människor. Det beror i hög grad på den enskildes subjektiva uppfattning om vad denne anser ingå i den rent personliga sfären. Den enskildes uppfattning kan i sin tur påverkas av t.ex. politisk eller religiös övertygelse. Dessutom förändras inställningen till integritet över tiden. Värderingar påverkas mycket av den tidsålder och det samhälle man lever i. När det gäller uppgifter som är personliga kan det också ha betydelse i vilket sammanhang de används om den enskilde uppfattar det som att hans eller hennes integritet har kränkts eller inte.

Det finns en allmän uppfattning i samhället att varje person har ett välgrundat anspråk på att andra personer handlar på ett sådant sätt att hans eller hennes personliga integritet respekteras. Oavsett den exakta definitionen av begreppet personlig integritet finns det en privat sfär som man inte accepterar intrång i. Skyddet för den personliga integriteten uppfattas också som viktigt av de enskilda människor som är berörda. Man skulle kunna tro att människors upplevda obehag av att personuppgifter behandlas i olika sammanhang skulle ha minskat i takt med att användningen av datorer blivit vardagsmat och IT-samhället krupit närmare. Emellertid visar de undersökningar som gjorts att många människor är negativa eller åtminstone tveksamma till att deras personuppgifter används utan att de får reda på det och utan att de har någon möjlighet till inflytande. Människor upplever det som obehagligt att deras personuppgifter flödar fritt utom deras kontroll, oavsett om uppgifterna i någon mening missbrukas eller om de själva har råkat ut för något negativt på grund av att uppgifterna använts.

4

3

Framställningen bygger på den som finns i t.ex. SOU 2004:6 s. 27 ff. och SOU 2002:2 s.

138 ff.

4

SOU 1997:39 s. 183 f. Se för den senaste undersökningen om allmänhetens attityder till

integritetsskydd SOU 2007:22.

Skyddet för den personliga integriteten anses vidare vara en grundläggande mänsklig rättighet, skyddad genom internationella instrument, nationell lagstiftning, tradition och kultur.

Till grund för stadgandet om värnandet av den enskildes privatliv i 1 kap. 2 § fjärde stycket regeringsformen ligger uppfattningen att grundsatsen om den enskildes rätt till en fredad sektor är av så väsentlig betydelse i en demokratisk stat att den bör komma till allmänt uttryck i grundlag.

5

Det kan dock konstateras att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition av begreppet personlig integritet. Så används t.ex. i 1 kap. 2 § fjärde stycket regeringsformen begreppet ”enskilds privatliv” när den grundläggande ambitionen för det allmänna att skydda den ”personliga integriteten” slås fast, eftersom det senare begreppet ansågs svårbegripligt och svårt att avgränsa.

6

Begreppet finns emellertid sedan år 1989 i

2 kap. 3 § andra stycket regeringsformen.

Oavsett svårigheten att definitivt klarlägga innebörden i begreppet personlig integritet måste man på något sätt ta sig an begreppet i alla sammanhang som rör behandling av personuppgifter och tillämpning av personuppgiftslagen. Det grundläggande syftet med lagstiftningen är skyddet för den personliga integriteten. Man måste därför i vart fall ha en föreställning om begreppets innebörd i allmänhet och dess betydelse för den praktiska tillämpningen i det enskilda fallet.

Personlig integritet kan vara att slippa få vissa personliga uppgifter om sig själv spridda till andra människor. Svårigheten att definiera begreppet positivt har dock lett till att man i stället försökt att identifiera vad som konstituerar en kränkning av den personliga integriteten. En integritetskränkning beskrivs i dessa sammanhang som att förlora kontrollen över sin egen person eller en viss typ av uppgifter om sig själv.

När det gäller frågan om vilka förhållanden som generellt sett anses utgöra intrång i annans personliga integritet hänvisas ofta till en av professorn Stig Strömholm upprättad ”kränkningskatalog”. Som exempel ur denna kan nämnas spridande av förtroliga uppgifter, avslöjande inför offentligheten av annans privata förhållanden, utnyttjande av annans namn eller bild och angrepp på annans heder och ära.

7

5

Prop. 1975/76:209 s. 131.

6

Prop. 1975/76:209 s. 131.

7

SvJT 1971 s. 698 f.

Professorn Peter Seipel delar in försöken att precisera innebörden av begreppet personlig integritet i följande kategorier:

8

a. Sfärteorin

Den enskilde har en innersta sfär, där förhållanden, egenskaper och handlingar inte bör vara kända av andra än den enskilde själv. Utanför denna innersta sfär finns andra sfärer med gradvis avtagande känslighet och med växande anspråk från omvärlden på att information måste vara tillgänglig. b. Datakategoriteorin

Det finns olika kategorier av data som kan känslighetsgraderas. Exempelvis är adressuppgifter, generellt sett, mindre integritetskänsliga än uppgifter om politisk övertygelse. c. Situationsteorin

Det finns inga kategorier av data som à priori kan anses okänsliga från integritetsskyddssynpunkt. Intrångsmöjligheterna hänger helt och hållet samman med i vilken situation uppgifter används, dvs. av vem, för vilket syfte, tillsammans med vilka andra uppgifter osv. d. Äganderättsteorin

Data om individen är individens egendom. Han eller hon måste alltid samtycka till att andra får del av dem. e. Autonomiteorin

Integritetsskyddets kärna består i en rätt att bli lämnad ifred, att själv få avgöra i vilka sammanhang och under vilka förutsättningar man träder i förbindelse med omvärlden, framför allt med myndigheter och andra representanter för samhället. f. Empirteorin

Vad som uppfattas som integritetsintrång måste fastställas på statistisk väg. Man måste således hämta vägledning i undersökningar av det slag som vid flera tillfällen har utförts av Statistiska centralbyrån.

Rätten till personlig integritet är vidare inte absolut, utan från tid till annan föremål för inskränkningar. Skyddet för den personliga integriteten måste avvägas mot andra grundläggande demokratiska rättigheter och värden, t.ex. informationsfriheten och yttrandefriheten.

8

Peter Seipel, Juridik och IT, 8:e uppl. s. 257 f.

Man måste också beakta de helt legitima behov som finns att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det vi lever i. Utgångspunkten var i förarbetena till 1973 års datalag att skyddet för den personliga integriteten inte kan sträcka sig längre än vad som är möjligt med hänsyn till de krav samhällsgemenskapen uppställer. Det förutsattes således att en väl fungerande samhällsorganisation alltid kommer att medföra intrång i enskilda individers personliga integritet. Frågan blir då vad som kan tolereras och vad som går utöver det som är acceptabelt samt vad som är ett otillbörligt intrång i den personliga integriteten och vad som inte är det.

Mot bakgrund härav kan man säga att personers integritet kränks i den mån som det sker ett intrång i deras privata sfär och/eller uppgifter om dem, som det finns rimliga skäl att beteckna som integritetskänsliga, sprids. Dessa uppgifter kan gälla personers egenskaper, uppfattningar eller handlingar. Rättigheten till personlig integritet kan beskrivas som en ”prima facierättighet”. Den är en giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre.

9

3.2.2. Personlig integritet vid automatiserad behandling av personuppgifter

Det klassiska målet för integritetsskyddet i samband med automatiserad behandling av personuppgifter – att få bli lämnad i fred – har enligt vissa fått ett nytt innehåll genom att datakvalitetsfrågor tagit över. Man framhåller härvid vikten av att behandlade uppgifter är korrekta, att uppgifterna används i rätt sammanhang och endast för berättigade ändamål. Fokus är mer inriktat på att informationsbehandlingen håller en hög kvalitet än att individens personuppgifter inte får behandlas.

Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.

9

SOU 1997:39 s. 796 och 801.

Sådana tankegångar kan sägas ligga till grund för de dataskyddsprinciper som utarbetats

10

och som ligger till grund för de s.k. han-

teringsreglerna i personuppgiftslagen.

Att den personliga integriteten skyddas innebär enligt Datalagskommittén att användningen av personuppgifter regleras och begränsas. Enligt dess uppfattning står det klart att en integritetsskyddslagstiftning måste hämma användningen av personuppgifter; ju mera användningen hämmas, desto starkare blir integritetsskyddet. Vilken reglering och begränsning av användningen av personuppgifter som är nödvändig för att skydda den personliga integriteten ansåg kommittén till stora delar vara en fråga som är beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörligt intrång i annans personliga integritet ska så långt som möjligt förebyggas. När personuppgifter som är felaktiga eller missvisande används, kan det få svåra konsekvenser för såväl enskilda som verksamheten i samhället. Då kan det bli fråga om direkt mätbara fysiska eller ekonomiska skador, t.ex. när fel person sätts i fängelse eller fel ben amputeras. Att användningen av personuppgifter leder till sådana skador kan givetvis aldrig accepteras; det är därför ett oeftergivligt krav att de uppgifter som används är riktiga och inte missvisande. Men i övrigt – dvs. när och hur i och för sig korrekta personuppgifter används – utgör regleringen av integritetsskyddet en värderingsfråga.

11

Värderingarna i samhället påverkas bl.a. av hur informationstekniken uppfattas och används. Detta är emellertid ett dynamiskt område där utvecklingen går snabbt. Man kan dock urskilja åtminstone fem aspekter när det gäller hur informationstekniken uppfattas och används: automation, informationshantering, vardagsteknik, kommunikation och konvergens.

12

I datorernas barndom var det automation som stod i fokus. De nya maskinerna utgjorde ett effektivt alternativ till manuell hantering av t.ex. beräkningar, eftersom de kunde automatiserat bearbeta information på ett strukturerat sätt.

I takt med att tekniken för att lagra och återhämta information i datorläsbart format förbättrades ökade intresset för informationshantering. Man kunde nu ha enorma mängder information tillgäng-

10

Se om dessa principer avsnitt 3.3.

11

SOU 1997:39 s. 178 f.

12

Indelningen och begreppsbildningen i denna del har inspirerats av en artikel av Peter Seipel i SOU 2002:112 s. 2132.

lig för datorbehandling, och med rätt struktur och teknik kunde man också lätt finna relevant information.

Ungefär i detta skede – när myndigheter och andra stora organisationer kunde både ha informationen lättillgänglig och bearbeta den automatiserat – ökade oron för intrång i den personliga integriteten och utarbetades som ett svar de s.k. dataskyddsprinciper som ligger bakom EG-direktivet.

Men utvecklingen av informationstekniken och synen på och användningen av den stannade inte där.

Datorer, och därmed tekniken att enkelt lagra och bearbeta information, har för det första blivit ett vardagligt arbetsredskap och var mans egendom, en vardagsteknik.

På senare år har för det andra kommunikation alltmer betonats. Internationella datakommunikationsnätverk, såsom Internet, har utvecklats och fått ett enormt genomslag hos organisationer och enskilda. Dessa nätverk kan användas inte bara för att kommunicera enskilt med anslutna användare utan också som ett lättillgängligt massmedium där vem som helst kan publicera information. Därmed har den grundläggande konflikten mellan integritetsskydd och yttrande- och informationsfrihet blivit akut. Det faktum att så många datorer är sammankopplade i världsomspännande nätverk gör också säkerhetsfrågor akuta.

För det tredje har ett fenomen som brukar benämnas konvergens uppmärksammats på senare år. Olika former av informationsteknik smälter samman alltmer – datorkommunikation, telefon, radio och television m.m. – och informationstekniken kommer in på allt fler områden i vårt vardagsliv – positionsbestämning av vardagsföremål såsom fordon och telefoner, ”intelligenta” kylskåp eller hela hem, inpasseringssystem m.m. Den alltmer utbredda och sammansmälta användningen av informationsteknik i vardagslivet, särskilt i kombination med lagring, bearbetning och kommunikation av den information som framkommer, har inneburit nya möjligheter att kartlägga individer på ett ibland osynligt sätt. Kommunikation i nätverk förutsätter vidare oftast att de datorer som är sändare och mottagare är identifierade på något sätt, t.ex. genom s.k. IP-nummer, vilket gör att kommunikationen i sig kan ge upphov till nya former av personanknuten information som kan sparas och användas för att kartlägga individer.

3.3. Internationella regler

3.3.1. Inledning

I flera utredningsbetänkanden från senare tid finns det redogörelser för internationella regler om behandling av personuppgifter, se t.ex. SOU 2004:6 s. 37 ff. och SOU 2006:18 s. 73 ff. För en närmare redogörelse för reglerna kan hänvisas till dessa framställningar. Här lämnas för sammanhangets skull bara en översiktlig redogörelse för de viktigaste för Sverige bindande internationella reglerna.

13

3.3.2. Europarådet

Artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som numera gäller som svensk lag (SFS 1994:1219), lyder enligt följande:

Artikel 8 – Rätt till skydd för privat- och familjeliv

1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder av det allmänna.

EG-domstolen har ansett att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av EG-direktivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter.

14

13

Framställningen bygger bl.a. på den som finns i de nämnda betänkandena.

14

EG-domstolens dom den 20 maj 2003 i mål nr C-465/00 och C-138/01 och C-139/01, REG 2003 s. I-4989.

Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, den s.k. dataskyddskonventionen. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är alltså bindande för Sverige. Det har beslutats om ändringar i dataskyddskonventionen för att göra det möjligt för Europeiska unionen att ansluta sig. Under år 2001 har Europarådets ministerkommitté antagit ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om dataskyddsmyndigheter och överföring av personuppgifter mellan länder. Den svenska regeringen beslutade den 25 oktober 2001 att underteckna och ratificera tilläggsprotokollet, vilket skedde den 8 november samma år. Till konventionen ansluter en rad rekommendationer som inte är direkt bindande.

Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3). Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11).

Konventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart ska vidta de åtgärder som behövs för att dess nationella lagstiftning ska innehålla dessa grundläggande principer. Dessa grundläggande principer ska garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta ska göra det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna.

Kapitel II innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav innebär bl.a. att uppgifterna ska inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga säker-

hetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vissa ytterligare skyddsåtgärder för registrerade personer föreskrivs (artikel 8). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.

Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet och dylikt (artikel 9). För sådana avvikelser krävs det dock dels att de har stöd i nationell lagstiftning, dels att de utgör en nödvändig åtgärd i ett demokratiskt samhälle för att skydda statens säkerhet, allmän säkerhet, statens monetära intressen eller för att undertrycka brottsliga åtgärder eller för att skydda den registrerade eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m.m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål.

Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.

3.3.3. EG-direktivet

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EG-direktivet). EG-direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av Europarådets dataskyddskonvention. Syftet med EGdirektivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte ska kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.

EG-direktivet är direkt bindande för medlemsstaterna i fråga om det resultat som ska uppnås. EG-direktivet måste införlivas i den nationella lagstiftningen. Medlemsstaterna bestämmer själva på vilket sätt EG-direktivet ska införlivas, men de är därvid starkt

bundna av EG-direktivets innehåll. Medlemsstaterna får inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som gäller enligt EG-direktivet.

EG-direktivet omfattar för det första helt eller delvis automatiserad behandling av personuppgifter. För det andra omfattas också manuell behandling av personuppgifter, om uppgifterna ingår i eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter.

EG-direktivet innehåller en rad grundläggande krav på behandlingen av personuppgifter. All behandling av personuppgifter måste vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligen angivna vid tiden för insamling av uppgifterna och ändamålsangivelsen ska vara särskild och inte alltför allmänt hållen. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen (den s.k. finalitetsprincipen).

Personuppgifter får enligt EG-direktivet behandlas bara i vissa fall. Personuppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas. Vissa särskilda i EGdirektivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller sådana uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I vissa, särskilt angivna, undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, t.ex. när behandling av sådana uppgifter är nödvändig för åtgärder inom hälso- och sjukvård eller liknande. Medlemsstaterna får under förutsättning av lämpliga skyddsåtgär-

der och av hänsyn till ett viktigt allmänt intresse besluta om andra undantag än som anges i EG-direktivet.

EG-direktivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv, behöver den registeransvarige inte lämna någon information om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med EG-direktivet rättade, utplånade eller blockerade. Om en uppgift rättas ska den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behövs dock inte i de fall där sådan är omöjlig eller förenad med en oproportionerligt stor arbetsinsats. Medlemsstaterna får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.

Till skydd för den registrerade innehåller EG-direktivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder ska den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.

Enligt EG-direktivet ska varje medlemsstat tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av EG-direktivet. I EG-direktivet föreskrivs ett relativt omfattande anmälningsförfarande till tillsynsmyndigheten när det gäller helt eller delvis automatiserad behandling av personuppgifter. Undantag från anmälningsplikt får dock föreskrivas under vissa förutsättningar.

EG-direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsstaterna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför EU eller EES (tredje land), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får

avgöras med hänsyn tagen till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen. I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen.

EG-direktivet skulle vara införlivat i medlemsländernas nationella lagstiftningar senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tidpunkten, skulle denna bringas i överensstämmelse med EG-direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år.

3.4. Personuppgiftslagen

15

Personuppgiftslagen (1998:204), som trädde i kraft den 24 oktober 1998, genomför EG-direktivet i Sverige.

Lagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter och dessutom på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Personuppgiftslagen är dock subsidiär i den meningen att avvikande bestämmelser i någon annan lag eller i en förordning tar över bestämmelserna i personuppgiftslagen (2 §).

Tillämpningsområdet för personuppgiftslagen har begränsats genom en rad bestämmelser. Lagen omfattar inte sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges det också att lagen inte heller ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tilllämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen (8 § första stycket). Andra undantag i fråga om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket). Vidare gäller vissa undantag från

15

Framställningen bygger bl.a. på den som finns i SOU 2006:82 s. 123 ff.

tillämpning av personuppgiftslagen som tar sikte på arkivering av handlingar (8 § andra stycket). Från och med den 1 januari 2007 gäller slutligen undantag för behandling av personuppgifter i ostrukturerat material (5 a §). Undantag görs från de allra flesta bestämmelserna i lagen för behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. För sådan behandling gäller i stället att den inte får utföras, om den innebär en kränkning av den registrerades personliga integritet

Personuppgiftslagen innehåller i 3 § en rad definitioner av olika begrepp som används i lagen. Med behandling (av personuppgifter) avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Den registrerade är den som en personuppgift avser. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Tredje land är en stat som varken ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

I personuppgiftslagen åläggs den personuppgiftsansvarige att upprätthålla vissa grundläggande krav på behandlingen av personuppgifter (9 §). Personuppgifter ska behandlas bara om det är lagligt. Behandlingen ska alltid ske på ett korrekt sätt och i enlighet med god sed. Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (den s.k. finalitetsprincipen). En behandling för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Personuppgifter som behandlas ska vara adekvata och relevanta i

förhållande till ändamålet med behandlingen. Fler personuppgifter än som är nödvändigt med hänsyn till behandlingen får inte behandlas. De personuppgifter som behandlas ska vara riktiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ursprungliga ändamålen med behandlingen, om det inte behövs för historiska, statistiska eller vetenskapliga ändamål. Myndigheternas arkivering och bevarande av allmänna handlingar hindras dock inte av lagen. Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får enligt huvudregeln användas för att vidta åtgärder i fråga om den registrerade bara om de registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.

I personuppgiftslagen anges det vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Minst en av dessa förutsättningar måste alltså finnas för att en behandling ska vara tillåten enligt lagen. Den inledande av de alternativa förutsättningarna är att den registrerade har lämnat samtycke till behandlingen. Finns det inte något samtycke, kan en behandling vara tillåten om den är nödvändig för ett antal uppräknade syften. Är en behandling nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, så kan den vara tillåten. En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, för att vitala intressen för den registrerade ska kunna skyddas eller för att en arbetsuppgift av allmänt intresse ska kunna utföras. Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen kan en behandling vara tillåten om den är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

För vissa slag av personuppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Huvudregeln i lagen innebär att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv (13 §). Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.

Det finns emellertid en rad undantag från förbudet mot behandling av känsliga personuppgifter angivna direkt i personuppgiftslagen. Sålunda får sådana uppgifter enligt lagen behandlas med den registrerades uttryckliga samtycke eller när denne offentliggjort uppgifterna på ett tydligt sätt (15 §). Känsliga uppgifter får vidare i vissa fall behandlas om det är nödvändigt för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, om det är nödvändigt för att den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke eller om det är nödvändigt för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras (16 §). Förbudet mot att behandla känsliga personuppgifter gäller inte heller när ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandlar personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Endast om den registrerade uttryckligen har samtyckt till det får dock känsliga personuppgifter lämnas ut till tredje man från en sådan ideell organisation (17 §). Känsliga personuppgifter får vidare behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller om uppgifterna omfattas av sjukvårdssekretess (18 §). Slutligen undantas viss behandling för forsknings- och statistikändamål från förbudet mot behandling av känsliga personuppgifter (19 §).

Regeringen, eller den myndighet som regeringens bestämmer, får om det behövs med hänsyn till ett viktigt allmänt intresse medge ytterligare undantag från förbudet att behandlad känsliga uppgifter (20 §).

Det är enligt personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel

eller administrativa frihetsberövanden (21 §). Regeringen eller den myndighet som regeringen bestämmer får dock besluta om undantag från förbudet.

Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Om uppgifter om en person samlas in från personen själv, ska den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna (23 §). Har uppgifterna samlats in från en annan källa ska den registrerade informeras när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen inte ges förrän uppgifterna lämnas ut för första gången. I de fall uppgifter samlas in från någon annan än den registrerade, krävs det inte att information lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, ska dock information lämnas senast i samband med att så sker (24 §). Finns det i lag eller annan författning särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter behöver inte heller information lämnas då uppgifter samlas in från annan källa än den registrerade.

När information ska lämnas ska den enligt 25 § omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas. Enligt 26 § är den personuppgiftsansvarige härutöver skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter ska skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut, s.k. registerutdrag.

Under förutsättning att uppgifterna inte har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål behöver information dock inte lämnas beträffande personuppgifter som behandlas i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller

som utgör minnesanteckning eller liknande. Undantaget för löpande text som inte fått sin slutliga utformning gäller dock inte om personuppgifterna behandlats under längre tid än ett år. Bestämmelserna om informationsskyldighet gäller inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen eller anknytande föreskrifter ska på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige (28 §). Den sistnämnde kan också vara skyldig att underrätta tredje man till vilken uppgifterna har lämnats ut.

Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige (30 §). Om det i lag eller annan författning finns vissa särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, t.ex. om tystnadsplikt och sekretess, ska dessa tillämpas.

Den personuppgiftsansvarige ska enligt 31 § vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade uppgifterna är.

Det är enligt 33 § förbjudet att utan samtycke från den registrerade föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Frågan om ett land har en adekvat skyddsnivå ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Det finns en rad undantag från förbudet angivna direkt i personuppgiftslagen (34 §). Har den registrerade samtyckt till det får personuppgifter överföras utan hinder av huvudregeln. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention.

Vidare får överföring ske om den är nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, för att ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse ska kunna ingås eller fullgöras, för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade ska kunna skyddas.

Regeringen får meddela föreskrifter om undantag från förbudet för överföring till vissa stater och om att en överföring är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen, eller den myndighet som regeringen bestämmer, får vidare meddela föreskrifter om undantag från förbudet om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Slutligen får regeringen eller den myndighet som regeringen bestämmer besluta om undantag från förbudet i vissa enskilda fall.

Behandling av personuppgifter som är helt eller delvis automatiserad omfattas enligt 36 § personuppgiftslagen av anmälningsskyldighet. Den personuppgiftsansvarige ska göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller serie av sådana behandlingar med samma eller liknande ändamål genomförs. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Anmälningsskyldighet för behandlingar föreligger inte heller om den personuppgiftsansvarige tillsätter ett personuppgiftsombud som anmälts till tillsynsmyndigheten (37 §).

I Sverige har Datainspektionen tilldelats uppgiften att vara tillsynsmyndighet. Med rollen som tillsynsmyndighet följer vissa befogenheter, såsom rätt att få tillgång till behandlade personuppgifter och tillträde till lokaler med anknytning till behandlingen (43 §). Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas (44–47 §§). Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas till länsrätt (51 §).

Den personuppgiftsansvarige ska enligt 48 § ersätta den registrerade för skada och kränkning av den personliga integriteten som en

behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock i den utsträckning det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Den som uppsåtligen eller av grov oaktsamhet gör sig skyldig till vissa förfaranden kan enligt personuppgiftslagen dömas till böter eller fängelse (49 §). Det gäller i vissa fall vid lämnande av osann uppgift i information till den registrerade eller i anmälan eller information till tillsynsmyndigheten. Vidare gäller straffansvaret den som behandlar känsliga personuppgifter m.m. i strid med personuppgiftslagen, för över personuppgifter till tredje land i strid med lagen eller låter bli att göra föreskriven anmälan till tillsynsmyndigheten.

En myndighets beslut i vissa frågor, t.ex. om registerutdrag och rättelse, får överklagas till länsrätt (52 § första stycket). Andra beslut enligt personuppgiftslagen får inte överklagas (53 § första stycket). Vid överklagande till kammarrätten krävs det prövningstillstånd (53 § andra stycket). Bestämmelserna om överklagande gäller dock inte beslut av riksdagen, regeringen eller riksdagens ombudsmän (52 § andra stycket).

3.5. Särskilda registerförfattningar

Personuppgiftslagen genomför som nämnts EG-direktivet i Sverige och uppfyller Sveriges skyldigheter enligt EG-direktivet. Som också nämnts tidigare är personuppgiftslagen emellertid subsidiär i förhållande till annan lagstiftning. Personuppgiftslagen innehåller generella regler som ska tillämpas i hela samhället av både myndigheter och privata organisationer och enskilda, och det förutsattes vid lagens tillkomst att behov av undantag och preciseringar för mer speciella områden liksom tidigare skulle tillgodoses genom särskilda registerförfattningar som tar över bestämmelserna i personuppgiftslagen. Sådan särreglering får dock inte stå i strid med EGdirektivet och Europarådets dataskyddskonvention eller utformas så att Sveriges skyldigheter enligt de nämnda internationella instrumenten inte längre uppfylls.

I Sverige finns det en lång tradition med särskilda registerförfattningar för främst myndighetsregister som kompletterar den generella dataskyddslagstiftningen, tidigare 1973 års datalag och numera personuppgiftslagen. De särskilda registerförfattningarna

4. Behandling av personuppgifter för studiestöd

4.1. Inledning

Inom ramen för de olika myndigheternas och organisationernas verksamhet på studiestödsområdet fordras i vissa fall tämligen omfattande behandling av personuppgifter. De olika myndigheternas och organisationernas behandling av personuppgifter samt relevanta sekretessbestämmelser redovisas nedan.

4.2. Centrala studiestödsnämnden (CSN)

4.2.1. Organisation och verksamhet

Centrala studiestödsnämnden, som bildades år 1964 med namnet Centrala studiehjälpsnämnden, är central förvaltningsmyndighet för studiesociala frågor och dess verksamhet regleras primärt i förordningen (1996:502) med instruktion för Centrala studiestödsnämnden (CSN). På CSN arbetar cirka 1 000 personer. Ledningsfunktionerna finns i Sundsvall. Kärnverksamheten bedrivs på kontor, enheter och ett kundcenter på 13 platser runt om i landet. Därtill finns ett antal serviceställen. De olika kontoren och enheterna har i viss mån olika verksamhetsprofiler såtillvida att vissa mer speciella ärendetyper endast hanteras vid vissa kontor eller enheter. Huvuddelen av handläggning som avser stödformerna studiehjälp och studiemedel, inklusive återbetalning, hanteras vid samtliga kontor.

CSN:s verksamhet berör ett tämligen stort antal människor i den betydelsen att CSN:s datoriserade register omfattar cirka 2,5 miljoner personer. Antalet låntagare beräknades för 2006 vara

omkring 1,4 miljoner, som var skyldiga drygt 176 miljarder kronor.

1

4.2.2. Studiestödets Informationssystem (STIS)

Inom CSN:s studiestödsverksamhet behandlas personuppgifter i ett IT-system som kallas för Studiestödets Informationssystem (STIS).

2

För sin behandling av personuppgifter har CSN ett

personuppgiftsombud, se 3638 §§personuppgiftslagen.

För att på ett ändamålsenligt sätt kunna återsöka inkomna ansökningar och andra handlingar använder sig CSN av elektroniskt dokumenthantering inom ramen för STIS. Detta innebär att inkomna pappershandlingar genom en teknisk process läses in och lagras elektroniskt (skannas). För närvarande lagras de inlästa dokumenten som digitala bilder. CSN har med befintlig teknik ingen möjlighet att göra sökningar i de inlästa dokumenten, och CSN planerar inte heller att göra innehållet i de inlästa dokumenten sökbart. Även om man inte kan göra sökningar i innehållet i ett inläst dokument, så kan man söka efter de dokument som hör till ett visst ärende eller en viss person. E-post och ansökningar som görs elektroniskt lagras inte som bilder utan som text.

Uppgifter om flera olika kategorier av personer behandlas systematiserat i STIS. Såvitt gäller studiestödssystemet registreras uppgifter om följande kategorier av personer i STIS: a. personer som antagits till utbildning b. alla som fyller 16 år och för första gången skulle kunna få

studiehjälp och deras föräldrar c. personer som sökt eller beviljats något av de studiestöd som

CSN hanterar d. personer som tar emot utbetalning av något av de studiestöd

som CSN hanterar e. barn till studerande som sökt eller beviljats tilläggsbidrag f. personer med studieskuld g. personer med återkrav riktat mot sig

1

CSN:s årsredovisning för 2006 s. 55.

2

Det IT-system som i betänkandet benämns STIS kallas internt hos CSN för STIS 2000 och

ersatte ett äldre system som internt kallades STIS. STIS 2000 tillkom i mindre skala 1995 och har därefter byggts på med ytterligare applikationer. Studiemedelshandläggningen implementerades 1996.

Härutöver kan även andra personkategorier omnämnas i de handlingar som finns elektroniskt åtkomliga i STIS.

Datasystemet STIS har tagits i bruk i etapper med start 1995 och innehåller sedan maj 2007 i princip alla de funktioner och personuppgifter som CSN i dag behöver i sin verksamhet för studiestöd. Det finns dock två elektroniska informationsmängder som inte är kopplade till STIS. Hanteringen av Rg-bidrag och TUFFersättning sköts nämligen i dag helt genom lokala register som inte har någon koppling till STIS. Hanteringen av Rg-bidrag kommer dock att omfattas av STIS från maj 2008.

För det fall en handläggare behöver uppgifter från äldre system eller uppgifter som inte längre finns kvar i STIS kan sådana uppgifter ofta hämtas in från ett annat datoriserat system, ArkivSvar, som är tillgängligt för handläggaren via CSN:s intranät.

Som ovan beskrivits läses alla dokument som kommer in till CSN in i ett elektroniskt dokumenthanteringssystem i STIS. Det är möjligt för handläggare på alla CSN-kontor att ta del av alla handlingar som kommit in till CSN och lagrats i STIS utom de handlingar som försetts med åtkomstskydd. Det är en särskild funktion i STIS som innebär att CSN kan lägga en spärr mot åtkomst på vissa handlingar i ett ärende, om det behövs från sekretessynpunkt. Det innebär att handläggarna kan se alla andra handlingar förutom just den som har åtkomstskyddats. Dessutom har alla handläggare på samtliga kontor behörighet att ta del av vad som i övrigt registrerats i STIS med undantag för uppgifter angående personer som har en sekretessmarkering i folkbokföringen. Den enda information som är tillgänglig för handläggarna i dessa fall är personnummer och CSN-nummer. För att få tillgång till personuppgifter avseende studerande med sekretessmarkering eller för att ta del av åtkomstskyddade handlingar krävs det att den aktuella handläggaren har en särskild behörighet. Sådan behörighet är det endast 45 personer som har. Behöriga finns på alla enheter och kontor förutom i Kalmar, Lund, Sundsvall, Örebro och Kiruna.

Anledningen till att samtliga handläggare i princip har tillgång till alla personuppgifter i alla ärenden har uppgetts vara att ärendena normalt inte är geografiskt knutna till vissa kontor eller handläggare, att en och samma handläggare kan handlägga olika stödformer respektive återbetalning och återkrav och att det för handläggningen av en viss ärendetyp (t.ex. återbetalning) kan krävas information om en studerandes andra ärendetyper (t.ex. bevilj-

ning av studiestöd). Med behörigheten att ta del av uppgifter följer dock inte motsvarande behörighet att ändra eller lägga till uppgifter i systemet.

Alla ändringar som handläggare gör i STIS registreras i en särskild journal, en s.k. loggfil.

I STIS registreras en stor mängd personuppgifter. De personuppgifter som registreras kan indelas i följande huvudtyper av informationsgrupper:

Information av huvudsakligen administrativ karaktär

Information av huvudsakligen administrativ karaktär kan t.ex. vara utbetalningsdatum för olika stödformer, uppgift för identifikation av betalningar eller datum för visst beslut. Informationen innehåller inget som typiskt och isolerat sett är av särskilt känslig natur för den enskilde.

Information om enskilds personliga förhållanden

CSN behöver för sin verksamhet registrera ett stort antal uppgifter om enskildas personliga förhållanden. Det kan t.ex. röra sig om kontaktuppgifter, uppgifter om barn och föräldrar, information om sjukdomsperioder, medborgarskap, studietakt, examenstidpunkt, antal grundskoleår som studerats utomlands och antal terminer som studerats på gymnasienivå. I denna grupp av uppgifter återfinns uppgifter som från den enskildes perspektiv är tämligen känsliga.

Information om enskilds ekonomiska förhållanden

I många fall måste CSN registrera uppgifter om de enskildas ekonomiska förhållanden. De uppgifter som härvid registreras är t.ex. utbetalat studiebidrag, årsinkomst (innefattar inkomst av tjänst, kapital och näringsverksamhet) och uppgift om eventuell skuldsanering.

Det är inte bara uppgifter om personer inom studiestödssystemet som registreras i STIS. Det finns även uppgifter om kontaktpersoner på läroanstalterna. Registreringen avseende dessa är

huvudsakligen kontaktuppgifter men även viss ytterligare information om t.ex. deras rätt att lämna uppgifter till CSN enligt 6 kap.9 och 10 §§studiestödsförordningen (2000:655) om de studerande vid läroanstalten. Dessa uppgifter har lämnats av läroanstalterna. Även uppgifter om föräldrar, barn och andra närstående till stödtagare kan förekomma.

Trots att det registreras en stor mängd information i STIS är det i fråga om personuppgifter endast ett internt åsatt s.k. CSN-nummer

3

och i förekommande fall personnumret alternativt samord-

ningsnummer som är sökbara för handläggarna. Genom STIS kan en handläggare alltså inte få fram listor över personer med vissa egenskaper genom att använda olika sökbegrepp. Man kan sålunda inte som handläggare söka fram t.ex. alla personer som bor i visst område även om adress är en uppgift som registreras i STIS.

Ett slags mått på kvaliteten hos CSN:s registreringar i STIS är förekomsten av ärenden rörande registreringen hos Datainspektionen, som är tillsynsmyndighet enligt personuppgiftslagen, och Justitiekanslern, som handlägger anspråk på skadestånd med stöd av 48 § personuppgiftslagen. Vid en sökning i Datainspektionens diarium efter ärenden från och med den 24 oktober 1998 som har rört behandling av personuppgifter hos CSN i dess egenskap av ansvarig myndighet för studiestöd erhölls elva relevanta träffar. Ärendena har rört rätten att få registerutdrag i fyra fall, ITsäkerhet i två fall samt två tillsynsärenden, en förfrågan och två samrådsärenden. Vid motsvarande sökning i Justitiekanslerns diarium erhölls två träffar. I båda fallen tillerkändes klaganden skadestånd enligt datalagen (1973:289) på grund av felaktiga registeruppgifter. Med hänsyn till registreringens omfattning kan antalet ärenden, eller ärendenas karaktär, inte anses anmärkningsvärd.

4.2.3. Sekretess

I ärenden om studiestöd kan det förekomma uppgifter om enskilds både personliga och ekonomiska förhållanden av känslig natur, t.ex. om sjukdom eller annan liknande orsak till studieavbrott eller till nedsättning av förmåga att återbetala studielån. Lagstiftaren har ansett att det finns ett behov av sekretess i sådana ärenden.

4

I 9 kap.

3

CSN-nummer är ett individuellt nummer för varje registrerad studerande eller annan

person som kontaktar CSN. Alla personer som kontaktar CSN tilldelas nämligen ett CSNnummer för att möjliggöra diarieföring..

4

Prop. 1979/80:2 Del A s. 267.

5 § andra stycket sekretesslagen (1980:100) har därför införts en bestämmelse om sekretess i ärenden om studiestöd och rekryteringsbidrag

5

såvitt avser uppgift om enskilds personliga eller

ekonomiska förhållanden. Presumtionen är dock att uppgifterna ska vara offentliga, och sekretess hindrar ett utlämnande av uppgifterna bara när det kan antas att den enskilde lider skada eller men av att uppgiften röjs. Detta s.k. raka skaderekvisit leder till att det stora flertalet uppgifter som förekommer i ärenden om studiestöd och som avser personliga eller ekonomiska förhållanden inte omfattas av sekretess.

6

Såvitt gäller annat än studiestöd under sjuk-

dom eller rekryteringsbidrag under sjukdom gäller sekretessen inte heller beslut i ärendet.

Enligt förarbetena till sekretesslagen avsågs med termen studiestöd studiestöd enligt den då gällande studiestödslagen (1973:349).

7

Det har genom åren sedan sekretesslagen trädde i kraft reglerats olika former av stöd till enskilda för deras studier i andra författningar än 1973 års studiestödslag, som ersatts av 1999 års studiestödslag. Dessa stödformer har inte föranlett ändringar i bestämmelsen i 9 kap. 5 § andra stycket sekretesslagen. Bara i ett fall har införandet av en stödform med anknytning till enskildas studier föranlett en komplettering av den bestämmelsen.

8

Det gällde

rekryteringsbidraget (se avsnitt 2.7.2), en stödform beträffande vilken det särskilt framhölls att den inte inordnades i studiestödssystemet utan på anförda skäl ansågs avse annat än studiestöd.

9

Bestämmelsen i 9 kap. 5 § andra stycket sekretesslagen talar om ärende om ”studiestöd”, och genom förarbetenas hänvisning till då gällande studiestödslag kan den slutsatsen dras att därmed får avses kontant stöd av offentliga medel som utges till enskilda för deras egna studier. CSN administrerar numera några stödformer som inte regleras i nu gällande studiestödslag utan genom förordningar: Rg-bidrag (avsnitt 2.4), TUFF-ersättning (avsnitt 2.5) och bidrag för dagliga resor (avsnitt 2.2.5). Bestämmelsen i 9 kap. 5 § andra stycket sekretesslagen får i dag anses omfatta även uppgifter som behandlas av CSN i ärenden om sådant studiestöd.

I ärenden om Rg-bidrag och TUFF-ersättning förekommer det regelmässigt uppgifter om enskilds hälsa, eftersom stödformerna

5

Sekretess såvitt avser rekryteringsbidrag framgår numera av övergångsbestämmelserna till

en ändring i sekretesslagen, SFS 2006:1450.

6

Prop. 1979/80:2 Del A s. 267.

7

A. st.

8

Se prop. 2002/03:1 Utgiftsområde 15 s. 20 f.

9

Se prop. 2001/02:161 s. 29.

förutsätter att någon är döv eller hörselskadad eller svårt rörelsehindrad. För uppgift om enskilds hälsa gäller numera hos alla myndigheter sekretess enligt 7 kap. 1 § sekretesslagen, om det måste antas att den enskilde eller någon närstående till den enskilde kommer att lida betydande men om uppgiften röjs. Det raka skaderekvisitet har ett kvalificerande moment genom att lokutionen ”betydande men” har valts. Offentlighetspresumtionen är härigenom särskilt stark. Det har också varit avsikten, eftersom bestämmelsen är subsidiärt tillämplig inom hela den offentliga sektorn.

10

Enligt 7 kap. 1 a § sekretesslagen gäller vidare numera hos alla myndigheter sekretess för kontaktuppgifter till en enskild, om det av särskild anledning kan antas att den enskilde eller någon som står honom eller henne nära kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs.

Genom 7 kap. 15 § sekretesslagen har regeringen bemyndigats att för vissa större register besluta att sekretess ska gälla, jämför 1 b § sekretessförordningen (1980:657). Regeringen har dock inte förordnat om sådan sekretess på studiestödsområdet.

Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift om det kan antas att ett utlämnande skulle medföra att personuppgiften behandlas i strid med personuppgiftslagen (1998:204). Bestämmelsen är generellt tillämplig och gäller således även personuppgifter hos CSN, se t.ex. RÅ 2002 ref. 54.

Om en uppgiftsskyldighet följer av lag eller förordning, hindrar inte sekretess att CSN lämnar uppgifter till en annan myndighet eller att en annan myndighet lämnar uppgifter till CSN, se 14 kap. 1 § sekretesslagen.

4.2.4. Gallring

Som ovan angivits (se avsnitt 3.4) får en personuppgift som huvudregel enligt personuppgiftslagen inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, 9 § första stycket i) personuppgiftslagen. Av 8 § andra stycket personuppgiftslagen framgår det dock att bestämmelsen om gallring av personuppgifter inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar, jämför 2 kap. 18 § tryckfrihetsförordningen och 3 § tredje stycket arkivlagen (1990:782). Såvitt avser

10

Prop. 2005/06:161 s. 34.

allmänna handlingar stadgas i stället i 10 § arkivlagen att sådana får gallras. De närmare föreskrifterna om gallring meddelas av Riksarkivet, se 12 och 14 §§arkivförordningen (1991:446). Gallring berörs bl.a. i 2 kap. 1 § Riksarkivets föreskrifter (RA-FS 1991:1) och allmänna råd om arkiv hos statliga myndigheter. Däri anges det att med gallring förstås att förstöra allmänna handlingar eller uppgifter i allmänna handlingar. Förstöring av sådana handlingar eller uppgifter i samband med överföring till annan databärare räknas också som gallring, om överföringen medför informationsförlust, förlust av möjliga informationssammanställningar, förlust av sökmöjligheter eller förlust av möjligheten att fastställa informationens autenticitet.

För CSN:s vidkommande har Riksarkivet meddelat ett antal myndighetsspecifika gallringsföreskrifter på studiestödsområdet.

11

Föreskrifterna anger huvudsakligen vilka handlingar som får gallras och om det krävs någon form av annat bevarande av dem innan gallring får ske, såsom mikrofilmning eller skanning. Dessutom anges det vid vilken tidpunkt gallring får ske om sådan är tillåten. Exempel på handlingar som inte får gallras är svuxa-akter som inte är mikrofilmade om sökanden är född den första eller femtonde dagen i någon månad.

12

Gallringsföreskrifterna innehåller inte bara

regler om hur fysiska handlingar på papper får gallras. Föreskrifterna gäller i förekommande fall även upptagningar för automatisk databehandling. Som exempel på sådan föreskrift kan anges RA-MS (2005:22) varigenom stadgas att ADB-upptagningar avseende registrering av ansökan om och utbetalning av resekostnadsersättning avseende 1 juli 1994 till 30 juni 1995 får gallras år 2006.

Enligt nuvarande studiestödslag kan inte studiemedel beviljas i mer än visst antal veckor. Antalet veckor beror på studieform, 3 kap. 8 § studiestödslagen. I ett ärende om studiestöd kan det sålunda behöva utredas om sökanden tidigare har fått studiemedel och i sådant fall i hur många veckor. Ibland behövs av motsvarande skäl också utredning om sökanden fått vissa upphävda studiestöd. Bland annat mot denna bakgrund har CSN varit försiktig med att gallra uppgifter om tidigare utbetalade studiemedel och andra studiestöd. De äldsta uppgifterna som finns i STIS är från 1995. I viss mån har dock gallring av personuppgifter skett såtillvida att vissa personuppgifter har lagts i en särskild databas (Arkivsvar). Denna

11

RA-MS (1988:26), RA-MS (1988:27), RA-MS (1998:42), RA-MS (2000:17), RA-MS (2005:22) och RA-MS (2005:73).

12

2 § och bilagan till RA-MS (2000:17).

databas är tillgänglig för alla handläggare. Såvitt avser fysiska handlingar gallras de ett år efter det att de har lästs in i det elektroniska dokumenthanteringssystemet.

4.2.5. Inhämtande och utlämnande av personuppgifter

Inledning

STIS har tekniska kopplingar till andra myndigheters och organisationers IT-system. Kopplingarna används för att kontrollera, lämna eller inhämta uppgifter. De huvudsakliga informationsflödena beskrivs i det följande.

I några fall har särskilt reglerats frågan om utlämnande av uppgifter från CSN:s register på medium för automatiserad behandling, 14 kap. 7 § lagen (2001:1227) om självdeklarationer och kontrolluppgifter, 6 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan, 1 b § bostadsbidragsförordningen (1993:739) och 5 § förordningen (1996:1036) om underhållsstöd. Genom förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel har regeringen bemyndigat CSN att meddela föreskrifter om att den som gör elektronisk ansökan får ha direktåtkomst till sådana uppgifter om sig själv som finns hos CSN och som får lämnas ut till honom eller henne. CSN har inte utfärdat några sådana föreskrifter.

Skatteverket

Folkbokföringsdatabasen

Enligt 2 kap. 8 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får en myndighet ha direktåtkomst till Skatteverkets folkbokföringsdatabas såvitt avser bl.a. namn och adress. För att en myndighet ska få ha direktåtkomst till uppgift om en registrerads medborgarskap krävs det enligt samma lagrum att myndigheten som önskar direktåtkomst enligt lag eller förordning får behandla en sådan uppgift.

CSN utnyttjar möjligheten till direktåtkomst såtillvida att i samband med att en person registreras i STIS kontrolleras personuppgifterna mot Skatteverkets folkbokföringsdatabas. De uppgifter som hämtas är bl.a. namn, adress och medborgarskap. Om någon

av dessa uppgifter ändras, får CSN meddelande härom. Om den studerande ansökt om tilläggsbidrag (se avsnitt 2.3.3), hämtar CSN även in uppgifter från Skatteverkets folkbokföringsdatabas om vilka barn som den studerande har vårdnaden om.

CSN hämtar även uppgifter om alla landets 16-åringar från Skatteverket. Denna information används tillsammans med information om vilken förälder (eller annan) som är betalningsmottagare av barnbidraget för att sända ut ett s.k. 16-årsbrev till alla landets 16-åringar eller deras vårdnadshavare. Detta innebär att brevet sänds ut även beträffande 16-åringar som inte kommer att studera.

CSN ska enligt 2 § folkbokföringsförordningen (1991:749) underrätta Skatteverket om den adress en person har, så snart det finns anledning att anta att adressen inte är registrerad i folkbokföringen.

13

Någon underrättelse behöver dock inte lämnas om det

är uppenbart att adressen är tillfällig eller av annat skäl inte ska registreras.

Beskattningsdatabasen

CSN har inte möjlighet att få direktåtkomst till Skatteverkets beskattningsdatabas. Beskattningsdatabasen regleras i lagen (2001:181) om uppgifter i Skatteverkets beskattningsverksamhet med anknytande förordning. I förarbetena till lagen (prop. 2000/01:33 s. 132) uttalades att det med hänsyn till det integritetskänsliga materialet i databasen fanns skäl att vara återhållsam med att bereda andra myndigheter direktåtkomst. Regeringen förordade i stället att man övervägde att tillgodose informationsbehovet genom en effektiv informationshantering (a. prop. s. 133). Utlämnande av uppgifter från beskattningsdatabasen har också gjorts möjligt genom 6 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Härigenom har Skatteverket ålagts en skyldighet att på begäran lämna ut uppgifter ur beskattningsdatabasen till CSN i den utsträckning det behövs för bl.a.

a. kontroll av ansökningar om uppskov med betalning av

studiemedelsavgifter i fråga om studiestöd och om avskrivning av studieskuld, och

13

En viss utvidgning av underrättelsesskyldigheten har nyligen föreslagits, se SOU 2007:45 s. 213 ff.

b. kontroll av ansökningar om studiestöd, om nedsättning av

årsbelopp och om avskrivning av studielån samt fastställande av årsbelopp.

De uppgifter som sålunda ska lämnas ut till CSN är uppgifter om överskott eller underskott i inkomstslagen tjänst, näringsverksamhet och kapital, uppgift om förmögenhet och uppgift om eventuell registrering i sjömansregistret.

Eftersom studiemedel är behovsprövat, är den studerandes inkomst en viktig parameter vid bestämmandet av studiemedlens storlek. I ansökan om studiemedel ska därför sökanden lämna uppgift om hur stor inkomsten förväntas bli. Denna uppgivna inkomst jämförs vid en efterkontroll med uppgifterna i beskattningsdatabasen. För personer som har nedsättning med återbetalning av studielån görs motsvarande kontroll. Uppgift om överskott i inkomstslagen tjänst, näringsverksamhet och kapital inhämtas också för att beräkna det årsbelopp med vilket studielånet ska återbetalas (gäller studielån upptagna mellan den 1 januari 1989 och 30 juni 2001).

CSN lämnar även personuppgifter till Skatteverket. Enligt 6 och 8 kap. lagen (2001:1227) om självdeklarationer och kontrolluppgifter finns det en skyldighet för bl.a. CSN att lämna uppgifter till Skatteverket. CSN lämnar härvid kontrolluppgift till Skatteverket om utbetalade skattepliktiga bidrag, om studieskuldens storlek och om betalad återkravsränta. Kontrolluppgiften får lämnas på medium för automatiserad databehandling, 14 kap. 7 § andra stycket lagen (2001:1227) om självdeklarationer och kontrolluppgifter.

Försäkringskassan

Enligt 20 § lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration får CSN ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för att inhämta underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda. Enligt 3 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration får direktåtkomsten avse bl.a. uppgifter om tidpunkter, tidsperioder och belopp för ersättningar och för ersättningsgrundande förhållanden i Försäkringskassans ärenden.

Enligt 6 kap. 7 § studiestödslagen (1999:1395) och 6 kap. 12 § studiestödsförordningen (2000:655) har Försäkringskassan skyldighet att lämna CSN upplysningar om den studerandes eller föräldrarnas inkomst- eller förmögenhetsförhållanden såvitt informationen behövs för ärenden om studiehjälp.

Utöver vad som annars följer av lag eller förordning är Försäkringskassan dessutom skyldig att lämna uppgifter till CSN enligt förordningen (1980:995) om skyldighet för Försäkringskassan att lämna uppgifter till andra myndigheter. Försäkringskassan ska på begäran lämna uppgifter om enskildas adress, deras arbetsgivares namn och adress samt enskildas ekonomiska förhållanden och den tidsperiod en utgiven ersättning avser till CSN, om uppgifterna behövs i ärenden där, 3 § nämnda förordning.

Betalningsmottagare av studiehjälp för omyndig elev är normalt den eller de som tidigare fått det allmänna eller förlängda barnbidraget. Information om detta inhämtas från socialförsäkringsdatabasen. Informationen behövs för att kunna betala ut studiehjälpen. Informationen inhämtas avseende samtliga 16-åringar, även för de som inte fortsätter att studera. Informationen behövs för att sända ut det s.k. 16-årsbrevet till vårdnadshavarna för 16åringarna.

Studiestöd är uteslutet om den enskilde får aktivitetsstöd från Försäkringskassan. CSN kontrollerar därför mot socialförsäkringsdatabasen om någon har aktivitetsstöd för samma period som han eller hon beviljats studiestöd, 6 kap. 13 § första stycket 3 studiestödsförordningen.

Försäkringskassan lämnar även CSN uppgift om en studerandes godkända sjukperioder, 6 kap. 13 § första stycket 1 studiestödsförordningen. Anledningen till att CSN behöver denna uppgift är att endast godkända sjukperioder möjliggör sjukavbrott i studier med bibehållet studiestöd. Dessutom kan godkända sjukperioder föranleda avskrivning av studielån. För det fall den studerande får sjukpenning kan dock denne förpliktas att återbetala visst belopp av utbetalat studielån. För detta ändamål inhämtas uppgifter om sjukpenning från Försäkringskassan, 6 kap. 13 § första stycket 2 studiestödsförordningen.

Sedan den 1 januari 2007 är Försäkringskassan också skyldig att till CSN lämna uppgift om sjukersättning, aktivitetsersättning och rehabiliteringsersättning enligt lagen (1962:381) om allmän försäkring, 6 kap. 13 § första stycket 4 studiestödsförordningen.

CSN lämnar också personuppgifter till Försäkringskassan. Enligt 20 kap. 9 § lagen (1962:381) om allmän försäkring har bl.a. CSN en skyldighet att lämna ut uppgift om namngiven persons förhållanden som är av betydelse för tillämpningen av nyss nämnda lag. Enligt 30 § lagen (1993:737) om bostadsbidrag och 1 b § bostadsbidragsförordningen (1993:739) har CSN en liknande uppgiftsskyldighet även såvitt avser uppgifter som är av betydelse vid Försäkringskassans tillämpning av bidrag enligt nyss nämnda lag. Sådana uppgifter ska lämnas på medium för automatiserad behandling, 1 b § bostadsbidragsförordningen. Även när det gäller bidrag enligt lagen (1996:1030) om underhållsstöd har CSN ålagts en informationsskyldighet, se 42 § lagen om underhållsstöd. Informationen ska lämnas på medium för automatiserad databehandling, 5 § förordningen (1996:1036) om underhållsstöd. CSN har även en uppgiftsskyldighet gentemot Försäkringskassan såvitt avser studerande som har beviljats studiehjälp i form av studiebidrag för det andra kvartalet varje år, 9 § lagen (1986:378) om förlängt barnbidrag.

Uppgift om att en person har studiestöd lämnas ut av CSN och markeras i Försäkringskassans system. Detta görs för att Försäkringskassan dels ska veta för vilka personer som studieoförmåga i stället för arbetsoförmåga på grund av sjukdom ska prövas, dels ska kunna betala ut rätt sjukpenning till studiestödstagare.

Försäkringskassan får även uppgift från CSN om vilka som får studiehjälp i form av studiebidrag för att möjliggöra kontroll dels av att bidraget inte utbetalas samtidigt som förlängt barnbidrag utges, dels av rätten till flerbarnstillägg.

CSN lämnar också uppgifter till Försäkringskassan om vilka studerande som gör studieavbrott.

Härutöver lämnar CSN uppgift till Försäkringskassan om att en person har fått studiemedel för kontroll av underhållsstöd och bostadsbidrag.

Slutligen lämnar CSN uppgifter till Försäkringskassan om studiestödet för att Försäkringskassan ska kunna beräkna pension.

Kronofogdemyndighetens utsöknings- och indrivningsdatabas

Om årsbelopp eller avgifter inte betalas trots påminnelse, får beloppet tas ut genom utmätning utan föregående dom eller utslag,

4 kap. 27 § studiestödslagen (1999:1395).

14

För detta ändamål över-

lämnas uppgifter om gäldenären och skulden till Kronofogdemyndigheten för indrivning enligt lagen (1993:891) om indrivning av statliga fordringar m.m.

Om det inte är fråga om årsbelopp eller avgifter, saknas reglering som medger utmätning utan föregående dom eller utslag. Det kan t.ex. handla om återkrav. I dessa fall ansöker CSN om betalningsföreläggande hos Kronofogdemyndigheten.

Statistiska centralbyrån (SCB)

Enligt 5 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan har CSN ålagts en skyldighet att på begäran av SCB lämna uppgifter om studerandes identitet, studieväg, skolenhet, studiefinansiering och närvaro. CSN överför i enlighet härmed uppgifter till SCB om eleverna i gymnasieskolan. Dessa uppgifter får lämnas till statistiska centralbyrån på medium för automatisk databehandling, 6 § sistnämnda förordning. Enligt 3 kap. 1 § förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor ska SCB föra ett register och där ange uppgifterna individuellt för varje studerande. För detta ändamål inhämtar SCB uppgifter från universitet och högskolors studieregister, från SCB:s egna register, från system för antagning av studerande vid universitet och högskolor och även från CSN, 3 kap. 4–6 §§ samma förordning. De uppgifter som inhämtas från CSN är identitetsuppgift, uppgift om utbetalade studiemedel fördelade på bidrag och lån per kalenderhalvår samt uppgift om utlandsstudier. För uppgifterna hos SCB gäller sekretess enligt 9 kap. 4 § sekretesslagen (1980:100). SCB har även ålagts en skyldighet att tillse att enskild person inte avslöjas i de statistiska redovisningarna, 9 § förordningen (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan.

CSN lämnar även uppgifter till SCB:s inkomst- och förmögenhetsstatistik. Detta sker en gång per år.

14

Detta gäller även för gamla lån, se 8 kap. 16 § studiestödslagen (1973:349) och punkten 1 i övergångsbestämmelserna till nu gällande studiestödslag vad avser lån tagna mellan 1989 och den 30 juni 2001 samt punkten 1 i övergångsbestämmelserna till lagen (1988:877) om ändring i studiestödsdatalagen (1973:349) för lån tagna före 1989.

Swedbank AB

Utbetalningen av studiestöd sker via Swedbank AB. Inför utbetalning överför CSN uppgift till banken om betalningsmottagarens personnummer eller samordningsnummer, namn, adress och vilket belopp som ska utbetalas. Efter fullgjort betalningsuppdrag får CSN information om huruvida beloppet sattes in på den studerandes konto eller om betalningen skedde genom en kontantavi (tidigare sparbanksutbetalning), dvs. i form av en sorts check som kan lösas in hos Swedbank AB.

Information inhämtas även om kontonummer för betalningsmottagare av det senast utbetalade allmänna eller förlängda barnbidraget i samband med att det s.k. 16-årsbrevet sänds ut. Detta görs för att förbereda för kommande utbetalningar av studiehjälp avseende 16-åringar som fortsätter att studera.

Migrationsverket

För prövning av utländska medborgares rätt till studiestöd (se avsnitt 2.2 och 2.3) krävs det att en utlännings ansökan om studiestöd kompletteras med information från Migrationsverket. Sådan information inhämtas därför från Migrationsverket, 6 kap. 13 a § studiestödsförordningen. Den information som Migrationsverket är skyldigt att lämna CSN är uppgift om namn, person- eller samordningsnummer, medborgarskap, tillstånd eller annat bevis om rätt att vistas i Sverige med angivande av vilken typ av tillstånd eller annat bevis som har beviljats eller utfärdats, dag för beslut om tillstånd eller utfärdande av annat bevis om rätt att vistas i Sverige samt uppgift om hur länge tillståndet eller beviset gäller, klassning av tillstånd eller annat bevis om rätt att vistas i Sverige enligt Migrationsverkets klassificeringssystem och upplysning om en person saknas. Uppgifterna får dock bara lämnas till CSN om de har betydelse för tillämpningen av bestämmelserna om studiehjälp och studiemedel.

Arbetslöshetskassor

Arbetslöshetskassorna lämnar i princip inte ersättning till personer som studerar, 10 § 1 lagen (1997:238) om arbetslöshetsförsäkring. För att arbetslöshetskassorna ska kunna kontrollera om någon

deltar i utbildning har CSN ålagts en uppgiftsskyldighet gentemot arbetslöshetskassorna såvitt avser uppgifter av betydelse för tilllämpningen av nämnda lag, se 48 c § lagen om arbetslöshetsförsäkring. Uppgiftsskyldigheten har preciserats i 23 § förordningen (1997:835) om arbetslöshetsförsäkring.

Enligt 48 d § lagen om arbetslöshetsförsäkring har arbetslöshetskassorna ålagts en uppgiftsskyldighet gentemot bl.a. CSN. Uppgiftsskyldigheten omfattar uppgifter som har betydelse hos CSN i ett ärende om förmån, ersättning eller annat stöd åt enskild. Uppgiftsskyldigheten har preciserats i 25 § förordningen (1997:835) om arbetslöshetsförsäkring.

Arbetsmarknadsstyrelsen och länsarbetsnämnderna

15

Enligt 5 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten får Arbetsmarknadsstyrelsen och länsarbetsnämnderna behandla personuppgifter för tillhandahållande av information som behövs inom CSN:s verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd. Enligt 12 § samma lag får CSN ha direktåtkomst till personuppgifter som behandlas i en arbetsmarknadspolitisk databas för de nu nämnda ändamålen. Efter bemyndigande har regeringen meddelat mer detaljerade föreskrifter om vilka personuppgifter som får behandlas i detta hänseende, 3 och 6 §§ förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. De uppgifter som direktåtkomsten får avse är namn, person- eller samordningsnummer, adress, e-postadress, telefonnummer, andra identifieringsuppgifter, medborgarskap och kod för medborgarskap eller födelseland, uppgift om arbetslöshet och tillhörighet till arbetslöshetskassa, arbets- och uppehållstillstånd, uppgifter om sökt arbete, önskemål om arbetstid och arbetets varaktighet och belägenhet, körkort och tillgång till bil, utbildning, arbetslivserfarenhet och tidigare arbetsgivare, speciell kompetens och andra uppgifter som underlättar vid arbetssökning, uppgifter om tidpunkter, händelser och innehåll i kontakter med den offentliga arbetsförmedlingen, uppgifter om anvisning av arbetsmarknadspolitiska program, typ av program,

15

Den 1 januari 2008 ersätts de nämnda myndigheterna med en ny sammanhållen myndighet vid namn Arbetsförmedlingen, prop. 2006/07:89 och bet. 2006/07:AU13. Vad som här sägs om Arbetsmarknadsstyrelsen och länsarbetsnämnderna gäller då istället Arbetsförmedlingen, SFS 2007:410.

utbetalad ersättning från arbetslöshetskassa eller för deltagande i arbetsmarknadspolitiska program, om de tidsperioder utbetalningarna avser och om samordning med andra förmåner samt uppgifter om anvisning till arbete, resultatet av gjorda anvisningar samt uppgifter som behövs inför ett beslut om stöd för nystartsjobb. Härutöver får personuppgifter som framgår av följande lagrum behandlas:

a. 24 a § förordningen (1996:1100) om aktivitetsstöd – namn,

personnummer och i förekommande fall samordningsnummer för den som ska få stödet, under vilken tid en person är anvisad till ett program, omfattningen av programmet, vem som anordnar programmet eller aktiviteten och i förekommande fall lön, andra anställningsförmåner och viss typ av pensionsförmån b. 20 § förordningen (1997:835) om arbetslöshetsförsäkring –

namn, personnummer och i förekommande fall samordningsnummer, från och med vilken dag en person är anmäld eller avanmäld som arbetssökande vid den offentliga arbetsförmedlingen, vilket arbetsmarknadspolitiskt program personen har anvisats till, omfattningen av anvisningen och under vilken tidsperiod den gäller och om en anvisning till ett arbetsmarknadspolitiskt program har ändrats eller återkallats c. 16 § förordningen (2000:628) om den arbetsmarknads-

politiska verksamheten – om en arbetssökande som får eller begär ersättning från en arbetslöshetskassa antingen avvisar ett lämpligt arbete eller ett arbetsmarknadspolitiskt program som erbjuds, på annat sätt genom sitt uppträdande uppenbarligen vållar att en anställning eller ett deltagande i ett program inte kommer tillstånd, uppträder så att det finns anledning för den offentliga arbetsförmedlingen att förmoda att sökanden inte vill eller kan anta något som helst arbete, frivilligt och utan godtagbar anledning lämnat en anställning eller blivit avskedad på grund av otillbörligt uppförande eller i övrigt inte bedöms uppfylla de allmänna villkoren för rätt till ersättning i 9 § 1, 2, 4 eller 5 lagen (1997:238) om arbetslöshetsförsäkring. Uppgift om arbetssökande som får eller begär ersättning från kassan inte besökt eller kontaktat arbetsförmedlingen efter kallelse eller enligt överenskommelse (avanmälan) är även sådan

uppgift som får behandlas enligt 16 § förordningen om den arbetsmarknadspolitiska verksamheten. Uppgift om att en avanmäld person återanmäler sig på arbetsförmedlingen får också behandlas.

Som ovan nämnts begränsas CSN:s direktåtkomst till en arbetsmarknadspolitisk databas i 5 och 12 §§ lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Direktåtkomst till databasen får endast ske i den utsträckning det behövs för underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd. Detta innebär att CSN inte får ha direktåtkomst till en tämligen stor del av de ovan angivna personuppgifterna.

Verket för högskoleservice

Verket för högskoleservice får enligt 4 kap. 1 § förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor föra ett antagningsregister och där ange uppgifterna individuellt för varje studerande. De uppgifter som registreras i antagningsregistret är uppgift om behörighet, urvalsgrund, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller tillgodoräknad verksamhet, examen, behörighetsgrundande meriter, urvalsgrundande meriter och uppgifter samt de uppgifter i övrigt som en studerande åberopar i samband med antagning till en utbildning, se 4 kap. 2 § första stycket nu nämnd förordning. Uppgifter från antagningsregistret får lämnas ut på medium för automatiserad behandling till CSN om uppgifterna behövs för beviljande och utbetalning av studiestöd, 4 kap. 4 § 2 samma förordning.

Läroanstalter

Enligt 6 kap. 6 § första stycket studiestödslagen får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om en läroanstalts

16

skyldighet att till CSN lämna uppgifter som är av

betydelse för tillämpningen av studiestödslagen och föreskrifter som har meddelats med stöd av lagen. Uppgiftsskyldigheten

16

Med läroanstalt förstås i studiestödsförordningen sådan läroanstalt eller utbildning som anges i bilagan till förordningen, 1 kap. 7 § studiestödsförordningen.

omfattar information om en studerande som har studiehjälp har övergått till en annan läroanstalt eller har avbrutit sina studier samt även i övrigt om en studerande som har tagits in i utbildning som ger rätt till studiehjälp och CSN begär det (6 kap. 9 § studiestödsförordningen). Uppgiftsskyldigheten omfattar även upplysning om tid och omfattning för utbildningar vid läroanstalten som ger rätt till studiemedel (6 kap. 10 § första stycket studiestödsförordningen) och, för en studerande som har ansökt om eller beviljats studiemedel, uppgift om utbildning, studietid, studiernas omfattning, studieaktivitet och studieresultat (6 kap. 10 § andra stycket studiestödsförordningen).

CSN kan meddela närmare föreskrifter om läroanstalters uppgiftsskyldighet både såvitt avser studiehjälp (6 kap. 9 § tredje stycket studiestödsförordningen) och studiemedel (6 kap. 10 § tredje stycket studiestödsförordningen).

CSN:s mer detaljerade föreskrifter om läroanstalters uppgiftsskyldighet avseende studiehjälp återfinns i 9 kap. Centrala studiestödsnämndens föreskrifter och allmänna råd (CSNFS 2001:6) om studiehjälp. Föreskrifterna är utformade på så sätt att läroanstalternas uppgiftsskyldighet är tredelad; läroanstalterna ska lämna information dels om vilka utbildningar de har, dels, i samband med terminsstart, uppgift om alla utbildningar och elever, dels också löpande under terminen, uppgift om någon elevs förändrade studier eller frånvaro. Denna information ska lämnas på sätt som CSN och läroanstalten kommit överens om.

Läroanstalters uppgiftsskyldighet med bäring på studiemedel återfinns i Centrala studiestödsnämndens föreskrifter och allmänna råd (CSNFS 2001:1) om beviljning av studiemedel. Läroanstalterna har ålagts en skyldighet att intyga vilken utbildning som den studerande påbörjat och registrerat sig på samt uppgift om utbildningens omfattning och tid, 16 kap. 6 § första stycket 2 nyss nämnda föreskrifter.

I förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor finns ytterligare bestämmelser om informationsutbyte. Varje högskola och universitet har enligt 2 kap. 1 § andra stycket nämnda förordning ett åliggande att föra ett studieregister. Enligt 2 kap. 3 § samma förordning ska studieregistret innehålla uppgift för varje studerande om bl.a. behörighet, urvalsgrund, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet och examen. Dessa uppgifter får lämnas ut på

medium för automatiserad behandling till CSN om uppgifterna behövs för beviljande och utbetalning av studiestöd, 2 kap. 6 § 2 förordningen om redovisning av studier m.m. vid universitet och högskolor. CSN har direktåtkomst till Ladok som är ett nationellt system för studieadministration inom högre utbildning i Sverige. Systemet består av respektive universitets och högskolas eget system som är sammankopplat genom en överbyggnad som kallas PING. CSN har också direktåtkomst till motsvarande register hos Handelshögskolan i Stockholm. CSN hämtar in uppgifter därifrån i samband med terminsstart. Uppgifterna avser samtliga studerande som registrerat sig på universitet och högskolor oavsett om de (ännu) sökt studiemedel. Från läroanstalter som anges i avdelning A1 och A2 i bilagan till studiestödsförordningen (2000:655) inhämtas uppgifter, bl.a. avseende studieresultat, om de personer som antagits till de utbildningar vid läroanstalterna som anges i de nämnda avdelningarna i bilagan.

Enligt 10 kap. 3 § högskoleförordningen (1993:100) ska det vid varje högskola finnas en disciplinnämnd. Under vissa förutsättningar får en sådan nämnd besluta om avstängning under maximalt sex månader av en studerande, se 10 kap.1 och 2 §§högskoleförordningen. När ett beslut om avstängning har fattats ska underrättelse om detta genast tillställas CSN, 10 kap. 13 § högskoleförordningen.

Som ovan angivits (se avsnitt 2.2.2) lämnas studiehjälp i form av studiebidrag utan ansökan. I samband med terminsstarten meddelar skolorna vilka elever som bedriver studier och vilken studieomfattning eleven har. Under terminen meddelar skolorna avvikelser som kan vara olika typer av frånvaro och avbrott från studierna. För detta finns sedan maj 2007 en särskild webbaserad elevrapporteringsrutin. Beroende på hur skolornas eget elevrapporteringssystem ser ut kan de välja mellan att föra över en fil till CSN, att rapportera direkt på en webbplats eller att via specialbyggda skolsystem som samlar in uppgifter från flera skolor i kommunen skicka dem till CSN över en s.k. SHS-nod (spridnings- och hämtningssystemet). Vid användningen av den webbaserade elevrapporteringsrutinen får den rapporterande skolan tillgång till de uppgifter den skolan tidigare lämnat till CSN. Den information som sålunda inhämtas av CSN lagras inte omedelbart i STIS utan till en början utanför detta system. Informationen lagras första dagen i en särskild mellanlagringstabell. I en körning natten därpå töms tabellen och informationen lagras som studierapporter i STIS.

Handläggarna kan titta på rapporterna via fönster i STIS. Denna information är också tillgänglig för skolans s.k. elevrapportörer genom direktåtkomst. För att få tillgång till denna informationsmängd måste elevrapportören logga in med en personlig användaridentitet med kod. Användaridentitet och kod beställs av skolans rektor. Det kan maximalt finnas elva elevrapportörer på varje skola. Elevrapportören kan endast se uppgifter som härrör från den skola på vilken han eller hon verkar. Förutom innevarande läsår kommer elevrapportören att kunna se historiska uppgifter två läsår tillbaka i tiden.

Det statliga personadressregistret (SPAR)

Enligt lagen (1998:527) om det statliga personadressregistret ska det med hjälp av automatiserad behandling föras ett statligt personadressregister (SPAR). Uppgifterna i SPAR som är tillgängliga för CSN är uppgift om namn, personnummer, adress, folkbokföringsort, födelsehemort, svenskt medborgarskap, make eller vårdnadshavare, avregistrering från folkbokföringen på grund av dödsfall, summan av taxerad förvärvsinkomst och inkomst av kapital, beskattningsbar förmögenhet, ägare av småhusenhet eller lantbruksenhet med småhus med uppgift om belägenhet samt taxeringsvärde för småhusenhet.

Uppgiften om födelsehemort är i och för sig tillgänglig för CSN men uppgiften får inte lämnas ut i elektronisk form, 6 § förordningen (1998:1234) om det statliga personadressregistret.

Enligt 8 a § nyss nämnda förordning får Statens personadressregisternämnd besluta om att vissa uppgifter som rör samtliga personer i SPAR får lämnas ut i elektronisk form (s.k. bruttoavisering). Bruttoavisering får endast medges den som i sin verksamhet regelmässigt behandlar uppgifter om en betydande andel av befolkningen och fortlöpande behöver uppdatera dessa. Något sådant beslut har emellertid inte fattats avseende CSN. CSN har i stället via Statens personadressregisternämnds personuppgiftsbiträde, Infodata AB, ett avtal som medger att CSN hos Infodata AB lägger upp ett register över personer som är aktuella hos CSN. Infodata AB uppdaterar detta register dagligen med aktuella ändringar från SPAR. När CSN har behov av det hämtas uppgifterna från detta register. Det blir således inte fråga om bruttoavisering,

eftersom det endast inhämtas uppgifter om personer registrerade av CSN.

CSN hämtar i dag in uppgifter från SPAR för vissa ärendetyper. Senast 2009 kommer CSN helt att upphöra med att hämta information från SPAR och i stället övergå till att hämta all motsvarande information från Skatteverkets folkbokföringsdatabas.

Resebyrå och försäkringsmäklare

CSN verkar för att sänka resekostnaderna för studerande utomlands. För att bereda sådana studerande möjlighet att komma hem till Sverige ett par gånger varje år under studietiden utarbetade CSN 1996 en rutin för bokning och fakturering av resa, den s.k. reserutinen. En studerande kan boka sin resa hos en resebyrå, som kontrollerar huruvida resenären är studerande gentemot CSN:s register. Resebyrån fakturerar resan till CSN som i sin tur bokför kostnaden för resan direkt mot den studerandes studielån.

Om en studerande vid ansökan om merkostnadslån särskilt så önskar (markeras genom ett kryss i ansökningsblanketten), så vidarebefordras information till försäkringsmäklare som kan hjälpa den studerande att teckna en relevant försäkring för studier utomlands.

Olika företag för kortadministration

Uppgift om vilka personer som beviljats studiestöd lämnas av CSN till Mecenat AB för utfärdande av CSN-kort eller Mecenatkort (jämför RÅ 2002 ref. 54).

CSN-kortet, vilket ger vissa förmåner och rabatter, distribueras kostnadsfritt till vissa grupper av studerande som studerar med studiestöd under minst tre månader på minst halvtid. Enligt avtal med Mecenat AB är CSN personuppgiftsansvarig och Mecenat AB CSN:s personuppgiftsbiträde vid behandlingen av personuppgifter i samband med CSN-kortet.

Mecenatkortet, vilket också ger vissa förmåner och rabatter, distribueras av Mecenat AB kostnadsfritt till studerande vid universitet och högskolor i Sverige som är medlemmar i en studentkår.

Uppgifter om vilka personer som beviljats studiestöd lämnas av CSN även till Studentkortet AB för utfärdande av Studentkortet.

Studentkortet kan, mot avgift, ges till studerande vid universitet och högskolor i Sverige som är medlemmar i en studentkår.

Uppgifterna om vilka personer som beviljats studiestöd lämnas av CSN också till Wadsworth DataSystems AB för utfärdande av Membitkortet. Membitkortet är ett kombinerat förmåns- och medlemskort som också fungerar som studentlegitimation.

Högskolans avskiljandenämnd

En studerande på högskola kan under vissa förutsättningar avskiljas från utbildningen, 4 kap. 6 § högskolelagen (1992:1434) och 1 § förordningen (1987:915) om avskiljande av studerande från högskoleutbildning. Enligt 21 § nyss nämnda förordning ska CSN genast underrättas om ett sådant beslut. Även beslut om upphävande av avskiljande ska rapporteras till CSN.

Statens räddningsverk

Statens räddningsverk bedriver utbildningar i olika former inom ämnesområdet säkerhet i vid bemärkelse. En studerande vid en sådan utbildning kan under vissa förutsättningar avskiljas eller avstängas från utbildningen, se 6 och 7 §§ förordningen (2003:477) om utbildning i skydd mot olyckor. Sådana frågor prövas av en särskild nämnd vid Statens räddningsverk. När ett beslut om avskiljande eller avstängning har fattats, ska underrättelse om detta genast lämnas till CSN, se 8 § nyss nämnda förordning.

Domstolar

För det fall allmän domstol har beslutat i någon fråga rörande faderskap eller adoption ska, sedan avgörandet vunnit laga kraft, meddelande härom sändas till CSN om barnet fyllt 15 men inte 18 år, se 1 och 2 §§ förordningen (1949:661) om skyldighet för domstol att lämna uppgifter i mål och ärenden enligt föräldrabalken, m.m. Enligt 3 § samma förordning ska information om beslut och domar som avser vårdanden om barn som fyllt 15 år tillställas CSN. Domstolsverket har enligt 13 § nämnda förordning uppdragits att meddela närmare föreskrifter om hur domstol ska fullgöra sin uppgiftsskyldighet enligt förordningen. Domstolsverket har genom

Domstolsverkets föreskrifter (1991:16) om domstols rapportering i vissa mål och ärenden enligt föräldrabalken föreskrivit att rapporteringsskyldigheten ska fullgöras genom översändande av kopia av domen såvitt avser avgöranden om faderskap och vårdnad eller genom översändande av särskild blankett såvitt avser avgöranden om adoption.

Kommuner

I ett pilotprojekt som bedrivs i samarbete med bland annat Borlänge kommun försöker kommunen komma till rätta med felutbetalningar inom ramen för den kommunala biståndsverksamheten (den s.k. Borlängepiloten). För detta ändamål är viss information som CSN har av intresse. De deltagande kommunerna skickar frågefiler till CSN när som helst på dygnet. Dessa besvaras en gång per dygn efter en nattlig körning hos CSN. De uppgifter som lämnas ut är huvudsakligen uppgift om stödform, vilka veckor som stödet beviljats för och utbetalat belopp per stödform. Uppgifterna avser tiden tre månader tillbaka räknat ifrån frågedatum samt den då innevarande månaden.

Enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan (Rg-bidrag) kan för eleverna vid riksgymnasierna i Örebro lämnas ersättning för skäliga kostnader för kost, logi och annan service i samband med boendet (5 §). Ersättningen betalas av CSN ut direkt till Örebro kommun som tillhandahåller nyttigheterna (11 § andra stycket). För redovisning till Örebro kommun lämnar CSN elektroniskt på fil ut uppgifter om beviljat bidrag för kostnad för kost, logi och annan service i samband med boendet som kommunen tillhandahåller samt den totala kostnaden för sådant.

Enligt 5 kap. 33 § skollagen (1985:1100) ska en hemkommun i vissa fall lämna ekonomiskt stöd till elever i gymnasieskolan som behöver inackordering till följd av skolgången (kommunalt inackorderingsstöd). Det gäller dock bl.a. inte i fråga om utlandssvenska elever som får inackorderingstillägg enligt studiestödslagen. För att få underlag för utbetalningen av kommunalt inackorderingsstöd hämtar kommunerna elektroniskt från CSN månatligen under terminerna uppgifter om studerande som varit inackorderade. Uppgifterna rör bl.a. närvaro, studieavbrott och betalningsmottagare för studiestöd.

Om en socialnämnd har godkänt ett avtal om vårdnad enligt föräldrabalken, ska ett meddelande om avtalets innehåll sändas till CSN under förutsättning att avtalet gäller ett barn som har fyllt 15 år, 6 kap. 17 b § föräldrabalken.

Polismyndighet och Åklagarmyndigheten

I bidragsbrottslagen (2007:612) finns det från och med den 1 augusti 2007 bestämmelser om straff för bidragsbrott. Den som uppsåtligen eller av grov oaktsamhet lämnar oriktiga uppgifter eller inte anmäler ändrade förhållanden som han eller hon är skyldig att anmäla enligt lag eller förordning, och på så sätt orsakar fara för att en ekonomisk förmån felaktigt betalas ut eller betalas ut med ett för högt belopp, kan dömas för bidragsbrott respektive vårdslöst bidragsbrott. Enligt 6 § bidragsbrottslagen ska CSN göra anmälan till en polismyndighet eller till Åklagarmyndigheten om det kan misstänkas att brott enligt bidragsbrottslagen har begåtts. CSN har således en anmälningsplikt. CSN får därmed anses ha ålagts en skyldighet att lämna ut uppgifter om misstankar om brott enligt bidragsbrottslagen, inklusive personuppgifter, till polismyndighet eller Åklagarmyndigheten. Denna skyldighet får anses vara en sådan uppgiftsskyldighet som genombryter sekretess enligt 14 kap. 1 § sekretesslagen (1980:100).

Riksrevisionen

Som ett led i granskningen av den verksamhet som bedrivs av staten granskas även CSN, se 1 § första stycket lagen (2002:1023) med instruktion för Riksrevisionen. Riksrevisionen beställer för detta ändamål bl.a. personuppgifter från CSN. CSN har enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. en skyldighet att tillmötesgå en sådan begäran och lämna Riksrevisionen den hjälp och de uppgifter och upplysningar som Riksrevisionen behöver för granskningen. Skyldigheten att tillhandahålla uppgifter omfattar alla uppgifter oavsett medium som bär uppgifterna. Det innebär således att uppgiftsskyldigheten omfattar uppgiftslämnande på medium för automatiserad behandling.

17

Uppgifts-

17

Prop. 2001/02:190 s. 158.

skyldigheten genombryter eventuell sekretess enligt 14 kap. 1 § sekretesslagen.

De personuppgifter som Riksrevisionen inhämtar från CSN är i huvudsak sorterade utifrån CSN-nummer. Dock får Riksrevisionen – på begäran – även en fil där CSN-nummer och personnummer har kopplats ihop. Informationen överförs årligen i januari månad på fil till Riksrevisionen.

Studerande med studiemedel och låntagare

Studerande med studiemedel och låntagare erbjuds möjligheten att ta del av vissa av sina uppgifter via Internet genom funktionen ”Mina sidor” på CSN:s hemsida. För att komma åt denna funktion krävs det att man loggar in med sitt personnummer och lösenord alternativt e legitimation.

Studerande erbjuds också möjligheten att elektroniskt lämna in ansökan om studiemedel och andra uppgifter samt att ta del av CSN:s beslut m.m. genom funktionen ”Mina sidor”, jämför förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel. För att nå denna del av ”Mina sidor” krävs e-legitimation.

Övrigt

Myndigheter är enligt 6 kap. 7 § andra stycket studiestödslagen skyldiga att lämna uppgifter till CSN i fråga om vissa personer, om uppgifterna är av betydelse för tillämpningen av bestämmelserna om återbetalning av studielån.

Enligt 6 kap. 12 § studiestödsförordningen får CSN inhämta uppgifter även från andra myndigheter än Försäkringskassan om den studerandes eller föräldrarnas inkomst- eller förmögenhetsförhållanden såvitt behövs för tillämpning av bestämmelser om studiehjälp.

CSN utför även behandling av personuppgifter såvitt avser äldre studiestödsformer. Inför varje avisering till de personer som lånat enligt gamla regler (se avsnitt 2.3.4) görs en automatisk uppdatering mot det statliga personadressregistret (SPAR). Uppdateringen sker med nya adresser och med uppgift om eventuella dödsfall.

4.2.6. CSN:s arbete med statistik

Sveriges officiella statistik

Med syfte att det ska finnas tillgång till underlag för allmän information, utredningsverksamhet och forskning har den officiella statistiken författningsreglerats i Sverige, lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. För respektive statistikområde finns det en statistikansvarig myndighet som regeringen utser, 1 § andra stycket lagen om den officiella statistiken. CSN är sådan myndighet på studiestödsområdet, 2 § förordningen om den officiella statistiken. Inom sitt område beslutar CSN om statistikens innehåll och omfattning om inte regeringen beslutar annat, 2 § andra stycket nu nämnd förordning.

Statliga myndigheter ska till CSN lämna de uppgifter som behövs för framställning av officiell statistik, 6 § förordningen om den officiella statistiken. Även CSN har en skyldighet att lämna andra statistikansvariga myndigheter motsvarande uppgifter.

Framställningen och offentliggörandet av statistiken ska ske med beaktandet av behovet av skydd för fysiska och juridiska personers intressen, 5 § lagen om den officiella statistiken. I nu nämnt lagrum har även särskilt erinrats om bestämmelserna i sekretesslagen (1980:100) och personuppgiftslagen (1998:204). Personuppgiftslagen gäller endast subsidiärt i förhållande till lagen om den officiella statistiken, 2 § sist nämnda lag. Den statistikverksamhet som bedrivs enligt aktuella författningar ska vara avgränsad från myndighetens verksamhet i övrigt, 10 § förordningen om den officiella statistiken. Av 9 kap. 4 § sekretesslagen följer att sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider skada eller men.

Enligt 14 § lagen om den officiella statistiken får CSN såsom statistikansvarig myndighet behandla personuppgifter för att framställa statistik. CSN får dock behandla sådana känsliga person-

uppgifter som avses i 13 § personuppgiftslagen (personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös övertygelse, filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv) och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § första stycket personuppgiftslagen bara om det följer av föreskrifter som regeringen meddelat, 15 § lagen om den officiella statistiken. Regeringen har inte meddelat några sådana föreskrifter, jämför 8 § förordningen om den officiella statistiken.

Uppgifter i den officiella statistiken får inte sammanföras med andra uppgifter i syfte att utröna en enskilds identitet, 6 § lagen om den officiella statistiken.

Uppgifter som inte längre behövs för sitt ändamål ska gallras, 19 § lagen om den officiella statistiken. Innan sådan gallring sker ska Riksarkivet underrättas, 12 § förordningen om den officiella statistiken.

CSN:s del av den officiella statistiken beskriver beviljning av studiestöd och återbetalning av studiestöd. Statistiken över tilldelning av studiestöd presenteras läsårsvis och statistiken över återbetalning tas fram per kalenderår.

Övrig statistik

Förutom att CSN tar fram statistik för den officiella statistiken framtas även annan statistik. Det är t.ex. fråga om antalet studiemedelstagare i utlandsstudier per världsdel och land. Av 1 § tredje stycket lagen om den officiella statistiken följer att CSN får behandla personuppgifter även för att framställa annan statistik än officiell statistik och att vad som ovan angivits om förbud mot behandling av sådana personuppgifter som avses i 13 § och 21 § första stycket personuppgiftslagen gäller även vid denna statistikframtagning, liksom bestämmelserna om gallring.

4.2.7. Internationellt informationsutbyte

Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredje land om landet inte har en adekvat nivå för skyddet av personuppgifterna. Trots detta förbud är det tillåtet att föra över personuppgifter till tredje land med en

icke adekvat skyddsnivå bl.a. om den registrerade har samtyckt till överföringen, 34 § personuppgiftslagen.

CSN har inte något löpande eller strukturerat utbyte av personuppgifter med någon utomlands. En studerandes uppgifter kan dock på studerandens begäran göras tillgängliga via Internet genom funktionen ”Mina sidor” på CSN:s hemsida (för en beskrivning av denna funktion se avsnitt 4.2.5). För att komma åt informationen via Internet krävs det att man loggar in med sitt personnummer och lösenord alternativt e-legitimation. Via Internet kan man på detta sätt komma åt informationen även när man är utomlands. Att studerande från utlandet loggar in på ”Mina sidor” för att där få tillgång till informationen får under alla förhållanden anses utgöra ett samtycke enligt 34 § personuppgiftslagen. Oavsett om förfarandet innebär en överföring av personuppgifterna i personuppgiftslagens mening

18

, är förfarandet således tillåtet enligt den

lagen.

4.3. Överklagandenämnden för studiestöd

4.3.1. Inledning

Av 6 kap. 10 § studiestödslagen framgår det att CSN:s beslut i ärenden om återbetalning av studielån får överklagas till länsrätt. Av 11 § samma kapitel framgår det att CSN:s beslut i övriga frågor enligt studiestödslagen får överklagas till en särskild överklagandenämnd – Överklagandenämnden för studiestöd. Enligt den numera upphävda 22 § lagen (2002:624) om rekryteringsbidrag till vissa vuxenstuderande fick CSN:s beslut enligt denna lag i princip alltid överklagas till Överklagandenämnden för studiestöd. I fråga om korttidsbidrag gäller att besluten, oavsett om de meddelats av LO, TCO, Sametinget eller Socialstyrelsens institut för särskilt utbildningsstöd, får överklagas till Överklagandenämnden för studiestöd, 30 § förordningen (2001:362) om bidrag vid korttidsstudier.

19

18

Se EG-domstolen dom den 6 november 2003 i mål C-101/01 (det s.k. konfirmandlärarmålet), där domstolen slog fast att det inte föreligger någon ”överföring av … uppgifter till tredje land” i den mening som avses i artikel 25 i EG-direktivet när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en hemsida på Internet och den som tillhandahåller servertjänsten är etablerad i samma medlemsstat eller i en annan medlemsstat, oberoende av att uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land. Bestämmelserna om överföring av personuppgifter till tredje land i personuppgiftslagen ska tolkas på samma sätt som bestämmelserna i direktivet enligt Högsta domstolens dom NJA 2005 s. 361.

19

Se dock avsnitt 2.6 ovan om de föreslagna förändringarna av korttidsbidraget.

Överklagandenämnden för studiestöd är sista instans i ärenden som överklagas dit.

För fullständighets skull ska nämnas att beslut i studiestödsfrågor av CSN enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan (Rg-bidrag), förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar (TUFF-ersättning) och förordningen (CSNFS 1983:17) om bidrag till utlandsstuderande för dagliga resor inte får överklagas.

4.3.2. Organisation och verksamhet

Överklagandenämnden för studiestöd som bildades 2001 är en statlig myndighet vars verksamhet huvudsakligen regleras genom förordningen (2001:79) med instruktion för Överklagandenämnden för studiestöd. Nämndens huvudsakliga uppgift är att pröva överklaganden av vissa beslut fattade av CSN. Överklagandena kan avse CSN:s beslut om studiemedel, studiehjälp eller återkrav av dessa stöd.

20

CSN:s beslut i ärenden om återbetalning av

studielån kan inte överklagas hos nämnden. Sådana beslut kan i stället överklagas hos förvaltningsdomstol. Nämnden prövar även överklaganden av beslut avseende korttidsbidrag fattade av Landsorganisationen i Sverige (LO), Tjänstemännens Centralorganisation (TCO), Sametinget och Socialstyrelsens institut för särskilt utbildningsstöd. Överklagandenämnden för studiestöd är sista instans, det vill säga det går inte att överklaga nämndens beslut.

Ledamöterna i Överklagandenämnden för studiestöd utses av regeringen. Enligt nämndens instruktion ska nämnden bestå av en ordförande och en vice ordförande samt direktören, dvs. myndighetens chef, samt fem ledamöter. Ordföranden och vice ordföranden ska vara eller ha varit ordinarie domare. Av de övriga ledamöterna ska två vara jurister, två ska ha särskild insikt i studerandes förhållanden och en ska ha särskild sakkunskap om utbildningsväsendet. I den utsträckning det behövs ska det också finnas ersättare för ledamöterna.

Flertalet ärenden avgörs i enlighet med nämndens delegationsordning av direktören eller, i enstaka fall, av ordföranden eller vice ordföranden ensam. Det är i huvudsak ärenden av principiell natur

20

Även CSN:s beslut i ärenden om den numera upphävda bidragsformen rekryteringsbidrag (se avsnitt 2.7.2) kan överklagas till Överklagandenämnden för studiestöd.

som avgörs av nämnden i dess helhet efter föredragning av handläggarna vid nämndens sammanträden.

Nämndens kansli är beläget i Härnösand och har 15 anställda. Nämnden sammanträder i regel en gång per månad. År 2006 avgjordes drygt 5 000 ärenden.

4.3.3. Överklagandenämndens datasystem – Diabas

Överklagandenämnden är som nämnts ovan överinstans i vissa studiestödsfrågor. Den mesta informationsinhämtningen sker sålunda från respektive underinstans. Underinstansernas akter och övriga uppgifter därifrån samt överklagandena finns hos nämnden som regel bara på papper, även om viss information kan komma in via epost.

Överklagandenämnden har för sin hantering av ärenden ett datoriserat diarieförings- och handläggningssystem, Diabas. De personuppgifter som registreras i Diabas är endast namn, personnummer och adress/postadress. Övriga uppgifter som är nödvändiga för den materiella tillämpningen av studiestödsförfattningarna framgår endast av akten. I Diabas registreras i princip endast personuppgifter om den klagande. Det enda undantaget härifrån är en sällsynt ärendetyp avseende återkrav av studiestöd då CSN:s återkravsbeslut avser ett myndigt barn men beslutet fattades innan barnet blev myndigt. I dessa fall registreras ärendet på barnets personnummer men med angivande av vårdnadshavarens namn och adress. Det sagda innebär sålunda att en klagandes ombud, föräldrar eller barn inte registreras i det datoriserade systemet. Uppgifter härom kan dock givetvis framgå av pappershandlingarna i akten eftersom dessa uppgifter kan vara av betydelse för den materiella frågan eller handläggningen av ärendet.

Något utlämnande av personuppgifter till någon utanför Sverige sker inte förutom att beslut i enstaka fall expedieras i elektronisk form till e-postadresser som en s.k. pdf-fil (pdf är ett digital dokumentformat).

Överklagandenämnden för studiestöd publicerar på sin hemsida på Internet uppgifter om vissa av sina avgöranden. Några uppgifter som direkt kan hänföras till en person publiceras dock inte, utan bara uppgift om diarienummer.

Överklagandenämnden för studiestöd har i dagsläget inga planer på förändring av det sätt på vilket personuppgifter behandlas. När

de ekonomiska och tekniska förutsättningarna finns, kan dock ett utökat elektroniskt informationsutbyte bli aktuellt med såväl CSN som Försäkringskassan, Migrationsverket och andra myndigheter.

Överklagandenämnden för studiestöd förekommer inte i Justitiekanslerns eller Datainspektionens diarier när sökning har gjorts efter motsvarande sökkriterier som för CSN (se avsnitt 4.2.2).

4.3.4. Sekretess

Av uppenbara skäl har Överklagandenämnden för studiestöd behov att behandla personuppgifter som kan vara ömtåliga ur ett integritetsperspektiv. I verksamheten hos Överklagandenämnden för studiestöd gäller sekretess enligt de sekretessbestämmelser som gäller för alla myndigheter, 7 kap. 1 § (uppgift om enskilds hälsa och sexualliv), 7 kap. 1 a § (enskilds kontaktuppgifter) och 7 kap. 16 § (personuppgifter om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen), samt sekretess enligt 9 kap. 5 § andra stycket sekretesslagen (ärenden om studiestöd).

På sätt som beskrivits ovan under avsnitt 4.2.3 hindrar inte sekretess att uppgifter lämnas mellan myndigheter om skyldighet därtill föreskrivs i lag eller förordning, 14 kap. 1 § sekretesslagen.

4.3.5. Gallring

Som ovan beskrivits under avsnitt 4.2.4 har Riksarkivet möjlighet att meddela närmare föreskrifter om gallring. Förutom Riksarkivets generella föreskrifter (bl.a. RA-FS 1991:1) gäller för Överklagandenämnden för studiestöd endast ett myndighetsspecifikt beslut om gallring. Beslutet – Riksarkivets beslut (RA-MS 2006:50) om gallring hos Överklagandenämnden för studiestöd – gör att Överklagandenämnden för studiestöd omedelbart får gallra vissa angivna handlingar.

4.3.6. Inhämtande och utlämnande av personuppgifter

Överklagandenämnden för studiestöd har behov av informationsutbyte med andra myndigheter. Nämnden behöver för det första få handlingarna i överklagade ärenden från den myndighet eller orga-

nisation som fattat det överklagade beslutet. De övriga huvudsakliga informationsflödena beskrivs i det följande.

Försäkringskassans socialförsäkringsdatabas

På motsvarande sätt som gäller beträffande CSN har Försäkringskassan en skyldighet att lämna Överklagandenämnden för studiestöd information om en studerandes godkända sjukperioder, ersättning enligt vissa arbetsskadeförsäkringar, aktivitetsstöd samt sjukersättning, aktivitetsersättning och rehabiliteringsersättning 6 kap. 7 § studiestödslagen och 6 kap. 13 § studiestödsförordningen. Någon möjlighet till direktåtkomst till Försäkringskassans socialförsäkringsdatabas finns inte för Överklagandenämnden för studiestöd, jämför 20 § lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration. Uppgifterna inhämtas i stället per telefon, brev eller e-post.

Överklagandenämnden för studiestöd har även en skyldighet att lämna uppgifter till Försäkringskassan. Enligt 20 kap. 9 § lag (1962:381) om allmän försäkring har nämligen bl.a. Överklagandenämnden för studiestöd en skyldighet att lämna ut uppgift om namngiven persons förhållanden som är av betydelse för tillämpningen an nyss nämnda lag.

Migrationsverket

Enligt 6 kap. 13 a § studiestödsförordningen har Migrationsverket en skyldighet att på begäran lämna Överklagandenämnden för studiestöd uppgift om en utlänning vistas i Sverige enligt utlänningslagen (2005:716). Den information som Migrationsverket är skyldigt att lämna Överklagandenämnden för studiestöd är uppgift om namn, person- eller samordningsnummer, medborgarskap, tillstånd eller annat bevis om rätt att vistas i Sverige med angivande av vilken typ av tillstånd eller annat bevis som har beviljats eller utfärdats, dag för beslut om tillstånd eller utfärdande av annat bevis om rätt att vistas i Sverige samt uppgift om hur länge tillståndet eller beviset gäller, klassning av tillstånd eller annat bevis om rätt att vistas i Sverige enligt Migrationsverkets klassificeringssystem och upplysning om en person saknas. Enligt 6 kap. 13 a § andra stycket studiestödsförordningen får uppgifterna bara lämnas om de har betydelse

för tillämpningen av bestämmelserna om studiehjälp och studiemedel. Informationen inhämtas genom förfrågningar per telefon, brev eller e-post.

Läroanstalter

21

Efter bemyndigande i 6 kap. 6 § andra stycket studiestödslagen har regeringen i 6 kap. 11 § studiestödsförordningen förordnat om läroanstalters uppgiftsskyldighet gentemot Överklagandenämnden för studiestöd såvitt avser uppgifter som är av betydelse för tillämpningen av studiestödslagen och föreskrifter som har meddelats med stöd av lagen. Uppgiftsskyldigheten omfattar information om en studerande som har studiehjälp har övergått till en annan läroanstalt eller har avbrutit sina studier samt även i övrigt om en studerande som har tagits in i utbildning som ger rätt till studiehjälp (6 kap. 9 § studiestödsförordningen). Uppgiftsskyldigheten omfattar även upplysning om tid och omfattning för utbildningar vid läroanstalten som ger rätt till studiemedel (6 kap. 10 § första stycket studiestödsförordningen) och, för en studerande som har ansökt om eller beviljats studiemedel, uppgift om utbildning, studietid, studiernas omfattning, studieaktivitet och studieresultat (6 kap. 10 § andra stycket studiestödsförordningen). Överklagandenämnden inhämtar sådana uppgifter genom kontakter per telefon, brev eller e-post.

Det statliga personadressregistret (SPAR)

Vad som beskrivits ovan om författningsregleringen av CSN:s tillgång till SPAR (se avsnitt 4.2.5) gäller även för Överklagandenämnden för studiestöd med det undantaget att uppgift om medborgarskap inte får lämnas ut till Överklagandenämnden för studiestöd i elektronisk form, jämför 7 § förordningen (1998:1234) om det statliga personadressregistret.

21

Med läroanstalt förstås i studiestödsförordningen sådan läroanstalt eller utbildning som anges i bilagan till förordningen, 1 kap. 7 § studiestödsförordningen.

4.4. Landsorganisationen i Sverige (LO) och Tjänstemännens centralorganisation (TCO)

Landsorganisationen i Sverige (LO) och Tjänstemännens centralorganisation (TCO) har på ovan beskrivet sätt (se avsnitt 2.6) tilldelats vissa myndighetsuppgifter genom att de båda organisationerna administrerar det statliga korttidsbidraget enligt förordningen (2001:362) om bidrag vid korttidsstudier.

De båda organisationerna är angivna i bilagan till sekretesslagen.

22

Detta innebär att organisationerna blir underkastade

offentlighetsprincipen såvitt avser deras handhavande av nu aktuellt bidrag, se 1 kap. 8 § andra stycket första meningen sekretesslagen (1980:100). En betydande öppenhet skulle därmed uppkomma för uppgifter som för den enskilde kan vara av ömtålig karaktär. Detta problem löses dock genom att organisationerna, genom uppräkningen i bilagan till sekretesslagen, jämställs med myndigheter vid tillämpningen av nämnda lag såvitt avser verksamhet i form av hantering av nu aktuellt bidrag, 1 kap. 8 § andra stycket andra meningen sekretesslagen. I denna verksamhet gäller därför sekretess för uppgift om enskilds hälsa och sexualliv enligt 7 kap. 1 § sekretesslagen, för enskilds kontaktuppgifter enligt 1 a § samma kapitel och för personuppgifter om det kan antas om ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204), 7 kap. 16 § sekretesslagen. På sätt som redogjorts för ovan (se avsnitt 4.2.3) gäller sekretessen enligt 9 kap. 5 § andra stycket sekretesslagen för uppgifter som LO och TCO hanterar i ärenden om korttidsbidrag.

Ingen myndighet har ålagts uppgiftsskyldighet gentemot någon av organisationerna. Någon möjlighet till direktåtkomst till någon myndighets register för organisationerna är inte heller föreskriven såvitt avser korttidsbidrag.

Genom den ovan nämnda uppräkningen i sekretesslagen blir arkivlagen även tillämplig för både LO och TCO till den del arkivet härrör från den verksamhet som avses i bilagan till sekretesslagen, 2 § arkivlagen (1990:782). Detta innebär att båda organisationerna har en plikt att bevara handlingar hänförliga till verksamheten avseende korttidsbidrag, 3 § tredje stycket arkivlagen. Någon gallringsföreskrift har inte meddelats av Riksarkivet.

22

Se prop. 2000/01:107 s. 15 f.

Varken LO eller TCO förekommer i Datainspektionens diarier när sökning har gjorts efter motsvarande sökkriterier som för CSN (se avsnitt 4.2.2).

LO

I LO:s verksamhet registreras uppgifter dels elektroniskt, dels manuellt. I det elektroniska systemet registreras uppgifter om namn, adress, personnummer, utbildningsbakgrund kursens namn och datum för denna. På ansökningsblanketten lämnar dock sökanden flera uppgifter, t.ex. telefonnummer. Dessa uppgifter registreras emellertid inte elektroniskt utan framgår endast av ansökningshandlingen. Denna ansökningshandling tilldelas ett referensnummer som anges i det elektroniska systemet. Handlingen blir på så sätt återsökbar. Av handlingen kan det även framgå uppgifter om sökandens medlemskap i arbetstagarorganisation och om den aktuella kursen har inriktning mot något funktionshinder. Båda dessa uppgifter faller under definitionen av känsliga personuppgifter enligt 13 § personuppgiftslagen. Ingen av uppgifterna är obligatorisk att ange i ansökningshandlingen.

LO lämnar inte ut personuppgifter till någon annan organisation eller myndighet, med undantag för uppgifter som lämnas till Överklagandenämnden för studiestöd med anledning av överklagade ärenden. Inte heller inhämtas personuppgifter från någon annan organisation eller myndighet. Uppgiftsutlämnande till någon utanför Sverige förekommer inte.

För närvarande görs ansökningar genom att ansökningshandlingen skickas i pappersform till LO. LO har dock diskuterat om viss informationsinhämtning i stället skulle kunna ske genom att utbildningsanordnaren lämnar information om kursdeltagare över Internet.

LO har inte företagit någon gallring avseende uppgifterna hänförliga till korttidsbidraget.

TCO

I TCO:s verksamhet registreras namn, personnummer och kontaktuppgifter hänförliga till sökanden samt utbildningsnivå på sökanden. Numera registreras härutöver om sökanden är medlem i

TCO-förbund, men inga uppgifter om eventuellt medlemskap i annat förbund. Slutligen registreras uppgifter om utbildningen som avses med korttidsbidraget. Registret är datoriserat. I systemet kan man som sökbegrepp använda namn eller personnummer. Varje ärende tilldelas dessutom ett diarienummer, vilket även åsätts själva ansökningshandlingen. Ansökningshandlingen blir på så sätt återsökbar. Även själva diarienumret kan användas som sökbegrepp.

Inga uppgifter lämnas ut till andra organisationer eller myndigheter, med undantag för uppgifter som lämnas till Överklagandenämnden för studiestöd med anledning av överklagade ärenden. Uppgifterna lämnas då i pappersform. Uppgifter inhämtas inte heller från andra organisationer eller myndigheter på annat sätt än genom telefon. Det uppgiftsinhämtande som sker per telefon inskränker sig till att TCO, vid misstanke om att en sökande redan uppburit korttidsbidrag eller studiemedel för sökt period kontaktar de andra aktörerna som administrerar korttidsbidrag respektive CSN och efterhör hur det förhåller sig. Om misstanken är riktig, meddelas ett avslagsbeslut. Inga personuppgifter lämnas ut till någon utanför Sverige.

TCO har inga planer på att förändra sin ovan beskrivna hantering av personuppgifterna.

4.5. Socialstyrelsens institut för särskilt utbildningsstöd (SISUS) och sametinget

Socialstyrelsens institut för särskilt utbildningsstöd (SISUS) och Sametinget handhar vissa delar av korttidsbidraget enligt förordningen (2001:362) om bidrag vid korttidsstudier. Precis som vid andra stödformer hanteras typiskt sett uppgifter som från den enskildes horisont kan te sig känsliga ur ett integritetsperspektiv. Båda dessa myndigheter

23

är underkastade sekretesslagens bestäm-

melser, varför sekretessbestämmelserna som redogjorts för ovan under avsnitt 4.4 är tillämpliga även för nu aktuella myndigheter.

Det finns inte någon i lag eller förordning föreskriven uppgiftsskyldighet för annan myndighet gentemot de nu båda aktuella myndigheterna såvitt avser korttidsbidrag.

Riksarkivet har inte utfärdat några myndighetsspecifika gallringsföreskrifter för vare sig SISUS eller Sametinget.

23

Att sametinget är en myndighet framgår bl.a. av 1 kap. 1 § sametingslagen (1992:1433).

Varken SISUS eller Sametinget förekommer i Justitiekanslerns eller Datainspektionens diarier när sökning har gjorts efter motsvarande sökkriterier som för CSN (se avsnitt 4.2.2).

SISUS

De personuppgifter som registreras i datorsystem hos SISUS är namn och personnummer. I vissa fall registreras även adress och kontonummer. Inga personuppgifter lämnas ut till någon annan myndighet eller organisation, i eller utanför Sverige, förutom till Överklagandenämnden för studiestöd. Den övervägande delen av ansökningarna görs kollektivt. Detta innebär att utbildningsanordnaren lämnar in en ansökan om förhandsbesked. När SISUS beviljat denna ansöker de enskilda studerandena om bidraget. Det är först då som SISUS får tillgång till deltagarnas personuppgifter.

Sametinget

De personuppgifter som registreras hos Sametinget med anledning av ärenden om korttidsbidrag är namn, e-postadress, adress, personnummer, utbildningsbakgrund, språklig bakgrund, tid, utbildning och sökt bidrag. Uppgift om språklig bakgrund anges som ett av följande tre alternativ ”själv, föräldrar, far- eller morföräldrar har eller har haft samiska som språk i hemmet”, ”med i sameröstlängden” eller ”annan”. Härutöver anges det vilken grad av förståelse man har i samiska (förstår, talar, läser eller skriver). Slutligen anges det om det är nord-, lule- eller sydsamiska som det är fråga om. Inga personuppgifter lämnas ut till någon annan myndighet eller organisation, i eller utanför Sverige, förutom till Överklagandenämnden för studiestöd. Inga personuppgifter hämtas heller in från någon annan myndighet eller organisation.

4.6. Framtida utveckling

I utredningsdirektiven betonas vikten för CSN och Överklagandenämnden för studiestöd att ha möjlighet att utnyttja modern informationsteknik för att höja effektiviteten och kvaliteten i arbetet. Detta gäller dels arbetet med enskilda ärenden, dels möjligheten att svara mot ökade krav i fråga om ärende- och verksam-

hetsdokumentation. En särskild författningsreglering av behandlingen av personuppgifter på studiestödsområdet anses angelägen för att verksamheten ska kunna utföras på ett effektivt och rättssäkert sätt samtidigt som ett fullgott skydd för den personliga integriteten garanterades. I detta sammanhang nämndes uppdraget för 2005 års informationsutbytesutredning (Fi 2005:08). Denna utredning hade i uppdrag att bl.a. se över om kommunernas socialtjänst bör få elektronisk tillgång till uppgifter från CSN för att kontrollera riktigheten av lämnade uppgifter (dir. 2005:91). Utgångspunkten för uppdraget var att sådan tillgång till andra myndigheters databaser i största möjliga utsträckning skulle ske genom direktåtkomst. I utredningsuppdraget för 2005 års informationsutbytesutredning ingick dessutom att se över om och under vilka förutsättningar myndigheter bör ha möjlighet eller vara skyldiga att på eget initiativ underrätta andra myndigheter vid misstanke om oegentligheter.

I sitt betänkande Utökat elektroniskt informationsutbyte (SOU 2007:45) har 2005 års informationsutbytesutredning lämnat förslag som i viss utsträckning har bäring på CSN. Förslagen för CSN:s vidkommande kan starkt sammanfattat redovisas på följande sätt. En sekretessbrytande bestämmelse införs i socialtjänstlagen (2001:453) i form av en uttrycklig uppgiftsskyldighet för CSN gentemot socialnämnderna. Förslaget innebär att CSN till socialnämnderna via direktåtkomst får lämna uppgifter om förmån, ersättning eller annat stöd som har betydelse i ärenden om ekonomiskt bistånd, se vidare avsnitt 6.12.5. Det föreslås vidare att det införs en anmälningsskyldighet för CSN om CSN bedömer att Arbetsförmedlingen, Försäkringskassan, Migrationsverket, kommunerna (socialnämnderna) eller arbetslöshetskassorna felaktigt har beviljat eller betalat ut ett bidrag eller en ekonomisk förmån till en enskild.

ger ett anpassat integritetsskydd på de områden författningarna reglerar och innebär en högre grad av konkretion än de generella reglerna i personuppgiftslagen.

Den uttalade ambitionen från regeringens och riksdagens sida är att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag, som beslutas av riksdagen, även om det inte är nödvändigt med lagform enligt grundlagarna.

En registerlag för t.ex. en myndighets behandling

av personuppgifter kompletteras ofta av en av regeringen utfärdad registerförordning med detaljregler som inte ansetts nödvändiga att höra riksdagen om. Numera finns det åtminstone över etthundra olika författningar som innehåller bestämmelser om behandling av personuppgifter till komplettering av personuppgiftslagen och som därför kan kallas för särskilda registerförfattningar. Som exempel på nyare registerlagar som reglerar behandling av personuppgifter i myndigheters verksamhet kan nämnas lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen, lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration.

Innehållet i de särskilda registerförfattningarna varierar. Det är vanligt att registerförfattningar som reglerar en myndighets behandling av personuppgifter innehåller bestämmelser om, förutom givetvis vilket tilllämpningsområde författningen har, förhållandet till personuppgiftslagen (om författningen ersätter eller bara kompletterar personuppgiftslagen), för vilka ändamål personuppgifter får behandlas, under vilka förutsättningar särskilt integritetskänsliga personuppgifter får behandlas, vem som är personuppgiftsansvarig, under vilka förutsättningar personuppgifter får lämnas ut på elektronisk väg (genom s.k. direktåtkomst eller utlämnande på medium för automatiserad behandling), vilka s.k. sökbegrepp som får användas när man söker bland personuppgifterna, när personuppgifterna ska gallras och vad som ska gälla i fråga om rättelse och skadestånd om något blivit fel.

Se allmänt om särskilda registerförfattningar Sören Öman, ”Särskilda registerförfattningar” i Festskrift till Peter Seipel, 2006, s. 685–705.

Prop. 1997/98:44 s. 41 och bet. 1997/98:KU18 s. 43 samt prop. 1990/91:60 s. 58 och bet. 1990/91:KU11 s. 11.

5. Behövs särskild författningsreglering

5.1. Inledning

Utredningen har enligt utredningsdirektiven för det första att kartlägga och granska regleringen och användningen av personregister och annan behandling av personuppgifter i studiestödsverksamhet. Den kartläggningen och granskningen har redovisats i föregående bakgrundsavsnitt. För det andra har utredningen enligt utredningsdirektiven att analysera behovet av särskilda författningsbestämmelser för myndigheternas behandling av personuppgifter och lämna förslag till de författningsbestämmelser som behövs. I detta avsnitt analyserar utredningen behovet av en särskild författningsreglering.

I dag finns det alltså inte någon särskild författningsreglering av myndigheternas behandling av personuppgifter i studiestödsverksamhet, utan behandlingen regleras av bl.a. de generella bestämmelserna i personuppgiftslagen (1998:204). Regeringen och riksdagen har vid flera tillfällen gett uttryck för den principiella utgångspunkten att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag.

1

Utredningen anser att det ställningstagandet bör bilda utgångspunkten även för utredningens analys. Frågan blir då för det första om myndigheternas behandling av personuppgifter i studiestödsverksamhet kan anses vara av sådant slag – avse ett stort antal registrerade och särskilt känsliga personuppgifter – att behandlingen i enlighet med ställningstagandet ska regleras i lag.

Omfattningen av behandlingen av personuppgifter i studiestödsverksamhet skiljer sig väsentligt mellan aktörerna på området. Centrala studiestödsnämnden (CSN) med sin omfattande studie-

1

Se t.ex. prop. 1997/98:44 s. 41 och bet. 1997/98:KU18 s. 43 samt prop. 1990/91:60 s. 50

och bet. 1990/91:KU11 s. 11.

stödsverksamhet intar här en särställning i förhållande till övriga aktörer. De andra aktörernas behandling av personuppgifter i studiestödsverksamhet framstår som förhållandevis begränsad i jämförelse med CSN:s. Det är också bara beträffande CSN:s behandling av personuppgifter i studiestödsverksamhet som behovet av en särskild författningsreglering har lyfts fram i olika sammanhang.

2

Utredningen anser det därför riktigast att analysera

behovet av en särskild författningsreglering för varje myndighet för sig och börjar med CSN.

5.2. Centrala studiestödsnämnden (CSN)

Utredningens bedömning: Behandlingen av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bör regleras särskilt i lag.

Centrala studiestödsnämnden (CSN) är en myndighet med en omfattande verksamhet som kommit långt i sin datorisering. CSN:s verksamhet på studiestödsområdet avser ett mycket stort antal personer. Nästan alla medborgare som i modern tid har studerat utöver grundskolan finns eller har funnits registrerade hos CSN. Många låntagare finns vidare registrerade hos CSN under mycket lång tid, merparten av deras yrkesverksamma liv.

I CSN:s databaser finns det alltså ett mycket stort antal registrerade, varav många finns registrerade under mycket lång tid. Databaserna innehåller vidare bl.a. personuppgifter om ekonomiska förhållanden, sjukdomsperioder och skolk. Sådana uppgifter upplever många människor som känsliga.

Enligt utredningens mening är CSN:s behandling av personuppgifter i studiestödsverksamheten av sådant slag att den utan tvekan uppfyller de kriterier regeringen och riksdagen ställt upp för att anse att behandlingen ska regleras särskilt i lag. Redan denna bedömning gör det befogat för utredningen att föreslå en särskild registerlag för CSN:s behandling av personuppgifter i studiestödsverksamheten.

2

Se bl.a. prop. 2000/01:129 s. 69 och prop. 2001/02:161 s. 47 samt CSN:s skrivelse till

regeringen U2000/4901/SV, Riksdagens ombudsmäns (JO:s) yttrande med anledning av Informationsutbytesutredningens betänkande SOU 2000:97 och Statskontorets utvärdering Informationsutbyte kräver bra förutsättningar (rapport 2006:7) s. 9 och 106.

För ett sådant förslag finns det givetvis också tungt vägande sakliga skäl av välkänd natur. Genom en särskild författningsreglering av behandling av personuppgifter i en myndighets verksamhet som omfattar många människor och åtminstone vissa särskilt känsliga uppgifter kan ett anpassat integritetsskydd uppnås som tar hänsyn till såväl de särskilda integritetsrisker verksamheten innebär som myndighetens behov av tydligt författningsstöd för behandlingen med ändamålsenliga bestämmelser som inte i onödan hindrar effektiviteten. Allmänhetens förtroende för myndighetens hantering av personuppgifterna kan också ytterligare stärkas genom en författningsreglering samtidigt som författningsregleringen i sig kan bidra till att öka medvetenheten om den behandling av personuppgifter som förekommer. Genom en särskild författningsreglering med ett anpassat integritetsskydd kommer CSN vidare i samma läge som flera andra myndigheter, t.ex. Skatteverket och Försäkringskassan, som CSN regelbundet utbyter personuppgifter med.

Utredningen kan inte se några bärande skäl för varför CSN:s behandling av personuppgifter i studiestödsverksamheten inte skulle regleras särskilt i lag.

Utredningens slutsats är alltså att CSN:s behandling av personuppgifter i studiestödsverksamheten bör regleras särskilt i lag. Utredningen tar senare upp frågan om hur omfattande den särskilda regleringen i lag bör vara i förhållande till såväl reglering på annan författningsnivå (förordningar utfärdade av regeringen och föreskrifter utfärdade av myndighet), avsnitt 6.2, som personuppgiftslagen, avsnitt 6.6.1.

5.3. De övriga aktörerna på studiestödsområdet

Utredningens bedömning: Det behövs inte någon särskild författningsreglering av behandlingen av personuppgifter i studiestödsverksamheten hos andra aktörer på studiestödsområdet än Centrala studiestödsnämnden.

Som framgår av bakgrundsavsnitten (avsnitt 4.3–4.5) är behandlingen av personuppgifter i studiestödsverksamheten hos Överklagandenämnden för studiestöd, Landsorganisationen i Sverige (LO), Tjänstemännens centralorganisation (TCO), Social-

styrelsens institut för särskilt utbildningsstöd (SISUS) och Sametinget av förhållandevis ringa omfattning. Datoriseringsgraden i studiestödsverksamheten hos dessa aktörer är i dag inte heller på långt när lika hög som hos CSN. Det har föreslagits att LO:s och TCO:s befattning med studiestöd ska upphöra vid årsskiftet.

Det är hos Överklagandenämnden för studiestöd som den mest omfattande studiestödsverksamheten bedrivs utanför CSN. Den verksamheten omfattar omkring 5 500 ärenden per år.

Enligt utredningens mening kan behandlingen av personuppgifter i studiestödsverksamheten hos var och en av de övriga aktörerna på studiestödsområdet inte anses avse ett så stort antal registrerade att en särskild reglering i lag av behandlingen är nödvändig i enlighet med det ställningstagande av regeringen och riksdagen som redovisats tidigare. Den bedömningen gäller även om man skulle betrakta behandlingen i studiestödsverksamheten hos alla de övriga aktörerna sammantaget och även om man beaktar att det i viss utsträckning kan förekomma uppgifter av särskilt känslig karaktär, t.ex. uppgifter om sjukdomar och handikapp, i verksamheten.

Frågan blir då om det ändå finns skäl för en särskild reglering i lag eller på lägre författningsnivå av behandlingen av personuppgifter i studiestödsverksamheten hos de övriga aktörerna.

Det ska då först noteras att ingen av de övriga aktörerna har till utredningen framfört att det skulle finnas ett behov av särskild

3

författningsreglering. Inte heller någon annan har till utredningen

eller, såvitt utredningen fått kännedom om, i annat sammanhang framfört att det skulle finnas ett sådant behov. Några särskilda problem med den nuvarande regleringen av eller klagomål på aktörernas hantering av personuppgifter har vidare inte kommit fram.

Studiestödsverksamheten hos LO, TCO, SISUS och Sametinget har inte några direkta kopplingar till den behandling av personuppgifter hos CSN som utredningen funnit bör regleras i lag. Det har däremot verksamheten hos Överklagandenämnden för studiestöd, som bl.a. handlägger överklaganden av CSN:s beslut i domstolsliknande former. Behandlingen av personuppgifter i överprövningsverksamheten hos Överklagandenämnden för studiestöd, som visserligen avser studiestöd, torde dock ha mera gemensamt med den behandling som sker i domstol än den som sker vid handläggningen hos CSN. Utredningen anser därför att det förhållandet att

3

Korttidsbidrag och studiemedel får visserligen inte lämnas för samma tid, men några

automatiserade system för kontroll av detta har inte införts.

CSN:s behandling av personuppgifter i studiestödsverksamheten regleras särskilt inte utgör ett tillräckligt skäl för att samtidigt särskilt reglera behandlingen av personuppgifter i verksamheten hos Överklagandenämnden för studiestöd. Däremot kan det finnas anledning att när en modern särskild reglering av behandlingen av personuppgifter i domstolsväsendet utarbetas

4

överväga om det är

lämpligt att låta behandlingen av personuppgifter hos Överklagandenämnden för studiestöd omfattas av en motsvarande reglering.

Utredningen har sammanfattningsvis inte funnit behov av eller tillräckliga skäl för en särskild författningsreglering av behandlingen av personuppgifter i studiestödsverksamheten hos andra aktörer än CSN. Utredningen föreslår därför inte någon författningsreglering avseende verksamheten hos Överklagandenämnden för studiestöd, LO, TCO, SISUS och Sametinget.

4

Jämför SOU 2001:100.

ÖVERVÄGANDEN OCH FÖRSLAG

6. Studiestödsdatalag

6.1. Inledning

Utredningen har alltså funnit att behandlingen av personuppgifter i CSN:s studiestödsverksamhet bör regleras särskilt i lag och att det inte behövs någon särskild författningsreglering av behandlingen av personuppgifter i studiestödsverksamheten hos de andra aktörerna på studiestödsområdet.

Enligt utredningsdirektiven bör utredningen anlägga ett helhetsperspektiv och inrikta sig på att en framtida reglering ska bli ändamålsenlig och samtidigt passa väl in i gällande regelsystem. Ett mål är, enligt utredningsdirektiven, att skapa enkla, tydliga och hållbara regler som inte är beroende av att vissa tekniska lösningar används och som uppfyller kravet på ett fullgott skydd för den personliga integriteten vid behandling av personuppgifter. Den rättsliga analysen bör utgå från att myndigheterna ska kunna arbeta minst lika effektivt som i dag. Regelverket bör ge möjligheter att utveckla datasystem som underlättar utbytet av nödvändig information såväl mellan olika myndigheter, nationellt och internationellt, som mellan enskilda och myndigheterna.

I detta avsnitt berörs utredningens förslag till lagstiftning för behandlingen av personuppgifter i CSN:s studiestödsverksamhet, som har utformats med beaktande av det som anges i utredningsdirektiven.

6.2. Nivån på författningsregleringen

Utredningens bedömning: De grundläggande bestämmelserna om vad Centrala studiestödsnämnden ska och får göra beträffande behandling av personuppgifter i studiestödsverksamheten bör finnas i lag. Lagen bör kunna kompletteras genom författningar och beslut på lägre nivå för att anpassa regleringen till förhållanden som kan förändras snabbt eller ofta.

Att behandlingen av personuppgifter i CSN:s studiestödsverksamhet i enlighet med den principiella utgångspunkt regeringen och riksdagen flera gånger gett uttryck för bör regleras särskilt i lag innebär, som utredningen ser det, att åtminstone de grundläggande bestämmelserna om vad CSN ska och får göra bör finnas i lag. I vilken utsträckning det bör vara tillåtet för regeringen eller någon myndighet att komplettera de grundläggande lagreglerna eller besluta om undantag från dem är enligt utredningens mening en lämplighetsfråga. Av lagen bör det dock i den utsträckning det är nödvändigt framgå när så får ske. I avsnitt 6.17 berör utredningen de kompletterande förordningsföreskrifter som föreslås.

I utredningsdirektiven betonas att den rättsliga analysen bör utgå från att myndigheterna ska kunna arbeta minst lika effektivt som i dag och att regelverket bör ge möjligheter att utveckla datasystem som underlättar utbytet av nödvändig information.

Eftersom förhållanden som rör datoriserad behandling av personuppgifter ofta förändras, bl.a. i takt med den tekniska utvecklingen, t.ex. avseende det elektroniska informationsutbyte som blir möjligt eller önskvärt, är det inte lämpligt att ha alltför detaljerade bestämmelser i lag. Det skulle nämligen vara alltför tidsödande och omständligt med ofta förekommande lagändringar. Då är det smidigare att i förordning utfärdad av regeringen kunna ha kompletterande reglering. Lagregleringen bör alltså ge det grundläggande integritetsskyddet och spelreglerna för CSN, medan den nödvändiga anpassningen av regleringen bör kunna göras på lägre författningsnivå. I det följande motiverar utredningen särskilt i vilken utsträckning det bör vara möjligt att anpassa de föreslagna lagreglerna genom författningar och beslut på lägre nivå.

Vad sedan gäller vilka områden som de grundläggande bestämmelserna i lag bör täcka betonas i utredningsdirektiven att den föreslagna regleringen bör passa väl in i gällande regelsystem. Enligt

utredningens mening kan man i denna fråga hämta vägledning från vad som brukar regleras i särskilda registerlagar om behandlingen av personuppgifter i verksamhet hos myndigheter (se avsnitt 3.5). I enlighet härmed bör det övervägas bl.a. i vilken utsträckning det behövs lagregler om lagens tillämpningsområde, förhållandet till personuppgiftslagen (om författningen ersätter eller bara kompletterar personuppgiftslagen), vem som är personuppgiftsansvarig, för vilka ändamål personuppgifter får behandlas, under vilka förutsättningar särskilt integritetskänsliga personuppgifter får behandlas, under vilka förutsättningar personuppgifter får lämnas ut på elektronisk väg (genom s.k. direktåtkomst eller utlämnande på medium för automatiserad behandling), vilka s.k. sökbegrepp som får användas när man söker bland personuppgifterna, när personuppgifterna ska gallras och vad som ska gälla i fråga om rättelse och skadestånd om något blivit fel. Även bestämmelser om den interna elektroniska tillgången till personuppgifter förekommer inte så sällan i särskilda registerlagar. Även behovet av sådana bestämmelser bör övervägas.

6.3. Lagens namn

Utredningens förslag: Lagen om behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet ska heta studiestödsdatalagen.

Utredningen har övervägt om den föreslagna lagen bör ha ett beskrivande namn, såsom lagen om behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, eller ett kort namn, såsom studiestödsdatalagen. Båda varianterna förekommer i lagstiftningen i dag.

1

Utredningen anser att det är mest

praktiskt med ett kort namn som ändå ger vägledning om vad lagen handlar om. Studiestödsdatalagen är ett passande namn, tycker utredningen. Eftersom bara CSN handlägger ärenden om studiestöd enligt studiestödslagen, för namnet på ett rättvisande sätt tankarna till CSN:s datoriserade hantering av studiestödet. Att lagen – av mer formella än praktiska skäl – föreslås omfatta även viss behandling av personuppgifter som inte är datoriserad (se

1

Se t.ex. lagen (2006:469) om behandling av personuppgifter vid Inspektionen för

arbetslöshetsförsäkringen respektive polisdatalagen (1998:622).

avsnitt 6.4), gör enligt utredningens mening inte namnet studiestödsdatalagen missvisande

2

, bl.a. eftersom det i praktiken

inte torde förekomma någon icke datoriserad behandling hos CSN som omfattas av lagen.

6.4. Studiestödsdatalagens tillämpningsområde

Utredningens förslag: Studiestödsdatalagen ska tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet. Lagen gäller dock bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

6.4.1. Den verksamhet som omfattas

Varje lagstiftning måste ha ett visst tillämpningsområde. Studiestödsdatalagen ska reglera CSN:s behandling av personuppgifter. Lagen bör dock inte omfatta all behandling av personuppgifter som CSN utför. Förutom i studiestödsverksamheten finns det behov för CSN att behandla personuppgifter inom ramen för verksamheten avseende hemutrustningslån (jämför avsnitt 2.1) och för intern administration, såsom lokal- och personalhantering.

Behandling av personuppgifter vid allmänt internt administrativt arbete i en myndighets verksamhet är normalt inte reglerad i särskilda registerförfattningar för annan offentlig verksamhet, och utredningen har inte sett något behov av eller skäl för att låta CSN:s behandling av personuppgifter för den interna administrationen utan direkt koppling till handläggningen av ärenden om studiestöd omfattas av studiestödsdatalagen.

När det gäller behandling av personuppgifter i CSN:s verksamhet avseende hemutrustningslån, som har en förhållandevis ringa omfattning, torde en reglering av den behandlingen inte omfattas av utredningens uppdrag. CSN:s registerföring avseende hemutrustningslån regleras redan av 28 och 29 §§ förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa

2

Jämför prop. 1997/98:44 s. 42.

andra utlänningar, och 2005 års informationsutbytesutredning har i och för sig ansett att de bestämmelser som avser CSN:s behandling av personuppgifter i detta avseende bör ses över i annat sammanhang.

3

CSN har dock inte för utredningen påtalat något behov av

att ytterligare reglera behandlingen av personuppgifter i den verksamheten.

Utredningens slutsats är således att bara CSN:s behandling av personuppgifter i studiestödsverksamheten bör omfattas av studiestödsdatalagen.

Med studiestödsverksamhet avser utredningen för det första beviljning av studiestöd, återkrav av felaktigt utbetalat studiestöd och återbetalning av studiestöd samt den hantering som sker i anslutning till ärenden om beviljning, återkrav och återbetalning av studiestöd, oavsett om hanteringen av ärendet leder till att studiestöd exempelvis beviljas, nekas, återkrävs eller återbetalas. Med studiestöd avser utredningen allt offentligt stöd för enskildas egna studier som CSN enligt författning administrerar. Inte bara det stöd som regleras i studiestödslagen avses således utan även de andra former av studiestöd som CSN administrerar, för närvarande Rg-bidrag, TUFF-ersättning och bidrag för dagliga resor samt de utmönstrade former av stöd som fortfarande kräver CSN:s handläggning, såsom rekryteringsbidrag.

Med studiestödsverksamhet avser utredningen för det andra den verksamhet på det studiesociala området som CSN bedriver, t.ex. hanteringen av CSN-kortet.

Studiestödsdatalagen omfattar således enligt utredningens förslag CSN:s studiestödsverksamhet i bred mening. I vilka fall det är tillåtet för CSN att i den verksamheten behandla personuppgifter bestäms bl.a. av de tilllåtna ändamål för behandlingen som utredningen föreslår (se avsnitt 6.8). Bara för de enligt lagen tillåtna ändamålen får CSN behandla personuppgifter inom lagens tillämpningsområde, dvs. i CSN:s studiestödsverksamhet.

Av vad som sägs i avsnitt 6.6.2 framgår det att CSN:s behandling av personuppgifter för att framställa statistik i studiestödsverksamheten inte regleras av studiestödsdatalagen utan av de särskilda författningsbestämmelserna för statistikansvariga myndigheter.

Det bör här nämnas att det nyligen har gjorts gällande att vid direktåtkomst mellan myndigheter begränsningar av tillåtna sök-

3

SOU 2007:45 s. 270 f.

begrepp i en särskild registerförfattning för behandling av personuppgifter i den utlämnande myndighetens verksamhet gäller också för den mottagande myndigheten.

4

Utredningen, som anser att ett

sådant rättsläge i och för sig vore önskvärt, nöjer sig med att konstatera att avsikten är att utredningens förslag avseende lagens tillämpningsområde inte ska i detta avseende avvika från vad som kan gälla i fråga om de många särskilda registerförfattningar som har tillämpningsområdet angivet på motsvarande sätt.

6.4.2. Den behandling som omfattas

Automatiserad och strukturerad manuell behandling

Personuppgiftslagen omfattar helt eller delvis automatiserad behandling av personuppgifter och dessutom annan, manuell behandling av personuppgifter under förutsättning att uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Det vanliga är att särskilda registerförfattningar omfattar samma typer av behandling som personuppgiftslagen.

Den föreslagna regleringen bör, enligt utredningsdirektiven, passa väl in i gällande regelsystem, och målet är att skapa enkla, tydliga och hållbara regler som inte är beroende av att vissa tekniska lösningar används. Utredningen anser därför att det är mest ändamålsenligt att studiestödsdatalagen omfattar samma typer av behandling som personuppgiftslagen. Med hänsyn till att CSN:s datorisering är långt framskriden torde det dock i praktiken inte i CSN:s studiestödsverksamhet förekomma någon sådan manuell behandling som omfattas av personuppgiftslagen.

Bara personuppgifter

Personuppgiftslagen omfattar bara behandling av personuppgifter, varmed avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det förekommer att särskilda registerförfattningar omfattar även behandling av uppgifter om juridiska personer eller avlidna fysiska personer.

4

SOU 2007:45 s. 198 f.

Behandling av uppgifter om sådana personer torde bara undantagsvis förekomma i CSN:s studiestödsverksamhet, t.ex. uppgifter om s.k. friskolor. Bland annat därför föreslår utredningen inte att tillämpningsområdet för studiestödsdatalagen ska omfatta behandling av andra uppgifter än personuppgifter.

Automatiserad behandling av personuppgifter i ostrukturerat material bör inte undantas

Från och med den 1 januari 2007 har det i personuppgiftslagen införts ett undantag från de flesta bestämmelserna i lagen för automatiserad behandling av personuppgifter i ostrukturerat material, såsom löpande text eller ljud eller bild (5 a §). Sådan behandling får dock enligt en ny bestämmelse i lagen inte utföras, om den innebär en kränkning av den registrerades personliga integritet.

Mot den bakgrunden skulle man kunna överväga att undanta automatiserad behandling av personuppgifter i ostrukturerat material från tillämpningsområdet för studiestödsdatalagen. Det skulle i så fall innebära att personuppgiftslagen ensam skulle vara tillämplig på sådan behandling.

Definitionen av behandling av personuppgifter i ostrukturerat material i personuppgiftslagen – ”behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter” – är sådan att alla de personuppgifter som finns i CSN:s databaser inte omfattas av definitionen. Det gäller även t.ex. inskannade dokument i ärenden om studiestöd och promemorior med löpande text som tjänstemän kan skriva i sådana ärenden. Med hänsyn till den långt gångna strukturerade datoriseringen hos CSN torde det i studiestödsverksamheten inte vara mycket som skulle kunna omfattas av definitionen.

De särskilda bestämmelser som bör finnas i studiestödsdatalagen bör vidare enligt utredningens mening vara specialanpassade för CSN:s studiestödsverksamhet och utformade så att de är ändamålsenliga och utan större besvär kan tillämpas även på behandling av personuppgifter i ostrukturerat material. Enligt utredningsdirektiven är ju ett mål för utredningsuppdraget att skapa enkla, tydliga och hållbara regler som inte är beroende av att vissa tekniska lösningar används och som uppfyller kravet på ett

fullgott skydd för den personliga integriteten vid behandling av personuppgifter.

Av dessa skäl har utredningen funnit att CSN:s behandling av personuppgifter i ostrukturerat material i studiestödsverksamheten inte bör undantas från tillämpningsområdet för studiestödsdatalagen.

6.5. Den registrerades inflytande

Utredningens förslag: Behandling av personuppgifter som enligt studiestödsdatalagen är tillåten utan den registrerades samtycke får som huvudregel utföras även om den registrerade motsätter sig behandlingen.

Den registrerade ska dock ha rätt att motsätta sig att Centrala studiestödsnämnden behandlar personuppgifter för att till honom eller henne sända information om förmåner och bevis om studier med studiestöd. Centrala studiestödsnämnden ska informera de registrerade om den rätten.

I de fall då behandling av personuppgifter bara är tillåten enligt studiestödsdatalagen när den registrerade lämnat sitt samtycke har den registrerade rätt att när som helst återkalla ett lämnat samtycke, varefter ytterligare personuppgifter om den registrerade inte får behandlas.

Den registrerade ska enligt EG-direktivet (artikel 14) åtminstone i vissa fall, bl.a. när det gäller en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgiften har lämnats ut, ha rätt att motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. Det är alltså enligt EGdirektivet tillåtet att föreskriva att den registrerade inte har rätt att motsätta sig behandlingen. Den registrerade har dock enligt EGdirektivet en ovillkorlig rätt att motsätta sig behandling som rör direkt marknadsföring.

I personuppgiftslagen finns det en bestämmelse om att den registrerade inte har rätt att motsätta sig sådan behandling som är tillåten utan samtycke enligt personuppgiftslagen (12 §) och en bestämmelse om att personuppgifter inte får behandlas för ändamål

som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling (11 §).

Mot bakgrund av bestämmelserna i EG-direktivet föreskrivs det i särskilda registerförfattningar ofta i vilken utsträckning den registrerade kan eller har rätt att motsätta sig sådan behandling som regleras i den aktuella författningen.

5

Utformningen av bestämmel-

sen i 12 § personuppgiftslagen har ansetts medföra att det är svårt att i särskilda registerförfattningar direkt hänvisa till den.

6

De registerlagar som trädde i kraft närmast efter personuppgiftslagen saknade uttryckliga bestämmelser om den registrerades möjlighet att motsätta sig behandling av personuppgifter som var tillåten enligt lagen.

7

Mot bakgrund av bestämmelserna i EG-direk-

tivet förordade Lagrådet i lagstiftningsärendet år 2000/01 om behandling av personuppgifter inom skatt, tull och exekution att uttryckliga bestämmelser om den registrerades möjlighet att motsätta sig behandling av personuppgifter skulle tas in i de då aktuella registerlagarna.

8

I registerlagar som tillkommit därefter har det i

stor utsträckning tagits in sådana bestämmelser.

9

Men det finns

även från senare tid exempel på registerlagstiftning som saknar sådan uttrycklig reglering.

10

Enligt utredningens mening står det klart att CSN:s behandling av personuppgifter i samband med handläggningen av ärenden om studiestöd inte rimligen bör vara beroende av den registrerades inställning till behandlingen. Av bestämmelserna i studiestödsdatalagen bör det framgå när sådan behandling får ske, och en registrerad bör inte kunna förhindra en enligt lagen tillåten rationell och datoriserad handläggning av hans eller hennes ärende om studiestöd. Huvudregeln i studiestödsdatalagen bör därför vara att

5

Se Sören Öman & Hans-Olof Lindblom, Personuppgiftslagen – En kommentar, tredje

upplagan 2007, s. 66 f. med vidare hänvisningar.

6

Se bl.a. prop. 2000/01:33 s. 346 och prop. 2001/02:144 s. 20.

7

Se t.ex. lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i

brottsutredningar, lagen (1999:163) om penningtvättsregister, lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga och lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

8

Prop. 2000/01:33 s. 346.

9

Se t.ex. lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska

verksamheten, lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration, lagen (2005:258) om läkemedelsförteckning, lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, lagen (2006:444) om passagerarregister och lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen.

10

Lagen (2006:378) om lägenhetsregister.

behandling av personuppgifter som enligt lagen är tilllåten utan den registrerade samtycke får utföras även om den registrerade motsätter sig behandlingen.

När det däremot gäller behandling av personuppgifter som inte är nödvändig för att CSN ska kunna fullgöra sin kärnverksamhet med bl.a. handläggning av ärenden om studiestöd, bör det kunna finnas ett utrymme för att ge den registrerade inflytande över om behandlingen ska få komma till stånd.

I de fall där det enligt studiestödsdatalagen krävs den registrerades samtycke för att behandlingen ska få utföras (se närmare om detta i avsnitt 6.8 och 6.9) har den registrerade givetvis ett sådant inflytande i den meningen att han eller hon kan vägra att lämna ett efterfrågat samtycke. Den registrerade bör i dessa fall – i enlighet med vad som gäller enligt personuppgiftslagen (12 § första stycket) – även ha rätt att när som helst återkalla ett lämnat samtycke och därmed förhindra att CSN därefter behandlar ytterligare personuppgifter om honom eller henne för det aktuella ändamålet.

Som framgår av avsnitt 6.8.2 föreslår utredningen att behandling av personuppgifter för viss verksamhet avseende främst det studiesociala området i stort som i första hand syftar till att kommunicera information och bevis om studier med studiestöd med den registrerade ska vara tillåten utan samtycke. Det gäller närmare bestämt behandling av personuppgifter för att a) informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner och b) ta fram och till studerande distribuera bevis om studier med studiestöd.

Sådan behandling är inte direkt nödvändig i samband med handläggningen av ärenden om studiestöd även om den delvis syftar till att underlätta CSN:s handläggning. Behandlingen har vissa likheter med behandling av personuppgifter för ändamål som rör direkt marknadsföring och sker i första hand för att underlätta för den registrerade. Man kan därför överväga att ge registrerade som trots allt inte önskar information och bevis en rätt att motsätta sig behandlingen. Det kan antas att de allra flesta tycker att förfarandet med information och bevis är bra och att således ganska få personer skulle utnyttja den rätten, men det förringar givetvis inte värdet av en sådan rätt för de personer som faktiskt vill utnyttja den. Samtidigt bör det beaktas att en sådan rätt innebär i vart fall ett visst administrativt besvär för CSN.

Utredningen har vid en sammanvägning kommit fram till att man så långt möjligt bör respektera den enskildes vilja även om det

innebär visst administrativt besvär. I nu aktuella fall bör den registrerade således ha en rätt att motsätta sig behandlingen. Det innebär med andra ord att CSN – utan samtycke – får utföra behandlingen bara så länge den registrerade inte har motsatt sig behandlingen. Motsättandet bör få ske muntligen eller skriftligen. Ångrar den registrerade sig, kan han eller hon alltid samtycka till den aktuella behandlingen. Ett återtagande av ett lämnat motsättande får tolkas som ett sådant samtycke.

För att säkerställa att de registrerade får kännedom om den nu angivna rätten att motsätta sig behandling och därmed kan utnyttja den i praktiken föreslår utredningen att CSN ska informera de registrerade om rätten att motsätta sig behandlingen. Det kan ske t.ex. på CSN:s webbplats och i broschyrer som sänds till registrerade samt i de utskick som avses med behandlingen.

6.6. Förhållandet till annan lagstiftning

Utredningens förslag: Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, om inte annat följer av studiestödsdatalagen.

I fråga om Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik gäller bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar i stället för studiestödsdatalagen.

Utredningens bedömning: Det är onödigt att i studiestödsdatalagen ta in en uttrycklig erinran om att lagen inte får tillämpas i strid med grundlag.

6.6.1. Personuppgiftslagen

Personuppgiftslagen är generellt tillämplig men subsidiär, och avvikande bestämmelser i annan lag eller i förordning har företräde framför personuppgiftslagen (2 §). Detta förhållande medför att en särskild registerförfattning kan utformas på olika sätt.

En metod är att konstruera en särskild registerförfattning så att den bara kompletterar personuppgiftslagen. Den särskilda registerförfattningen kommer då att gälla utöver personuppgiftslagen, vilket innebär att när reglering saknas i den särskilda författningen

kommer bestämmelserna i personuppgiftslagen att vara tillämpliga. Nackdelen med denna lösning är att lagtillämparen kan ha svårt att få överblick över vilka bestämmelser i personuppgiftslagen som är tillämpliga. Metoden har använts i de allra flesta särskilda registerförfattningar.

En annan metod är att ta in de bestämmelser som avviker från personuppgiftslagen i den särskilda registerförfattningen, ange att författningen gäller i stället för personuppgiftslagen och uttryckligen hänvisa till de lagrum i personuppgiftslagen som trots allt ska vara tillämpliga. Fördelarna med denna metod är att lagstiftningen blir mer överskådlig, tydlig och lättillämpad än om inga hänvisningar görs till personuppgiftslagen. Metoden har emellertid fått kritik av Lagrådet som bl.a. ansett att lagstiftningstekniken är riskfylld, med hänsyn såväl till svårigheten att överblicka om EGdirektivet (se avsnitt 3.3.3) blir till fullo genomfört i registerförfattningarna som till möjligheten att vid kommande lagändringar hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga.

11

Metoden har dock på senare tid använts i lagen

(2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, som reglerar en verksamhet som delvis faller utanför tillämpningsområdet för EG-direktivet.

En tredje metod är att låta den särskilda registerförfattningen gälla i stället för personuppgiftslagen och innehålla en fullständig reglering av behandlingen av personuppgifter inom sitt tillämpningsområde. De bestämmelser i personuppgiftslagen som trots allt ska vara tillämpliga upprepas således i registerförfattningen. Exempel på sådan lagstiftning finns i den nyligen antagna lagstiftningen om behandling av personuppgifter hos Försvarsmakten respektive Försvarets radioanstalt.

12

Dessa två lagar är speciella såtillvida att de

reglerar behandling av personuppgifter som faller utanför tillämpningsområdet för EG-direktivet.

13

I utredningsdirektiven tas klart ställning för den förstnämnda metoden, som också är den vanligaste. Av utredningsdirektiven framgår det nämligen att den författningsreglering som föreslås ska gälla utöver personuppgiftslagen och begränsas till att avse frågor som är specifika för de verksamheter som omfattas av författnings-

11

Se prop. 2000/01:33 s. 345.

12

Lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Prop. 2006/07:46.

13

Artikel 3.2 första strecksatsen i EG-direktivet. Se prop. 2006/07:46 s. 45 f.

regleringen. Också utredningen anser att studiestödsdatalagen bör förhålla sig på det sättet till personuppgiftslagen. Utredningen föreslår alltså att personuppgiftslagen ska gälla vid behandling av personuppgifter i CSN:s studiestödsverksamhet, om inte annat följer av studiestödsdatalagen.

De kompletterande föreskrifter som kan komma meddelas av regeringen eller underlydande myndigheter med stöd av studiestödsdatalagen torde inte i sig innehålla bestämmelser som avviker från personuppgiftslagen. Någon uttrycklig bestämmelse i studiestödsdatalagen om förhållandet mellan sådana kompletterande föreskrifter och personuppgiftslagen föreslås därför inte.

Som framgår av avsnitt 6.4.2 har det från och med den 1 januari 2007 i personuppgiftslagen införts ett undantag från de flesta bestämmelserna i lagen för automatiserad behandling av personuppgifter i ostrukturerat material, såsom löpande text eller ljud eller bild (5 a §). Sådan behandling får dock enligt en ny bestämmelse i personuppgiftslagen inte utföras, om den innebär en kränkning av den registrerades personliga integritet. Av det nämnda avsnittet framgår det också att CSN:s behandling av personuppgifter i ostrukturerat material i studiestödsverksamheten enligt utredningens förslag inte undantagits från tillämpningsområdet för studiestödsdatalagen. När det uttryckligen anges i studiestödsdatalagen att CSN får behandla personuppgifter, innebär det en särreglering i förhållande till personuppgiftslagen. Att CSN behandlar personuppgifter när det uttryckligen tillåtits i studiestödsdatalagen kan således inte angripas med stöd av den nya bestämmelsen i personuppgiftslagen om att viss behandling inte får utföras, om den innebär en kränkning av den registrerades personliga integritet.

6.6.2. Lagstiftningen om den officiella statistiken

Enligt utredningsdirektiven ska utredningen uppmärksamma frågor om behandling av personuppgifter för statistikändamål.

Lagen (2001:99) om den officiella statistiken gäller för statistikansvariga myndigheters verksamhet inom ramen för den officiella statistiken. Lagen innehåller även bestämmelser om sådana myndigheters övriga statistikverksamhet (se avsnitt 4.2.6).

CSN är en sådan statistikansvarig myndighet som vid behandling av personuppgifter för framställning av statistik omfattas av

bestämmelserna i lagen om den officiella statistiken och den anknytande förordningen (2001:100) om den officiella statistiken. CSN:s statistikverksamhet ska vidare enligt 10 § förordningen om den officiella statistiken vara organiserad så att den är avgränsad från CSN:s verksamhet i övrigt.

Behandlingen av personuppgifter i CSN:s statistikverksamhet, som ska hållas avgränsad från övrig verksamhet, är således redan författningsreglerad. En översyn av den redan särskilt författningsreglerade behandlingen av personuppgifter kan inte anses falla under utredningens utredningsuppdrag. I vart fall har utredningen inte funnit skäl att föreslå ändringar i gällande ordning. Bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar bör alltså gälla i stället för bestämmelserna i den föreslagna studiestödsdatalagen i fråga om CSN:s behandling av personuppgifter för att framställa statistik. Detta bör för tydlighets skull anges uttryckligen i studiestödsdatalagen.

Att personuppgifter som samlats in i CSN:s studiestödsverksamhet, t.ex. för att handlägga ärenden i den verksamheten, senare behandlas för att framställa statistik är något som inte regleras i den föreslagna studiestödsdatalagen. Den behandlingen av personuppgifter för att framställa statistik får alltså utföras om den är tillåten enligt bestämmelserna i bl.a. lagen om den officiella statistiken och anslutande författningar samt personuppgiftslagen (se t.ex. 9 § andra stycket personuppgiftslagen, varav framgår att behandling av personuppgifter för statistiska ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in). Att CSN använder (behandlar) personuppgifter som samlats in i studiestödsverksamheten för att sända ut enkäter för att senare genom inkomna enkätsvar få underlag för att framställa statistik får t.ex. ses som en behandling av personuppgifter för att framställa statistik.

Att CSN genom elektroniskt utlämnande av personuppgifter till Statistiska centralbyrån fullgör uppgiftsskyldigheten enligt 5 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan får också ses som en behandling av personuppgifter för att framställa statistik.

6.6.3. Bestämmelser i grundlag

Bestämmelser i grundlag tar alltid över bestämmelser i vanlig lag, såsom den föreslagna studiestödsdatalagen, utan att det behöver anges i varje vanlig lag. I personuppgiftslagen har det i klargörande syfte – trots Lagrådets protester – införts uttryckliga bestämmelser om att personuppgiftslagen inte får tillämpas i strid med bestämmelser i grundlag (7 § första stycket och 8 § första stycket).

14

Det

klart vanligaste är dock att vanlig lag inte förses med sådana i princip onödiga bestämmelser med upplysning om förhållandet till grundlagarna.

CSN ska alltså oberoende av vad som anges i den föreslagna studiestödsdatalagen följa grundlag. Det gäller t.ex. skyldigheterna enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen att söka efter, sammanställa och lämna ut personuppgifter.

I enlighet med vad som är vanligast anser utredningen att det är onödigt att i den föreslagna studiestödsdatalagen ta in en uttrycklig erinran om att lagen inte får tillämpas i strid med grundlag.

6.6.4. Bestämmelser om uppgiftsskyldighet och sekretess

För tydlighets skull bör det i detta sammanhang avslutningsvis lämnas en samlad redogörelse för hur den föreslagna studiestödsdatalagen förhåller sig till bestämmelser om uppgiftsskyldighet och sekretess.

15

Med bestämmelser om uppgiftsskyldighet avser utred-

ningen bestämmelser i lag eller förordning som innebär att CSN ska lämna ut vissa uppgifter till annan myndighet eller sådana privata organ som vid tillämpningen av sekretesslagen jämställs med myndighet, såsom arbetslöshetskassorna, eller till enskilda, dvs. bestämmelser av sådan typ som avses i 14 kap. 1 § sekretesslagen (1980:100) och som innebär att eventuell föreskriven sekretess inte hindrar utlämnande till annan myndighet. Sådana bestämmelser om uppgiftsskyldighet bör skiljas från bestämmelser som bara anger att CSN får lämna ut vissa uppgifter eller att sekretess inte hindrar ett utlämnande av vissa uppgifter.

Den föreslagna studiestödsdatalagen innehåller inte någon bestämmelse om uppgiftsskyldighet. De bestämmelser som föreslås t.ex. i fråga om ändamål med behandlingen och om direktåtkomst

14

Prop. 1997/98:44 s. 46 och 51 f.

15

Jämför SOU 2007:22 Del 1 s. 461 ff. för synpunkter rörande bl.a. otydlig reglering i de särskilda registerförfattningarna.

och annat elektroniskt utlämnande av personuppgifter anger nämligen bara vad som får ske.

I annan lag eller i förordning förekommer det dock, såsom framgått av bakgrundsavsnitten, inte så sällan bestämmelser om uppgiftsskyldighet för CSN. Avsikten är att den föreslagna studiestödsdatalagen ska vara subsidiär i förhållande till sådana bestämmelser om uppgiftsskyldighet för CSN. CSN ska alltså få fortsätta att fullgöra uppgiftsskyldigheten enligt bestämmelserna oberoende av vad som anges i den föreslagna studiestödsdatalagen. Man skulle i och för sig kunna tänka sig att ha ett inledande stadgande i studiestödsdatalagen som klargör detta förhållande. Så har särskilda registerförfattningar dock inte brukat utformas. Utredningen anser också att regleringen blir tydligast om vad som gäller i fråga om bestämmelser om uppgiftsskyldighet anges först vid de bestämmelser i den föreslagna studiestödsdatalagen där de har relevans.

Utredningen föreslår således i anslutning till att tillåtna ändamål med behandlingen av personuppgifter i studiestödsverksamheten anges en uttrycklig bestämmelse om att de personuppgifter som behandlas också får lämnas ut till utomstående i den utsträckning uppgiftsskyldighet följer av lag eller förordning, se närmare avsnitt 6.8.4. Den bestämmelsen anger alltså enbart att uppgifterna får lämnas ut och inte hur utlämnandet får ske, muntligen, skriftligen på papper eller genom direktåtkomst eller annat elektroniskt utlämnande. I fråga om just utlämnandeformerna direktåtkomst och annat elektroniskt utlämnande föreslår utredningen av integritetsskyddsskäl en inskränkning som innebär att dessa former av utlämnande är tillåtna bara i den utsträckning som anges i lag eller förordning. Enligt en uttrycklig bestämmelse i den föreslagna studiestödsdatalagen får ett par utomstående instanser ha direktåtkomst i den utsträckning uppgiftsskyldighet följer av lag eller förordning. Se närmare i fråga om direktåtkomst och annat elektroniskt utlämnande av personuppgifter avsnitt 6.12.

Om det i lag eller förordning finns en uppgiftsskyldighet för CSN, kan CSN således utan hinder av studiestödsdatalagen fullgöra skyldigheten genom att lämna ut uppgifterna muntligen eller skriftligen på papper eller annat icke elektroniskt medium.

16

Öns-

kar CSN däremot fullgöra skyldigheten genom direktåtkomst eller

16

Skulle uppgiftsskyldighet vara föreskriven i förhållande till enskilda måste bestämmelser om sekretess iakttas, eftersom bestämmelsen i 14 kap. 1 § sekretesslagen om att uppgiftsskyldighet bryter sekretess bara gäller utlämnande till myndighet.

annat elektroniskt utlämnande, måste CSN dock ha särskilt stöd för detta i studiestödsdatalagen, annan lag eller förordning.

Den föreslagna studiestödsdatalagen innehåller som nämnts inte någon bestämmelse om uppgiftsskyldighet som enligt 14 kap. 1 § sekretesslagen skulle kunna bryta igenom sekretess vid utlämnande till myndighet. Avsikten är att den föreslagna lagen inte heller i övrigt ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen. Trots att det i den föreslagna lagen anges t.ex. att personuppgifter får behandlas i CSN:s studiestödsverksamhet om behandlingen behövs för att handlägga ärenden i den verksamheten, kan en behandling av personuppgifter som i och för sig behövs för att handlägga ärenden i studiestödsverksamheten men som innebär ett utlämnande av personuppgifter i sekretesslagens mening således hindras av sekretess enligt sekretesslagen. Utredningen anser att det är så självklart att det inte behöver anges uttryckligen i den föreslagna lagen; den föreslagna studiestödsdatalagen anger på sedvanligt sätt bara vad som får ske om inte annan lagstiftning – eller t.ex. ekonomiska eller tekniska eller andra förhållanden – hindrar det.

På motsvarande sätt betraktar utredningen bestämmelserna om sekretess i sekretesslagen; bestämmelserna anger när uppgifter inte får lämnas ut på grund av sekretess, men utsäger inget om när uppgifter får lämnas ut eller när uppgifter inte får lämnas ut på grund av bestämmelser i annan lagstiftning. I den utsträckning det skulle följa av den föreslagna studiestödsdatalagen att en personuppgift inte får behandlas genom att lämnas ut, ska det alltså gälla oberoende av om sekretess hindrar utlämnandet eller inte. En annan sak är att sådant utlämnande av uppgifter som CSN är skyldig att göra enligt grundlag, t.ex. enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen, får ske oberoende av vad det står i den föreslagna studiestödsdatalagen, se avsnitt 6.6.3.

6.7. Personuppgiftsansvar

Utredningens förslag: Centrala studiestödsnämnden är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.

Enligt definitionen i 3 § personuppgiftslagen är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på behandling av personuppgifter iakttas. Vidare innebär personuppgiftsansvaret en skyldighet att lämna information till den registrerade (2327 §§personuppgiftslagen), att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med personuppgiftslagen (28 §), att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §), att – enligt huvudregeln – anmäla all automatiserad behandling av personuppgifter till Datainspektionen (36 §) samt att ersätta den registrerade för den skada en lagstridig behandling av personuppgifter för med sig (48 §).

I lag eller förordning kan det bestämmas vem som är personuppgiftsansvarig. En sådan bestämmelse är tillåten enligt EGdirektivet (artikel 2 d) och tar över regleringen i personuppgiftslagen (2 § personuppgiftslagen). I särskilda registerförfattningar om behandling av personuppgifter i olika slags verksamheter har det ofta ansetts lämpligt från integritetsskyddssynpunkt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling av personuppgifter som regleras i de särskilda författningarna. Ibland har detta också ansetts nödvändigt med tanke på att ändamålen anges i lagen i stället för att bestämmas av den ifrågavarande myndigheten.

I fråga om behandling av personuppgifter i CSN:s studiestödsverksamhet kan inte gärna annan än CSN vara personuppgiftsansvarig. Mot bakgrund av att de tillåtna ändamålen med CSN:s behandling anges i den föreslagna studiestödsdatalagen föreslår utredningen att det uttryckligen i lagen ska anges att CSN är personuppgiftsansvarig för den behandling av personuppgifter som CSN utför. Personuppgiftsansvaret innebär även ett ansvar för att en behandling av personuppgifter faktiskt utförs när den ska ske, t.ex. att rättelse, blockering eller gallring sker i föreskriven tid och på rätt sätt, liksom ett ansvar för att behandling av personuppgifter inte utförs när det inte får ske. Personuppgiftsansvaret gäller alltså också vid underlåtenhet att utföra en behandling som åligger CSN.

6.8. När personuppgifter får behandlas

Utredningens förslag Personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet förutom med den registrerades samtycke bara om behandlingen behövs för att

1. handlägga ärenden i den verksamheten, 2. administrera handläggningen, 3. i den utsträckning regeringen föreskriver det förbereda hand-

läggningen, 4. informera studiestödsberättigade om studiestödsförmåner

och studiesociala förmåner, 5. ta fram och till studerande distribuera bevis om studier med

studiestöd, eller 6. om sekretess inte hindrar det anmäla oegentlighet inom

studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

Personuppgifter som behandlas enligt vad som nu sagts får dock om sekretess inte hindrar det lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Personuppgifter som inte direkt pekar ut den registrerade får också behandlas avskilt för att återsöka vägledande avgöranden.

Regeringen får meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

6.8.1. Inledning och sammanfattning

Enligt artikel 6.1 b i EG-direktivet och 9 § personuppgiftslagen får personuppgifter samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifterna får senare inte behandlas för något ändamål som är oförenligt med de ändamål för vilka uppgifterna samlades in (den s.k. finalitetsprincipen).

I särskilda registerförfattningar brukar det regelmässigt anges för vilka ändamål personuppgifter får behandlas. Sådana bestämmelser anger alltså ramen för den behandling som får förekomma i den verksamhet som regleras i författningen.

Utredningen föreslår att de tillåtna ändamålen med behandling av personuppgifter i CSN:s studiestödsverksamhet på sedvanligt sätt anges i studiestödsdatalagen. Utredningen har därvid tagit med samtliga de ändamål för vilka CSN i dag behandlar personuppgifter för att utföra de arbetsuppgifter som åligger nämnden inom studiestödverksamheten. Eftersom det ansetts inte innebära några risker i integritetsskyddshänseende, föreslås det att CSN dessutom alltid får behandla personuppgifter i studiestödsverksamheten om de registrerade samtyckt till behandlingen. I detta fall har CSN att ange ändamålet med den behandling av personuppgifter som avses med samtycket.

Såvitt framkommit samlar CSN inte i studiestödsverksamheten in och annars behandlar personuppgifter som CSN inte själv behöver för verksamheten utan som avses lämnas ut till andra myndigheter. Det har därför inte varit aktuellt att utforma s.k. sekundära ändamål.

Däremot förekommer det naturligtvis att CSN lämnar ut personuppgifter som behandlas till andra myndigheter och enskilda. I många fall torde den behandling som utlämnandet av personuppgifterna utgör ske med samtycke eller för att uppfylla de tillåtna ändamål som angetts för CSN:s behandling av personuppgifter i studiestödsverksamheten och därmed vara tillåten. I andra situationer behöver det dock inte vara fallet, t.ex. när CSN ålagts en uppgiftsskyldighet gentemot en annan myndighet. Utredningen föreslår därför en uttrycklig bestämmelse om att personuppgifter – oberoende av samtycke och de tillåtna ändamål som angetts – får lämnas ut i den utsträckning uppgiftsskyldighet följer av lag eller förordning, om sekretess inte hindrar det

17

(se om förhållandet till

bestämmelser om uppgiftsskyldighet också avsnitt 6.6.4). Det föreslås vidare en uttrycklig bestämmelse om att CSN dessutom alltid får lämna ut personuppgifter till riksdagen och regeringen

18

och,

om sekretess inte hindrar det, till den registrerade själv. Dessa bestämmelser om utlämnande av personuppgifter kan sägas innebära att personuppgifterna i CSN:s studiestödsverksamhet, på det sätt som krävs enligt artikel 6.1 i EG-direktivet, samlas in även för att senare eventuellt lämnas ut i de angivna fallen.

17

Se 14 kap. 1 § andra meningen sekretesslagen om att sekretess inte hindrar att uppgift lämnas till annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.

18

Se 14 kap. 1 § första meningen sekretesslagen om att sekretess inte hindrar att uppgift lämnas till regeringen eller riksdagen.

Det föreslås att den reglering som nu angetts ska vara uttömmande i den meningen att CSN inte i andra fall, eller för andra ändamål, får behandla personuppgifter i studiestödsverksamheten. För att en behandling av personuppgifter i studiestödsverksamheten ska vara tillåten krävs det alltså att den är nödvändig för de tillåtna ändamålen, sker med samtycke eller, i andra fall, avser utlämnande enligt en uppgiftsskyldighet i lag eller förordning eller till riksdagen, regeringen eller den registrerade själv. Det är alltså inte tillåtet att i studiestödsverksamheten hos CSN behandla personuppgifter som samlats in för de tillåtna ändamålen för något annat ändamål även om detta ändamål inte skulle vara oförenligt med de tillåtna ändamålen (jämför finalitetsprincipen i 9 § första stycket d personuppgiftslagen); en sådan senare behandling för ett annat ändamål är tillåten bara med samtycke eller om behandlingen avser utlämnande i de fall som nyss angetts. För att behandlingen ska få genomföras krävs det dock givetvis också att övriga bestämmelser om behandlingen följs, t.ex. de föreslagna särskilda bestämmelserna med restriktioner i fråga om personuppgifter av känslig natur, sökbegrepp och direktåtkomst och annat elektroniskt utlämnande.

Den reglering som nu angetts avses vidare inte innebära avvikelser från bestämmelserna i personuppgiftslagen i den meningen att inskränkningarna i personuppgiftslagen i fråga om behandling av personnummer (22 §) och överföring av personuppgifter till tredje land (33 §) inte skulle gälla. Frågan om det bör finnas särskilda bestämmelser i den föreslagna studiestödsdatalagen om behandling av personnummer och om överföring av personuppgifter till tredje land berörs i avsnitt 6.9 respektive 6.13. När det gäller inskränkningarna i personuppgiftslagen i fråga om behandling av känsliga personuppgifter (13 §) och personuppgifter om lagöverträdelser m.m. (21 §) finns det däremot särskilda bestämmelser i den föreslagna studiestödsdatalagen som tar över bestämmelserna i personuppgiftslagen, se avsnitt 6.9.

6.8.2. Tillåtna ändamål med behandlingen

Utredningen har undersökt för vilka ändamål CSN i dag behandlar personuppgifter för att utföra de arbetsuppgifter som åligger nämnden inom studiestödsverksamheten. Utredningen har därvid inte funnit att CSN skulle behandla personuppgifter för något

obefogat ändamål. Utredningen föreslår därför att de ändamål för vilka CSN i dag behandlar personuppgifter för att utföra de arbetsuppgifter som åligger nämnden inom studiestödsverksamheten anges i studiestödsdatalagen såsom tillåtna ändamål. Utredningen föreslår i enlighet härmed en bestämmelse om att personuppgifter får behandlas i CSN:s studiestödsverksamhet förutom med den registrerades samtycke bara om behandlingen behövs för att 1. handlägga ärenden i den verksamheten, 2. administrera handläggningen, 3. i den utsträckning regeringen föreskriver det förbereda

handläggningen, 4. informera studiestödsberättigade om studiestödsförmåner och

studiesociala förmåner, 5. ta fram och till studerande distribuera bevis om studier med stu-

diestöd, eller 6. om sekretess inte hindrar det anmäla oegentlighet inom studie-

stödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

Utredningen föreslår vidare att personuppgifter som behandlas enligt de angivna tillåtna ändamålen och som inte direkt pekar ut den registrerade också får behandlas avskilt för att återsöka vägledande avgöranden.

Bestämmelsen om tillåtna ändamål innebär en avvikelse från personuppgiftslagen såtillvida att den ersätter 10 § personuppgiftslagen. CSN får således i studiestödsverksamheten inte t.ex. behandla personuppgifter efter en intresseavvägning enligt 10 § f personuppgiftslagen.

När det i studiestödsdatalagen anges att ”behandlingen behövs” eller ”uppgifterna behövs” för olika syften avses detsamma som när det i artikel 7 i EG-direktivet och 10 § personuppgiftslagen anges att ”behandlingen är nödvändig” för olika syften.

För att en personuppgift ska få (behandlas genom att) samlas in krävs det att behandlingen behövs för åtminstone något av de angivna tillåtna ändamålen.

De personuppgifter som för de angivna ändamålen får behandlas i CSN:s studiestödsverksamhet får anses insamlade för samtliga ändamål. Personuppgifter som har samlats in i första hand för att handlägga ärenden i studiestödsverksamheten kan således utan hinder av den s.k. finalitetsprincipen i 9 § första stycket d person-

uppgiftslagen senare behandlas t.ex. för att ta fram och till studerande distribuera bevis om studier med studiestöd. Däremot får CSN inte i studiestödsverksamheten utan samtycke från den registrerade behandla personuppgifter för något annat ändamål än vad som framgår ovan. Detta är inte ens tillåtet om ändamålet med denna behandling inte skulle vara oförenligt med det för vilket personuppgifterna ursprungligen samlades in. Vad som gäller i fråga om utlämnande av personuppgifter berörs i avsnitt 6.8.4.

Handlägga ärenden

För att kunna fullgöra sina arbetsuppgifter enligt studiestödslagen och andra författningar om studiestöd behöver CSN behandla en stor mängd personuppgifter. CSN bör givetvis få behandla personuppgifter om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten.

Med handläggning avses inte bara åtgärder som direkt syftar till att kunna fatta beslut i ett ärende om studiestöd utan samtliga åtgärder i ärendet både före och efter beslutet. Sådana åtgärder i ett ärende kan vara bl.a. att på begäran sända ut ansökningsblanketter, att ta emot och skanna in handlingar, att sända ut förfrågningar, att upprätta minnesanteckningar, sammanställningar och utkast inför beslut, att utforma ett beslut, att expediera beslutet, att administrera utbetalning och att efter beslutet ha kontakter med den studiestödsberättigade. Dessa efterföljande kontakter kan t.ex. gå ut på att lämna information om förändrad ränta för studielån. När CSN sänder ut ett meddelande som behövs för att handlägga ett ärende om studiestöd och bifogar information omkring det studiestöd ärendet gäller, får även lämnandet av informationen anses behövlig för att handlägga ärendet.

Att ge den registrerade elektronisk eller annan tillgång till uppgifterna i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan får anses ingå i handläggningen av ärenden (jämför om direktåtkomst för den registrerade avsnitt 6.12.6).

Även behandling av personuppgifter som sker för att kontrollera exempelvis att studiestöd har beslutats, betalats ut och betalats tillbaka på ett riktigt sätt utgör en del av handläggningen av ärendet om studiestöd. Kontroller av bl.a. sökandens uppgifter ingår således i handläggningen. Att en handläggare tar del av vägledande

avgöranden för att kunna pröva ett ärende om studiestöd ingår också i handläggningen av ärendet. Detsamma gäller när en anställd tar del av material i vägledande fall för att utforma handböcker och liknande till ledning för handläggningen av ärenden.

Också CSN:s kravverksamhet avseende återbetalning eller återkrav av studiestöd ingår i handläggningen av ärenden. Det kan handla om att sända ärenden för indrivning till inkassoföretag eller att ansöka om betalningsföreläggande eller verkställighet hos Kronofogdemyndigheten.

Även sådan bokföring och redovisning avseende ärendena om studiestöd som är föreskriven får anses ingå i handläggningen av ärenden.

Om skadeståndsanspråk riktas mot staten med anledning av skada som inträffat inom CSN:s verksamhetsområde, kan CSN vara behörig att själv handlägga skadeståndsanspråket, 5 § förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten. Samråd kan dock behöva ske med Justitiekanslern, och i vissa fall är det i stället Justitiekanslern som har att handlägga skadeståndsanspråket. Om skadeståndsanspråket avser CSN:s studiestödsverksamhet, får också CSN:s handläggning av själva skadeståndsanspråket anses avse handläggning av ärende i studiestödsverksamheten. Det gäller även när CSN för handläggningen av skadeståndsanspråket behöver lämna ut personuppgifter till Justitiekanslern. På motsvarande sätt får CSN:s handläggning avseende svar på förfrågningar från tillsynsinstanser, t.ex. Riksdagens ombudsmän (JO), rörande CSN:s studiestödsverksamhet anses avse handläggning av ärende i studiestödsverksamheten.

Den behandling av personuppgifter som behövs för att handlägga ärenden i studiestödsverksamheten bör få utföras även om den registrerade motsätter sig behandlingen (se avsnitt 6.5).

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Administrera handläggningen av ärenden

För att kunna handlägga ärendena i studiestödsverksamheten behövs det en omfattande administration hos CSN. Denna administration innefattar viss behandling av personuppgifter som inte på

ett naturligt sätt kan sägas ingå i den direkta handläggningen av ärenden i studiestödsverksamheten som avses under närmast föregående rubrik. Ett exempel på sådan behandling är förandet av register över anmälda kontaktpersoner på olika läroanstalter. Ett sådant kontaktregister används nämligen bara för att underlätta handläggningen av ärendena om studiestöd. Ett annat exempel är den behandling av personuppgifter om såväl handläggare som sökande som sker i samband med att ärenden om studiestöd på automatiserat vis fördelas mellan CSN:s handläggare.

Det bör därför uttryckligen anges att CSN får behandla personuppgifter i studiestödsverksamheten om behandlingen behövs för att administrera handläggningen. Den behandling av personuppgifter som behövs för detta bör få utföras även om den registrerade motsätter sig behandlingen (se avsnitt 6.5).

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Förbereda handläggningen av ärenden

CSN:s handläggning av ärenden avseende studiehjälp och beviljande av studiemedel utgör en masshantering, där många beslut måste fattas och verkställas genom utbetalning vid ungefär samma tider varje år. CSN förbereder hanteringen genom att i förväg hämta in personuppgifter beträffande alla 16-åringar om bl.a. personnummer, namn, adress, vårdnadshavare och betalningsmottagare för allmänt eller förlängt barnbidrag samt beträffande personer som antagits till någon utbildning som berättigar till studiemedel om bl.a. uppgifter om personnummer, namn och adress. Den behandlingen av personuppgifter avseende 16-åringar som inte fortsätter att studera respektive antagna studerande som inte ansöker om studiemedel behövs inte för att handlägga ärenden som berör dem (eftersom några ärenden avseende de nämnda personerna inte är eller kommer att bli aktuella). Däremot är det nödvändigt att den nämnda förberedande behandlingen avseende alla personer som kan bli aktuella för stöd genomförs för att med rimliga resurser handlägga ärendena beträffande 16-åringar som fortsätter att studera respektive antagna studerande som ansöker om studiemedel och betala ut vad de har rätt till i rätt tid.

Vid utformningen av den särskilda registerförfattningen för bl.a. Försäkringskassans verksamhet inom socialförsäkringens administration har det ansetts att sådana förberedande åtgärder bör hänföras till ett särskilt ändamål vid sidan av ändamålet att handlägga ärenden, eftersom det bedömts att handläggning av ärenden kan förekomma först när ett ärende har anhängiggjorts.

19

Det kan här nämnas att CSN också hämtar in uppgifter om ungdomar som är äldre än 16 år och som antagits till en utbildning som berättigar dem till studiehjälp. I detta fall får behandlingen av personuppgifter anses ske för att handlägga det ärende om studiehjälp som aktualiserats genom antagningen till utbildningen.

Det får anses särskilt integritetskänsligt att en myndighet behandlar personuppgifter om individer som inte alls berörs av myndighetens ålagda arbetsuppgifter. Samtidigt är det enligt utredningens bedömning rimligt och proportionerligt att så får fortsätta att ske, beträffande de förhållandevis harmlösa uppgifter det är fråga om, för att den majoritet av berörda personer som kommer att ha rätt till studiehjälp respektive studiemedel med rimliga resurser ska kunna få det i rimlig tid. Integritetskänsligheten av behandlingen gör dock att den bör kringgärdas av särskilda garantier för integritetsskyddet. Att ge den enskilde ett inflytande över om hans eller hennes personuppgifter ska behandlas eller inte (dvs. att införa en rätt att motsätta sig behandlingen) kan vara en sådan garanti. Det skulle emellertid inte vara särskilt ändamålsenligt bl.a. eftersom fördelarna med förberedandet av masshanteringen då skulle gå delvis förlorade och då det torde vara svårt att på ett effektivt sätt i förväg informera de berörda om rätten att motsätta sig behandlingen.

Utredningen anser i stället att en lämplig garanti för integritetsskyddet är att överlåta åt regeringen att föreskriva om i vilka fall behandling av uppgifter om personer som inte (ännu) berörs av något ärende hos CSN ska vara tillåten för att vidta förberedande åtgärder för handläggningen. Därmed får man på ett flexibelt sätt en garanti för att det görs en konkret bedömning av att inte fler personer eller fler personuppgifter än vad som verkligen är nödvändigt berörs av de förberedande åtgärderna. Frågan om en anknytande förordningsreglering berörs i avsnitt 6.17.2.

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekre-

19

Prop. 2002/03:135 s. 62 f.

tesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Informera om studiestödsförmåner och studiesociala förmåner

Enligt sin instruktion är CSN central förvaltningsmyndighet för studiesociala frågor, och enligt studiestödslagen och andra författningar om studiestöd har CSN att handlägga ärenden om studiestöd. Syftet med studiestödet är ofta att bl.a. bidra till ett högt deltagande i utbildning. Det sagda får anses innebära att det åligger CSN att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. CSN anser det och sysslar en hel del med sådan information. Även utredningen anser det befogat att behandla personuppgifter för att på det sättet informera studiestödsberättigade åtminstone så länge de berörda inte motsatt sig det.

Utredningen föreslår därför att CSN i studiestödsverksamheten får behandla personuppgifter om behandlingen behövs för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Den behandlingen av personuppgifter, som inte är nödvändig i samband med handläggningen av ärenden, bör dock bara få utföras så länge den registrerade inte har motsatt sig behandlingen, se avsnitt 6.5. CSN har att informera de registrerade om rätten att motsätta sig behandlingen, lämpligen bl.a. genom att ta med den informationen i varje informationsutskick.

Det är bara information till studiestödsberättigade som avses. Avser informationen studiestödsförmåner måste det kunna antas att informationsmottagarna i och för sig är berättigade till just den aktuella förmånen om de skulle börja studera på visst sätt, vilket t.ex. är fallet med mottagarna av det s.k. 16-årsbrevet avseende studiehjälp. Det krävs alltså inte att personen redan studerar.

Med studiestödsförmåner avses det som ibland kallas studiefinansiell verksamhet, dvs. CSN:s kärnverksamhet med studiestöd.

20

Information om studiestödsförmåner kan avse t.ex. olika

stödformer och villkoren för dessa och därmed sammanhängande frågor. Det ska röra sig om information om någon stödform som CSN har att hantera. Vilka stödformer det kan röra sig om kan komma att variera över tiden. För närvarande är det fråga om stöd

20

Se CSN:s skrivelse (dnr 2006-100-12243) till Utbildnings- och kulturdepartementet den 19 oktober 2006 s. 8.

enligt studiestödslagen, TUFF-ersättning, Rg-bidrag och ersättning för dagliga resor.

Med studiesociala förmåner avses sådan studiesocial verksamhet som kan antas vara till fördel för den som studerar. Det kan vara fråga om rabatter på resor eller försäkringar som riktar sig just till studerande. Information om de olika rabatt- och förmånskort som i dag finns för studerande faller under bestämmelsen. Vad som är en förmån får bedömas från fall till fall. Det ska typiskt sett vara fråga om något som för studerandekollektivet, eller i vart fall för en inte ringa del av det, framstår som en nyttighet eller i vart fall något önskvärt.

I avsnitt 6.17.3 finns det överväganden om vilka personuppgifter som bör få behandlas för det aktuella ändamålet.

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Distribuera bevis om studier med studiestöd

En del av CSN:s verksamhet inom ramen för den studiesociala verksamheten består i att se till att studerande med studiestöd får olika rabatt- och förmånskort, se avsnitt 4.2.5 ovan. Det rör sig för närvarande om CSN-kortet, Mecenatkortet, Studentkortet och Membitkortet. Det är inte CSN som själv tar fram och distribuerar dessa kort, men personuppgifterna som används kommer från CSN:s register och lämnas ut till olika företag för ändamålet. CSN är personuppgiftsansvarig för den behandling av personuppgifter som utlämnandet till kortföretagen innebär. För den övriga behandling av personuppgifter som behövs för att ta fram och distribuera korten är CSN personuppgiftsansvarig bara för den behandling avseende CSN-kortet som ett företag utför såsom personuppgiftsbiträde åt CSN.

Utredningen anser att det är befogat och normalt till fördel för studiestödstagarna att behandla personuppgifter för att på det beskrivna sättet ta fram och distribuera bevis om studier med studiestöd som kan användas för att styrka rätten till olika förmåner för studerande. Det gäller åtminstone så länge de berörda inte motsatt sig det.

Utredningen föreslår därför att CSN i studiestödsverksamheten får behandla personuppgifter om behandlingen behövs för att ta fram och till studerande distribuera bevis om studier med studiestöd. Den behandlingen, som inte är nödvändig i samband med handläggningen av ärenden, bör dock bara få utföras så länge den registrerade inte har motsatt sig behandlingen, se avsnitt 6.5. CSN har att informera de registrerade om rätten att motsätta sig behandlingen.

I avsnitt 6.17.3 finns det överväganden om vilka personuppgifter som bör få behandlas för det aktuella ändamålet.

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Anmäla oegentligheter

I studiestödsverksamheten kan det upptäckas oegentligheter. Det kan gälla sökande som fuskat eller försökt fuska, t.ex. genom att lämna oriktiga uppgifter eller förfalskade handlingar. Det kan också gälla oegentligheter begångna i studiestödsverksamheten av andra än sökande, t.ex. dataintrång av CSN:s personal, personal vid annan instans med direktåtkomst eller någon helt utomstående eller mutbrott och bestickning.

När det gäller sökandes fusk har det nyligen införts en skyldighet för CSN att till polismyndighet eller Åklagarmyndigheten anmäla brott enligt bidragsbrottslagen (2007:612). Det har av 2005 års informationsutbytesutredning vidare föreslagits att en anmälningsskyldighet införs för bl.a. CSN när det finns anledning att anta att ett bidrag eller en annan ekonomisk förmån för personligt ändamål från trygghetssystemen felaktigt har beviljats eller betalats ut till en enskild från vissa myndigheter.

21

En sådan anmälan ska

göras till den myndighet som har beviljat eller betalat ut förmånen. Det kan också finnas andra anmälningsskyldigheter som kan ha betydelse vid oegentligheter i studiestödsverksamheten. En anmälningsskyldighet får samtidigt anses innebära en sådan uppgiftsskyldighet som genombryter sekretess enligt 14 kap. 1 § sekretesslagen (1980:100) vid utlämnande till myndighet och som utred-

21

SOU 2007:45 s. 385 ff.

ningen föreslår ska kunna fullgöras oberoende av bestämmelserna om ändamål i studiestödsdatalagen (se avsnitt 6.6.4 och 6.8.4).

Någon generell skyldighet för CSN att anmäla oegentligheter i studiestödsverksamheten finns dock inte. Anmälningsskyldigheten enligt bidragsbrottslagen avser t.ex. inte oriktigt uppgiftslämnande i ett ärende om avskrivning av studielån som kan innebära bedrägeri enligt brottsbalken.

22

I sådana fall där det inte finns anmälnings-

skyldighet får CSN själv välja om en anmälan om oegentligheten ska göras till behörig myndighet eller inte. CSN måste dock i dessa fall först avgöra om sekretess kan hindra anmälan; ofta kan emellertid en anmälan till myndighet göras utan hinder av annars gällande sekretess enligt 14 kap.2 och 3 §§sekretesslagen (1980:100).

Även om det finns vissa risker i integritets- och rättssäkerhetshänseende med att en myndighet har, inte en skyldighet att vidta en åtgärd utan, en viss valmöjlighet i fråga om en för den enskilde klart negativ åtgärd ska vidtas eller inte, anser utredningen att det är rimligt och proportionerligt att CSN även när det inte finns en anmälningsskyldighet får behandla personuppgifter för att om sekretess inte hindrar det anmäla en oegentlighet inom studiestödsverksamhet till ett offentligt organ som enligt offentligrättsliga regler har att utreda eller beivra oegentligheten.

Utredningen föreslår därför såsom ett särskilt ändamål en bestämmelse om att CSN i studiestödsverksamheten får behandla personuppgifter om behandlingen behövs för att, om sekretess inte hindrar det, anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

Anmälan ska alltså avse sådant inom studiestödsverksamheten som kan betecknas som en oegentlighet som något offentligt organ har att utreda eller beivra. Det kan gälla t.ex. brottsmisstankar som anmäls till polismyndighet eller Åklagarmyndigheten. Det kan också gälla sådant som kan föranleda en arbetsrättslig åtgärd, såsom disciplinansvar, åtalsanmälan, uppsägning eller avskedande, som anmäls till någon myndighets personalansvarsnämnd inklusive personalansvarsnämnden hos CSN.

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

22

Prop. 2006/07:80 s. 79 och 80.

Återsöka vägledande avgöranden

CSN har behov av att kunna samla vägledande avgöranden från den egna verksamheten och från överprövnings- och tillsynsinstanser bl.a. för att kunna handlägga ärendena, utbilda handläggare och skriva vägledningar om regelverket och dess tillämpning. När avgöranden används för sådana ”praxisändamål” är det egentligen inte intressant vilka namngivna individer avgörandena rört. Det intressanta är i stället de rättsliga bedömningar som gjorts.

För att CSN ska kunna ha en särskild praxisdatabas där vägledande avgöranden samlas föreslår utredningen en bestämmelse om att personuppgifter som behandlas för de tillåtna ändamålen och som inte direkt pekar ut den registrerade får behandlas avskilt för att återsöka vägledande avgöranden.

Närmare föreskrifter om ändamålen

Som framgått har de tillåtna ändamålen med behandlingen angetts på ett förhållandevis allmängiltigt sätt. Utredningen har nämligen ansett att det inte är lämpligt eller möjligt med bestämmelser med större precision i lag. Det kan emellertid inte uteslutas att det i vissa fall kan vara önskvärt att av integritetsskyddsskäl ytterligare precisera bestämmelserna om ändamål.

Utredningen föreslår därför att regeringen bemyndigas att meddela föreskrifter om begränsningar av de i studiestödsdatalagen angivna tillåtna ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. Utredningen lämnar ett förslag till en till lagen anknytande förordning med bl.a. sådana föreskrifter. Frågan om innehållet i förordningen berörs i avsnitt 6.17.

6.8.3. Den registrerades samtycke till andra behandlingar

I sin roll som central förvaltningsmyndighet för studiesociala frågor kan CSN på olika sätt vilja erbjuda studiestödsberättigade service av skilda slag. Som exempel kan nämnas det informationsutbyte som sker mellan CSN och resebyrå respektive försäkringsmäklare (se närmare avsnitt 4.2.5). Studerande som är berättigade till stöd för resa kan begära att CSN till resebyrå lämnar ut nödvändiga personuppgifter för att CSN ska betala den studerandes

resa direkt till resebyrån. På motsvarande sätt kan studerande som önskar kontakt med försäkringsmäklare begära att CSN vidarebefordrar information till sådan mäklare.

Den service som CSN i dag erbjuder synes bygga på de registrerades samtycke eller åtminstone utan olägenhet kunna bygga på sådant samtycke.

Enligt utredningens mening finns det över huvud taget inga beaktansvärda integritetsskyddsskäl som talar emot att tillåta CSN att inom ramen för studiestödsverksamheten behandla personuppgifter för vilket ändamål som helst med stöd av frivilligt samtycke från den registrerade.

23

Utredningen anser vidare att det inte

är nödvändigt med bestämmelser som förbjuder eller gör det möjligt att förbjuda en behandling inom ramen för studiestödsverksamheten som sker med den registrerades samtycke.

Utredningen föreslår därför en bestämmelse om att personuppgifter får behandlas i CSN:s studiestödsverksamhet om den registrerade har samtyckt till behandlingen.

Behandlingen av personuppgifter i studiestödsverksamheten får med samtycke avse vilket ändamål som helst. Eftersom personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och senare inte får behandlas för något ändamål som är oförenligt med de ändamål för vilka uppgifterna samlades in (9 § första stycket c och d personuppgiftslagen), måste CSN i detta fall själv ange ändamålet med behandlingen. De personuppgifter som har samlats in med stöd av den registrerades samtycke får således – till skillnad från vad som gäller för personuppgifter som har samlats in bara med stöd av de angivna tilllåtna ändamålen (se avsnitt 6.8.2) – senare användas för ändamål som inte är oförenliga med det ändamål för vilket de insamlades (9 § första stycket d personuppgiftslagen).

Den registrerade kan samtycka till att personuppgifter som redan samlats in för de angivna tillåtna ändamålen senare används för något annat ändamål. Den fortsatta behandlingen för det nya ändamålet är då tillåten med stöd av samtycket.

Med samtycke avses detsamma som enligt personuppgiftslagen (3 §), nämligen varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Även frågorna om när den registrerade själv kan lämna ett sam-

23

Motsvarande bedömning har nyligen gjorts av Patientdatautredningen på hälso- och sjukvårdsområdet, SOU 2006:82.

tycke och om vem som kan lämna ett samtycke för en registrerad som inte kan det får bedömas på samma sätt som enligt personuppgiftslagen.

24

6.8.4. Utlämnande av personuppgifter utan samtycke för andra ändamål

I den utsträckning CSN har en skyldighet enligt lag eller förordning att lämna ut uppgifter för annat än de tillåtna ändamålen, bör den skyldigheten få fullgöras oberoende av den föreslagna studiestödsdatalagen även om den registrerade inte lämnat sitt samtycke till det.

Utredningen föreslår därför en bestämmelse om att CSN får, om sekretess inte hindrar det, till myndigheter och enskilda lämna ut personuppgifter som behandlas i studiestödsverksamheten enligt de tillåtna ändamålen eller med stöd av den registrerades samtycke i den utsträckning uppgiftsskyldighet följer av lag eller förordning.

Med uppgiftsskyldighet avses detsamma som enligt 14 kap. 1 § sekretesslagen (1980:100). Uppgiftsskyldigheten kan avse utlämnande till andra myndigheter eller till enskilda. Även skyldigheten enligt 4 kap. 11 § riksdagsordningen att på begäran lämna riksdagens utskott upplysningar och yttranden avses.

Som exempel på uppgiftsskyldighet kan nämnas 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. Enligt den bestämmelsen ska CSN på begäran lämna Riksrevisionen den hjälp och de uppgifter och upplysningar som Riksrevisionen behöver för sin granskning.

Även de helt generella bestämmelserna om skyldighet att på begäran lämna ut uppgifter till enskilda och myndigheter i 15 kap.4 och 5 §§sekretesslagen avses. Enligt den förstnämnda bestämmelsen ska CSN på begäran av enskild lämna uppgift ur allmän handling som förvaras hos CSN i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång, och enligt den sistnämnda bestämmelsen ska CSN på begäran av annan myndighet lämna uppgift som CSN förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Att CSN enligt dessa bestämmelser på begäran av enskild eller myndighet lämnar ut per-

24

Se SOU 1997:39 s. 341 f. och Sören Öman & Hans-Olof Lindblom, Personuppgiftslagen – En kommentar, tredje upplagan 2007, s. 90 f. med vidare hänvisningar.

sonuppgifter hindras alltså inte av den föreslagna studiestödsdatalagen. Inte heller CSN:s skyldigheter enligt grundlag att lämna ut personuppgifter, t.ex. på begäran av enskild enligt offentlighetsprincipen, hindras av den föreslagna lagen (se avsnitt 6.6.3).

Utredningen anser vidare att CSN utan hinder av den föreslagna studiestödsdatalagen bör få lämna ut personuppgifter som behandlas i studiestödsverksamheten enligt de tillåtna ändamålen eller med stöd av den registrerades samtycke till riksdagen och regeringen och föreslår en bestämmelse om detta. Sekretess hindrar inte sådant utlämnande, se 14 kap. 1 § sekretesslagen.

Slutligen anser utredningen att det inte finns några integritetsskyddsskäl som talar emot att personuppgifter som behandlas i studiestödsverksamheten enligt de tillåtna ändamålen eller med stöd av den registrerades samtycke lämnas ut till den registrerade själv om sekretess inte hindrar det. Utredningen föreslår därför en uttrycklig bestämmelse om detta.

Frågan om i vilken utsträckning utlämnande av personuppgifter får ske i elektronisk form berörs i avsnitt 6.12.

6.9. Behandling av personuppgifter av känslig natur

Utredningens förslag: Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får förutom med den registrerades uttryckliga samtycke behandlas bara för att handlägga ärenden i studiestödsverksamheten under förutsättning att uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter får dock också behandlas

1. om det behövs för att, om sekretess inte hindrar det, kunna

anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten, 2. för att, om sekretess inte hindrar det, lämnas ut till den regi-

strerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra, och 3. i en avskild praxisdatabas med personuppgifter som bara

indirekt pekar ut den registrerade.

Det är vanligt att det i särskilda registerförfattningar finns bestämmelser om när känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) och personuppgifter om lagöverträdelser m.m. enligt 21 § samma lag får behandlas. Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen personuppgifter som rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. De uppgifter som avses i 21 § personuppgiftslagen är personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det är vanligt att sådana personuppgifter som nu sagts, enligt bestämmelser i de särskilda registerförfattningarna, får behandlas om de har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, jämför också den generella bestämmelsen i 8 § personuppgiftsförordningen (1998:1191).

Utredningen anser att sådana bestämmelser, som inte hindrar den nödvändiga handläggningen av ärenden, är lämpliga även i fråga om behandling av personuppgifter i CSN:s studiestödsverksamhet.

Utredningen kan vidare inte se någon anledning att förhindra att känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. behandlas med den registrerades uttryckliga samtycke.

Utredningen föreslår därför att sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas bara med den registrerades uttryckliga samtycke eller om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten under förutsättning om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende.

Med den registrerades uttryckliga samtycke avses detsamma som enligt 15 § personuppgiftslagen.

Utredningen har föreslagit att personuppgifter ska få behandlas i studiestödsverksamheten när det behövs för att, om sekretess inte hindrar det, anmäla oegentlighet inom studiestödsverksamhet till en myndighet som har att utreda eller beivra oegentligheten, se avsnitt 6.8.2. I sådana anmälningar kan det behöva anges alla slags personuppgifter. Utredningen föreslår därför att det även ska vara tillåtet att behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag om det behövs för att kunna anmäla oegentlighet inom studiestödsverksamhet till en myndighet som har att utreda eller beivra oegentligheten.

Även i de fall där utredningen föreslagit att behandlade personuppgifter får lämnas ut kan utlämnandet behöva avse alla slags personuppgifter. Utredningen föreslår därför att det också ska vara tillåtet att behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag om det behövs för att lämna ut personuppgifter till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.

Utredningen har föreslagit att personuppgifter som inte direkt pekar ut den registrerade får behandlas avskilt för att återsöka vägledande avgöranden. De vägledande avgörandena i den avskilda praxisdatabasen kan innehålla alla slags (indirekta) personuppgifter. Utredningen föreslår därför att det även ska vara tillåtet att behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser

m.m. som avses i 21 § samma lag i den avskilda samlingen av personuppgifter för återsökning av vägledande avgöranden.

För att behandlingen av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ska vara tillåten krävs det dessutom att behandlingen över huvud taget är tillåten enligt de bestämmelser som beskrivs i avsnitt 6.8. För att behandlingen av dessa personuppgifter ska få genomföras krävs det givetvis också att övriga bestämmelser om behandlingen följs, t.ex. de föreslagna särskilda bestämmelserna med restriktioner i fråga om sökbegrepp och direktåtkomst och annat elektroniskt utlämnande.

Avsikten är att angivandet i den föreslagna lagen av när behandlingen av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. får ske inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

De nu berörda föreslagna reglerna innebär avvikelser från bestämmelserna i 1321 §§personuppgiftslagen och tar över dessa bestämmelser.

I personuppgiftslagen finns det också bestämmelser om behandling av personnummer som innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till något beaktansvärt skäl, t.ex. ändamålet med behandlingen eller vikten av en säker identifiering (22 § personuppgiftslagen). Dessa bestämmelser förefaller utredningen ändamålsenliga även när det gäller behandlingen av personuppgifter i CSN:s studiestödsverksamhet. Utredningen föreslår därför inte någon särreglering av behandlingen av personnummer och samordningsnummer i studiestödsdatalagen, varför bestämmelserna i 22 § personuppgiftslagen är tillämpliga när CSN behandlar personuppgifter i studiestödsverksamheten. En annan sak är att CSN vid t.ex. handläggningen av ärenden regelmässigt har sådana skäl som krävs enligt lagrummet för att behandla uppgifter om personnummer och samordningsnummer.

Utredningen har inte funnit anledning att föreslå generella restriktioner i fråga om behandlingen av andra typer av personuppgifter än känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Frågan om vilka typer av personuppgifter som inte bör få användas som sökbegrepp berörs i nästa avsnitt.

6.10. Sökbegrepp

Utredningens förslag: Som sökbegrepp får inte användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Vid sökning bara i ett visst ärende om studiestöd, i en viss handling eller i en avskild praxisdatabas med personuppgifter som bara indirekt pekar ut den registrerade får dock sådana sökbegrepp användas. Uppgifter som rör hälsa får också användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

Frågan om på vilket sätt personuppgifter sammanställs anses ofta som en av de viktigare frågorna ur integritetsperspektiv. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet.

25

Vilka möjligheter till sammanställningar som finns i en myndighets datoriserade samlingar av uppgifter har betydelse för huruvida en handling är allmän och därmed omfattas av offentlighetsprincipen enligt 2 kap. tryckfrihetsförordningen. Möjligheterna till sammanställningar har betydelse på två sätt; dels i fråga om vilka tekniska möjligheter som finns avseende sammanställningar, dels i fråga om vilka legala inskränkningar i möjligheterna till sammanställningar som finns. För att en handling ska vara allmän hos en myndighet krävs det att den är förvarad hos myndigheten, 2 kap. 3 § första stycket andra meningen tryckfrihetsförordningen.

Den tekniska aspekten är av betydelse eftersom en upptagning, som kan uppfattas endast med tekniska hjälpmedel, enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen anses förvarad hos en myndighet endast om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock förvarad hos myndigheten endast om myndigheten kan göra sammanställningen till-

25

SOU 2006:82 s. 210.

gänglig med rutinbetonade åtgärder. Allt det som myndigheten faktiskt kan göra tillgängligt med rutinbetonade åtgärder utgör således i princip allmän handling som envar har rätt att ta del av om sekretess inte hindrar det. Det gäller även om myndigheten tidigare aldrig gjort den efterfrågade sammanställningen och oavsett om myndigheten behöver den för sin verksamhet. Man talar i dessa fall om s.k. potentiella handlingar.

Enligt den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen anses en sammanställning av uppgifter ur en upptagning för automatiserad behandling dock inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Syftet med begränsningsregeln är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet är förhindrad att ta fram i sin egen verksamhet.

26

Det är alltså i fråga

om datoriserade samlingar med personuppgifter möjligt att inskränka offentlighetsprincipen genom förordning eller annan lag än sekretesslagen. Genom att i en särskild registerförfattning ta in föreskrifter om att en myndighet inte får använda vissa s.k. sökbegrepp kan man tillgodose intresset av integritetsskydd hos de personer som är registrerade utan att myndigheten behöver förbjudas att registrera vissa personuppgifter som behövs i verksamheten. Det är vanligt att det i särskilda registerförfattningar finns bestämmelser som inskränker vilka sökbegrepp som får användas. Det har gjorts gällande att vid direktåtkomst mellan myndigheter begränsningar av tillåtna sökbegrepp i en särskild registerförfattning för behandling av personuppgifter i den utlämnande myndighetens verksamhet gäller också för den mottagande myndigheten.

27

Med sökbegrepp brukar förstås bokstäver, koder eller siffror med vars hjälp man tillsammans med en sökmotor eller liknande funktion kan ta fram ett urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd som man har tillgång till.

28

Om exempelvis bokstavskombinationen ”Artillerigatan”

används för att söka fram alla mottagare av studiestöd som bor på just denna gata, är ”Artillerigatan” det sökbegrepp som har använts.

26

Prop. 2001/02:70 s. 23.

27

SOU 2007:45 s. 198 f.

28

SOU 2006:82 s. 211.

I CSN:s verksamhet behöver det på ett strukturerat sätt registreras en hel del personuppgifter av ömtålig natur, t.ex. om inkomstförhållanden och skolk. CSN skannar i dag vidare i princip in alla inkomna pappersdokument så att de finns tillgängliga elektroniskt. Inkomna pappersdokument kan innehålla vilka personuppgifter som helst. Uppgifterna i sådana dokument gör CSN i dag dock inte sökbara. Det kan dock inte uteslutas att CSN i framtiden kommer att möjliggöra sökning i sådana dokument.

Med hänsyn till den stora mängden registrerade uppgifter och förekomsten av personuppgifter av ömtålig natur anser utredningen att det finns goda skäl att av integritetsskyddshänsyn i studiestödsdatalagen införa begränsningar som innebär att vissa särskilt känsliga typer av uppgifter som CSN inte behöver använda som sökbegrepp i sin studiestödsverksamhet inte heller får användas. Därmed inskränks offentlighetsprincipen i motsvarande mån. Även andra myndigheters möjligheter att få ut sammanställningar från CSN inskränks.

Det finns för det första normalt sett inget behov för CSN att använda sådana känsliga uppgifter som avses i 13 § personuppgiftslagen som sökbegrepp. Det bör därför i studiestödsdatalagen tas in ett förbud mot att använda sådana uppgifter som sökbegrepp. De uppgifter det är fråga om är sådana uppgifter som rör hälsa eller sexualliv eller som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening.

Utredningen har försökt att identifiera vilka övriga typer av uppgifter av ömtålig natur som ofta förekommer i CSN:s databaser och som CSN inte för sin studiestödsverksamhet behöver använda som sökbegrepp.

Som framgått av avsnitt 2.2.1 och 2.3.1 ovan kan storleken på studiestödet påverkas av om det allmänna bekostar den studerandes uppehälle. Det är då i praktiken ofta fråga om att någon har tagits in på institution. En uppgift som avslöjar att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle är normalt känslig ur ett integritetsperspektiv, och såvitt framkommit behöver CSN i sin studiestödsverksamhet inte använda uppgiften som sökbegrepp.

En central del i CSN:s uppgiftsinsamlande berör de registrerades ekonomiska förhållanden. Uppgifter om inkomst behövs t.ex. för att CSN ska kunna handlägga ärenden i studiestödsverksamheten. Uppgifter om ekonomiska förhållanden upplevs ofta vara av ömtålig natur. Såvitt framkommit behöver CSN i sin studiestöds-

verksamhet inte använda uppgifter som rör inkomst eller förmögenhet som sökbegrepp. CSN hämtar visserligen från Skatteverket in uppgifter om inkomst bl.a. för alla med studiemedel som jämförs med de inkomstuppgifter de studerande lämnat, men då används personnumret som sökbegrepp för att finna de ärenden där de studerande haft inkomster enligt Skatteverket och där Skatteverkets uppgift ska jämföras med den uppgift CSN har.

Anledning till att en person gör ett studieavbrott kan variera. Det kan t.ex. vara fråga om skolk, intagning på behandlingshem eller fängelse eller egen eller anhörigs sjukdom. Information om anledningen till studieavbrott kan sålunda inrymma mycket integritetskänsliga uppgifter. Såvitt framkommit behöver CSN i sin studiestödsverksamhet normalt sett inte använda uppgifter som rör anledningen till studieavbrott som sökbegrepp.

Utredningen föreslår alltså sammanfattningsvis en grundläggande bestämmelse i studiestödsdatalagen om att som sökbegrepp inte får användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Det blir därmed inte tillåtet att söka fram listor över t.ex. personer med viss sjukdom, inkomst överstigande visst belopp eller visst etniskt ursprung.

Avsikten med att införa begränsningar av vilka sökbegrepp som får användas är i första hand att förhindra att sådana listor med flera personer som har en viss egenskap gemensam tas fram. Att den som väl hittat fram till ett visst ärende om studiestöd eller en viss befintlig handling söker inom ramen för det ärendet eller den handlingen efter olika uppgifter kan däremot utgöra en naturlig del av och förenkla handläggningen av ärendet. Ett exempel är att den som har öppnat ett ordbehandlingsdokument i ett ordbehandlingsprogram använder det programmets funktion för att söka efter ord i det dokumentet. En sådan begränsad sökning kan inte heller anses innebära några särskilda integritetsrisker. Utredningen föreslår därför – av närmast praktiska skäl – att alla slags sökbegrepp får användas vid sökning bara i ett visst ärende om studiestöd eller i en viss handling.

Det ligger vidare i sakens natur att den som vill återsöka vägledande avgöranden i en särskild praxisdatabas med avidentifierade sådana avgöranden kan behöva använda alla slags sökbegrepp. Med

hänsyn till att praxisdatabasen ska hållas avskild från verksamhetsdatabaserna och innehålla bara ett urval avgöranden som inte innehåller personuppgifter som direkt pekar ut den registrerade (se avsnitt 6.8.2) kan en sådan sökning inte anses innebära några särskilda integritetsrisker. Utredningen föreslår därför att alla slags sökbegrepp får användas vid sökning i den särskilda praxisdatabasen.

Som tidigare angetts behöver CSN normalt sett inte använda uppgifter som rör hälsa eller anledningen till studieavbrott som sökbegrepp. Det har emellertid visat sig att CSN i sitt datoriserade handläggningssystem styr ärenden som innefattar prövning av avskrivning av studielån på grund av sjukdom enbart till vissa handläggare med särskild erfarenhet och behörighet. Dessa ärenden söks alltså fram för att kunna fördelas mellan behöriga handläggare. Utan att CSN ändrar arbetssätt och interna regler om beslutsbehörighet, vilket inte framstår som rimligt, är det svårt att undvika en sådan framsökning av aktuella ärenden. Utredningen föreslår därför att uppgifter som rör hälsa får användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

6.11. Intern elektronisk tillgång till personuppgifter

Utredningens förslag: Centrala studiestödsnämnden ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i nämndens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Centrala studiestödsnämnden ska se till att elektronisk tillgång till personuppgifter dokumenteras och genomföra systematiska och återkommande kontroller av om obehörig åtkomst till uppgifterna förekommit. Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång och om dokumentation och kontroll.

Så gott som all information i ärenden om studiestöd finns hos CSN lagrad i datorformat. Det har framkommit att i princip alla handläggare hos CSN har möjlighet till elektronisk tillgång till nästan all

information i så gott som alla ärenden om studiestöd utan t.ex. sakliga begränsningar (såsom att ärendet är av viss typ eller att handläggaren har att arbeta med ärendet) eller geografiska begränsningar (såsom att det härrör från något visst upptagningsområde). Det har också kommit fram att CSN inte har gallrat särskilt intensivt i sina databaser och att loggningen av när någon haft tillgång till information i en viss sökandes ärende inte är heltäckande.

Kombinationen av en mycket vid möjlighet till elektronisk tillgång till personuppgifter för alla handläggare, som kan omfatta även inaktuella personuppgifter som ännu inte gallrats, och avsaknaden av en effektiv loggning av vilken tillgång som förekommit samt kontroll av loggarna inger betänkligheter från integritetsskyddssynpunkt. Risken för obehörig elektronisk åtkomst till personuppgifter – i betydelsen åtkomst som inte utgör ett led i handläggarens arbetsuppgifter utan som sker av andra skäl, t.ex. nyfikenhet – är uppenbar. Utredningen har dock inte underlag för att påstå att sådan obehörig åtkomst skulle förekomma. Det går nämligen inte att få fram sådant underlag när effektiv loggning saknas och därmed den elektroniska åtkomsten till personuppgifterna inte kan kontrolleras.

Av personuppgiftslagen framgår det att de personer som arbetar under CSN:s ledning, dvs. handläggarna och andra anställda, får behandla personuppgifter, t.ex. genom att ta del av dem, bara i enlighet med instruktioner från CSN (30 §) och att det åligger CSN att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §). Datainspektionen har vidare gett ut allmänna råd om säkerhet för personuppgifter. Även bestämmelsen om straff för dataintrång i 4 kap. 9 c § brottsbalken bör nämnas.

Mot den redovisade bakgrunden anser utredningen att det finns skäl att i den föreslagna studiestödsdatalagen precisera vad som bör gälla i fråga om intern elektronisk tillgång till personuppgifter i CSN:s studiestödsverksamhet. Utredningen anser att följande grundläggande bestämmelser är både naturliga och nödvändiga: CSN ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i CSN:s studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. CSN ska vidare se till att elektronisk tillgång till personuppgifter dokumenteras och genomföra systematiska och

återkommande kontroller av om obehörig åtkomst till uppgifterna förekommit.

Den enskilde handläggaren hos CSN bör alltså inte ha elektronisk tillgång till personuppgifter i större utsträckning än vad som behövs för att handläggaren ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Behörigheten bör framgå av interna regler och bör lämpligen kompletteras med tekniska begränsningar som förhindrar att handläggaren elektroniskt kommer åt personuppgifter som han eller hon enligt reglerna inte har behörighet till. De villkor för elektronisk tillgång till personuppgifter som CSN bestämmer kan ha betydelse vid tillämpningen av bestämmelsen om straff för dataintrång i 4 kap. 9 c § brottsbalken.

Vilken elektronisk tillgång till personuppgifter som en enskild handläggare behöver för att kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten är i första hand upp till CSN att bedöma. Avsikten är dock att bedömningen ska göras på ett betydligt mer nyanserat sätt än vad den synes ha gjorts hittills så att inte i princip varje handläggare hela tiden har möjlighet till elektronisk tillgång till uppgifter om flera miljoner människor. Avsikten är emellertid inte att CSN på något genomgripande sätt ska behöva ändra sitt arbetssätt eller sin organisation.

CSN behöver bl.a. med hänsyn till de långa återbetalningstiderna för studielån i vissa fall spara personuppgifter i ärenden om studiestöd under mycket lång tid. Alla sparade personuppgifter behövs emellertid inte normalt sett för att kunna hantera återbetalning eller återkrav av studiestöd. Det gör enligt utredningens mening att det är både nödvändigt och rimligt att efter en viss tid begränsa den direkta elektroniska tillgängligheten till personuppgifter som normalt sett inte behövs för att kunna hantera återbetalning eller återkrav av studiestöd. Frågan om ytterligare begränsningar av den direkta elektroniska tillgängligheten till sparade personuppgifter efter en viss tid hänger samman med de bestämmelser som bör gälla i fråga om bevarande och gallring av personuppgifter. Utredningen berör därför den frågan tillsammans med frågan om gallring i ett senare, gemensamt avsnitt, avsnitt 6.16.

De behörighetsvillkor som CSN har att ställa upp bör som sagt lämpligen kompletteras med motsvarande tekniska begränsningar. Det torde dock inte vara praktiskt möjligt att med tekniska begränsningar förhindra all elektronisk tillgång till personuppgifter

som inte behövs för att en handläggare ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. För att kunna utreda och beivra obehörig åtkomst som inte förhindras av tekniska begränsningar och försök från anställda och utomstående att kringgå de tekniska begränsningarna (t.ex. genom s.k. hackning) krävs det för det första att den faktiska elektroniska tillgången till personuppgifter dokumenteras i en logg (behandlingshistorik). Dokumentationen ska avse alla former av elektronisk tillgång som förekommit till personuppgifterna oavsett om det är anställda som internt berett sig tillgång eller om utomstående har gjort det t.ex. via direktåtkomst. För det andra krävs det att det genomförs systematiska och återkommande kontroller av om obehörig åtkomst till personuppgifterna förekommit. Det räcker alltså inte att loggarna kontrolleras bara när CSN på annat sätt fått anledning att misstänka att obehörig åtkomst har förekommit. Det bör i första hand vara upp till CSN att bedöma hur kontrollen bör genomföras. Avsikten är att åstadkomma en sådan lämplig säkerhetsnivå som avses i 31 § personuppgiftslagen.

Att loggning sker och att loggarna av CSN kontrolleras systematiskt och återkommande innebär inte bara att obehörig åtkomst kan upptäckas och beivras i efterhand utan torde också ha en avhållande effekt. Dessa effekter av loggningen förstärks också genom utredningens förslag om att den registrerade, i den utsträckning uppgifterna får lämnas ut till honom eller henne, får ha direktåtkomst till dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter, se avsnitt 6.12.6. Loggarna utgör vidare allmänna handlingar som den registrerade kan begära att få ta del av med stöd av offentlighetsprincipen. Det torde normalt inte gälla sekretess gentemot den registrerade för uppgifterna i loggarna.

Utredningen har vidare övervägt att föreslå en uttrycklig bestämmelse om att CSN på begäran ska lämna den registrerade begriplig information om den elektroniska tillgång till hans eller hennes uppgifter som förekommit. En motsvarande bestämmelse har t.ex. föreslagits för hälso- och sjukvårdens del.

29

Utredningen

har emellertid stannat för att inte lämna något sådant förslag. Det får nämligen förutsättas att CSN på egen hand ser till att det är möjligt för registrerade som begär det att få se sådan dokumentation av den elektroniska tillgången som de kan förstå. Skulle det

29

SOU 2006:82 s. 371f.

visa sig att det trots allt behövs uttryckliga bestämmelser i det avseendet, kan sådana bestämmelser meddelas av regeringen i förordning (jämför nedan).

Eftersom det inte kan uteslutas att det på området kan behövas mer preciserade bestämmelser som inte lämpligen bör meddelas i lag, bör det uttryckligen anges i studiestödsdatalagen att regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång och om dokumentation och kontroll.

De nu berörda bestämmelserna i den föreslagna studiestödsdatalagen avviker inte från bestämmelserna om säkerheten vid behandling i 3032 §§personuppgiftslagen utan utgör preciseringar av dessa bestämmelser. CSN har således att i andra avseenden än som särskilt regleras i studiestödsdatalagen vidta lämpliga åtgärder enligt vad som följer av personuppgiftslagen för att skydda de personuppgifter som behandlas.

6.12. Direktåtkomst och annat elektroniskt utlämnande av personuppgifter

6.12.1. Inledning

I personuppgiftslagen regleras det inte särskilt på vilket sätt – elektroniskt eller på annat sätt, t.ex. muntligt eller på papper – personuppgifter får lämnas ut när uppgifterna över huvud taget får lämnas ut.

I många särskilda registerförfattningar finns det dock bestämmelser om utomståendes direktåtkomst till myndigheters register och databaser och om när personuppgifter får lämnas ut på medium för automatiserad behandling. Det finns inte någon legaldefinition av begreppet direktåtkomst eller begreppet utlämnande på medium för automatiserad behandling, men frågor om sådana former av elektroniska utlämnanden har diskuterats i ett flertal förarbeten. Begreppsbildningen är oklar och inte enhetlig.

30

I fråga om direktåtkomst har Integritetsskyddskommittén efter en genomgång av olika särskilda registerförfattningar sammanfattningsvis angett bl.a. följande:

31

30

Se för en genomgång av förarbeten och begreppsbildningen Samsetrapport 2005:1. Se också SOU 2007:45 s. 159 ff.

31

SOU 2007:22 Del 1 s. 463 f.

Grundläggande bestämmelser om så kallad direktåtkomst brukar i allmänhet ha form av lag. Skälet till detta är att frågan om direktåtkomst har ansetts central från integritetsskyddssynpunkt. Vad som avses med detta begrepp kan dock inte anses helt klarlagt. Den grundläggande innebörden av begreppet torde vara att någon för myndigheten utomstående har rätt att på egen hand söka i myndighetens databaserade informationssamlingar, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet (se t.ex. prop. 2004/05:164 s. 83 f.). I begreppet direktåtkomst ligger också att den som är ansvarig för informationssamlingen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Genom direktåtkomsten öppnas alltså myndighetens informationssamlingar helt eller delvis för den utomstående. Om det är fråga om uppgifter som omfattas av sekretess, måste man alltså i förväg fastställa att den utomstående har rätt att ta del av informationssamlingen utan att någon sekretessprövning skall göras i det individuella fallet.

En bestämmelse som tillåter direktåtkomst har inte ansetts i sig innebära en sådan uppgiftsskyldighet som enligt 14 kap. 1 § SekrL medför att ett utlämnande av uppgifter till en annan myndighet inte hindras av sekretess. Det torde bero på att det i bestämmelser om direktåtkomst brukar anges vilka myndigheter som får ha direktåtkomst till den aktuella myndighetens informationssamlingar. […]

[…]Den regleringsmodell som i allmänhet används är således att det i den aktuella registerlagen anges att direktåtkomst får medges. Därutöver meddelar regeringen i en förordning kompletterande bestämmelser om uppgiftsskyldighet. I lagen brukar det inte hänvisas till att det i förordning finns sådana sekretessbrytande regler. Av lagen framgår alltså i allmänhet inte att direktåtkomsten kompletteras av bestämmelser om uppgiftsskyldighet.

Kommittén ansåg att det vore önskvärt att bestämmelser om direktåtkomst utformas så att det framgår huruvida denna åtkomst kompletteras med bestämmelser om uppgiftsskyldighet. Därmed skulle den enskilde redan av de grundläggande bestämmelserna i lagen kunna läsa ut vilken slags integritetsinskränkning det var fråga om.

32

Det har någon gång betonats att det i praktiken inte behöver vara så stor skillnad mellan direktåtkomst och utlämnande på medium för automatiserad behandling.

33

I fråga om begreppet

utlämnande på medium för automatiserad behandling brukar man fästa avseende vid sådant som att det är avsändaren som, åtminstone i teorin, i det enskilda fallet bestämmer vilka uppgifter som ska lämnas ut och som därvid gör en sekretessprövning och att

32

SOU 2007:22 Del 1 s. 464 f

33

Se t.ex. prop. 2004/05:164 s. 82.

mottagaren efter utlämnandet själv kan bearbeta de mottagna uppgifterna. Att utlämnandet sker på något fysiskt medium, såsom en diskett eller en cd-skiva, har inte alltid krävts utan ibland har även utlämnanden via elektronisk kommunikation, såsom e-post, ansetts innefattas i begreppet. Inte heller bestämmelser som tillåter utlämnande på medium för automatiserad behandling har ansetts i sig innebära en sådan uppgiftsskyldighet som enligt 14 kap. 1 § sekretesslagen medför att ett utlämnande av uppgifter till en annan myndighet inte hindras av sekretess. Om det är fråga om uppgifter som omfattas av sekretess, måste man alltså även här före utlämnandet fastställa att den utomstående har rätt att ta del av uppgifterna.

Begreppsbildningen i fråga om elektroniskt utlämnande av personuppgifter är som sagt oklar och inte enhetlig. Det är inte bra, men det kan man inte göra så mycket åt när man utformar ytterligare en särskild registerförfattning. Vad man kan göra då är att se till att man inte bidrar till ytterligare oklarheter.

Att personuppgifter, på ett eller annat vis, lämnas ut i elektronisk form innebär som regel att det, i förhållande till utlämnande i annan form, t.ex. muntligt eller på papper eller mikrokort, blir enklare för mottagaren att vidare bearbeta uppgifterna och att sprida dem vidare. Inhämtande av personuppgifter i elektronisk form torde vidare i dag ofta upplevas som enklare och billigare än inhämtande i annan form, varför den elektroniska formen i sig kan antas öka det informationsutbyte som sker. Därför finns det skäl att i särskilda registerförfattningar ha särskilda begränsningar i fråga om just elektroniskt utlämnande av personuppgifter.

Utredningen, som anser att sådana begränsningar bör finnas även i studiestödsdatalagen, har valt att anknyta till de oklara men ändå vedertagna begreppen direktåtkomst och utlämnande på medium för automatiserad behandling. Därmed bör läsaren av lagen känna igen sig. Samtidigt har utredningen med något undantag valt att reglera de båda utlämnandeformerna på i princip samma sätt för att därmed minska olägenheterna av att det ibland kan vara oklart vad som utgör den ena respektive den andra formen av utlämnande. Som överordnat begrepp använder utredningen i den föreslagna studiestödsdatalagen begreppet elektroniskt utlämnande. Därmed avser utredningen alla former av utlämnande av personuppgifter i elektroniskt format, dvs. i binär form, såsom ettor och nollor.

Det bör betonas att vid allt elektroniskt utlämnande måste naturligtvis kraven på säkerhetsåtgärder i enlighet med personuppgiftslagen upprätthållas.

Frågan om kommunernas socialtjänst bör få elektronisk tillgång till uppgifter hos CSN, t.ex. i enlighet med det pilotprojekt som för närvarande bedrivs av CSN i samarbete med bl.a. Borlänge kommun och som beskrivits i avsnitt 4.2.5, har nyligen utretts i särskild ordning, och 2005 års informationsutbytesutredning har tagit ställning för att sådan tillgång bör medges.

34

Utredningen tar därför

inte ställning till den frågan i sak utan begränsar sig till att redogöra för hur den direktåtkomst 2005 års informationsutbytesutredning ansett bör komma till stånd tekniskt kan inordnas i utredningens författningsförslag. Den frågan berörs närmare i avsnitt 6.12.5.

6.12.2. Elektroniskt utlämnande kräver samtycke eller författningsstöd

Utredningens förslag: Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna om tillåtna ändamål m.m. och sökbegrepp följs. Redan i studiestödsdatalagen anges vissa fall av tillåtet elektroniskt utlämnande. När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på annat sätt lämnas ut elektroniskt till denne.

Det finns såsom nämnts inledningsvis (avsnitt 6.12.1) skäl att i förhållande till vad som gäller enligt personuppgiftslagen införa särskilda begränsningar i fråga om elektroniskt utlämnande av personuppgifter.

Vid bedömningen av vilka som bör få ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet bör utgångspunkten vara att sådan åtkomst kan tillåtas, men att det inte ska ske i större omfattning än vad som kan försvaras av effektivitetsskäl, inklusive kontroll av användningen av statliga medel, och att det ska ske med beaktande av integritetsskyddshänsyn. Genom

34

Dir. 2005:91 och SOU 2007:45, särskilt s. 325 ff.

direktåtkomst mellan myndigheter kan den enskilde slippa lämna samma uppgifter flera gånger samtidigt som myndigheten genom direktåtkomsten kan få möjlighet att komma åt uppgifter som är både nödvändiga och aktuella. Därigenom kan direktåtkomst öka effektiviteten för myndigheter och enskilda i deras kontakter med myndigheter. Det är enligt utredningens mening viktigt att en principiell avvägning görs mellan hänsynen till å ena sidan krav på effektiv handläggning och god kontroll av användningen av statliga medel och å andra sidan skyddet för de registrerades integritet. En grundläggande utgångspunkt måste enligt utredningens mening vara att direktåtkomst endast bör tillåtas när nyttan av åtkomsten är klart påvisbar samtidigt som den inte innebär några beaktansvärda försämringar av skyddet för den personliga integriteten.

På motsvarande sätt bör man bedöma annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet som sker i större omfattning, t.ex. återkommande eller systematiskt utlämnande på medium för automatiserad behandling eller via elektronisk kommunikation såsom e-post. I den utsträckning direktåtkomst är tillåten bör å andra sidan andra former av elektroniskt utlämnande av personuppgifter utan vidare vara tillåtna. Direktåtkomst för någon är nämligen som regel den mest integritetskänsliga formen för elektroniskt utlämnande av personuppgifter till denne.

Enligt utredningens mening finns det för det första inga beaktansvärda integritetsskyddsskäl som talar emot att tillåta sådant elektroniskt utlämnande som sker med den registrerades samtycke. En annan sak är att direktåtkomst till en samling uppgifter om många personer knappast kan baseras på frivilliga samtycken från de registrerade. Vid elektroniskt utlämnande i enskilda fall kan dock samtycke vara realistiskt.

Frågan om elektroniskt utlämnande såsom direktåtkomst ska tillåtas utan de registrerades samtycke i ett visst fall förutsätter normalt sådana överväganden och detaljregler i det konkreta fallet att bestämmelser om detta som regel inte lämpligen bör tas in i den föreslagna studiestödsdatalagen.

I fråga om direktåtkomst till beskattningsdatabasen har regeringen ansett att det – med hänsyn till att direktåtkomst till uppgifter hos en annan myndighet ansetts innebära särskilda risker från integritetssynpunkt, eftersom den utlämnande myndigheten inte har möjlighet att i varje enskilt fall ta ställning till om de eftersökta uppgifterna bör lämnas ut – bör ankomma på riksdagen att ta ställ-

ning till i vilka fall direktåtkomst bör medges (prop. 2000/01:33 s. 133). Senare har det emellertid ansetts att direktåtkomst till socialförsäkringsdatabasen, som innehåller personuppgifter som normalt får anses vara av mer känslig natur än de personuppgifter som behandlas i CSN:s studiestödsverksamhet, bör kunna medges genom förordning (men inte genom myndighetsföreskrifter), 17 § lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration (prop. 2002/03:135 s. 90, jämför dock om tolkningen av bestämmelsen Samsetrapport 2005:1 s. 90).

Utredningen anser för sin del att det i fråga om personuppgifter som behandlas i CSN:s studiestödsverksamhet är tillräckligt att bestämmelser som tillåter direktåtkomst – och därmed också annat elektroniskt utlämnande av personuppgifter – tas in i förordning. Inskränkningen i fråga om möjligheten för CSN att medge direktåtkomst och annat elektroniskt utlämnande av personuppgifter bör dock framgå direkt av den föreslagna studiestödsdatalagen. Utredningen föreslår i enlighet härmed att det i studiestödsdatalagen tas in en grundläggande bestämmelse om att direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet utan den registrerades samtycke bara är tillåtet i den utsträckning som anges i lag eller förordning. Därmed kan detaljregler om t.ex. vilka personuppgifter som berörs meddelas i annan lag eller, om det anses lämpligare, i förordning. Genom att det krävs en författningsbestämmelse men räcker med en bestämmelse i förordning utfärdad av regeringen, kan ändringar till följd av justeringar i myndighetsstrukturen och uppkommande nya befogade behov av informationsutbyte komma till stånd på ett förhållandevis smidigt sätt samtidigt som det finns tillräckliga garantier för att integritetsskyddsintressena uppmärksammas. Vid beredningen i Regeringskansliet av ett ärende om en bestämmelse som tillåter viss direktåtkomst ska nämligen yttrande från Datainspektionen hämtas in, 7 kap. 2 § regeringsformen. Den skyldigheten att höra Datainspektionen följer för övrigt också av EGdirektivet (artikel 28.2).

Utredningen föreslår dock att det redan i studiestödsdatalagen tas in bestämmelser om några fall av tillåtet elektroniskt utlämnande. De aktuella fallen berörs närmare i följande avsnitt. Det gäller för det första en generell bestämmelse föranledd av närmast praktiska skäl om att ett begränsat utlämnande av personuppgifter får ske på medium för automatiserad behandling eller via elektronisk kommunikation om sekretess inte hindrar det (avsnitt 6.12.3).

För det andra gäller det ett par viktiga fall där en myndighet (Försäkringskassan) och organ med myndighetsuppgifter som vid tillämpning av sekretesslagen jämställs med myndigheter (arbetslöshetskassorna) redan i dag fortlöpande får personuppgifter elektroniskt från CSN (avsnitt 6.12.4). För det tredje gäller det elektroniskt utlämnande till den registrerade själv (avsnitt 6.12.6). Slutligen gäller det ett speciellt fall där en myndighet under riksdagen (Riksrevisionen) enligt förarbetena till en lagbestämmelse om uppgiftsskyldighet för CSN förutsätts på begäran få skyldigheten fullgjord genom utlämnande på medium för automatiserad behandling utan att det uttryckligen angetts i bestämmelsen (avsnitt 6.12.7).

Som exempel på befintliga bestämmelser om utlämnande av personuppgifter på medium för automatiserad behandling kan nämnas 1 b § bostadsbidragsförordningen (1993:739) och 5 § förordningen (1996:1036) om underhållsstöd.

Utredningen har med hjälp av CSN gått igenom det återkommande elektroniska utlämnande av personuppgifter som i övrigt sker från CSN i dag och som det finns konkreta planer på (jämför avsnitt 4.2.5).

35

Detta elektroniska utlämnande av personuppgifter

från CSN kan sammanfattas enligt följande.

Mottagare Syfte Kronofogdemyndigheten Indrivning av fordringar Bank/Betalningsförmedlare Betalningsförmedling Inkassoföretag Indrivning av fordringar i utlandet Kortföretag Ta fram och till studerande distribuera bevis om studier med studiestöd Läroanstalter Kontroll av de uppgifter läroanstalterna lämnat (tillgången avser i princip bara de uppgifter den aktuella läroanstalten själv lämnat till CSN) Örebro kommun Redovisning till Örebro kommun av belopp att betala ut till

35

CSN:s elektroniska utlämnande av personuppgifter till Statistiska centralbyrån för att fullgöra uppgiftsskyldigheten enligt regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan faller utanför den föreslagna studiestödsdatalagen, se avsnitt 6.6.2.

kommunen enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan (Rg-bidrag) avseende kostnad för kost, logi och annan service i samband med boendet som kommunen tillhandahåller

Skatteverket Fullgörande av skyldighet att lämna kontrolluppgifter Olika myndigheter eller organ som anges i bilagan till sekretesslagen (1980:100) som begär det

Namn- och adressuppgifter för myndigheternas utsändande av information (sker på grund av uppgiftsskyldigheten enligt 15 kap. 5 § sekretesslagen)

Kommuner Kontroll inför utbetalning av ekonomiskt stöd till inackorderade elever i gymnasieskolan enligt 5 kap. 33 § skollagen (1985:1100) (sker på grund av uppgiftsskyldigheten enligt 15 kap. 5 § sekretesslagen) Reseföretag Betalning av studerandes resa (med samtycke) Försäkringsmäklare Förmedling av studerandes försäkring (med samtycke)

Detta elektroniska utlämnande av personuppgifter sker i dag inte i huvudsak med direktåtkomst i traditionell mening. Som nämnts i avsnitt 4.2.5 har det nyligen införts en möjlighet för skolor (läroanstalter) att via ett webbaserat gränssnitt rapportera uppgifter till CSN. I samband med att skolorna gör det får de elektronisk tillgång till de uppgifter som respektive skola tidigare lämnat till CSN, vilket får anses vara en direktåtkomst till uppgifterna.

Utredningen har från integritetsskyddssynpunkt inte något att erinra mot det elektroniska utlämnande av personuppgifter som sålunda sker så länge det avser bara de personuppgifter som behövs för respektive syfte, sker på ett tillräckligt säkert sätt och inte hindras av sekretess. Utlämnandet till Kronofogdemyndigheten, betalningsförmedlare, inkassoföretag, kortföretag, läroanstalter och

Örebro kommun sker inom ramen för och för att fullgöra de tilllåtna ändamålen med behandling (se avsnitt 6.8.2), medan utlämnandet till Skatteverket, till myndigheter och organ som anges i bilagan till sekretesslagen och till kommuner avseende inackorderade elever i gymnasieskolan sker på grund av uppgiftsskyldighet. Utlämnandet till reseföretag och försäkringsmäklare sker, eller kan utan olägenhet ske, med den registrerades samtycke. De övriga fallen tas lämpligen in i en till lagen anslutande förordning, studiestödsdataförordningen, med nödvändiga preciseringar av vilka uppgifter som får lämnas ut i respektive fall. Frågan om utformningen av förordningen i detta hänseende berörs i avsnitt 6.17.5 och 6.17.6.

Enligt CSN förekommer det inte så sällan att privata företag i andra fall begär att elektroniskt få ut adressuppgifter för utskick. CSN brukar i dessa fall inte lämna ut uppgifterna elektroniskt. Också utredningen anser att det inte generellt utanför de tillåtna ändamålen med behandlingen bör tillåtas att personuppgifter lämnas ut elektroniskt till privata företag för utskick utan de registrerades samtycke. Skulle det i framtiden uppkomma ett befogat behov av att elektroniskt lämna ut personuppgifter till privata företag, kan studiestödsdataförordningen senare kompletteras med preciserade bestämmelser för detta fall.

I samband med att CSN har direktåtkomst eller annan elektronisk tillgång till personuppgifter hos någon annan måste CSN ofta lämna ut personuppgifter elektroniskt. Om CSN vid direktåtkomst till uppgifter hos någon annan inte elektroniskt anger om vilken person uppgifter önskas via direktåtkomsten, kan CSN ofta inte på det sättet få tillgång till uppgifter om den personen. Ofta krävs det alltså att CSN sänder en elektronisk fråga med personuppgifter, t.ex. personnummer, för att CSN via direktåtkomst eller på annat elektroniskt sätt ska få tillgång till uppgifter hos någon annan om den omfrågade personen. Sådant elektroniskt utlämnande av personuppgifter från CSN som behövs för att annan ska kunna lämna ut personuppgifter elektroniskt till CSN, t.ex. via direktåtkomst, bör rimligtvis vara tillåtet för att medge CSN en effektiv tillgång till personuppgifter för t.ex. kontroll i den utsträckning CSN har lagliga möjligheter till sådan tillgång. Bestämmelser om sådant elektroniskt utlämnande av personuppgifter från CSN tas också lämpligen in i studiestödsdataförordningen.

Vid elektroniskt utlämnande av personuppgifter i enlighet med bestämmelser i lag eller förordning måste givetvis övriga bestäm-

melser om behandlingen av personuppgifter följas. Bestämmelserna som anger när elektroniskt utlämnande av personuppgifter får ske anger således bara när just ett sådant utlämnande får ske, om behandlingen är tillåten enligt övriga bestämmelser om behandlingen av personuppgifter. Bestämmelserna i den föreslagna studiestödsdatalagen om när en behandling av personuppgifter över huvud taget är tillåten (se avsnitt 6.8) måste således följas, liksom bestämmelserna i den föreslagna lagen om vilka sökbegrepp som inte får användas (se avsnitt 6.10). En erinran om detta bör tas in i den grundläggande bestämmelsen om att elektroniskt utlämnande av personuppgifter är tillåtet bara i den utsträckning som anges i lag eller förordning. Även tillämpliga bestämmelser i personuppgiftslagen, t.ex. om säkerheten vid behandling, måste givetvis följas.

6.12.3. Elektroniskt utlämnande av enstaka personuppgifter

Utredningens förslag: Enstaka personuppgifter får alltid lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall om sekretess inte hindrar det.

Det är i första hand ett systematiskt eller återkommande elektroniskt utlämnande av sammantaget en större mängd personuppgifter som kräver begränsningar av integritetsskyddsskäl. Utredningen anser därför att det utan vidare bör tillåtas att enstaka personuppgifter lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall om sekretess inte hindrar det. Därmed underlättas bl.a. den i dag naturliga och vardagliga kommunikationen via e-post. Vid utlämnandet måste naturligtvis kraven på säkerhetsåtgärder i enlighet med personuppgiftslagen upprätthållas.

Utlämnandet kan ske på någon form av fysiskt medium, såsom diskett, usb-minne, minneskort, cd- eller dvd-skiva, eller via någon form av elektronisk kommunikation, såsom e-post, SMS eller skriftlig dialog i realtid via Internet (s.k. chatt).

Syftet med begränsningen till enstaka personuppgifter är att ett mer omfattande eller systematiskt uppgiftsutlämnande ska kräva särskilt författningsstöd. Ett helt register eller delar av ett register får således inte lämnas ut, t.ex. i form av en fil på diskett, med stöd

av den nu berörda bestämmelsen. Däremot kan några enstaka handlingar och uppgifter lämnas ut via e-post som svar på en förfrågan eller på CSN:s eget initiativ.

I kravet på att det ska vara fråga om elektronisk kommunikation i enskilda fall ligger att utlämnandet ska ske genom en icke automatiserad process, där någon handläggare hos CSN är inblandad i varje utlämnande.

6.12.4. Direktåtkomst för Försäkringskassan och arbetslöshetskassorna

Utredningens förslag: Försäkringskassan och arbetslöshetskassorna får i den utsträckning uppgiftsskyldighet följer av lag eller förordning ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst.

De aktuella personuppgifterna får också på annat sätt lämnas ut elektroniskt till Försäkringskassan och arbetslöshetskassorna.

De statliga utgifterna utgörs till närmare 75 procent (ca 700 miljarder kronor) av olika former av ersättningar och bidrag.

36

Avsevärda

belopp kan därför gå förlorade redan genom felutbetalningar i ringa omfattning. Att ge myndigheterna kontrollmöjligheter vid utbetalning av olika stödformer fyller därför ett befogat statsfinansiellt syfte. Genom 2002 års reform avseende ökat informationsutbyte mellan arbetslöshetsförsäkringen, socialförsäkringen och studiestödet

37

infördes det en uttrycklig möjlighet för länsarbets-

nämnderna, de dåvarande allmänna försäkringskassorna och dåvarande Riksförsäkringsverket att lämna ut uppgifter till de övriga aktörerna i informationsutbytet (arbetslöshetskassorna, länsarbetsnämnderna, CSN, försäkringskassorna och Riksförsäkringsverket) på elektronisk väg och att dessa övriga aktörer skulle få direktåtkomst till informationen. Genom reformen sågs det också till att det fanns nödvändiga bestämmelser om uppgiftsskyldighet mellan de olika aktörerna på området. Statskontoret har föreslagit att det införs en mer heltäckande utbetalningskontroll avseende de

36

Dir. 2005:52 s. 1.

37

Prop. 2000/01:129, bet. 2001/02:KU3 och rskr. 2001/02:18.

förmåner som administreras av de organ som i dag berörs av informationsutbytet. Statskontoret föreslog uttryckligen att denna kontroll skulle omfatta utbetalningar från CSN.

38

Grundläggande bestämmelser om CSN:s uppgiftsskyldighet gentemot Försäkringskassan och arbetslöshetskassorna finns i 20 kap. 9 § lagen (1962:381) om allmän försäkring respektive 48 c § lagen (1997:238) om arbetslöshetsförsäkring. För personuppgifterna hos Försäkringskassan och arbetslöshetskassorna gäller ett sekretesskydd som motsvarar det som gäller för uppgifterna hos CSN (7 kap.7 och 10 §§sekretesslagen). Redan i dag förekommer det i enlighet med intentionerna bakom 2002 års reform ett omfattande elektroniskt utlämnande av personuppgifter från CSN till Försäkringskassan och arbetslöshetskassorna.

Det torde knappast ankomma på utredningen att överpröva det informationsutbyte till följd av kontrollbehov som utretts och tillgodosetts i särskild ordning genom bl.a. 2002 års reform. Utredningen har i och för sig ingen erinran mot om informationsutbytet sker på det sättet att Försäkringskassan och arbetslöshetskassorna ges direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet. Det bör dock noteras att det för behandlingen av personuppgifter i arbetslöshetskassornas verksamhet inom arbetslöshetsförsäkringen saknas en särskild författningsreglering, vilket inte är tillfredsställande särskilt när motsvarande lucka i regleringen avseende en annan aktör inom informationsutbytet (CSN) nu håller på att täppas till.

Eftersom informationsutbytet är etablerat och har stor omfattning samt då motsvarande elektroniska utlämnande från Försäkringskassan till CSN är reglerat i den särskilda registerlag som gäller för Försäkringskassan, finner utredningen att det är lämpligast och tydligast att ta in grundläggande bestämmelser om det elektroniska utlämnandet till Försäkringskassan och arbetslöshetskassorna redan i den föreslagna studiestödsdatalagen. Utredningen föreslår därför en bestämmelse i studiestödsdatalagen om att Försäkringskassan och arbetslöshetskassorna får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet i den utsträckning uppgiftsskyldighet följer av lag eller förordning. Bland annat eftersom uppgiftsskyldigheten för CSN har en väldigt vid omfattning, bör det ankomma på regeringen att meddela nöd-

38

Statskontorets utvärdering Informationsutbyte kräver bra förutsättningar (2006:7) s. 119 f.

vändiga detaljföreskrifter om vilka personuppgifter som får omfattas av direktåtkomsten.

Den föreslagna bestämmelsen innebär inte i sig någon uppgiftsskyldighet för CSN eller någon skyldighet för CSN att faktiskt anordna den direktåtkomst som får förekomma enligt bestämmelsen.

6.12.5. Direktåtkomst för socialnämnder

I sitt betänkande Utökat elektroniskt informationsutbyte (SOU 2007:45) har 2005 års informationsutbytesutredning lämnat förslag till en bestämmelse i socialtjänstlagen (2001:453) om uppgiftsskyldighet för CSN och flera andra myndigheter gentemot socialnämnder. Enligt förslaget ska CSN till socialnämnden lämna de uppgifter om förmån, ersättning eller annat stöd åt enskild som har betydelse i ärende om ekonomiskt bistånd enligt 4 kap. socialtjänstlagen och ärende om återkrav m.m. av sådant bistånd enligt 9 kap. socialtjänstlagen. I en föreslagen ny förordning om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453) finns det närmare föreskrifter om vilka uppgifter CSN ska lämna till socialnämnden. Enligt förslaget ska, såvitt nu har betydelse, CSN till socialnämnden lämna följande uppgifter om sökanden hos socialnämnden:

1. namn, personnummer och i förekommande fall samordnings-

nummer, 2. att en ansökan om studiestöd har lämnats in, 3. vilken form av studiestöd som har sökts, beviljats respektive

utbetalats, 4. för vilken tidsperiod studiestöd har sökts, beviljats respektive

utbetalats, 5. omfattningen av studiestöd i form av studiemedel, 6. med vilket belopp studiestöd har beviljats eller betalats ut för-

delat på form av stöd, 7. datum för utbetalning av studiestöd, och 8. uppgift om beviljat eller utbetalt studiestöd i form av studie-

medel avser studier på grundskolenivå.

Syftet med förslagen från 2005 års informationsutbytesutredning är att socialnämnderna ska kunna få direktåtkomst till personuppgifter som behandlas hos CSN. Eftersom frågan har utretts i särskild

ordning, tar utredningen inte ställning i sak till frågan om socialnämnderna bör kunna få direktåtkomst till personuppgifter som behandlas hos CSN. Utredningen begränsar sig i stället till att redogöra för hur en sådan direktåtkomst, om den anses önskvärd, tekniskt kan inordnas i utredningens författningsförslag, som ju introducerar en bestämmelse om att direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning.

Om förslagen från 2005 års informationsutbytesutredning genomförs och det bedöms önskvärt att socialnämnderna ska kunna få direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet i den utsträckning den utredningen föreslagit, kan det ordnas genom en ny bestämmelse i den studiestödsdataförordning som utredningen föreslår. En sådan ny bestämmelse skulle lämpligen kunna formuleras enligt följande: ”En socialnämnd får ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet i den utsträckning som anges i 2 § förordningen (0000:00) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453).”

I avsnitt 4.2.5 under underrubriken Kommuner har verksamheten inom den s.k. Borlängepiloten översiktligt beskrivits. Verksamheten innebär elektroniskt utlämnande av vissa personuppgifter från CSN till socialnämnder. I samband med att ställning tas till förslagen från 2005 års informationsutbytesutredning, som om de genomförs jämte den kompletterande förordningsbestämmelse som nyss angetts skulle ge nödvändigt författningsstöd för informationsutbytet, bör ställning också tas till en eventuell fortsättning av verksamheten inom Borlängepiloten.

Utredningen har noterat att enligt förslagen från 2005 års informationsutbytesutredning ska uppgiftsskyldigheten och direktåtkomsten bara få avse uppgifter om den som är sökande hos socialnämnden. Det är inte för utredningen helt klart hur CSN ska kunna begränsa direktåtkomsten för en socialnämnd till uppgifter om personer som är sökande (i ärende om ekonomiskt bistånd) hos den socialnämnden eller hur det är avsett att CSN innan direktåtkomst medges ska kunna förvissa sig om att en viss person är sökande hos en viss socialnämnd.

Utredningen har – i syfte att åstadkomma en sådan lämplig säkerhetsnivå som avses i 31 § personuppgiftslagen – föreslagit en uttrycklig bestämmelse om att CSN ska se till att elektronisk till-

gång till personuppgifter dokumenteras. Sådan loggning torde, bl.a. mot bakgrund av 31 § personuppgiftslagen, förekomma hos de flesta myndigheter som ger andra myndigheter direktåtkomst till personuppgifter. Såvitt utredningen förstår måste en socialnämnd som har direktåtkomst till uppgifter om en sökande i ett ärende om ekonomiskt bistånd hos en annan myndighet i samband därmed elektroniskt lämna den myndigheten information om sökandens identitet, t.ex. genom att på ett strukturerat sätt elektroniskt ange personnumret. I vart fall torde det inte vara ovanligt att den myndighet som medger direktåtkomst loggar vilka personer eller ärenden en annan myndighets direktåtkomst avsett. Loggen torde utgöra en allmän handling hos den myndighet som för den, och det torde hos den myndigheten sällan gälla sekretess för uppgifterna i loggen. Mot den bakgrunden förordar utredningen att frågan om skydd för logguppgifter särskilt beaktas innan direktåtkomst medges för socialnämnderna till personuppgifter hos CSN.

6.12.6. Direktåtkomst för den registrerade

Utredningens förslag: Den registrerade får i den utsträckning sekretess inte hindrar det ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, om uppgifterna

1. avser honom eller henne själv,

2. finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, eller

3. avser dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter.

De aktuella personuppgifterna får också på annat sätt lämnas ut elektroniskt till den registrerade.

CSN erbjuder i dag studerande med studiemedel och låntagare direktåtkomst till en del av sina egna personuppgifter via funktionen ”Mina sidor” på CSN:s webbplats på Internet.

39

Utredningen anser att det inte finns några integritetsskyddsskäl som talar emot att den registrerade får ha direktåtkomst till sina egna personuppgifter som behandlas i CSN:s studiestödsverksam-

39

Jämför förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel.

het, om sekretess inte hindrar det, eller att uppgifterna på annat sätt lämnas ut elektroniskt till den registrerade. I stället kan en sådan elektronisk tillgång – vid sidan av befintliga möjligheter och rättigheter att ta del av sina uppgifter – bidra till att det blir enklare för den registrerade att kontrollera sina uppgifter och göra gällande sina rättigheter, t.ex. om det har blivit något fel.

Utredningen föreslår som nämnts en grundläggande bestämmelse om att direktåtkomst till och annat elektroniskt utlämnande av personuppgifter bara är tillåtet i den utsträckning som anges i lag eller förordning, om den registrerade inte samtyckt. När den registrerade bereds direktåtkomst till sina uppgifter torde samtycke alltid finnas eller kunna hämtas in utan olägenhet. Vid annat elektroniskt utlämnande, t.ex. om CSN som en service till registrerade utan tillgång till Internet skulle vilja sända de registrerades uppgifter på något fysiskt datamedium, är det kanske inte lika praktiskt med samtycke på förhand. Utredningen anser i vart fall att det är bäst att för tydlighets skull i den föreslagna studiestödsdatalagen ta in uttryckliga bestämmelser om den registrerades elektroniska tillgång till sina egna personuppgifter.

Utredningen föreslår därför en bestämmelse om att den registrerade, i den utsträckning sekretess inte hindrar det, får ha direktåtkomst till personuppgifter om sig själv som behandlas i CSN:s studiestödsverksamhet.

I ett ärende om studiestöd kan det ibland förekomma uppgifter om andra personer än den person som är part. För en smidig elektronisk hantering av ärendena för såväl de studiestödsberättigade och låntagarna som CSN är det av stort värde att den registrerade genom direktåtkomst kan ta del av alla uppgifter i det ärende där han eller hon är part. Utredningen, som inte kan se några bärande integritetsskyddsskäl mot en sådan direktåtkomst, föreslår därför också en bestämmelse om att den registrerade, i den utsträckning sekretess inte hindrar det, får ha direktåtkomst till personuppgifter som finns i ett ärende om studiestöd där den registrerade är part.

Ibland har enligt den materiella lagstiftningen någon annan fysisk person än den vars rätt till studiestöd ska prövas i ärendet rätt att få utbetalning av studiestödet, i typfallet vårdnadshavare för en omyndig studiehjälpsberättigad. Den person som har rätt att få utbetalning av studiestödet, om det beviljas, är då registrerad i ärendet jämte den vars rätt till studiestöd ska prövas och har ofta bäst möjligheter att kontrollera att uppgifterna, t.ex. om utbetalning, är riktiga. Utredningen kan inte heller här se några bärande

integritetsskyddsskäl mot direktåtkomst i ärendet för också den person som har rätt att få utbetalning av det aktuella studiestödet. Utredningen föreslår därför också en bestämmelse om att en registrerad som har rätt att få utbetalning av studiestöd för någon annan, i den utsträckning sekretess inte hindrar det, får ha direktåtkomst till uppgifter som finns i just detta ärende om studiestöd.

Utredningen har i avsnitt 6.11 föreslagit en uttrycklig skyldighet för CSN att se till att elektronisk tillgång till personuppgifter dokumenteras, dvs. registreras i en behandlingshistorik (logg). Att den registrerade på ett enkelt sätt via direktåtkomst kan få del av begriplig dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter ger denne en ökad kontroll över vilken användning av uppgifterna som förekommit. Att den registrerade själv kan kontrollera behandlingshistoriken innebär vidare bättre möjligheter att upptäcka och beivra obehörig åtkomst samt förstärker loggningens avhållande effekter. Dokumentationen av elektronisk tillgång kan i och för sig innehålla uppgifter om vilka personer som haft sådan tillgång till personuppgifterna (och när de hade sådan tillgång). Även sådana uppgifter om handläggare och liknande bör den registrerade kunna få del av via direktåtkomst. Med beaktande av att uppgifterna om handläggarna rör åtgärder i anställningen, får den registrerades intresse av kontroll över sina uppgifter nämligen anses väga tyngre än handläggarnas intresse av att slippa få sina åtgärder i anställningen granskade av den som åtgärderna berör.

Utredningen föreslår därför även en bestämmelse om att den registrerade, i den utsträckning sekretess inte hindrar det, får ha direktåtkomst till uppgifter som avser dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter.

De föreslagna bestämmelserna innebär inte i sig någon uppgiftsskyldighet för CSN eller någon skyldighet för CSN att faktiskt anordna den direktåtkomst som får förekomma enligt bestämmelserna. CSN kan alltså t.ex. begränsa direktåtkomsten avseende dokumentationen av den elektroniska tillgången till uppgifter som inte direkt pekar ut enskilda handläggare.

Möjligheten till direktåtkomst gäller bara i den utsträckning uppgifterna över huvud taget får lämnas ut till den registrerade. Sekretess kan således hindra direktåtkomsten. Sekretessregler hindrar dock typiskt sett inte att den enskilde får ut uppgifter om sig själv, 14 kap. 4 § första stycket sekretesslagen, men undantag kan

gälla t.ex. med hänvisning till intresset att förebygga eller beivra brott, 5 kap. 1 § sekretesslagen.

6.12.7. Elektroniskt utlämnande till Riksrevisionen

Utredningens förslag: På begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling.

Riksrevisionen är en myndighet under riksdagen med uppgift att granska den verksamhet som bedrivs av staten, inklusive den verksamhet som bedrivs av CSN såsom statlig myndighet (12 kap. 7 § regeringsformen). CSN ska enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. på begäran lämna Riksrevisionen den hjälp och de uppgifter och upplysningar som Riksrevisionen behöver för granskningen. Den bestämmelsen innefattar en uppgiftsskyldighet för CSN. Enligt förarbetena till bestämmelsen omfattar uppgiftsskyldigheten uppgiftslämnande på medium för automatiserad behandling.

40

På begäran lämnar CSN en gång varje

år Riksrevisionen uppgifter, inklusive personuppgifter, på fil. Den sekretess som gällde för personuppgifterna hos CSN gäller också hos Riksrevisionen, 13 kap. 1 § sekretesslagen.

Utredningen föreslår som nämnts en grundläggande bestämmelse om att direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning. Den enligt förarbetena avsedda skyldigheten för CSN att till Riksrevisionen lämna ut begärda uppgifter på medium för automatiserad behandling anges emellertid inte uttryckligen i bestämmelsen om uppgiftsskyldighet i 6 § lagen (2002:1022) om revision av statlig verksamhet m.m.

Utredningen föreslår därför en uttrycklig bestämmelse i studiestödsdatalagen om att CSN på begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får lämna ut personuppgifter till Riksrevisionen på medium för automatiserad behandling.

40

Prop. 2001/02:190 s. 158.

6.13. Överföring av personuppgifter till tredje land

Utredningens bedömning: Det behövs inte i studiestödsdatalagen några särskilda bestämmelser om överföring av personuppgifter till tredje land.

I personuppgiftslagen finns det särskilda bestämmelser om den form av behandling av personuppgifter som en överföring av dem till ett s.k. tredje land (en stat som varken ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet) innebär (se avsnitt 3.4). I utredningsdirektiven anges det att utredningen bör uppmärksamma behoven att utbyta personuppgifter med mottagare inom och utanför EU. CSN har dock inte något löpande eller strukturerat utbyte av personuppgifter med någon utomlands (se avsnitt 4.2.7). Såvitt framkommit har CSN inte upplevt några svårigheter med att tillämpa bestämmelserna i personuppgiftslagen vid den överföring av personuppgifter som förekommer ibland. Det har vidare inte kommit fram att CSN:s överföring av personuppgifter skulle innebära några integritetsrisker som skulle behöva regleras särskilt.

Utredningens bedömning är mot den bakgrunden att det inte behövs några särskilda bestämmelser i studiestödsdatalagen om CSN:s överföring av personuppgifter till tredje land.

6.14. Rättelse och skadestånd

Utredningens förslag: Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till lagen.

Enligt 28 § personuppgiftslagen (1998:204) gäller att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med den lagen eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna und-

vikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Bestämmelserna i 28 § personuppgiftslagen om rättelse m.m. är således bara tillämpliga när uppgifterna behandlats i strid med den lagen eller föreskrifter som utfärdats med stöd av personuppgiftslagen. Har personuppgifter behandlats på något sätt som bara står i strid med bestämmelser i en registerförfattning, gäller alltså formellt inte bestämmelserna i 28 § personuppgiftslagen om rättelse m.m. Den registrerade bör emellertid vid behandling av personuppgifter i strid med den föreslagna studiestödsdatalagen eller föreskrifter som kan ha meddelats i anslutning till lagen ha samma möjligheter till rättelse m.m. som enligt 28 § personuppgiftslagen. Det är därför nödvändigt att i studiestödsdatalagen ta in en särskild bestämmelse om detta som hänvisar till bestämmelserna om rättelse m.m. i personuppgiftslagen.

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta en registrerad för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Skadeståndsbestämmelserna i personuppgiftslagen gäller framför de allmänna bestämmelserna om skadestånd i skadeståndslagen (1972:207), eftersom sistnämnda lag är subsidiär i förhållande till andra regleringar, 1 kap. 1 § skadeståndslagen. I den mån en fråga inte är reglerad i personuppgiftslagen ska dock bestämmelserna i skadeståndslagen tillämpas. Det gäller exempelvis frågor om beräkning av ersättningens storlek. Skillnaden mellan de särskilda bestämmelserna i personuppgiftslagen och bestämmelserna i skadeståndslagen består främst i att ersättning enligt personuppgiftslagen kan avse ren förmögenhetsskada och kränkning av den personliga integriteten även om brottslig gärning inte begåtts. En annan viktig skillnad är att bestämmelsen i personuppgiftslagen bygger på ett i princip strikt skadeståndsansvar, medan skadeståndsskyldighet enligt skadeståndslagen förutsätter åtminstone ett oaktsamt handlande från skadevållarens sida.

Bestämmelserna i 48 § personuppgiftslagen om skadestånd gäller dock bara ersättningsskyldighet vid behandling av personuppgifter i strid med bestämmelserna i den lagen. De är alltså inte tillämpliga vid behandling av personuppgifter i strid med andra

författningar. Ett motsvarande skadeståndsansvar som det som gäller enligt 48 § personuppgiftslagen bör dock finnas även vid behandling av personuppgifter som utförs i strid med den föreslagna studiestödsdatalagen eller föreskrifter som kan ha meddelats i anslutning till lagen. En bestämmelse med denna innebörd bör därför tas in i studiestödsdatalagen.

De föreslagna bestämmelserna är inte avsedda att innebära avvikelser från personuppgiftslagen. En behandling av personuppgifter i strid med bestämmelserna i personuppgiftslagen när dessa är tilllämpliga (därför att frågan inte reglerats särskilt i studiestödsdatalagen), kan således föranleda rättelse m.m. och skadestånd enligt personuppgiftslagen.

6.15. Straff

Utredningens bedömning: Det behövs ingen straffbestämmelse i studiestödsdatalagen.

I 49 § personuppgiftslagen finns det bestämmelser om straff för den som genom visst handlande bryter mot vissa bestämmelser i personuppgiftslagen. En behandling av personuppgifter i strid med bestämmelserna i personuppgiftslagen när dessa är tillämpliga därför att frågan inte reglerats särskilt i studiestödsdatalagen eller annan författning med från personuppgiftslagen avvikande bestämmelser och som är straffbar enligt personuppgiftslagen, kan föranleda straffansvar enligt 49 § personuppgiftslagen.

För felaktig behandling av personuppgifter som sker vid myndighetsutövning kan tjänstefelsansvar enligt 20 kap. 1 § brottsbalken komma i fråga. Det gäller om gärningen inte är belagd med straff enligt någon annan bestämmelse, t.ex. 49 § personuppgiftslagen. Även bestämmelsen om straff för dataintrång i 4 kap. 9 c § brottsbalken bör nämnas i sammanhannget.

En behandling av personuppgifter i strid med bestämmelserna i den föreslagna studiestödsdatalagen kan således, om förutsättningarna för det är uppfyllda, föranleda straffansvar för tjänstefel enligt brottsbalken. Mot den bakgrunden anser utredningen att det inte finns behov av någon särskild bestämmelse om straff vid överträdelser av bestämmelserna i den föreslagna studiestödsdatalagen.

6.16. Gallring och begränsning av direkt elektronisk tillgång

Utredningens förslag: Direkt elektronisk tillgång till personuppgifter, som normalt sett inte behövs för återbetalning eller återkrav av studiestöd, i ett ärende om studiestöd ska begränsas till ett fåtal personer senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. Behövs personuppgifterna för ett nytt ärende om studiestöd, får begränsningen upphävas.

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas för att förbereda handläggningen av ärenden ska i den utsträckning de inte tillförts ett ärende om studiestöd gallras senast ett år efter det att uppgifterna registrerades.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Centrala studiestödsnämnden får också i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium.

6.16.1. Bakgrund

Personuppgiftslagen innehåller vissa bestämmelser om hur länge personuppgifter får bevaras. Enligt 9 § personuppgiftslagen ska den personuppgiftsansvarige se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste personuppgifterna avidentifieras eller förstöras. Personuppgifter får dock bevaras för

historiska, statistiska och vetenskapliga ändamål under längre tid än vad som nu sagts. Motsvarande bestämmelser finns i artikel 6 i EGdirektivet. Enligt 8 § andra stycket personuppgiftslagen hindrar emellertid inte bestämmelserna i personuppgiftslagen att en myndighet arkiverar och bevarar allmänna handlingar. Det har, trots Lagrådets protester, ansetts att en sådan bestämmelse är tillåten enligt EG-direktivet.

41

När det däremot gäller personuppgifter som

inte utgör eller finns i allmänna handlingar följer alltså av 9 § första stycket i och tredje stycket personuppgiftslagen att personuppgifterna inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål. Efter denna tid måste uppgifterna avidentifieras eller utplånas.

Grundläggande bestämmelser om bevarande och gallring av allmänna handlingar hos myndigheter finns i arkivlagen (1990:782).

42

I arkivlagen slås det fast att myndigheternas arkiv är en del av det nationella kulturarvet. Det i lagen angivna syftet med arkivbildningen är att myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov.

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen (minnesanteckningar, utkast och koncept) som myndigheten beslutar ska tas hand om för arkivering. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, ska dock bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen.

Huvudregeln enligt arkivlagen är att allmänna handlingar ska bevaras. Enligt 10 § arkivlagen får emellertid gallring ske. Vid gallring ska alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose arkivbildningens syften. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning, gäller dessa bestämmelser. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med före-

41

Prop. 1997/98:44 s. 47 f.

42

Beskrivningen av bestämmelserna i arkivförfattningarna baseras på motsvarande beskrivning i SOU 2006:82 s. 510 ff.

skrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.

Med gallring avses traditionellt att vissa handlingar sorteras ut ur sitt sammanhang och sedan förstörs. När det gäller gallring av elektroniska upptagningar innebär detta normalt att viss information raderas från databäraren, dvs. det fysiska underlaget. Det är dock inte nödvändigt att den egentliga information som finns på ett elektroniskt medium verkligen förstörs för att det ska vara fråga om gallring i traditionell mening. Tvärtom kan ett visst material gallras genom att den elektroniskt lagrade informationen överförs till en pappersutskrift, varefter den raderas från det elektroniska mediet. Även om alla uppgifter då fortfarande kan tyckas finnas kvar på papper, så har olika sökmöjligheter eller möjligheter att göra sammanställningar eller kontroller av handlingars autenticitet – t.ex. elektroniska signaturer – gått förlorade, vilket medför att materialet har gallrats. Innebörden av att ett visst material gallrats, har alltså ansetts vara att möjligheten att få fram information ur materialet på något sätt har försämrats. Riksarkivet har sålunda definierat gallring som förstöring av allmänna handlingar och uppgifter i allmänna handlingar. Förstöring av sådana handlingar/uppgifter i samband med överföring till annan databärare räknas enligt Riksarkivet som gallring, om överföringen medför informationsförlust, förlust av möjliga informationssammanställningar, förlust av sökmöjligheter eller förlust av möjligheter att fastställa informationens autenticitet (RA-FS 2003:2).

Det är vanligt att det i särskilda registerförfattningar finns bestämmelser om att personuppgifter ska gallras.

43

6.16.2. Inledning

I CSN:s studiestödsverksamhet kan vissa personuppgifter ha betydelse under mycket lång tid. Studielån som tagits under studietiden kan t.ex. betalas tillbaka i åratal, varför vissa uppgifter om lånet har betydelse under hela återbetalningstiden. Uppgifter om att en person fått studiestöd kan vidare t.ex. under lång tid ha betydelse för att enligt studiestödsförfattningarna bedöma rätten till nytt studiestöd. Alla personuppgifter i ett ärende om studiestöd har dock inte

43

Se härtill Sören Öman, ”Gallring i allmänna handlingar av integritetsskyddsskäl” i Handlingsoffentlighet utan handlingar?, Skrifter utgivna av Riksarkivet nr 21, 2004, s. 39–48.

betydelse för återbetalning, återkrav eller nya ärenden om studiestöd.

Att många personuppgifter i en myndighets verksamhet finns mera allmänt omedelbart elektroniskt tillgängliga – ”en knapptryckning bort” – innebär särskilda integritetsrisker i jämförelse med att uppgifterna finns på papper i ett arkiv eller i elektroniskt format med begränsad tillgänglighet. Samtidigt är den enkla elektroniska tillgången för behöriga handläggare till de personuppgifter som ofta behövs i verksamheten en förutsättning för att verksamheten ska kunna bedrivas effektivt.

Att personuppgifter som inte längre kan ha någon betydelse för myndighetens verksamhet sparas – på papper eller i elektroniskt format – innebär vidare också integritetsrisker. Samtidigt är det viktigt får vårt nationella kulturarv att vissa uppgifter sparas under i princip evig tid.

Utredningen har gjort en avvägning mellan de intressen som gör sig gällande och därvid gjort bl.a. följande allmänna överväganden.

CSN bör av effektivitetsskäl få ha personuppgifter som normalt sett kan antas behövas frekvent i studiestödsverksamheten mera allmänt elektroniskt tillgängliga för de personer som behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. I avsnitt 6.11 har utredningen närmare berört hur den elektroniska tillgången för den enskilde handläggaren hos CSN bör vara ordnad.

Den direkta elektroniska tillgången till personuppgifter som inte längre kan antas behövas frekvent i studiestödsverksamheten bör däremot av integritetsskyddsskäl begränsas till bara ett fåtal personer hos CSN. Därmed minskar den direkta elektroniska tillgängligheten till personuppgifterna på ett sätt som liknar den arkivläggning som brukar ske av pappershandlingar som inte längre normalt sett behövs särskilt ofta i verksamheten. Man kan uttrycka det som att personuppgifterna förs över från det mera allmänt tillgängliga datasystemet för den dagliga verksamheten (STIS) till en arkivdatabas som bara en liten krets av personer har direkt tillgång till. Dessa personer kan se till att handläggare som i ett aktuellt ärende behöver personuppgifter i ett sparat ärende får elektronisk eller annan tillgång till personuppgifterna i just det ärendet.

Personuppgifter som inte längre kan ha betydelse i CSN:s studiestödsverksamhet bör av integritetsskyddsskäl som huvudregel förstöras. Hänsynen till vårt nationella kulturarv gör dock att ett urval av personuppgifter bör få sparas för evigt i elektroniskt for-

mat, på papper eller i någon annan form (t.ex. på s.k. mikrokort). I enstaka fall bör av närmast rättssäkerhetsskäl också personuppgifterna i ett visst ärende kunna sparas på papper eller annat icke elektroniskt medium. Vidare bör det vara tillåtet att spara personuppgifter som har betydelse för den ekonomiska redovisningen inom staten.

Utredningen har inte funnit anledning att föreslå särskilda bestämmelser om gallring och begränsad direkt elektronisk tillgång beträffande annat än den stora mängden ärenden om studiestöd och den behandling som sker för att förbereda handläggningen. Det innebär att de ganska fåtaliga personuppgifter, ofta om andra än studerande, som i enlighet med föreskrivna ändamål behandlas i CSN:s studiestödsverksamhet utan att avse förberedande handläggning eller ingå i ärenden om studiestöd, t.ex. i register över anmälda kontaktpersoner på olika läroanstalter, inte omfattas av de föreslagna bestämmelserna. Utredningen har nämligen ansett att sådana bestämmelser inte behövs för dessa personuppgifter. Det ställningstagandet förutsätter att det inte regelmässigt eller systematiskt registreras personuppgifter från ärendena om studiestöd för att användas utanför ärendena i CSN:s studiestödsverksamhet. Så är inte fallet i dag, och de föreslagna bestämmelserna om när personuppgifter får behandlas (se avsnitt 6.8) är också avsedda att förhindra detta.

Utredningen föreslår således inte några bestämmelser om gallring avseende den avskilda praxisdatabasen med vägledande avgöranden. Det ligger i sakens natur att avgöranden (prejudikat) kan vara vägledande under lång tid. Det går emellertid inte att med hjälp av namn eller personnummer söka fram uppgifter om en viss person i praxisdatabasen. Därför har utredningen ansett att det inte behövs några bestämmelser om gallring avseende praxisdatabasen, trots att den i och för sig kan innehålla (indirekta) personuppgifter av känslig natur.

6.16.3. Begränsning av direkt elektronisk tillgång till personuppgifter

Några år efter det att studiestöd senast beviljades eller ansökan om studiestöd avslogs i ett ärende om en viss typ av studiestöd, t.ex. studiehjälp, för en person bör behovet av att ha personuppgifterna mera allmänt elektroniskt tillgängliga i studiestödsverksamheten

hos CSN som regel ha avklingat. De personuppgifter som normalt sett behövs för återbetalning eller återkrav av studiestöd behöver dock, när sådant är aktuellt, alltjämt få finnas mera allmänt elektroniskt tillgängliga i verksamheten för att administrera återbetalningen eller återkravet. Övriga personuppgifter i det gamla ärendet kan man däremot förmodligen ofta anta aldrig kommer att behövas mera i CSN:s studiestödsverksamhet. I vart fall kan det antas att dessa personuppgifter behövs relativt sällan.

Mot den bakgrunden föreslår utredningen att direkt elektronisk tillgång till personuppgifter, som normalt sett inte behövs för återbetalning eller återkrav av studiestöd, i ett ärende om studiestöd ska begränsas till ett fåtal personer senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs.

Som exempel på uppgifter som kan behövas för återbetalning av studiestöd kan, förutom närmast självklara uppgifter såsom skuldens storlek och gäldenärens identitet, följande nämnas. I vissa fall kan studielån – enligt nuvarande eller tidigare gällande ordning – som lämnats för viss utbildning, i huvudsak gymnasiestudier, för att den studerande ska få behörighet för högskoleutbildning delvis skrivas av under förutsättning att den studerande senare faktiskt genomgår sådan utbildning (se i nuvarande reglering 4 kap. 22 § studiestödslagen och 4 kap. 9 § studiestödsförordningen). Uppgiften om att den studerande fått studielån som kan skrivas av senare under vissa förutsättningar får anses normalt sett behövas för återbetalning av studiestöd, eftersom uppgiften i det tänkta normalfallet – att den studerande faktiskt använder den behörighetsgrundande utbildningen och studerar vidare – påverkar det belopp som ska betalas tillbaka.

Med ärende om studiestöd avser utredningen ett ärende om en viss typ av studiestöd – i dag ärendetyperna studiehjälp, ersättning för dagliga resor, studielån, Rg-bidrag och TUFF-ersättning – för en viss person. En person som får studiemedel i form av både studiebidrag och studielån för vissa studier har således fått studiestöd i ett enda ärende i den mening utredningen avser. Gör den personen något års studieuppehåll för att sedan få studiemedel i form av studiebidrag och, eventuellt, studielån för helt andra studier, är det vidare ändå fråga om ett enda ärende om studiestöd i den mening utredningen avser. I ett enda ärende om (en viss typ av) studiestöd kan det förekomma flera olika slags händelser,

åtgärder och beslut, t.ex. beviljning, återkrav, återbetalning, nedsättning av studiestöd och upprättande av betalningsplaner.

Om återbetalning eller återkrav inte är aktuellt, ska alltså den direkta elektroniska tillgången till personuppgifterna i ett ärende om studiemedel för en person begränsas till ett fåtal personer senast tre år efter utgången av det kalenderår då studiemedel senast beviljades eller ansökan om studiemedel avslogs avseende den personen. Det gäller även om personen då skulle vara aktuell i ett ärende om en annan typ av studiestöd, t.ex. TUFF-ersättning.

Det är i första hand CSN som har att bedöma vilka personuppgifter som normalt sett behövs för återbetalning eller återkrav av studiestöd. Avsikten är dock inte att bedömningen ska utfalla så att alla personuppgifter i ärendet normalt sett behövs.

Med ett fåtal personer avser utredningen en eller några anställda vid varje kontor eller funktionell enhet hos CSN eller motsvarande begränsade totala antal personer som fördelas på kontor och enheter på annat sätt.

Med direkt elektronisk tillgång avser utredningen att de aktuella personerna på egen hand kan med hjälp av dator komma åt uppgifterna.

Om en handläggare som inte har direkt elektronisk tillgång till personuppgifterna (arkivdatabasen) i ett visst fall skulle i arbetet behöva få del av avförda personuppgifter i ett ärende, hindrar inte den föreslagna bestämmelsen att någon med sådan tillgång på begäran sänder personuppgifterna i det efterfrågade ärendet i elektroniskt format eller på annat sätt till den som behöver uppgifterna. Detsamma gäller om det är någon utomstående som efterfrågar uppgifterna.

Skulle det visa sig att avförda personuppgifter i ett ärende behövs för ett nytt ärende om studiestöd, bör personuppgifterna kunna återföras från arkivdatabasen till det mera allmänt tillgängliga datasystemet för den dagliga verksamheten (STIS) eller göras mera allmänt tillgängliga på annat sätt. Utredningen föreslår därför att begränsningen av den direkta elektroniska tillgången till vissa personuppgifter får upphävas, om personuppgifterna behövs för ett nytt ärende om studiestöd.

Det kan inte uteslutas att den närmare utformningen av de förslagna bestämmelserna kan behöva ändras tid efter annan, t.ex. därför att det tillkommer en ny typ av studiestöd som är konstruerad på annat sätt än de nuvarande eller därför att det visar sig att vissa personuppgifter i de gamla ärendena faktiskt behövs ganska

ofta i verksamheten. Utredningen, som inte anser det nödvändigt med bestämmelser i lag, föreslår därför att bestämmelserna ska tas in i en till studiestödsdatalagen anknytande förordning, studiestödsdataförordningen, i enlighet med den lagbestämmelse om att regeringen får meddela närmare föreskrifter om elektronisk tillgång som utredningen föreslagit i avsnitt 6.11.

Eftersom avsikten som nämnts är att personuppgifterna i de gamla ärendena ska avföras till ett slags arkivdatabas som bara en liten krets av personer har direkt elektronisk tillgång till, bör inte heller direktåtkomst kunna medges till dessa personuppgifter annat än såvitt avser den direktåtkomst för den registrerade som avses i avsnitt 6.12.6. Bestämmelser härom kan också meddelas i förordning, vilket utredningen föreslår.

6.16.4. Gallring

Några år efter det att ett ärende om en viss typ av studiestöd för en person slutligt handlagts hos CSN bör behovet för CSN:s studiestödsverksamhet att över huvud taget ha kvar personuppgifterna i ärendet normalt ha avklingat. I vissa fall kan dock vissa personuppgifter i ärendet fortfarande ha betydelse enligt studiestödsförfattningarna för ett nytt ärende om studiestöd.

Mot den bakgrunden föreslår utredningen att personuppgifterna i ett ärende om studiestöd ska gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs, om återbetalning eller återkrav av studiestöd inte är aktuellt, och i annat fall senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd ska dock inte behöva gallras förrän de inte längre kan ha sådan betydelse.

Med ärende om studiestöd avser utredningen även här ett ärende om en viss typ av studiestöd – i dag ärendetyperna studiehjälp, ersättning för dagliga resor, studiemedel, Rg-bidrag och TUFF-ersättning – för en viss person. Om återkrav inte blivit aktuellt, ska alltså personuppgifterna i ett ärende om studiehjälp för en person gallras senast tre år efter utgången av det kalenderår då studiehjälp senast beviljades avseende den personen. Det gäller även om personen då skulle vara aktuell i ett ärende om en annan typ av studiestöd, t.ex. studiemedel för studier på högskolenivå

direkt efter de studiehjälpsberättigande gymnasiestudierna. I ett enda ärende om (en viss typ av) studiestöd kan det förekomma flera olika slags händelser, åtgärder och beslut, t.ex. beviljning, återkrav, återbetalning, nedsättning av studiestöd och upprättande av betalningsplaner.

Om återbetalning av studielån är aktuellt i ett ärende om studiemedel för en person, behöver alltså inte några personuppgifter i ärendet om studiemedel för den personen gallras förrän två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Personuppgifterna i det ärendet ska enligt förslaget emellertid gallras då även om personen vid tillfället skulle vara aktuell i ett ärende om en annan typ av studiestöd, t.ex. TUFF-ersättning. Enligt förslaget spelar det inte någon roll hur betalningsskyldigheten har upphört.

Frågan om i vilken utsträckning personuppgifter i ett ärende om studiestöd kan ha betydelse för ett nytt ärende om studiestöd får bedömas enligt vid var tid gällande författningar om studiestöd. Det är bara de personuppgifter som kan ha sådan betydelse som får undantas från gallring. Ett exempel är att en person i trettioårsåldern som redan har fått studiemedel i 200 veckor för en viss utbildning endast kan få studiemedel i ytterligare 40 veckor för en annan utbildning när det är fråga om utbildning som avses i 3 kap. 8 § första stycket studiestödslagen (1999:1395). Eftersom den registrerade kan få studiemedel till och med det kalenderår denne fyller 54 år (se 3 kap. 3 § studiestödslagen), kan en del av personuppgifterna i det avslutade ärendet om studiemedel ha betydelse ända till och med detta år.

När det gäller personuppgifter som behandlas för att förbereda handläggningen av ärenden ligger det i sakens natur att dessa inte behöver sparas längre än till dess det bör stå klart om de behövs i ett ärende om studiestöd. Utredningen föreslår därför att personuppgifter som behandlas för att förbereda handläggningen av ärenden ska, i den utsträckning de inte tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.

Med gallring avser utredningen att informationen förstörs så att den inte kan återskapas. Det är alltså inte tillåtet att CSN inför gallringen av de behandlade personuppgifterna för över dem på annat medium, t.ex. papper, och sedan bevarar informationen på det mediet längre än vad som följer av de föreslagna gallringsbestämmelserna. Något krav på att personuppgifter som CSN vid gallringstidpunkten redan avhänt sig till annan, t.ex. via direktåtkomst

eller genom att sända en utskrift på papper, ska gallras (hos mottagaren) finns inte i den föreslagna lagen.

Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Den föreslagna bestämmelsen i studiestödsdatalagen är en sådan gallringsföreskrift i lag som avses i 14 § arkivförordningen och som tillåter gallring utan beslut eller föreskrift av Riksarkivet. Enligt den föreslagna bestämmelsen får de angivna personuppgifterna alltså gallras när som helst, dock senast vid utgången av den angivna gallringsfristen.

I vissa fall kan personuppgifterna i ärenden om studiestöd behöva sparas under en viss tid efter den föreslagna gallringstidpunkten, eftersom de fortfarande kan ha betydelse i det aktuella ärendet eller i annat sammanhang.

Av 45 § lagen (1996:1059) om statsbudgeten följer t.ex. att bokföring i staten ska ske på ett sätt som stämmer överens med god redovisningssed, vilket bl.a. för med sig att vissa personuppgifter i verifikationer behöver sparas under en längre tid. Därför bör det vara möjligt att meddela föreskrifter om att vissa personuppgifter får bevaras för redovisningsändamål trots de föreslagna gallringsbestämmelserna.

Det torde vidare i undantagsfall förekomma att personuppgifterna i ett ärende om studiestöd även efter gallringstidpunkten har betydelse därför att handläggning avseende ärendet i en eller annan mening kan sägas fortsätta hos CSN eller annan myndighet. Det kan t.ex. gälla en granskning avseende ärendet hos någon myndighet eller liknande med tillsynsfunktioner eller motsvarande, t.ex. Riksdagens ombudsmän (JO), Justitiekanslern, riksdagens utskott eller Riksrevisionen. Det kan också gälla ett beslut i ett ärende som överklagats och där överprövningen inte är klar ännu. Det kan vidare gälla att anspråk på skadestånd framställts med anledning av handläggningen av ett ärende. Även andra undantagsfall där personuppgifterna i ett ärende om studiestöd kan ha betydelse även efter gallringstidpunkten torde kunna tänkas. Det bör därför vara möjligt för CSN att i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd trots de föreslagna gallringsbestämmelserna ska bevaras på papper eller annat icke elektroniskt medium.

Begränsningen till enstaka fall innebär bl.a. att CSN inte regelmässigt får besluta om bevarande bara därför att personuppgifterna

i en viss ärendetyp någon gång i framtiden kanske skulle kunna komma att ha betydelse. Det ligger i sakens natur att beslut om bevarande ska fattas före den föreskrivna gallringstidpunkten. Kravet på att personuppgifterna ska bevaras på ett icke elektroniskt medium innebär att uppgifterna måste föras över från datasystemet till ett sådant medium, t.ex. papper eller s.k. mikrokort. Med elektroniskt medium avser utredningen ett medium där personuppgifterna lagras i elektroniskt format, dvs. binär form, såsom ettor och nollor. På ett icke elektroniskt medium lagras personuppgifterna i stället i ett statiskt format, där det inte är möjligt att på elektronisk väg göra olika sammanställningar av informationen.

För vårt nationella kulturarvs skull är det vidare av betydelse att ett visst urval av personuppgifter bevaras för evigt. Därför bör det vara möjligt att meddela föreskrifter om att vissa personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål trots de föreslagna gallringsbestämmelserna. Härigenom kan rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov beaktas, dvs. de ändamål som arkivlagen syftar till att tillgodose.

När det gäller personuppgifter som behandlats för att förbereda handläggningen av ärenden men där det inte blivit något ärende om studiestöd torde det inte behövas någon möjlighet till bevarande efter den föreslagna gallringsfristen för dessa uppgifter.

6.17. Detaljreglering i förordning och myndighetsföreskrifter

6.17.1. Inledning

Utredningens allmänna överväganden avseende nivån på författningsregleringen på området har redovisats i avsnitt 6.2. Av vad som sagts i tidigare avsnitt framgår det vidare att utredningen föreslår att det av studiestödsdatalagen framgår

a. att regeringen får meddela föreskrifter om när behandling av

personuppgifter som behövs för att förbereda handläggningen av ärenden i studiestödsverksamhet får utföras (avsnitt 6.8.2), b. att regeringen får meddela föreskrifter om begränsningar av de

tilllåtna ändamålen för behandling av personuppgifter och om

begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål (avsnitt 6.8.2), c. att regeringen, eller den myndighet som regeringen bestämmer,

får meddela närmare föreskrifter om intern elektronisk tillgång till personuppgifter för den som deltar i CSN:s studiestödsverksamhet och om dokumentation och kontroll av den elektroniska tillgången (avsnitt 6.11), d. att regeringen får meddela föreskrifter i förordning om att

direktåtkomst och annat elektroniskt utlämnande är tillåtet (avsnitt 6.12.2), e. att regeringen meddelar föreskrifter om vilka personuppgifter

som får omfattas av direktåtkomsten för Försäkringskassan och arbetslöshetskassorna (avsnitt 6.12.4), och f. att regeringen, eller den myndighet som regeringen bestämmer,

får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål trots bestämmelserna i lagen om gallring (avsnitt 6.16).

Av vad som anförs i avsnitt 6.6.4 och 6.8.4 framgår det också att bestämmelser om uppgiftsskyldighet i bl.a. förordning enligt utredningens förslag ska ta över bestämmelserna i studiestödsdatalagen.

Det förefaller lämpligt att försöka samla de flesta specifika föreskrifter av regeringen som knyter an till studiestödsdatalagen i en förordning. Utredningen lämnar förslag till en sådan förordning – studiestödsdataförordningen – som innehåller de nya föreskrifter av regeringen som enligt utredningens mening behövs för närvarande. I detta avsnitt berörs de föreskrifter som sålunda föreslås. När det i detta avsnitt och i förslaget till studiestödsdataförordning talas om adress avses såväl postadress som elektronisk adress, t.ex. e-postadress.

Enligt utredningens mening saknas det för närvarande skäl att utfärda några andra sådana detaljföreskrifter rörande intern elektronisk tillgång som avses i punkt c ovan än dem som föreslagits i avsnitt 6.16.3. Däremot bör CSN:s villkor för intern elektronisk tillgång till personuppgifter samt dokumentation och kontroll av dokumentationen följas upp.

6.17.2. Förberedande handläggning

Som angivits i avsnitt 6.8.2 får det anses särskilt integritetskänsligt att CSN behandlar personuppgifter om individer som inte alls berörs av myndighetens ålagda arbetsuppgifter. Utredningen har som också framgår av nämnda avsnitt ändå kommit fram till att CSN bör få fortsätta att behandla personuppgifter om individer som kan komma att bli aktuella i ett ärende om studiestöd för att förbereda handläggningen i den utsträckning regeringen föreskriver det. I de fall de personuppgifter som behandlas är tämligen harmlösa ur ett integritetsperspektiv och fördelarna med behandlingen överväger det integritetsintrång som de registrerade får vidkännas bör behandlingen av personuppgifter kunna tillåtas.

Det är enligt 9 § första stycket f personuppgiftslagen (1998:204) inte tilllåtet att behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Eftersom det saknas avvikande bestämmelser härom i den föreslagna studiestödsdatalagen, gäller denna begränsning även för CSN:s behandling av personuppgifter för förberedande handläggning.

44

CSN behandlar för närvarande personuppgifter för att förbereda en eventuellt kommande handläggning i två fall som berörs nedan. Något behov att behandla personuppgifter för förberedande handläggning i andra fall har inte förts fram till utredningen. Utredningen anser därför att det för närvarande inte finns anledning att överväga ytterligare fall av behandling av personuppgifter för förberedande handläggning.

Den som fyller 16 år

Det första fallet är den behandling av personuppgifter som sker för att förbereda handläggningen av ärenden om studiehjälp för de personer som fyller 16 år (se avsnitt 4.2.5). Som framgått ovan (se avsnitt 2.2.1) betalas det allmänna barnbidraget till och med det kvartal då barnet fyller 16 år. Därefter betalas förlängt barnbidrag så länge barnet studerar i grundskolan. Studiehjälp kan betalas, om barnet studerar efter grundskolan. Eftersom en stor andel av 16-

44

EG-direktivet innehåller en motsvarande bestämmelse (artikel 6.1 c), och den bestämmelsen har ansetts vara direkt tillämplig i den meningen att den kan åberopas av enskild inför nationella domstolar för att dessa inte ska tillämpa nationella rättsregler som strider mot bestämmelsen, EG-domstolens dom den 20 maj 2003 i de förenade målen C-465/00, C-138/01 och C-139/01, REG 2003 s. I-4989.

åringarna fortsätter att studera och det således är många som samtidigt får rätt till studiehjälp för första gången, är det rationellt att förbereda handläggningen, inklusive utbetalning, genom att registrera nödvändiga uppgifter om de personer som fyller 16 år. För att kunna förbereda handläggningen hämtar CSN in uppgifter om personnummer alternativt samordningsnummer på barnet och den eller de som var betalningsmottagare av det allmänna eller förlängda barnbidraget från Försäkringskassan samt namn, adress, sekretessmarkering, medborgarskap och invandrings- och utvandringsdatum på barnet och den eller de som var betalningsmottagaren av det allmänna eller förlängda barnbidraget från Skatteverket. Från Swedbank AB hämtar CSN in uppgifter om bankkonto för den eller de personer som var betalningsmottagare. Uppgifterna om medborgarskap och invandrings- och utvandringsdatum behövs, eftersom det för den som inte är svensk medborgare gäller olika bestämmelser om rätt till studiehjälp (1 kap.46 §§ och 2 kap. 4 §studiestödslagen).

En avvägning mellan å ena sidan den registrerades intresse av att slippa bli registrerad och å andra sidan behovet av en effektiv handläggning av ärenden utfaller enligt utredningens mening på så sätt att CSN alltjämt bör få förbereda handläggningen avseende landets 16-åringar på det sätt som nu sker. De personuppgifter som samlas in synes vara väl avgränsade och inte innefatta fler uppgifter än som är nödvändigt. Denna verksamhet bör därför få fortsätta. Uppgifter om andra personer än den som fyller 16 år och den eller de personer som senaste mottog det allmänna eller förlängda barnbidraget för barnet bör inte få registreras för att förbereda handläggningen.

Antagna till utbildning som berättigar till studiemedel

Det andra fallet av förberedande handläggning avser personer som registrerar sig på eller, när det gäller utbildningar som avses i avdelning A1 och A2 i bilagan till studiestödsdataförordningen (2000:655), antagits till en utbildning som berättigar till studiemedel. Som framgått ovan (se avsnitt 4.2.5) inhämtar CSN i samband med terminsstart uppgifter från Ladok och Handelshögskolan avseende samtliga personer som registrerat sig på universitet och högskolor oavsett om de (ännu) sökt studiemedel. De personuppgifter som hämtas in är personnummer alternativt sam-

ordningsnummer, namn och adress. För de personer som antagits till utbildningar som avses i avdelning A1 och A2 i bilagan till studiestödsdataförordningen inhämtas motsvarande uppgifter och uppgifter om studieresultat från respektive läroanstalt. Uppgifter om personnummer alternativt samordningsnummer, namn, adress, sekretessmarkering, medborgarskap och invandrings- och utvandringsdatum hämtas från Skatteverket. Uppgifterna om medborgarskap och invandringsdatum behövs, eftersom det för den som inte är svensk medborgare gäller olika bestämmelser om rätt till studiemedel (1 kap.46 §§ och 3 kap. 4 §studiestödslagen). Denna förberedande handläggning innebär att CSN till viss del kommer att registrera personer som inte kommer att beröras av CSN:s verksamhet, t.ex. därför att de inte ansöker om studiemedel.

På motsvarande sätt som i fråga om registreringen av uppgifter om 16-åringar utfaller en avvägning mellan de registrerades intresse av att inte behöva registreras och behovet av en effektiv handläggning av ärenden till CSN:s fördel. CSN bör därför få fortsätta med denna förberedande handläggning på oförändrat sätt.

6.17.3. Personuppgifter som får behandlas

Utredningen har ansett att det inte är lämpligt eller möjligt att i lag precisera de ändamål för vilka personuppgifter får behandlas mer än vad som har redovisats ovan (se avsnitt 6.8.2). De föreslagna beskrivningarna av de tillåtna ändamålen i studiestödsdatalagen är förhållandevis allmänt hållna, och utredningen föreslår att regeringen bemyndigas att meddela föreskrifter om begränsningar av de i lagen angivna tillåtna ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

Utredningen har inte sett att det för närvarande finns skäl att föreskriva någon begränsning av de ändamål för vilka personuppgifter får behandlas. Däremot finns det enligt utredningens mening skäl att i ett par fall föreskriva begränsning av vilka personuppgifter som får behandlas för vissa ändamål. Dessa fall berörs i det följande.

Information till studiestödsberättigade

Som framgår ovan av avsnitt 6.8.2 föreslås det att CSN får behandla personuppgifter för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Även om de registrerade föreslås ha en rätt att motsätta sig behandling av personuppgifter för detta ändamål (se avsnitt 6.5), finns det skäl att begränsa CSN:s möjlighet att behandla personuppgifter för detta ändamål. Eftersom behandlingen inte är nödvändig för att CSN ska kunna fullgöra sin kärnverksamhet, är det nämligen särskilt viktigt att behovet av integritetsskydd för den enskilde tillgodoses.

För att CSN ska kunna distribuera informationen till de berörda, krävs det att personuppgifter avseende namn och adress behandlas. Eftersom CSN använder CSN-nummer

45

eller person-

nummer alternativt samordningsnummer som sökkriterier, behöver även uppgifter om sådana nummer användas. För att den information som skickas ut ska kunna anpassas till de berördas situation, behövs vidare uppgift om vilken typ av studiestöd som kan vara aktuell och om medborgarskap. I det s.k. 16-årsbrevet med information om studiehjälp som CSN sänder ut anges – för kontroll – det registrerade bankkontot för en eventuell framtida mottagare av utbetalning av studiehjälp (se avsnitt 6.17.2), varför även uppgift om bankkonto behöver behandlas.

Distribution av bevis om studier

På motsvarande sätt som gäller vid behandling av personuppgifter för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner har en registrerad enligt utredningens förslag rätt att motsätta sig behandling av personuppgifter för att ta fram och till studerande distribuera bevis om studier med studiestöd.

Hanteringen av sådana bevis sker för närvarande till viss del genom utomstående aktörer (se avsnitt 4.2.5). Detta gör att integritetsaspekterna blir än mer betonade. Utredningen föreslår bl.a. på grund härav begränsningar i fråga om vilka personuppgifter som CSN får behandla för ändamålet att ta fram och distribuera nu aktuella bevis.

45

Se not 3 i avsnitt 4.2.2.

För att nu aktuella bevis ska kunna utfärdas och distribueras fordras uppgifter om namn och adress på den studerande. För att möjliggöra säker identifikation är det också nödvändigt att uppgifter om personnummer alternativt samordningsnummer och CSN-nummer behandlas. För att en studerande ska ha rätt att få t.ex. CSN-kortet krävs det för närvarande att denne studerar minst på halvtid i tre månader. Studietakt och studietid har alltså i dag betydelse för att kunna ta fram bevisen. Sådana personuppgifter bör därför också få behandlas.

Några andra personuppgifter än vad som nu sagts finns det enligt utredningens mening inte något behov av att behandla för att ta fram och till studerande distribuera bevis om studier med studiestöd. Därför bör det meddelas en föreskrift av innebörd att några sådana andra personuppgifter inte får behandlas.

6.17.4. Begränsning av intern direkt elektronisk tillgång till personuppgifter

Av vad som anförs i avsnitt 6.16.3 framgår det att utredningen föreslår att det i studiestödsdataförordningen tas in en bestämmelse om begränsning av intern direkt elektronisk tillgång till personuppgifter i vissa gamla ärenden.

6.17.5. Direktåtkomst

Enligt utredningens förslag till studiestödsdatalag får bl.a. Försäkringskassan och arbetslöshetskassorna ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet (se avsnitt 6.12.4). I förslaget har även angetts att regeringen meddelar närmare föreskrifter om vilka personuppgifter som får omfattas av direktåtkomsten för Försäkringskassan och arbetslöshetskassorna. De legala förutsättningarna för informationsutbytet har beskrivits ovan i avsnitt 4.2.5. Av vad som sägs där framgår det att CSN har en vidsträckt uppgiftsskyldighet i förhållande till Försäkringskassan och arbetslöshetskassorna. Det informationsutbyte som i praktiken sker rutinmässigt på elektronisk väg är dock mer begränsat än vad det verkar finnas legala förutsättningar för. Enligt utredningens mening finns det i dagsläget inte anledning att tillåta direktåtkomst till flera personuppgifter än vad som omfattas av det

rutinmässiga elektroniska informationsutbytet som sker i dag. Det innebär att det bör meddelas föreskrifter om att direktåtkomsten begränsas för Försäkringskassan till uppgifter om personnummer, samordningsnummer, av CSN åsatt särskilt identifikationsnummer (s.k. CSN-nummer), utbetalat studiestödsbelopp per viss tidsperiod, beviljat studiestöd per viss tidsperiod och typ av studiestöd samt för arbetslöshetskassorna till uppgifter enligt 23 § förordningen (1997:835) om arbetslöshetsförsäkring, dvs. uppgifter om namn, personnummer och i förekommande fall samordningsnummer, att en ansökan om studiestöd har lämnats in, för vilken tidsperiod studiestöd har sökts och beviljats, vilket studiestöd som har beviljats, omfattningen av studiestödet, vilket studiestöd som har betalats ut, för vilken tidsperiod studiestöd har betalats ut, och om CSN ändrat eller återtagit ett beslut om studiestöd.

Som beskrivits i avsnitt 4.2.5 har det nyligen införts en webbaserad elevrapporteringsrutin för skolor där den rapporterande läroanstalten i samband med rapportering av nya och ändrade uppgifter till CSN får tillgång till de uppgifter läroanstalten tidigare lämnat till CSN, se också avsnitt 6.12.2. Den tillgången till personuppgifter för skolorna får anses innebära direktåtkomst. Det bör därför föreskrivas i förordning att sådan direktåtkomst är tillåten.

I avsnitt 6.12.5 finns det ett utkast till hur en bestämmelse i studiestödsdataförordningen om direktåtkomst för socialnämnder skulle kunna utformas.

Av vad som anförs i avsnitt 6.16.3 framgår det att utredningen föreslår att direktåtkomst ska begränsas genom förordning så att den inte i nu avsedda fall avser personuppgifter till vilka den interna direkta elektroniska tillgången begränsats.

6.17.6. Annat elektronisk utlämnande

Som framgår av avsnitt 6.12.2 lämnar CSN i dag ut personuppgifter på elektroniskt vis till ett antal aktörer. Sådant utlämnade får enligt den föreslagna studiestödsdatalagen inte ske utan den registrerades samtycke om det inte finns stöd i lag eller förordning för utlämnandet. I två av de fall som anges i nyss nämnda avsnitt kan utlämnandet lämpligen ske efter inhämtande av samtycke. Det rör sig om utlämnande till reseföretag och försäkringsmäklare. I de övriga fallen behöver utlämnandet ske utan inhämtande av samtycke. Utredningen föreslår därför en bestämmelse i studiestödsdataförord-

ningen om att CSN får lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst till aktuella aktörer i den omfattning som sker i dag.

Som också framgår av avsnitt 6.12.2 behöver CSN lämna ut personuppgifter elektroniskt i samband med att CSN har direktåtkomst eller annan elektronisk tillgång till personuppgifter hos någon annan. Utredningen föreslår därför en bestämmelse i studiestödsdataförordningen om att CSN också får lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst i den utsträckning det behövs för att annan ska kunna lämna ut personuppgifter elektroniskt till CSN.

6.17.7. Gallring

Utredningen har föreslagit vissa lagregler om gallring av de personuppgifter som behandlas i CSN:s studiestödsverksamhet (avsnitt 6.16). Det har vidare föreslagits att regeringen, eller den myndighet som regeringen bestämmer, ska få meddela föreskrifter om att personuppgifter trots lagreglerna om gallring får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål.

Att bedöma vilket bevarande som är påkallat för de angivna ändamålen kräver särskild sakkunskap. Därför är det lämpligt att inte regeringen utan i första hand expertmyndigheten Riksarkivet bedömer behovet av bevarande och självt utfärdar föreskrifter om bevarande. Utredningen föreslår därför att Riksarkivet i förordning bemyndigas att utfärda föreskrifter om bevarande av personuppgifter för de angivna ändamålen. Det får förutsättas att Riksarkivet när det gäller föreskrifter om bevarande för redovisningsändamål samråder med expertmyndigheten på området, Ekonomistyrningsverket som bl.a. ska utveckla god redovisningssed inom staten.

46

46

Jämför RA-FS 2004:3.

7. Ikraftträdande och övergångsbestämmelser

Utredningens förslag: Studiestödsdatalagen och den kompletterande studiestödsdataförordningen ska träda i kraft den 1 januari 2009. Bestämmelserna om gallring och begränsning av intern direkt elektronisk tillgång till personuppgifter ska dock inte börja tillämpas förrän den 1 januari 2010.

Studiestödsdatalagen och studiestödsdataförordningen bör efter sedvanlig remissbehandling, lagrådsremiss, proposition och behandling i riksdagen kunna träda i kraft den 1 januari 2009.

Enligt CSN behövs det viss tid för systemutvecklingsarbete m.m. för att genomföra de föreslagna bestämmelserna om gallring och begränsning av den interna direkta elektroniska tillgången till personuppgifter i gamla ärenden (se avsnitt 6.16). För att medge tid för sådant arbete föreslår utredningen att bestämmelserna om gallring och begränsning av intern direkt elektronisk tillgång till personuppgifter inte ska börja tillämpas förrän ett år efter ikraftträdandet av lagen och förordningen i övrigt, dvs. den 1 januari 2010.

Utredningen har inte funnit att det i något annat avseende skulle behövas några övergångsbestämmelser till de föreslagna författningarna.

Utredningen har föreslagit en lagbestämmelse om att den registrerade i den utsträckning sekretess inte hindrar det får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet, om uppgifterna avser honom eller henne själv. I 1 § 3 förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel finns det i dag en bestämmelse om att CSN får meddela föreskrifter om att den som gör en elektronisk ansökan får ha direktåtkomst till sådana uppgifter om sig själv som finns hos

CSN och som får lämnas ut till honom eller henne. Förordningen har tidsbegränsad giltighet till och med den 31 december 2008, SFS 2007:318. Den bestämmelsen blir med utredningens förslag onödig och bör upphävas för den händelse det skulle beslutas att förordningen i övrigt ska fortsätta att gälla efter ikraftträdandet av den föreslagna studiestödsdatalagen.

8. Konsekvenserna av förslagen

8.1. Ekonomiska och samhälleliga konsekvenser

För kommittéers och särskilda utredares arbete gäller bestämmelserna i kommittéförordningen (1998:1474). Om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska enligt 14 § kommittéförordningen en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa också redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, ska kommittén enligt samma lagrum föreslå en finansiering.

Utredningens förslag innebär att det införs en särskild reglering av behandlingen av personuppgifter i CSN:s studiestödsverksamhet. I dag regleras den behandlingen av personuppgiftslagen.

CSN har påtalat att det krävs tekniska förändringar för att genomföra de föreslagna reglerna om intern elektronisk tillgång till personuppgifter, loggning, gallring och den registrerades rätt att i vissa fall motsätta sig behandling.

Utredningens förslag avseende intern elektronisk tillgång till personuppgifter och loggning bygger på och utgör bara preciseringar av de bestämmelser om säkerhet i personuppgiftslagen som CSN redan i dag har att följa (se avsnitt 6.11). Redan i dag krävs det alltså enligt personuppgiftslagen att CSN begränsar den interna elektroniska tillgången till personuppgifter och har loggar som kontrolleras, och utredningens förslag innebär att CSN i stor utsträckning själv ska bestämma hur tillgången och loggningen ska ordnas. Det är utredningens bedömning att CSN:s kostnader för att ordna tillgången och loggningen inte är en följd av utredningens förslag och att förslagen i vart fall inte innebär någon ökad kostnad

för CSN i förhållande till de kostnader den redan gällande personuppgiftslagen innebär.

I fråga om gallring har CSN redan inlett ett arbete med att utforma gallringsrutiner, ett arbete som givetvis drar kostnader. Det är utredningens bedömning att utredningens förslag i fråga om gallring inte innebär några nämnvärda extra kostnader.

Utredningens förslag ger den registrerade rätt att motsätta sig sådan behandling av personuppgifter som i praktiken innebär att den registrerade får ett utskick från CSN som inte är nödvändigt för att handlägga ärenden om studiestöd (se närmare avsnitt 6.5 och 6.8.2). Utredningen bedömer att ganska få personer kommer att utnyttja den rätten, uppskattningsvis ett hundratal.

1

Förslaget

innebär att CSN på ett eller annat sätt måste notera vilka personer som har motsatt sig behandlingen och sedan inför utskick utesluta dessa personer. Det innebär vissa ökade kostnader för CSN. Samtidigt bör CSN:s kostnader minska något med anledning av att utskick inte behöver (och enligt utredningens förslag inte får) göras till personer som inte vill ha utskicken. Det är utredningens bedömning att den ökade nettokostnaden för CSN kan klaras av inom nuvarande anslagsramar.

Utredningens sammanfattande bedömning är att utredningens förslag inte innebär några nämnvärda ökade kostnader. Samtidigt står det klart att CSN nu står inför en period när myndigheten kommer att ha en hel del utgifter för att anpassa datahanteringen till dataskyddslagstiftningen och att informera om lagstiftningen.

Om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, ska konsekvenserna i det avseendet, enligt 15 § kommittéförordningen, anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdhet mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen. Förslagen medför inte några negativa konsekvenser av nu angivet slag.

1

Utredningen vill betona att den bedömningen inte innebär att rätten blir mindre viktig för

de personer som vill utnyttja den för att slippa utskick.

8.2. Konsekvenser för personlig integritet

Utredningar som lägger fram förslag som förutsätter behandling av personuppgifter bör särskilt uppmärksamma konsekvenserna från integritetsskyddssynpunkt för den som personuppgifterna avser.

2

De förslag som utredningen lägger fram förutsätter inte någon behandling av personuppgifter utan är en reglering av en redan pågående sådan behandling. Utredningen har haft i uppdrag just att kartlägga och granska regleringen och användningen av personregister och annan behandling av personuppgifter i studiestödsverksamheten. Hela utredningsarbetet har genomsyrats av överväganden rörande de registrerades personliga integritet. Någon särskild konsekvensbeskrivning avseende skyddet för den personliga integriteten görs inte här utan det hänvisas till avsnitten 5 och 6.

2

Statsrådsberedningens publikation Kommittéhandboken Ds 2000:1 s. 83.

9. Författningskommentar

9.1. Inledning

Författningskommentaren har byggts upp på så vis att vad som angivits i tidigare avsnitt om de föreslagna bestämmelsernas innebörd har förts samman och antecknats under respektive paragraf i författningskommentaren, där också ytterligare kommentarer kring paragrafen kan finnas. Metoden innebär att den som läser betänkandet från pärm till pärm får stå ut med vissa upprepningar. Den som vill veta vad en föreslagen paragraf är avsedd att närmare innebära kan å andra sidan gå direkt till författningskommentaren och nöja sig med att läsa denna.

Bara till förslaget till studiestödsdatalag finns det en författningskommentar uppdelad på paragrafer. Utredningens förslag till studiestödsdataförordning kommenteras i stället i avsnitt 6.17.

9.2. Förslaget till studiestödsdatalag

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet.

Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får utom i fall som avses i 5 § utföras även om den registrerade motsätter sig behandlingen.

Paragrafen anger lagens tillämpningsområde. Bestämmelsens första och andra stycke har berörts i avsnitt 6.4. Det tredje stycket har berörts i avsnitt 6.5.

Av första stycket framgår det att det endast är behandling av personuppgifter som utförs av CSN som omfattas av lagens tillämpningsområde. Behandling av personuppgifter som utförs av någon annan aktör på studiestödsområdet faller utanför lagens tillämpningsområde. Med begreppen behandling och personuppgifter avses detsamma som i personuppgiftslagen (1998:204).

Av första stycket följer också att lagen endast är tillämplig på CSN:s behandling av personuppgifter i studiestödsverksamhet. CSN:s verksamhet såvitt avser hemutrustningslån faller t.ex. utanför tillämpningsområdet. Lagen tillämpas inte heller på CSN:s behandling av personuppgifter för intern administration, såsom lokal- och personalhantering, utan direkt koppling till handläggningen av ärenden om studiestöd. Av 2 § andra stycket följer att CSN:s behandling av personuppgifter för att framställa statistik inte regleras av lagen även om statistikproduktionen skulle kunna sägas utgöra studiestödsverksamhet.

Med studiestödsverksamhet avses för det första beviljning av studiestöd, återkrav av felaktigt utbetalat studiestöd och återbetalning av studiestöd samt den hantering som sker i anslutning till ärenden om beviljning, återkrav och återbetalning av studiestöd, oavsett om hanteringen av ärendet leder till att studiestöd beviljas, nekas, återkrävs, avskrivs eller återbetalas. Med studiestöd avses allt offentligt stöd för enskildas egna studier som CSN enligt författning administrerar. Inte bara det stöd som regleras i studiestödslagen (1999:1395) avses således utan även de andra former av studiestöd som CSN administrerar, för närvarande Rg-bidrag, TUFF-ersättning och bidrag för dagliga resor samt de utmönstrade former av stöd som fortfarande kräver CSN:s handläggning, såsom rekryteringsbidrag.

Med studiestödsverksamhet avses för det andra den verksamhet på det studiesociala området som CSN bedriver, t.ex. hanteringen av CSN-kortet och förmedling av försäkringar.

Av andra stycket framgår det vilken behandling av personuppgifter som omfattas av lagen, nämligen samma typer av behandling som omfattas av personuppgiftslagen enligt 5 § i den lagen. I praktiken torde det inte i CSN:s studiestödsverksamhet förekomma någon sådan manuell behandling som omfattas av studiestödsdatalagen. Behandling av personuppgifter i ostrukturerat material i studiestödsverksamheten är inte undantaget från tillämpningsområdet för studiestödsdatalagen, jämför 5 a § personuppgiftslagen.

Av paragrafens tredje stycke framgår det att huvudregeln i studiestödsdatalagen är att behandling av personuppgifter som enligt lagen är tillåten utan den registrerades samtycke får utföras även om den registrerade motsätter sig behandlingen. När samtycke krävs enligt studiestödsdatalagen (se 4 § första stycket, 7 och 10 §§), är behandlingen inte tillåten utan sådant samtycke. I 6 § berörs den registrerades möjligheter att återkalla ett lämnat samtycke.

Av 5 § framgår det att den registrerade i vissa fall har en möjlighet att förhindra behandling genom att motsätta sig den.

Förhållandet till personuppgiftslagen och lagen om den officiella statistiken

2 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, om inte annat följer av denna lag.

I fråga om Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik gäller bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar i stället för denna lag.

Bestämmelserna i paragrafen har berörts i avsnitt 6.6.

I första stycket regleras förhållandet mellan personuppgiftslagen och studiestödsdatalagen. Personuppgiftslagen gäller vid behandling av personuppgifter i CSN:s studiestödsverksamhet om inget annat följer av studiestödsdatalagen.

När det uttryckligen anges i studiestödsdatalagen att CSN får behandla personuppgifter, innebär det en särreglering i förhållande till personuppgiftslagen, se t.ex. 4 §. Att CSN behandlar personuppgifter när det uttryckligen tillåtits i studiestödsdatalagen kan således inte angripas enligt bestämmelsen i 5 a § personuppgiftslagen om att viss behandling inte får utföras om den innebär en kränkning av den registrerades personliga integritet.

I andra stycket anges det att vid behandling av personuppgifter för att framställa statistik gäller bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar trots att behandlingen skulle kunna träffas av den beskrivning av tillämpningsområdet som ges i 1 §.

Studiestödsdatalagen reglerar alltså inte alls CSN:s behandling av personuppgifter för att framställa statistik. Detta gäller oavsett

om det är fråga om officiell statistik eller annan statistik. Att CSN behandlar personuppgifter som samlats in i studiestödsverksamheten för att sända ut enkäter för att senare genom inkomna enkätsvar få underlag för att framställa statistik är t.ex. en behandling av personuppgifter för att framställa statistik som inte regleras av studiestödsdatalagen. Att CSN genom elektroniskt utlämnande av personuppgifter till Statistiska centralbyrån fullgör uppgiftsskyldigheten enligt 5 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan är också en behandling av personuppgifter för att framställa statistik som inte regleras av studiestödsdatalagen. Behandlingen av personuppgifter för att framställa statistik får alltså utföras om den är tillåten enligt bestämmelserna i bl.a. lagen om den officiella statistiken och anslutande författningar samt personuppgiftslagen.

Personuppgiftsansvar

3

§ Centrala studiestödsnämnden är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.

Bestämmelserna i paragrafen har berörts i avsnitt 6.7.

I paragrafen slås det fast att CSN är personuppgiftsansvarig för den behandling av personuppgifter som CSN utför.

Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på behandling av personuppgifter iakttas. Vidare innebär personuppgiftsansvaret bl.a. en skyldighet att lämna information till den registrerade (2327 §§personuppgiftslagen) och att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 § personuppgiftslagen och 9 § studiestödsdatalagen med 5 § studiestödsdataförordningen). Personuppgiftsansvaret innebär även ett ansvar för att en behandling av personuppgifter faktiskt utförs när den ska ske, t.ex. att rättelse, blockering eller gallring sker i föreskriven tid och på rätt sätt, liksom ett ansvar för att behandling av personuppgifter inte utförs när det inte får ske. Personuppgiftsansvaret gäller alltså också vid underlåtenhet att utföra en behandling som åligger CSN.

Ändamål

4 § Personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet förutom med den registrerades samtycke bara om behandlingen behövs för att

1. handlägga ärenden i den verksamheten,

2. administrera handläggningen,

3. i den utsträckning regeringen föreskriver det förbereda handläggningen,

4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner,

5. ta fram och till studerande distribuera bevis om studier med studiestöd, eller

6. om sekretess inte hindrar det anmäla oegentlighet inom studiestödsverksamhet till en myndighet som har att utreda eller beivra oegentligheten.

Personuppgifter som behandlas enligt första stycket får dock om sekretess inte hindrar det lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas avskilt för att återsöka vägledande avgöranden.

Regeringen får meddela föreskrifter om begränsningar av ändamålen i första stycket och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

Bestämmelserna i paragrafen har berörts i avsnitt 6.8. Paragrafen anger när personuppgifter får behandlas i CSN:s studiestödsverksamhet.

Paragrafen innebär en avvikelse från personuppgiftslagen såtillvida att den ersätter 10 § personuppgiftslagen. CSN får således i studiestödsverksamheten inte t.ex. behandla personuppgifter efter en intresseavvägning enligt 10 § f personuppgiftslagen.

Regleringen i paragrafen är uttömmande i den meningen att CSN inte i andra fall, eller för andra ändamål, får behandla personuppgifter i studiestödsverksamheten. För att en behandling av personuppgifter i studiestödsverksamheten ska vara tillåten krävs det alltså att den behövs för de tillåtna ändamålen, sker med samtycke eller, i andra fall, avser utlämnande enligt en uppgiftsskyldighet i lag eller förordning eller till riksdagen, regeringen eller den registrerade själv.

CSN får således inte i studiestödsverksamheten behandla personuppgifter som samlats in för de tillåtna ändamålen för något annat ändamål även om detta ändamål inte skulle vara oförenligt med de tillåtna ändamålen (jämför finalitetsprincipen i 9 § första

stycket d personuppgiftslagen); en sådan senare behandling för ett annat ändamål är tillåten bara med samtycke eller om behandlingen avser utlämnande i de fall som tidigare angetts.

För att en behandling av personuppgifter som är tillåten enligt denna paragraf ska få genomföras krävs det också att övriga bestämmelser i studiestödsdatalagen om behandlingen följs, t.ex. bestämmelserna med restriktioner i fråga om personuppgifter av känslig natur (7 §), sökbegrepp (8 §) och direktåtkomst och annat elektroniskt utlämnande (10–14 §§).

Paragrafen innebär inte någon avvikelse från bestämmelserna i personuppgiftslagen i den meningen att inskränkningarna i personuppgiftslagen i fråga om behandling av personnummer (22 §) och överföring av personuppgifter till tredje land (33 §) inte skulle gälla.

I paragrafens första stycke anges det tillåtna ändamål för att behandla personuppgifter (avsnitt 6.8.2). Av första stycket framgår det också att personuppgifter får med den registrerades samtycke behandlas för vilket ändamål som helst.

För att en personuppgift ska få behandlas genom att samlas in krävs det att behandlingen behövs för åtminstone något av de angivna tillåtna ändamålen eller att behandlingen sker med den registrerades samtycke.

Behandlingen av personuppgifter i CSN:s studiestödsverksamhet får alltså med samtycke avse vilket ändamål som helst. Eftersom personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och senare inte får behandlas för något ändamål som är oförenligt med de ändamål för vilka uppgifterna samlades in (9 § första stycket c och d personuppgiftslagen), måste CSN i detta fall själv ange ändamålet med behandlingen. De personuppgifter som har samlats in med stöd av den registrerades samtycke får således – till skillnad från vad som gäller för personuppgifter som har samlats in bara med stöd av de angivna tillåtna ändamålen – senare användas också för ändamål som inte är oförenliga med det ändamål för vilket de insamlades (9 § första stycket d personuppgiftslagen).

Den registrerade kan samtycka till att personuppgifter som redan samlats in för de angivna tillåtna ändamålen senare används för något annat ändamål. Den fortsatta behandlingen för det nya ändamålet är då tillåten med stöd av samtycket.

Med samtycke avses detsamma som enligt 3 § personuppgiftslagen, nämligen varje slag av frivillig, särskild och otvetydig vilje-

yttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Även frågorna om när den registrerade själv kan lämna ett samtycke och om vem som kan lämna ett samtycke för en registrerad som inte kan det får bedömas på samma sätt som enligt personuppgiftslagen.

Att ”behandlingen behövs” för de angivna syftena innebär detsamma som när det i artikel 7 i EG-direktivet och 10 § personuppgiftslagen anges att ”behandlingen är nödvändig” för olika syften.

De personuppgifter som för de angivna ändamålen får behandlas i CSN:s studiestödsverksamhet får anses insamlade för samtliga ändamål. Personuppgifter som har samlats in i första hand för att handlägga ärenden i studiestödsverksamheten kan således utan hinder av den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen senare behandlas t.ex. för att ta fram och till studerande distribuera bevis om studier med studiestöd. Däremot får CSN inte i studiestödsverksamheten utan samtycke från den registrerade behandla personuppgifter för något annat ändamål än de angivna. Detta är inte ens tillåtet om ändamålet med denna behandling skulle vara förenligt med det för vilket personuppgifterna ursprungligen samlades in. Av andra stycket framgår det när de behandlade personuppgifter får lämnas ut oberoende av för vilket ändamål det sker.

I första punkten anges det att CSN får behandla personuppgifter om det behövs för att handlägga ärenden i studiestödsverksamheten.

Med handläggning av ärenden avses inte bara åtgärder som direkt syftar till att kunna fatta beslut i ett ärende om studiestöd utan samtliga åtgärder i ärendet både före och efter beslutet. Sådana åtgärder i ett ärende kan vara bl.a. att på begäran sända ut ansökningsblanketter, att ta emot och skanna in handlingar, att sända ut förfrågningar, att upprätta minnesanteckningar, sammanställningar och utkast inför beslut, att utforma ett beslut, att expediera beslutet, att administrera utbetalning och att efter beslutet ha kontakter med den studiestödsberättigade. Dessa efterföljande kontakter kan t.ex. gå ut på att lämna information om förändrad ränta för studielån. När CSN sänder ut ett meddelande som behövs för att handlägga ett ärende om studiestöd och bifogar information omkring det studiestöd ärendet gäller, får även lämnandet av informationen anses behövlig för att handlägga ärendet. Att ge den registrerade

elektronisk eller annan tillgång till uppgifterna i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan får anses ingå i handläggningen av ärenden. Även behandling av personuppgifter som sker för att kontrollera att studiestöd har beslutats och betalats ut på ett riktigt sätt utgör en del av handläggningen av ärendet om studiestöd. Kontroller av bl.a. sökandens uppgifter ingår således i handläggningen. Att en handläggare tar del av vägledande avgöranden för att kunna pröva ett ärende om studiestöd ingår också i handläggningen av ärendet. Detsamma gäller när en handläggare tar del av material i vägledande fall för att utforma handböcker och liknande till ledning för handläggningen av ärenden. Också CSN:s kravverksamhet avseende återbetalning eller återkrav av studiestöd ingår i handläggningen av ärenden. Det kan handla om att sända ärenden för indrivning till inkassoföretag eller att ansöka om betalningsföreläggande eller verkställighet hos Kronofogdemyndigheten. Även sådan bokföring och redovisning avseende ärendena om studiestöd som är föreskriven får anses ingå i handläggningen av ärenden. Om skadeståndsanspråk riktas mot staten med anledning av skada som inträffat inom CSN:s studiestödsverksamhet, är antingen CSN eller Justitiekanslern behörig att handlägga skadeståndsanspråket. Den behandling av personuppgifter som behövs härför är hänförlig till handläggning av ärenden i studiestödsverksamheten. På motsvarande sätt får CSN:s handläggning avseende svar på förfrågningar från tillsynsinstanser, t.ex. Riksdagens ombudsmän (JO), rörande CSN:s studiestödsverksamhet anses avse handläggning av ärende i studiestödsverksamheten.

Av andra punkten framgår det att CSN får behandla personuppgifter om det behövs för att administrera handläggningen av ärenden i studiestödsverksamheten. Ett exempel på sådan behandling är förandet av register över anmälda kontaktpersoner på olika läroanstalter. Ett annat exempel är den behandling av personuppgifter om såväl handläggare som sökande som sker i samband med att ärenden om studiestöd på automatiserat vis fördelas mellan CSN:s handläggare.

I den tredje punkten anges det att CSN får behandla personuppgifter för att i den utsträckning regeringen föreskriver det förbereda handläggningen av ärenden i studiestödsverksamheten. Det krävs alltså en förordningsbestämmelse för att CSN ska få behandla personuppgifter för att förbereda handläggningen. Sådana

bestämmelser finns i 2 och 3 §§ i förslaget till studiestödsdataförordning, se avsnitt 6.17.2.

I den fjärde punkten anges det att CSN får behandla personuppgifter om det behövs för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Det är bara information till studiestödsberättigade som avses. Avser informationen studiestödsförmåner måste det kunna antas att informationsmottagarna i och för sig är berättigade till just den aktuella förmånen, om de skulle börja studera på visst sätt. Det krävs alltså inte att personen redan studerar.

Med studiestödsförmåner avses det som ibland kallas studiefinansiell verksamhet, dvs. CSN:s kärnverksamhet med studiestöd. Information om studiestödsförmåner kan avse t.ex. olika stödformer och villkoren för dessa och därmed sammanhängande frågor. Det ska röra sig om information om någon stödform som CSN har att hantera. Vilka stödformer det kan röra sig om kan komma att variera över tiden. För närvarande är det fråga om stöd enligt studiestödslagen, TUFF-ersättning, Rg-bidrag och ersättning för dagliga resor.

Med studiesociala förmåner avses sådan studiesocial verksamhet som kan antas vara till fördel för den som studerar. Det kan vara fråga om rabatter på resor eller försäkringar som riktar sig just till studerande. Information om de olika rabatt- och förmånskort som i dag finns för studerande faller under bestämmelsen. Vad som är en förmån får bedömas från fall till fall. Det ska typiskt sett vara fråga om något som för studerandekollektivet, eller i vart fall för en inte ringa del av det, framstår som en nyttighet eller i vart fall något önskvärt.

Som framgår av 5 § är behandlingen av personuppgifter för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner bara tillåten så länge den registrerade inte har motsatt sig behandlingen.

I 4 § i förslaget till studiestödsdataförordning finns det begränsningar i fråga om vilka personuppgifter som får behandlas för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, se avsnitt 6.17.3.

I den femte punkten anges det att CSN får behandla personuppgifter för att ta fram och till studerande distribuera bevis om studier med studiestöd. Det krävs inte att CSN själv tar fram och distribuerar bevisen. De bevis om studier som för närvarande är aktuella är CSN-kortet, Mecenatkortet, Studentkortet och Mem-

bitkortet. Det är inte CSN som själv tar fram och distribuerar dessa kort, men personuppgifterna som används kommer från CSN:s register och lämnas ut till olika företag för ändamålet. CSN är personuppgiftsansvarig för den behandling av personuppgifter som utlämnandet till kortföretagen innebär, vilket alltså är tillåtet enligt femte punkten.

Som framgår av 5 § är behandlingen av personuppgifter för att ta fram och till studerande distribuera bevis om studier med studiestöd bara tillåten så länge den registrerade inte har motsatt sig behandlingen.

I 5 § i förslaget till studiestödsdataförordning finns det begränsningar i fråga om vilka personuppgifter som får behandlas för att ta fram och till studerande distribuera bevis om studier med studiestöd, se avsnitt 6.17.3.

I den sjätte punkten anges det att CSN får behandla personuppgifter om det behövs för att – om sekretess inte hindrar det – anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

I studiestödsverksamheten kan det upptäckas oegentligheter. Det kan gälla sökanden som fuskat eller försökt fuska, t.ex. genom att lämna oriktiga uppgifter eller förfalskade handlingar. Det kan också gälla oegentligheter begångna i studiestödsverksamheten av andra än sökanden, t.ex. dataintrång av CSN:s personal, personal vid annan instans med direktåtkomst eller någon helt utomstående eller mutbrott och bestickning. I sådana fall där det inte finns anmälningsskyldighet får CSN själv välja om en anmälan om oegentligheten ska göras till behörig myndighet eller inte. CSN måste dock i dessa fall först avgöra om sekretess kan hindra anmälan; ofta kan emellertid en anmälan till myndighet göras utan hinder av annars gällande sekretess enligt 14 kap.2 och 3 §§sekretesslagen (1980:100).

Anmälan ska ske till något offentligt organ som har att utreda eller beivra oegentligheten. Det kan gälla t.ex. brottsmisstankar som anmäls till polismyndighet eller Åklagarmyndigheten. Det kan också gälla sådant som kan föranleda en arbetsrättslig åtgärd, såsom disciplinansvar, åtalsanmälan, uppsägning eller avskedande, som anmäls till någon myndighets personalansvarsnämnd inklusive personalansvarsnämnden hos CSN.

Av 7 § framgår det att även personuppgifter av känslig natur får lämnas ut i enlighet med sjätte punkten.

I andra stycket anges det för det första när personuppgifter får behandlas genom att lämnas ut oavsett ändamålet med utlämnandet. Personuppgifter som behandlas i studiestödsverksamheten med stöd av samtycke eller de i första stycket angivna ändamålen får enligt bestämmelsen – om sekretess inte hindrar det – lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.

Det är bara personuppgifter om den registrerade själv som får lämnas ut till den registrerade enligt bestämmelsen.

Med uppgiftsskyldighet avses detsamma som enligt 14 kap. 1 § sekretesslagen (1980:100). Uppgiftsskyldigheten kan avse utlämnande till andra myndigheter eller till enskilda. Även de helt generella bestämmelserna om skyldighet att på begäran lämna ut uppgifter till enskilda och myndigheter i 15 kap.4 och 5 §§sekretesslagen avses. Bestämmelsen är inte avsedd att påverka CSN:s skyldigheter enligt grundlag att lämna ut personuppgifter, t.ex. på begäran av enskild enligt offentlighetsprincipen.

Frågan om i vilken utsträckning utlämnandet av personuppgifter får ske i elektronisk form regleras i 10–14 §§.

Av 7 § framgår det att även personuppgifter av känslig natur får lämnas ut i enlighet med andra stycket.

I andra stycket finns det för det andra en bestämmelse om att personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får behandlas avskilt för att återsöka vägledande avgöranden. Avsikten med bestämmelsen är att CSN ska kunna föra en särskild praxisdatabas med vägledande avgöranden med personuppgifter som bara indirekt pekar ut den registrerade.

Namn, personnummer och samordningsnummer pekar direkt ut den registrerade, medan andra uppgifter – t.ex. ärendenummer och information om omständigheter kring personen – inte gör det.

Kravet på att personuppgifterna ska behandlas avskilt innebär att de vägledande avgöranden som ska återsökas får hämtas från verksamhetsdatabaserna (STIS), rensas från direkta personuppgifter och lagras i en särskild databas som är avskild från verksamhetsdatabaserna. Det är alltså inte tillåtet att med stöd av den aktuella bestämmelsen använda verksamhetsdatabaserna (med icke avidentifierade avgöranden) för att återsöka vägledande avgöranden.

Att det ska röra sig om återsökning av just vägledande avgöranden innebär att bara ett kvalitativt urval av avgöranden får samlas. Det går t.ex. inte med fog att säga att nästan alla avgöranden som en underinstans fattar är vägledande.

Av 7 § framgår det att även (indirekta) personuppgifter av känslig natur får behandlas för att återsöka vägledande avgöranden i den avskilda praxisdatabasen. Av 8 § framgår det att alla slags sökbegrepp är tillåtna vid återsökning av vägledande avgöranden i den avskilda praxisdatabasen.

I tredje stycket bemyndigas regeringen att meddela föreskrifter om begränsningar av de i första stycket angivna tillåtna ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. I 4 och 5 §§ i förslaget till studiestödsdataförordning finns det sådana föreskrifter, se avsnitt 6.17.3.

5 § Behandling för ändamål som avses i 4 § första stycket 4 och 5 får utföras bara om den registrerade inte har motsatt sig behandlingen. Centrala studiestödsnämnden ska informera de registrerade om rätten att motsätta sig behandlingen.

Bestämmelserna i paragrafen har berörts främst i avsnitt 6.5.

Bestämmelsens första mening innebär att CSN – utan samtycke – får utföra behandling av personuppgifter för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner eller för att ta fram och till studerande distribuera bevis om studier med studiestöd bara så länge den registrerade inte har motsatt sig behandlingen.

Motsättandet kan ske muntligen eller skriftligen till CSN eller någon som på laglig grund företräder CSN, t.ex. det personuppgiftsbiträde som för CSN:s räkning behandlar personuppgifter för de aktuella ändamålen. Det är vid tvist den registrerade som har bevisbördan för att ett motsättande gjorts och tidpunkten för detta. Frågan om ett meddelande från den registrerade är ett sådant motsättande som avses i paragrafen får avgöras enligt sedvanliga regler om tolkning av ensidiga rättshandlingar.

Ångrar den registrerade sitt motsättande, kan han eller hon alltid samtycka till den aktuella behandlingen. Ett återtagande av ett lämnat motsättande får tolkas som ett sådant samtycke.

Enligt andra meningen ska CSN informera de registrerade om rätten att motsätta sig behandlingen. Det kan ske t.ex. på CSN:s webbplats och i broschyrer som sänds till registrerade samt i de utskick som avses med behandlingen.

6 § I de fall då behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

Bestämmelserna i paragrafen har berörts i avsnitt 6.5.

Enligt paragrafen har den registrerade rätt att när som helst återkalla ett lämnat samtycke som är nödvändigt för att behandlingen ska vara tillåten enligt studiestödsdatalagen, se 4 § första stycket, 7 och 10 §§. Verkan av återkallelsen är att ytterligare personuppgifter om den registrerade därefter inte längre får behandlas för det aktuella ändamålet.

Bestämmelsen motsvarar och är avsedd att ha motsvarande innebörd som 12 § första stycket personuppgiftslagen, se prop. 1997/98:44 s. 123.

Återkallelse kan avges muntligen eller skriftligen till CSN eller någon som på laglig grund företräder CSN, t.ex. det personuppgiftsbiträde som för CSN:s räkning kan ha tagit emot samtycket. Det är vid tvist den registrerade som har bevisbördan för att en återkallelse gjorts och tidpunkten för denna. Frågan om ett meddelande från den registrerade är en sådan återkallelse som avses i paragrafen får avgöras enligt sedvanliga regler om tolkning av ensidiga rättshandlingar.

Sedan CSN mottagit den registrerades återkallelse, får några ytterligare uppgifter om den registrerade inte samlas in eller annars behandlas för det aktuella ändamålet. Behandlingen av redan insamlade uppgifter får trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade samtycket, men uppgifterna får således inte t.ex. uppdateras eller kompletteras för det aktuella ändamålet.

Behandling av känsliga personuppgifter m.m.

7 § Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får förutom med den registrerades uttryckliga samtycke behandlas bara i enlighet med 4 § första stycket 1 om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter får dock också behandlas i enlighet med 4 § första stycket 6 och andra stycket.

Bestämmelserna i paragrafen har berörts i avsnitt 6.9.

Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen personuppgifter som rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. De uppgifter som avses i 21 § personuppgiftslagen är personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Sådana personuppgifter som nu avses får enligt paragrafen behandlas bara med den registrerades uttryckliga samtycke eller om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten under förutsättning att uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter får enligt paragrafen dock också behandlas om det behövs för att kunna anmäla oegentlighet inom studiestödsverksamhet till en myndighet som har att utreda eller beivra oegentligheten eller om det behövs för att lämna ut personuppgifter till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Sådana personuppgifter får även behandlas i den avskilda samlingen av personuppgifter för återsökning av vägledande avgöranden som avses i 4 § andra stycket andra meningen.

När det i paragrafen anges att ”uppgifterna behövs” avses detsamma som när det i artikel 7 i EG-direktivet och 10 § personuppgiftslagen anges att ”behandlingen är nödvändig” för olika syften.

Med den registrerades uttryckliga samtycke avses detsamma som enligt 3 och 15 §§personuppgiftslagen.

För att behandlingen av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ska vara tillåten krävs det dessutom att behandlingen över huvud taget är tillåten enligt 4–6 §§. För att behandlingen av dessa personuppgifter ska få genomföras krävs det givetvis också att övriga bestämmelser om behandlingen följs, t.ex. bestämmelserna i 8 § med restriktioner i fråga om sökbegrepp och i 10–13 §§ om direktåtkomst och annat elektroniskt utlämnande.

Angivandet i paragrafen av när behandlingen av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. får ske är inte avsedd att påverka bestämmelserna om sekretess i sekre-

tesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Bestämmelserna i paragrafen innebär avvikelser från bestämmelserna i 1321 §§personuppgiftslagen och gäller därför i stället för dessa bestämmelser.

Sökbegrepp

8 § Som sökbegrepp får inte användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Vid sökning bara i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sådana sökbegrepp användas. Uppgifter som rör hälsa får också användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

Bestämmelserna i paragrafen har berörts i avsnitt 6.10. I nämnda avsnitt redogörs för vilka överväganden som legat bakom begränsningarna av tillåtna sökbegrepp.

Med uppgifter som rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening avses samma slags uppgifter som enligt 13 § personuppgiftslagen. Sådana uppgifter får enligt huvudregeln i paragrafen inte användas som sökbegrepp. Inte heller uppgifter om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott får enligt huvudregeln i paragrafen användas som sökbegrepp.

Med enligt huvudregeln förbjudna sökbegrepp avses bokstäver, koder eller siffror som avslöjar eller rör sådana uppgifter som nu sagts och med vars hjälp man tillsammans med en sökmotor eller liknande funktion kan ta fram ett urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd eller sortera personuppgifterna i informationsmängden.

I paragrafens andra mening anges det undantag från huvudregeln. Undantagen gäller sökning i bara ett visst ärende om studiestöd, i en viss handling eller i den avskilda samlingen av personuppgifter för återsökning av vägledande avgöranden som avses i 4 § andra stycket andra meningen. Den som väl hittat fram till ett visst

ärende om studiestöd eller en viss handling kan alltså enligt undantagsregeln fritt söka inom ramen för det ärendet eller den handlingen efter olika uppgifter, inklusive sådana uppgifter som avses i första meningen. Ett exempel är att den som har öppnat ett ordbehandlingsdokument i ett ordbehandlingsprogram använder det programmets funktion för att söka efter ord i det dokumentet. Avsikten är inte att CSN ska kunna upprätta en särskild handling eller ett särskilt ärende med uppgifter om många olika studiestödsberättigade för att sedan använda enligt första meningen otillåtna sökbegrepp.

Vid sökning i den särskilda praxisdatabasen är också alla sökbegrepp tilllåtna.

Uppgift som rör hälsa får vidare, enligt tredje meningen, användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats. Med behörig personal avses personal som enligt CSN:s interna regler har behörighet att besluta angående avskrivning av studielån på grund av sjukdom. Med pågående ärenden avses ett ärende där avskrivning av studielån på grund av sjukdom aktualiserats men där frågan om avskrivning ännu inte avgjorts.

Intern elektronisk tillgång till personuppgifter

9 § Centrala studiestödsnämnden ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i nämndens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten.

Centrala studiestödsnämnden ska se till att elektronisk tillgång till personuppgifter dokumenteras och genomföra systematiska och återkommande kontroller av om obehörig åtkomst till uppgifterna förekommit.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång enligt första stycket och om dokumentation och kontroll enligt andra stycket.

Bestämmelserna i paragrafen har berörts i avsnitt 6.11.

I paragrafens första stycke slås det i första meningen fast att CSN ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i CSN:s studiestödsverksamhet. Av andra meningen framgår det att villkoren ska bestämmas så att sådan tillgång begränsas till vad som behövs för att den enskilde ska

kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Den enskilde handläggaren hos CSN får alltså inte medges elektronisk tillgång till personuppgifter i större utsträckning än vad som behövs för att handläggaren ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Behörigheten till elektronisk tillgång bör framgå av interna regler eller beslut och bör lämpligen kompletteras med tekniska begränsningar som förhindrar att handläggaren elektroniskt kommer åt personuppgifter som han eller hon enligt de bestämda villkoren inte har behörighet till.

De villkor för elektronisk tillgång till personuppgifter som CSN bestämmer kan ha betydelse vid tillämpningen av bestämmelsen om straff för dataintrång i 4 kap. 9 c § brottsbalken.

Vilken elektronisk tillgång till personuppgifter som en enskild handläggare behöver för att kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten är i första hand upp till CSN att bedöma.

Av andra stycket följer att den faktiska elektroniska tillgången till personuppgifter ska dokumenteras, t.ex. i en logg (behandlingshistorik). Dokumentationen ska avse alla former av elektronisk tillgång som förekommit till personuppgifterna oavsett om det är anställda som internt berett sig tillgång eller om utomstående har gjort det t.ex. via direktåtkomst.

CSN ska enligt andra stycket vidare genomföra systematiska och återkommande kontroller av om obehörig åtkomst till personuppgifterna förekommit. Det räcker alltså inte att loggarna kontrolleras bara när CSN på annat sätt fått anledning att misstänka att obehörig åtkomst har förekommit. Det bör i första hand vara upp till CSN att bedöma hur kontrollerna bör genomföras. Avsikten med bestämmelsen är att åstadkomma en sådan lämplig säkerhetsnivå som avses i 31 § personuppgiftslagen. Det ligger i sakens natur att CSN ska vidta nödvändiga åtgärder om det genom kontrollerna eller eljest upptäcks att obehörig åtkomst till personuppgifterna förekommit.

I tredje stycket anges det att regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång och om dokumentation och kontroll. I 6 § i förslaget till studiestödsdataförordning finns det sådana föreskrifter, se avsnitt 6.16.3.

Bestämmelserna i paragrafen avviker inte från bestämmelserna om säkerheten vid behandling i 3032 §§personuppgiftslagen utan utgör preciseringar av dessa bestämmelser. CSN har således att i

andra avseende än som särskilt regleras i studiestödsdatalagen vidta lämpliga åtgärder enligt vad som följer av personuppgiftslagen för att skydda de personuppgifter som behandlas.

Direktåtkomst och annat elektroniskt utlämnande av personuppgifter

10 § Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna i 4–6 och 8 §§ följs.

Bestämmelserna i paragrafen har berörts i avsnitt 6.12.2.

Av paragrafen framgår det att direktåtkomst och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet bara är tillåtet utan den registrerades samtycke i den utsträckning som anges i lag eller förordning. Med elektroniskt utlämnande avses alla former av utlämnande av personuppgifter i elektroniskt format, dvs. i binär form, såsom ettor och nollor. För sådant utlämnande krävs det alltså författningsstöd eller den registrerades samtycke. Sådant författningsstöd finns bl.a. i 11– 14 §§. I 11 § i förslaget till studiestödsdataförordning finns det föreskrifter om annat elektroniskt utlämnande än direktåtkomst, se avsnitt 6.17.6. I 1 b § bostadsbidragsförordningen (1993:739) och 5 § förordningen (1996:1036) om underhållsstöd finns det också föreskrifter om elektroniskt utlämnade av uppgifter från CSN.

I lag eller förordning kan det således anges att elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet, t.ex. genom direktåtkomst, är tillåten till andra myndigheter än de som anges i 11 och 14 §§.

Med samtycke avses detsamma som enligt 3 § personuppgiftslagen.

Vid elektroniskt utlämnande av personuppgifter som anges i lag eller förordning måste övriga bestämmelser i studiestödsdatalagen om behandlingen av personuppgifter följas. En erinran om detta har tagits in i paragrafen. Bestämmelserna som anger när elektroniskt utlämnande av personuppgifter får sker anger således bara när just ett sådant utlämnande får ske, om behandlingen är tillåten enligt övriga bestämmelser om behandlingen av personuppgifter. Bestämmelserna om när en behandling av personuppgifter över

huvud taget är tillåten (se 4–6 §§) måste således följas, liksom bestämmelserna om vilka sökbegrepp som inte får användas (se 8 §). Även tillämpliga bestämmelser i personuppgiftslagen, t.ex. om säkerheten vid behandling, måste givetvis följas.

11 § Försäkringskassan och arbetslöshetskassorna får i den utsträckning uppgiftsskyldighet följer av lag eller förordning ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst.

Bestämmelserna i paragrafen har berörts i avsnitt 6.12.4.

Paragrafen tillåter Försäkringskassan och arbetslöshetskassorna att ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet i den utsträckning uppgiftsskyldighet följer av lag eller förordning. Av 13 § följer att personuppgifter under samma förutsättning också får lämnas ut elektroniskt till Försäkringskassan och arbetslöshetskassorna på annat sätt än genom direktåtkomst.

Bestämmelser om CSN:s uppgiftsskyldighet gentemot Försäkringskassan och arbetslöshetskassorna finns i 20 kap. 9 § lagen (1962:381) om allmän försäkring respektive 48 c § lagen (1997:238) om arbetslöshetsförsäkring.

Paragrafen innebär inte i sig någon uppgiftsskyldighet för CSN eller någon skyldighet för CSN att faktiskt anordna den direktåtkomst som får förekomma enligt paragrafen.

Det är enligt andra meningen i paragrafen upp till regeringen att meddela föreskrifter om vilka personuppgifter som får omfattas av direktåtkomsten. Utredningens förslag till studiestödsdataförordning innehåller i 7 och 8 §§ sådana föreskrifter, se avsnitt 6.17.5.

12 § Den registrerade får i den utsträckning sekretess inte hindrar det ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, om uppgifterna

1. avser honom eller henne själv,

2. finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, eller

3. avser dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter.

Bestämmelserna i paragrafen har berörts i avsnitt 6.12.6.

Paragrafen rör den registrerades direktåtkomst. Direktåtkomst till uppgifter är enligt paragrafen bara tillåten i den utsträckning uppgifterna får lämnas ut till den registrerade. Sekretess kan alltså hindra direktåtkomst (eller annat avslöjande av uppgifterna) för den registrerade. Sekretessregler hindrar dock normalt inte att den enskilde får ut uppgifter om sig själv, 14 kap. 4 § första stycket sekretesslagen (1980:100), men undantag kan gälla t.ex. med hänvisning till intresset att förebygga eller beivra brott, 5 kap. 1 § sekretesslagen. Av 13 § följer att personuppgifter under samma förutsättning också får lämnas ut elektroniskt till den registrerade på annat sätt än genom direktåtkomst.

Direktåtkomsten får enligt första punkten omfatta uppgifter om den registrerade själv. Punkten ger inte stöd för att ge direktåtkomst till uppgifter om någon annan person än den registrerade själv.

Enligt den andra punkten får direktåtkomsten avse alla uppgifter om den registrerade själv eller andra som finns i ett ärende om studiestöd till den registrerade eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, t.ex. en omyndig studiehjälpsberättigad som den registrerad är vårdnadshavare för.

I den tredje punkten finns det bestämmelser som har anknytning till CSN:s skyldighet att se till att elektronisk tillgång till personuppgifter dokumenteras, dvs. registreras i en behandlingshistorik (logg), se 9 § andra stycket. Den registrerade får ha direktåtkomst till uppgifter som avser dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter. Uppgifterna i dokumentationen kan avse vilka personer som haft sådan tillgång till personuppgifterna och när de hade sådan tillgång.

Bestämmelserna i denna paragraf innebär inte i sig någon uppgiftsskyldighet för CSN eller någon skyldighet för CSN att faktiskt anordna den direktåtkomst som får förekomma enligt bestämmelserna. CSN kan alltså t.ex. begränsa direktåtkomsten avseende dokumentationen av den elektroniska tillgången till uppgifter som inte direkt pekar ut enskilda handläggare.

13 § När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på annat sätt lämnas ut elektroniskt till denne. Enstaka personuppgifter får även i andra fall lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall om sekretess inte hindrar det.

Bestämmelserna i paragrafen har berörts i avsnitt 6.12.2 och 6.12.3.

I paragrafen finns det bestämmelser om när annat elektroniskt utlämnande än direktåtkomst får förekomma.

Av första meningen framgår det att i den utsträckning direktåtkomst är tillåten är även andra former av elektroniskt utlämnande av personuppgifter tillåten.

Av paragrafens andra mening framgår det att vissa former av elektroniskt utlämnande av enstaka personuppgifter är tillåtna även när direktåtkomst inte är tillåten. Utlämnandet är dock under alla förhållanden tillåtet bara om sekretess inte hindrar det. Vid utlämnandet måste bl.a. kraven på säkerhetsåtgärder i enlighet med personuppgiftslagen upprätthållas.

En förutsättning för det elektroniska utlämnandet är att det avser bara enstaka personuppgifter. Ett mer omfattande eller systematiskt elektroniskt uppgiftsutlämnande kan alltså inte ske med stöd av paragrafen. Ett helt register eller delar av ett register får således inte lämnas ut elektroniskt, t.ex. i form av en fil på diskett, med stöd av paragrafen. Däremot kan några enstaka handlingar och uppgifter lämnas ut via e-post som svar på en förfrågan eller på CSN:s eget initiativ.

De former av elektroniskt utlämnande som avses är utlämnande på medium för automatiserad behandling och utlämnande via elektronisk kommunikation. Utlämnandet kan alltså ske på någon form av fysiskt medium, såsom diskett, usb-minne, minneskort, cd- eller dvd-skiva, eller via någon form av elektronisk kommunikation, såsom e-post, SMS eller skriftlig dialog i realtid via Internet (s.k. chatt).

I fråga om utlämnande via elektronisk kommunikation tillåts enligt paragrafen bara sådan kommunikation i enskilda fall. I kravet på att det ska vara fråga om elektronisk kommunikation i enskilda fall ligger att utlämnandet ska ske genom en icke automatiserad process, där någon handläggare hos CSN är inblandad i varje utlämnande.

14 § På begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling.

Bestämmelserna i paragrafen har berörts i avsnitt 6.12.7.

Paragrafen tillåter utlämnande av personuppgifter på medium för automatiserad behandling till Riksrevisionen. Sådant utlämnande är dock tilllåtet bara om och i den utsträckning Riksrevisio-

nen begär det med stöd av 6 § lagen (2002:1022) om revision av statlig verksamhet m.m.

Rättelse och skadestånd

15 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag.

Bestämmelserna i paragrafen har berörts i avsnitt 6.14.

Genom paragrafen görs för det första bestämmelserna om rättelse i 28 § personuppgiftslagen tillämpliga på personuppgifter som inte har behandlats i enlighet med studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till studiestödsdatalagen. För det andra görs bestämmelserna om skadestånd i 48 § personuppgiftslagen tillämpliga på skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till studiestödsdatalagen orsakat.

Paragrafen är inte avsedd att innebära någon avvikelse från personuppgiftslagen. En behandling av personuppgifter i strid med bestämmelserna i personuppgiftslagen när dessa är tillämpliga (därför att frågan inte reglerats särskilt i studiestödsdatalagen), kan således föranleda rättelse m.m. och skadestånd enligt personuppgiftslagen.

Gallring

16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska i den utsträckning de inte tillförts ett ärende om studiestöd gallras senast ett år efter det att uppgifterna registrerades.

Trots första stycket får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om att personuppgifter får bevaras för

historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Centrala studiestödsnämnden får också trots första stycket i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium.

Bestämmelserna i paragrafen har berörts i avsnitt 6.16.

Paragrafen reglerar när personuppgifter får och måste gallras. I första stycket finns det gallringsföreskrifter. Bestämmelserna i stycket tillåter gallring utan beslut eller föreskrift av Riksarkivet. Bestämmelserna i stycket innebär alltså att personuppgifterna får gallras när som helst, dock senast vid utgången av den angivna gallringsfristen.

Med gallring avses enligt bestämmelsen att personuppgifterna förstörs så att de inte kan återskapas. Det är alltså inte tillåtet att CSN inför gallringen av de behandlade personuppgifterna för över dem på annat medium, t.ex. papper, och sedan bevarar informationen på det mediet längre än vad som följer av gallringsföreskrifterna. Något krav på att personuppgifter som CSN vid gallringstidpunkten redan avhänt sig till annan, t.ex. via direktåtkomst eller genom att sända en utskrift på papper, ska gallras (hos mottagaren) finns inte enligt paragrafen.

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde.

Med ärende om studiestöd avses i paragrafen ett ärende om en viss typ av studiestöd – i dag ärendetyperna studiehjälp, ersättning för dagliga resor, studielån, Rg-bidrag och TUFF-ersättning – för en viss person. En person som får studiemedel i form av både studiebidrag och studielån för vissa studier har således fått studiestöd i ett enda ärende. Gör den personen något års studieuppehåll för att sedan få studiemedel i form av studiebidrag och/eller studielån för helt andra studier, är det vidare ändå fråga om ett enda ärende om studiestöd.

Om återkrav inte blivit aktuellt, ska alltså personuppgifterna i ett ärende om studiehjälp för en person gallras senast tre år efter utgången av det kalenderår då studiehjälp senast beviljades avseende den personen. Det gäller även om personen då skulle vara ak-

tuell i ett ärende om en annan typ av studiestöd, t.ex. studiemedel för studier på högskolenivå direkt efter de studiehjälpsberättigande gymnasiestudierna.

Om återbetalning av studielån är aktuellt i ett ärende om studiemedel för en person, behöver inte några personuppgifter i ärendet om studiemedel för den personen gallras förrän två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Personuppgifterna i det ärendet ska emellertid gallras då även om personen vid tillfället skulle vara aktuell i ett ärende om en annan typ av studiestöd, t.ex. TUFF-ersättning. Det spelar inte någon roll hur betalningsskyldigheten har upphört.

Sådana personuppgifter i ett ärende om studiestöd som kan ha betydelse i ett nytt ärende om studiestöd behöver inte gallras förrän de inte längre kan ha sådan betydelse. Frågan om i vilken utsträckning personuppgifter i ett ärende om studiestöd kan ha betydelse för ett nytt ärende om studiestöd får bedömas enligt vid var tid gällande författningar om studiestöd. Det är bara de personuppgifter som kan ha sådan betydelse som får undantas från gallring. Ett exempel är att en person i trettioårsåldern som redan har fått studiebidrag i 200 veckor för en viss utbildning endast kan få studiebidrag i ytterligare 40 veckor för en annan utbildning när det är fråga om utbildning som avses i 3 kap. 8 § första stycket studiestödslagen (1999:1395). Eftersom den registrerade kan få studiebidrag till och med det kalenderår denne fyller 54 år (se 3 kap. 3 § studiestödslagen), kan en del av personuppgifterna i det avslutade ärendet om studiemedel ha betydelse ända till och med detta år.

Av andra stycket framgår det när personuppgifter som behandlas enligt 4 § första stycket 3 för att förbereda handläggningen av ärenden ska gallras. Gallring ska ske senast ett år efter det att uppgifterna registrerades hos CSN. Personuppgifter som vid gallringstillfället har tillförts ett ärende om studiestöd får dock inte gallras enligt detta stycke, utan det framgår av första stycket när gallring ska ske av personuppgifter i ärenden om studiestöd.

Av tredje stycket framgår det när undantag från gallringsföreskrifterna i första stycket kan medges.

För det första får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Med historiska, statistiska eller vetenskapliga ändamål avses detsamma som enligt artikel 6 i EG-direktivet och

9 § tredje stycket personuppgiftslagen. Med bevarande för redovisningsändamål avses sådant bevarande som följer av god redovisningssed, jämför 45 § lagen (1996:1059) om statsbudgeten. I 12 § i förslaget till studiestödsdataförordning finns det bemyndiganden för Riksarkivet att meddela föreskrifter om bevarande, se avsnitt 6.17.7.

För det andra får CSN i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium. Det kan ske t.ex. när personuppgifterna i ett ärende om studiestöd även efter gallringstidpunkten i undantagsfall har betydelse därför att handläggning avseende ärendet i en eller annan mening kan sägas fortsätta hos CSN eller annan myndighet. Det kan exempelvis gälla en granskning avseende ärendet hos någon myndighet eller liknande med tillsynsfunktioner eller motsvarande, t.ex. Riksdagens ombudsmän (JO), Justitiekanslern, riksdagens utskott eller Riksrevisionen. Det kan också gälla ett beslut i ett ärende som överklagats och där överprövningen inte är klar ännu. Det kan vidare gälla att anspråk på skadestånd framställts med anledning av handläggningen av ett ärende. Även andra undantagsfall där personuppgifterna i ett ärende om studiestöd kan ha betydelse även efter gallringstidpunkten torde kunna tänkas.

Begränsningen till enstaka fall innebär att CSN inte regelmässigt får besluta om bevarande bara därför att personuppgifterna i en viss ärendetyp någon gång i framtiden kanske skulle kunna komma att ha betydelse.

Beslut om bevarande ska fattas före den föreskrivna gallringstidpunkten.

Kravet på att personuppgifterna ska bevaras på ett icke elektroniskt medium innebär att uppgifterna måste föras över från dator till ett sådant medium, t.ex. papper eller s.k. mikrokort. Med elektroniskt medium avses ett medium där personuppgifterna lagras i elektroniskt format, dvs. binär form, såsom ettor och nollor. På ett icke elektroniskt medium lagras personuppgifterna i stället i ett statiskt format, där det inte är möjligt att på elektronisk väg göra olika sammanställningar av informationen.

Kommittédirektiv

Behandling av personuppgifter inom studiestödsområdet

Dir. 2006:90

Beslut vid regeringssammanträde den 31 augusti 2006

Sammanfattning av uppdraget

En särskild utredare skall granska regleringen och användningen av personregister och annan behandling av personuppgifter vid Centrala studiestödsnämnden och andra myndigheter inom studiestödsområdet. Utredaren skall, utifrån den rättsliga analysen, föreslå de författningsändringar som behövs för en framtida behandling av personuppgifter i denna verksamhet. Utredaren skall särskilt beakta behovet av en rättslig reglering som inte är beroende av att vissa tekniska lösningar används och som ger myndigheterna möjlighet att hantera nödvändig information på ett bra sätt. Samtidigt skall utredaren särskilt beakta och väga in rättssäkerhetsaspekterna och enskildas behov av skydd för sin personliga integritet.

Gällande bestämmelser

Regler om dataskydd

Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Personuppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Sedan den 1 oktober 2001 tillämpas personuppgiftslagen i princip fullt ut på all automatiserad behandling av personuppgifter, om inte annat framgår av någon annan författning.

Personuppgiftslagens syfte är att skydda människor mot att deras personliga integritet kränks i samband med att deras person-

uppgifter behandlas. Enligt dataskyddsdirektivet får medlemsstaterna dock inte begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med skyddet av fysiska personers grundläggande fri- och rättigheter.

Regleringen av personuppgiftsbehandlingen enligt personuppgiftslagen bygger på att all behandling av personuppgifter bara får ske om den är förenlig med de särskilda hanteringsregler som lagen stadgar. Lagen innehåller endast generella regler och det förutsattes vid dess tillkomst att behov av undantag och preciseringar för speciella områden skulle tillgodoses genom särskild lagstiftning.

Den 1 januari 2007 träder vissa ändringar i personuppgiftslagen i kraft. Genom ändringarna kompletteras lagens hanteringsregler med bestämmelser som beträffande ostrukturerade personuppgifter mer utgår från att förbjuda missbruk av personuppgifterna. Behandling av personuppgifter i ostrukturerat material får inte ske om den innebär en kränkning av den registrerades personliga integritet (prop. 2005/05:173, 2005/06:KU37 och rskr. 2005/06:254).

Regler om studiestöd

Det statliga studiestödssystemet utgör en central del av utbildningspolitiken. Studiestödsområdet omfattar i dag ett antal olika stödformer där studiemedelssystemet intar en huvudroll. Studiehjälp lämnas enligt studiestödslagen (1999:1395) och studiestödsförordningen (2000:655) för studier i gymnasieskolan eller annan gymnasial utbildning till och med vårterminen det år den studerande fyller 20 år. Studiemedel lämnas enligt studiestödslagen och studiestödsförordningen till studerande på eftergymnasial nivå och till vuxenstuderande på grundskole- och gymnasienivå. Studiemedel består av studiebidrag och studielån.

Studiestödssystemet kompletteras av andra stödformer som riktar sig till särskilda grupper. Rekryteringsbidrag är ett särskilt bidrag som enligt lagen (2002:624) om rekryteringsbidrag till vuxenstuderande kan lämnas under högst ett år vid studier på grundskole- eller gymnasienivå. Ytterligare bestämmelser om bidraget finns i förordningen (2002:744) om rekryteringsbidrag till vuxenstuderande. Korttidsstöd kan enligt förordningen (2001:362) om bidrag vid korttidsstudier lämnas vid studier av mindre omfattning och för studier om eget eller närståendes funktionshinder. Bidrag vid studier kan också lämnas enligt förordningen (1995:667) om

bidrag till vissa funktionshindrade elever i gymnasieskolan och enligt förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar.

Utredningsbehovet

Förändringar på studiestödsområdet

Studiestödssystemet har genomgått stora förändringar under senare år. Studiemedelsreformen 2001 innebar bl.a. att de särskilda vuxenstudiestöden (svux, svuxa) och särskilt utbildningsbidrag (ubs) togs bort samt att ett nytt system för återbetalning av studielån infördes. Ett nytt rekryteringsbidrag för vuxna infördes 2003. Studiehjälpen för unga studerande i gymnasieskolan har varit föremål för utredning men översynen har ännu inte resulterat i någon genomgripande förändring (SOU 2003:28). Under 2006 har studiemedelssystemet och rekryteringsbidraget till vuxenstuderande förstärkts bl.a. med ett tilläggsbidrag till studerande med barn. Vidare har studiestödet anpassats till vissa EG-direktiv. Med anledning av bland annat förändringarna på området behöver personuppgiftsbehandlingen i regelverken ses över.

Stor mängd uppgifter och många aktörer

För verksamheten på studiestödsområdet är det nödvändigt med en omfattande behandling av personuppgifter. Varje uppgift är inte alltid i sig integritetskänslig, men olika uppgifter om enskilda personer kan sammanställda utgöra ett hot mot den personliga integriteten om de inte hanteras på ett riktigt sätt. På studiestödsområdet inhämtas uppgifter från den enskilde, myndigheter, utbildningsanordnare och organisationer. Behandlingen är till stor del automatiserad.

Den myndighet som främst bedriver studiestödsverksamhet är Centrala studiestödsnämnden (CSN). Beslut om studiestöd kan överklagas till Överklagandenämnden för studiestöd. Beslut i ärenden om återbetalning kan överklagas till allmän förvaltningsdomstol. För att administrera studiestöden krävs det ett omfattande samarbete med ett stort antal aktörer som Verket för högskoleservice, Högskoleverket, Skatteverket, Försäkringskassan, universitet och högskolor, andra utbildningsanordnare samt Kro-

nofogdemyndigheten. Vidare administreras bidrag vid korttidsstudier av Socialstyrelsens institut för särskilt utbildningsstöd, Landsorganisationen i Sverige, Tjänstemännens Centralorganisation och Sametinget.

Vid handläggning av studiestödsärenden använder CSN personregistret ”Studiestödsregistret”, tidigare benämnt ”Studiestödets informationssystem”. Personregistret innehåller såväl uppgifter som avser samtliga studiestöd och rekryteringsbidrag som uppgifter som rör återbetalning av studielån. För registret hade Datainspektionen utfärdat tillstånd och föreskrifter som upphörde den 1 oktober 2001 i samband med personuppgiftslagens fulla ikraftträdande.

Enligt lagen (1998:527) om det statliga personadressregistret och förordningen (1998:1234) om det statliga personadressregistret hämtar CSN in personuppgifter om studerande med studiehjälp. Personuppgifter som avser övriga studerande och låntagare hämtar CSN in från Skatteverket med stöd av lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.

Inkomstkontroller görs utifrån uppgifter som lämnas med stöd av förordningen (2001:588) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet. I vissa fall är det också nödvändigt med kontakter med Migrationsverket, och då behöver uppgifter inhämtas med stöd av bl.a. förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Vidare får CSN information från Försäkringskassan för att kontrollera uppgifter om den sökande i ärendehandläggningen. Bestämmelser om detta återfinns i bl.a. lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration.

CSN lämnar även ut personuppgifter till arbetslöshetskassorna med stöd av bestämmelser i lagen (1997:238) om arbetslöshetsförsäkring. Kontakter och informationsutbyte med kommunerna är också av central betydelse inte minst vid hanteringen av studiehjälpen. Även vid hanteringen av rekryteringsbidrag till vuxenstuderande, där kommunerna prövar om den sökande tillhör målgruppen för bidraget, är informationsutbytet av stor betydelse. Bestämmelser om detta finns i studiestödslagen (1999:1395) och i lagen (2002:624) om rekryteringsbidrag till vuxenstuderande och förordningen (2002:744) om rekryteringsbidrag till vuxenstuderande.

På högskoleområdet hämtar CSN in uppgifter från LADOK (lokalt ADB-baserat dokumentationssystem) som är universitetens och högskolornas register. I förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor regleras informationsutbytet mellan berörda myndigheter. I förordningen om register med vissa uppgifter i gymnasieskolan som kungjorts i CSN:s författningssamling (CSNFS 1986:25) finns även bestämmelser om informationsutbyte mellan CSN och Statistiska centralbyrån.

Ofullständig författningsreglering

Någon lagstiftning som direkt avser behandling av personuppgifter som förekommer inom studiestödsområdet finns i princip inte. Det finns dock en rad bestämmelser som mer generellt tar sikte på behandling av personuppgifter oberoende av i vilket sammanhang personuppgifterna behandlas. Inom studiestödsområdet finns dessutom bestämmelser beträffande vissa stödformer som syftar till att säkra integritetsskyddet för enskilda i samband med studiestödshanteringen. Genom att viss behandling av personuppgifter är författningsreglerad medan annan behandling saknar reglering behöver bristerna på området klarläggas.

I det följande redovisas några viktiga bestämmelser när det gäller behandling av personuppgifter inom studiestödsområdet.

Enligt 9 kap. 5 § andra stycket sekretesslagen (1980:100) gäller sekretess i ärende om studiestöd och rekryteringsbidrag till vuxenstuderande, om vissa närmare förutsättningar i lagen är uppfyllda. Enligt 6 kap.6 och 7 §§studiestödslagen är läroanstalterna och Försäkringskassan skyldiga att till CSN och Överklagandenämnden för studiestöd lämna vissa uppgifter som behövs för studiestödsadministrationen. Motsvarande gäller hanteringen av rekryteringsbidrag enligt 19 a och 19 b §§ lagen om rekryteringsbidrag till vuxenstuderande. Bestämmelserna i övrigt återfinns i annan lagstiftning än i studiestödsförfattningarna. Reglerna för utbyte av personuppgifter mellan CSN och olika myndigheter har redan kortfattat redovisats.

Riksdagen har i skilda sammanhang påpekat att myndighetsregister som innehåller ett stort antal registrerade personer och som har ett särskilt känsligt innehåll skall regleras i lag (se bl.a. bet. 1990/91:KU11 s. 11, jfr prop. 1997/98:44 s. 41). En registerförfatt-

ning innebär en specialreglering i förhållande till personuppgiftslagen. Specialregleringen syftar till att komplettera personuppgiftslagen eller i vissa delar ersätta den. En särskild författning anses under vissa förutsättningar innebära en bättre garanti för utformningen av integritetsskyddet i särskilt känsliga register. Registerförfattningar finns i dag inom flera områden och omfattar bl.a. behandling av personuppgifter om totalförsvarspliktiga, inom skatte-, tull- och exekutionsväsendet, i vård- och hälsodataregister samt inom socialtjänstens och polisens verksamhet.

I en skrivelse till regeringen (U2000/4901/SV) har CSN begärt att en utredning skall tillsättas för att utreda behovet av en författningsreglering av studiestödsregistret.

Riksdagens ombudsman (JO) har i sitt yttrande med anledning av Informationsutbytesutredningens betänkande Rätt underlag – rätt beslut. Ökat informationsutbyte mellan de allmänna försäkringskassorna, Riksförsäkringsverket, Centrala studiestödsnämnden, länsarbetsnämnderna och arbetslöshetskassorna (SOU 2000:97) framhållit att det bör övervägas om inte behandling av personuppgifter i CSN:s verksamhet bör regleras i lag.

Regeringen har tidigare aviserat att en utredning skall tillsättas för att genomföra en översyn av behandlingen av personuppgifter inom studiestödsområdet (prop. 2001/02:161, s. 47).

Behovet av utökat informationsutbyte mellan myndigheter aktualiseras kontinuerligt. Inom ramen för regeringens pågående arbete med att bekämpa felaktiga utbetalningar av förmåner och bidrag har regeringen bl.a. gett Statskontoret i uppdrag att utvärdera det existerande informationsutbytet mellan Försäkringskassan, arbetslöshetskassorna och CSN. En av åtgärderna som föreslogs i Statskontoret rapport 2006:7 var att en utredning skulle tillsättas med uppdrag att ta fram en databaslag för CSN. Vidare har regeringen tillkallat en utredare med uppgift att pröva om det är lämpligt att utökade möjligheter till elektroniska informationsutbyten mellan myndigheter införs (dir. 2005:91). Uppdraget skall redovisas senast vid utgången av oktober 2006.

Det är särskilt nödvändigt för CSN och Överklagandenämnden för studiestöd att ha möjlighet att utnyttja modern informationsteknik för att höja effektiviteten och kvaliteten i arbetet. Det gäller dels arbetet med enskilda ärenden, dels möjligheten att svara mot ökade krav i fråga om ärende- och verksamhetsdokumentation. En särskild författningsreglering av behandlingen av personuppgifter på studiestödsområdet är angelägen för att verksamheten skall

kunna utföras på ett effektivt och rättssäkert sätt samtidigt som ett fullgott skydd för den personliga integriteten garanteras.

Uppdraget

Utredaren skall kartlägga och granska regleringen och användningen av personregister och annan behandling av personuppgifter i studiestödsverksamheten inom främst CSN och Överklagandenämnden för studiestöd. Om personuppgifter behandlas inom studiestödsområdet av andra myndigheter eller organisationer med ansvar för förvaltningsuppgifter som innefattar myndighetsutövning, skall granskningen avse även denna behandling. Utredaren skall analysera behovet av särskilda författningsbestämmelser för myndigheternas behandling av personuppgifter och lämna förslag till de författningsbestämmelser som behövs. Utredaren skall i det sammanhanget uppmärksamma frågor om sekretess, bevarande och gallring samt behandling av personuppgifter för forsknings- och statistikändamål.

Utredaren bör anlägga ett helhetsperspektiv och inrikta sig på att en framtida reglering skall bli ändamålsenlig och samtidigt passa väl in i gällande regelsystem. Ett mål för uppdraget är att skapa enkla, tydliga och hållbara regler som inte är beroende av att vissa tekniska lösningar används och som uppfyller kravet på ett fullgott skydd för den personliga integriteten vid behandling av personuppgifter. De författningsändringar som föreslås skall gälla utöver personuppgiftslagen och begränsas till att avse frågor som är specifika för de verksamheter som omfattas av författningsregleringen. Behoven att utbyta personuppgifter med mottagare inom och utanför EU bör uppmärksammas.

Den rättsliga analysen bör även utgå från att myndigheterna skall kunna arbeta minst lika effektivt som i dag. Det är också av betydelse att regelverket ger möjligheter att utveckla datasystem som underlättar utbytet av nödvändig information såväl mellan olika myndigheter, nationellt och internationellt, som mellan enskilda och myndigheterna.

Redovisning av uppdraget

Utredaren skall redovisa sitt uppdrag senast den 2 april 2007.

(Utbildnings- och kulturdepartementet)