SOU 2024:95
Modernt dataskydd vid CSN
Till statsrådet och chefen för utbildningsdepartementet
Regeringen beslutade den 27 mars 2024 att ge en särskild utredare i uppdrag att göra en översyn av Centrala studiestödsnämndens registerförfattningar i syfte att skapa en ändamålsenlig reglering som är anpassad efter dagens behov (dir. 2024:36). Samma dag förordnades kammarrättslagmannen Peder Liljeqvist till särskild utredare.
Som experter i utredningen förordnades från och med den 20 maj 2024 departementssekreteraren Joacim Danielsson, Finansdepartementet, ämnesrådet Marie Mäkk och kanslirådet Sara Åström, Utbildningsdepartementet, verksjuristerna Johan Lindeberg och Ann Svensson, Centrala studiestödsnämnden och enhetschefen Linn Sandmark, Integritetsskyddsmyndigheten.
Som sekreterare i utredningen anställdes den 16 april 2024 förvaltningsrättsfiskalen Maria Sandén.
Arbetet har bedrivits i nära samarbete med experterna och betänkandet är därför skrivet i vi-form, även om det inte funnits fullständig samsyn i alla delar.
Utredningen, som tagit sig namnet 2024 års studiestödsdatautredning, överlämnar härmed betänkandet Modernt dataskydd vid
CSN (SOU 2024:95). Vårt uppdrag är i och med detta slutfört.
Stockholm i december 2024
Peder Liljeqvist
Maria Sandén
Förkortningar
EU rättsakter och andra folkrättsliga rättsakter
Barnkonventionen FN:s konvention den 20 november 1989 om barnets rättigheter Dataskyddskonventionen Europarådets konvention (ETS 108) av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter Europakonventionen
Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna
EU:s AI-förordning Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) EU:s dataskyddsförordning
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
EU:s rättighetsstadga
Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02)
SDG-förordningen
Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättandet av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012
Övriga förkortningar
AI artificiell intelligens CSN Centrala studiestödsnämnden Dataskyddslagen
lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning
Ds Departementsserien EU Europeiska unionen EU-domstolen Europeiska unionens domstol Europadomstolen Europeiska domstolen för de mänskliga rättigheterna FN Förenta nationerna IMY Integritetsskyddsmyndigheten OSL offentlighets- och sekretesslagen (2009:400) prop. regeringens proposition RF regeringsformen SOU Statens offentliga utredningar TF tryckfrihetsförordningen YGL Yttrandefrihetsgrundlagen
Sammanfattning
Uppdraget
Vi har haft i uppdrag att göra en översyn av Centrala studiestödsnämndens (CSN) registerförfattningar; studiestödsdatalagen (2009:287) med tillhörande studiestödsdataförordning (2009:321). Uppdraget har i huvudsak haft två syften: att skapa ändamålsenliga regler för CSN att behandla personuppgifter och att ge myndigheten bättre dataskyddsrättsliga förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
För det förstnämnda syftet har det ingått i uppdraget att ta ställning till om det är möjligt med en minskad detaljreglering, förändrad struktur och terminologi i regleringen. Det har också ingått att bedöma hur registerförfattningarna kan utformas för att vara flexibla och anpassade efter såväl den tekniska utvecklingen som EU:s dataskyddsförordning1 samtidigt som den enskildes personliga integritet värnas.
För det andra syftet har vi särskilt haft i uppdrag att bedöma om CSN genom ändrade ändamålsbestämmelser bör ges en vidgad möjlighet att behandla personuppgifter vid informationsutbyte med andra myndigheter och en utökad möjlighet att göra dataanalyser och urval. I detta sammanhang har vi även haft i uppdrag att, utifrån de ändringar vi föreslår, bedöma om det finns ett behov av ändringar i offentlighets- och sekretesslagen (2009:400), OSL. Andra relevanta frågor att ta ställning till har varit om gällande bestämmelser om sökbegränsningar, elektroniskt utlämnande samt bevarande och gallring är ändamålsenliga.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
En grundläggande översyn är nödvändig
CSN:s nuvarande registerförfattningar baserades ursprungligen på den numera upphävda personuppgiftslagen (1998:204). Införandet av EU:s dataskyddsförordning innebar stora förändringar. Vissa justeringar av CSN:s registerförfattningar gjordes i samband med att förordningen började tillämpas och ytterligare några justeringar gjordes några år senare. Någon fullständig översyn har dock inte gjorts. Regleringen som ligger till grund för författningarna har alltså genomgått grundläggande förändringar, medan registerförfattningarna bara ytligt har anpassats utan att ett helhetsgrepp tagits.
Samtidigt har förutsättningarna för CSN:s digitalisering och personuppgiftsbehandling förändrats med hänsyn till den tekniska utvecklingen. CSN:s myndighetsspecifika dataskyddsreglering är inte anpassad till den mer avancerade och omfattande automatiserade behandlingen av personuppgifter som i dag förväntas av och är en självklarhet för myndigheter.
Registerförfattningarna är alltså inte anpassade efter vare sig den rättsliga eller den tekniska utvecklingen vilket leder till att CSN inte kan utföra myndighetens uppdrag på ett ändamålsenligt sätt. Inte minst försvåras myndighetens uppdrag att motverka bidragsbrott och att säkerställa att felaktiga utbetalningar inte görs. Detta leder till konsekvenser inte bara för den enskilde utan för samhället i stort. Det finns därmed ett behov av att ta ett helhetsgrepp om CSN:s registerförfattningar i syfte att skapa en ändamålsenlig reglering som är anpassad efter dagens rättsliga och tekniska förutsättningar och myndighetens behov av att behandla personuppgifter.
En ny och modern dataskyddsreglering för CSN
Utifrån den analys vi gör av behovet av en grundläggande översyn av CSN:s registerförfattningar föreslår vi att nuvarande studiestödsdatalag med tillhörande förordning ska upphävas och ersättas av en ny lag och en ny förordning med samma namn. I den nya lagen är det ramarna för personuppgiftsbehandlingen i CSN:s verksamhet som ska slås fast. Bestämmelser som reglerar för vilka ändamål uppgifter får behandlas och bestämmelser som är av central betydelse för integritetsskyddet bör ges i form av lag. Det finns dock i viss
utsträckning behov av att reglera CSN:s personuppgiftsbehandling även på annan normgivningsnivå.
Inför utformningen av den nya regleringen konstaterar vi vissa utgångspunkter. Regleringen ska utgöra ett adekvat integritetsskydd för enskilda samtidigt som regleringen också ska ge CSN ett tydligt rättsligt stöd för den personuppgiftsbehandling myndigheten behöver utföra. Detta är också det övergripande syftet med den nya studiestödsdatalagen.
Den nya regleringen bör också utformas med beaktande av att EU:s dataskyddsförordning är direkt tillämplig i svensk rätt och den primära rättskällan för personuppgiftsbehandling. Även om förordningen både förutsätter och medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler finns det oftast ingen anledning att dubbel- eller trippelreglera. Mot bakgrund av den snabba tekniska utvecklingen bör bestämmelserna i de nya registerförfattningarna vara teknikneutrala i så hög utsträckning som möjligt. Vidare bör regleringen endast omfatta bestämmelser om dataskydd. Enhetlighet med annan myndighetsspecifik dataskyddsreglering bör också eftersträvas så långt det är lämpligt.
Tillämpningsområde m.m.
Vi föreslår att den nya studiestödsdatalagen ska gälla vid personuppgiftsbehandling i CSN:s stödverksamhet. Detta innebär en utvidgning av tillämpningsområdet jämfört med i dag då vi föreslår att lagen ska tillämpas i all stödverksamhet som CSN hanterar, inte bara i studiestödverksamhet. Vidare ska lagen enbart gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om personuppgifterna ingår i eller kommer att ingå i ett register, vilket i princip motsvarar dagens reglering.
Lagen ska inte omfatta behandling av uppgifter i administrativ verksamhet eller i myndighetens särskilda statistikverksamhet som omfattas av lagen (2001:99) om den officiella statistiken. Vidare ska studiestödsdatalagen inte gälla vid behandling av uppgifter om avlidna eller juridiska personer. I sak motsvarar det vad som gäller i dag. Lagen ska inte heller tillämpas vid behandling av personuppgifter i EU:s gemensamma informationssystem.
I likhet med vad som gäller enligt nuvarande reglering föreslår vi givetvis att bestämmelserna i den nya lagen ska komplettera EU:s dataskyddsförordning. Därutöver ska lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, gälla vid behandling av personuppgifter enligt den nya studiestödsdatalagen, om inte annat följer av den lagen.
Vidare föreslår vi att CSN ska vara ensam personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt den nya lagen, vilket i sak motsvarar dagens reglering. Vi föreslår även att rätten att göra invändningar mot behandling av personuppgifter enligt artikel 21 i EU:s dataskyddsförordning inte ska gälla vid sådan behandling som är tillåten enligt den nya studiestödsdatalagen. Denna begränsning innebär inte något nytt utan finns även i nuvarande lag.
Mindre detaljerade ändamålsbestämmelser och ett tydligt rättsligt stöd för dataanalyser och urval
De detaljerade ändamål som framgår av ändamålsbestämmelserna i nuvarande studiestödsdatalag är i huvudsak centrerade kring myndighetens ärendehantering. Vi föreslår i stället en bred primär ändamålsbestämmelse i den nya studiestödsdatalagen som innebär att CSN ska få behandla personuppgifter om det är nödvändigt för att utföra sin stödverksamhet. Det innebär att samtliga ändamål som framgår av dagens reglering omfattas av den nya bestämmelsen, men även vissa ändamål som inte uttryckligen regleras i dagens ändamålsbestämmelser kommer att omfattas av den nya ändamålsbestämmelsen, t.ex. testning av it-system.
Vi gör vidare bedömningen att CSN bör ges utökade möjligheter att använda dataanalyser och urval som verktyg i stödverksamheten. För att säkerställa att myndigheten har det rättsliga stöd som behövs för att använda verktygen för bl.a. kontroll av enskilda föreslår vi att det – utöver den breda primära ändamålsbestämmelsen – också ska införas en särskild primär ändamålsbestämmelse. Denna ska enligt förslaget föreskriva att myndigheten får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i stödverksamheten.
De nu nämnda primära ändamålsbestämmelserna föreslås kompletteras av en upplysningsbestämmelse om regeringens möjlighet att meddela föreskrifter om ändamålen med behandlingen. Vi föreslår även en bestämmelse som avser sekundära ändamål, vilken anger att uppgifter som behandlas med stöd av de primära ändamålsbestämmelserna får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Denna bestämmelse ger ett utökat stöd för sådan behandling jämfört med i dag.
De primära och sekundära ändamålsbestämmelserna föreslås kompletteras av en bestämmelse som motsvarar den s.k. finalitetsprincipen eller principen om ändamålsbegränsning som framgår av artikel 5.1 b i EU:s dataskyddsförordning.
Personuppgifter som får behandlas
Vi gör bedömningen att det som utgångpunkt saknas skäl för att i de nya registerförfattningarna införa bestämmelser om vilka personuppgifter som CSN får behandla för att kunna utföra sina uppgifter inom stödverksamheten. Däremot bedömer vi att det finns behov av viss reglering.
Myndigheten behöver kunna behandla känsliga personuppgifter inom stödverksamheten när så är relevant till följd av materiell verksamhetsreglering. Sådan behandling är som utgångspunkt förbjuden enligt EU:s dataskyddsförordning men undantag kan göras. Vi föreslår därför en bestämmelse i den nya studiestödsdatalagen som anger att myndigheten får behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Behandling av personuppgifter som rör lagöverträdelser får enligt EU:s dataskyddsförordning utföras under kontroll av en myndighet. CSN har i vissa fall behov av att kunna behandla sådana personuppgifter. Vi bedömer att den behandling som CSN behöver utföra i detta sammanhang inte bör begränsas eller på annat sätt särregleras i den nya lagen.
Vidare anser vi att behandling genom dataanalyser och urval som omfattas av den särskilda primära ändamålsbestämmelsen vi föreslår också ska omfattas av reglering om vilka personuppgifter som får behandlas. Vi föreslår därför, av integritetshänsyn, att det i den nya lagen ska anges att för att göra dataanalyser och urval enligt den
särskilda ändamålsbestämmelsen, får de personuppgifter behandlas som CSN förfogar över eller samlar in till följd av stödverksamheten och som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Särskilda bestämmelser om skydd för den personliga integriteten
Vi föreslår att ett antal skydds- och säkerhetsåtgärder enligt EU:s dataskyddsförordning ska kompletteras eller specificeras genom bestämmelser i CSN:s nya registerförfattningar. Några av bestämmelserna föreslår vi ska gälla för all behandling inom den nya studiestödsdatalagens tillämpningsområde och vissa endast för behandling genom dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Bestämmelserna föreslås i syfte att skydda den personliga integriteten.
Vi föreslår att det i den nya studiestödsdatalagen ska föreskrivas att det som huvudregel är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet ska dock inte omfatta sökningar som sker i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, om sökningen är nödvändig för att CSN ska kunna utföra en uppgift i stödverksamheten. Förbudet ska inte heller omfatta sökningar i en viss handling eller i ett visst ärende. Motsvarande reglering i de nuvarande registerförfattningarna omfattar även andra uppgifter än känsliga sådana. CSN kommer alltså att kunna använda fler sökbegrepp genom den nya regleringen.
Vidare föreslår vi att det ska införas bestämmelser i den nya studiestödsdatalagen som föreskriver att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter samt att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. I den nya studiestödsdataförordningen föreslår vi att det ska finnas en reglering som innebär att CSN ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Det ska även regleras att myndigheten ansvarar för att det finns rutiner för att dokumentera och regelbundet
kontrollera åtkomst till personuppgifter. Den föreslagna regleringen är mindre detaljerad än dagens reglering.
I CSN:s nuvarande registerförfattningar finns bestämmelser som särskilt reglerar i vilka situationer uppgifter över huvud taget får lämnas ut elektroniskt (via t.ex. e-post), och i vilka situationer utlämnande får ske genom s.k. direktåtkomst. CSN är alltså förhindrad att lämna ut uppgifter elektroniskt om det inte finns stöd i aktuell reglering. Vi bedömer att nuvarande reglering inte är ändamålsenlig eftersom den bl.a. utgör hinder för digitalisering och informationsutbyte mellan CSN och andra myndigheter. Vi föreslår i stället att elektroniskt utlämnande som utgångspunkt ska vara tillåtet om det inte är olämpligt och att regleringen inte ska göra någon skillnad på olika former av elektroniskt utlämnande. Förslaget innebär att CSN ska ges möjlighet att, med beaktande av den generella dataskyddsregleringen och övriga tillämpliga bestämmelser, själva avgöra i vilken form ett utlämnande kan ske.
I studiestödsdatalagen föreslår vi vidare att det ska införas en bestämmelse som föreskriver att CSN – innan myndigheten behandlar personuppgifter genom att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel – ska dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. De metoder och sökbegrepp som används för att ta fram urval ska också dokumenteras. Syftet är att möjliggöra kontroll i efterhand. Dokumentationen ska också uppdateras vid betydande förändringar av en pågående behandling. Vidare föreslår vi att det i den nya studiestödsdataförordningen ska föreskrivas att CSN ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval i nämnda syften.
Regler om gallring ska ersättas med bestämmelser om längsta tid för behandling
I CSN:s befintliga registerförfattningar finns bestämmelser om gallring och bevarande. Enligt vår bedömning är både gallring och bevarande begrepp som främst hör till det arkivrättsliga regelverket och som inte bör användas i en dataskyddsreglering. Vi föreslår därför att myndighetens nya registerförfattningar inte ska innehålla be-
stämmelser om gallring och bevarande. I stället föreslår vi att en bestämmelse som motsvarar principen om lagringsminimering i EU:s dataskyddsförordning ska finnas i studiestödsdatalagen och att det i övrigt inte ska anges någon yttersta tidsgräns för behandling. CSN ska enligt förslaget som regel själv avgöra under hur lång tid det är motiverat att behandla uppgifter för ett särskilt ändamål. Däremot föreslår vi att regeringen eller den myndighet regeringen bestämmer ska kunna föreskriva om yttersta tidsgränser för behandling för vissa ändamål, om det är påkallat av t.ex. integritetshänsyn eller effektivitetshänsyn.
Bestämmelsen om längsta tid för behandling avser endast sådana ändamål som omfattas av det materiella tillämpningsområdet. Det innebär att det inte finns något hinder mot fortsatt behandling för arkivändamål. När uppgifter enbart behandlas för arkivändamål är det arkivlagstiftningens bestämmelser, dvs. i praktiken Riksarkivets beslut eller föreskrifter, som avgör hur länge uppgifter (som ingår i en allmän handling) ska behandlas för detta ändamål.
Några förslag om ändring i offentlighets- och sekretesslagen
Bestämmelser om sekretess kan utgöra skyddsåtgärder i dataskyddsrättlig mening. Vi föreslår en helt ny dataskyddsrättlig ändamålsreglering för CSN som innebär att myndigheten får behandla personuppgifter om det är nödvändigt för att utföra stödverksamhet. Till skillnad från i dag kommer alltså ändamålsregleringen inte att vara begränsad till i huvudsak ärendehandläggning. Vi föreslår därför en liknande ändring i myndighetens sekretessbestämmelse i 28 kap. 9 § OSL som i dag är begränsad till att gälla i vissa angivna ärendetyper. Sekretessens räckvidd föreslår vi ska utökas till att gälla hos CSN i myndighetens stödverksamhet. Vi föreslår också att motsvarande sekretess ska gälla i ärende om studiestöd även hos andra myndigheter än CSN, vilket inte utgör någon skillnad från i dag.
Vidare anser vi att det finns behov av dels ändringar av vissa befintliga regler om sekretess, dels av nya sekretessbestämmelser till följd av våra förslag om utökade möjligheter för CSN att göra dataanalyser och urval. Vi föreslår att absolut sekretess ska gälla hos myndigheten för uppgift om en enskilds personliga eller ekonomiska
förhållanden vid dataanalyser och urval, oavsett syftet med åtgärden. Vi föreslår också att sekretess ska gälla för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval som görs i syfte att förebygga, förhindra och upptäcka fel i stödverksamheten, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs.
Några förslag om ändring av vissa uppgiftsskyldigheter gentemot CSN
Våra förslag till nya ändamålsbestämmelser är kopplade till stödverksamheten i stället för till ärendehanteringen. Detta öppnar upp för att CSN ska kunna behandla personuppgifter redan innan ett ärende har initierats. Även våra förslag till ändring av sekretessbestämmelsen i 28 kap. 9 § OSL ger nya möjligheter att kunna behandla personuppgifter innan ett ärende har skapats, eftersom uppgifterna kommer att vara skyddade. Det har under utredningen kommit fram att CSN har ett behov av att hämta in uppgifter från andra myndigheter redan innan ett ärende finns. Uppgiftsskyldigheter har ett nära samband med dataskyddsreglering. I syfte att underlätta för CSN att kunna samla in personuppgifter i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott föreslår vi därför ändringar av fyra uppgiftsskyldigheter som andra aktörer har gentemot CSN. Syftet med ändringarna är inte att utvidga de aktuella uppgiftsskyldigheterna utan endast att möjliggöra att uppgifter som omfattas av bestämmelserna i dag kan lämnas i tiden innan ett ärende har inletts hos CSN.
Ikraftträdande
Våra förslag föreslås träda i kraft den 1 juli 2026. Vi har då beaktat att förslagen bör träda i kraft så snart som möjligt samtidigt som vi har tagit hänsyn till att förslagen kräver sedvanlig tid för remissbehandling och beredning inom Regeringskansliet och att CSN ges viss tid att förbereda sig.
Konsekvenser
Syftet med våra förslag är att åstadkomma en ändamålsenlig dataskyddsreglering som ger enskilda ett adekvat integritetsskydd samtidigt som CSN ges förutsättningar att utföra sitt samhällsviktiga uppdrag. Våra förslag kommer att medföra risker för enskildas personliga integritet. Vi bedömer dock att förslagen utgör en motiverad och proportionerlig inskränkning i rättighetsskyddet.
Våra förslag om att nuvarande regler om gallring ska ersättas med bestämmelser om längsta tid som personuppgifter får behandlas, föranleder visst merarbete i form av att myndigheten gemensamt med Riksarkivet behöver ta fram nya myndighetsspecifika föreskrifter eller beslut om gallring. Dessa förslag innebär också ett indirekt behov för CSN att utveckla tekniska funktionaliteter. Förslaget kan alltså medföra vissa indirekta kostnader.
Sammantaget kommer våra förslag initialt att medföra vissa kostnader för det allmänna. Dessa kostnader bedömer vi inte vara större än att de kan täckas av berörda myndigheters ordinarie anslag eller är sådana kostnader som inte bör beräknas i detta sammanhang. Ur ett långsiktigt perspektiv gör vi dessutom bedömningen att våra förslag bör medföra besparingar för CSN eftersom myndigheten ges nya möjligheter att effektivisera sin verksamhet.
Genom att våra förslag förväntas leda till förbättrade förutsättningar för CSN att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott, kan de också antas leda till långsiktigt positiva konsekvenser för statsfinanserna och samhällsekonomin i stort. I övrigt förväntas våra förslag också ha vissa positiva effekter för det allmänna brottsbekämpande och brottsförebyggande arbetet.
Våra förslag är förenliga med EU-rätten och andra relevanta internationella rättsakter till skydd för den personliga integriteten
1. Författningsförslag
1.1. Förslag till studiestödsdatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Centrala studiestödsnämnden möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Centrala studiestödsnämndens stödverksamhet.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
3 § Bestämmelserna i denna lag gäller inte vid Centrala studiestödsnämndens behandling av personuppgifter i EU:s gemensamma informationssystem.
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om
upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
5 § Centrala studiestödsnämnden är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
6 § Centrala studiestödsnämnden får behandla personuppgifter om det är nödvändigt för att utföra stödverksamhet.
Som ett led i den verksamheten får Centrala studiestödsnämnden behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
8 § Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i stödverksamheten. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Särskilda bestämmelser om dataanalyser och urval
11 § För att göra dataanalyser och urval enligt 6 § andra stycket får följande personuppgifter behandlas:
1. uppgifter som Centrala studiestödsnämnden förfogar över eller samlar in till följd av stödverksamheten, och
2. uppgifter som lämnas till Centrala studiestödsnämnden för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
12 § Innan personuppgifter behandlas för att göra dataanalyser och urval enligt 6 § andra stycket ska Centrala studiestödsnämnden dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Dokumentationen ska uppdateras vid betydande förändringar i en pågående behandling.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Tillgång till personuppgifter
13 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Elektroniskt utlämnande av personuppgifter
14 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
15 § Personuppgifter får inte behandlas under längre tid än nödvändigt med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Begränsningar av rätten att göra invändningar
16 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 1 juli 2026.
2. Genom lagen upphävs studiestödsdatalagen (2009:287).
1.2. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 17 kap. 1 a § och 28 kap. 9 och 17 §§ och rubriken närmast
före 17 kap. 1 a § och 28 kap. 9 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 28 kap. 9 a §.
Nuvarande lydelse Föreslagen lydelse
17 kap.
Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i
folkbokföringsverksamheten
Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i vissa
verksamheter
1 a §1
Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel-
aktiga uppgifter i folkbokföringsverksamheten, om det kan antas
att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs.
Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs
och analyserna och urvalen rör
1. folkbokföringsverksamhet, eller
2. Centrala studiestödsnämndens stödverksamhet.
1 Senaste lydelse 2023:460.
28 kap.
Studiestöd , körkortslån och lån
till hemutrustning
Studiestöd m.m.
9 §2
Sekretess gäller i ärende om
studiestöd och i ärende hos Centrala studiestödsnämnden om körkortslån samt lån till hemutrustning för flyktingar och vissa andra utlänningar, för uppgift om en
enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde lider skada eller men om uppgiften röjs.
Sekretess gäller hos Centrala
studiestödsnämnden i stödverksamhet, för uppgift om en en-
skilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Motsvar-
ande sekretess gäller i ärende om studiestöd hos andra myndigheter.
I andra ärenden än sådana om studiestöd under sjukdom gäller sekretessen inte beslut i ärendet.
För uppgift i en allmän handling gäller sekretessen i högst femtio år.
9 a §
Sekretess gäller vid dataanalyser och urval hos Centrala studiestödsnämnden i stödverksamhet, för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst femtio år.
2 Senaste lydelse 2018:1116.
17 §3
Den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 16 § andra meningen inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 9 a och 16 § andra meningen inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Denna lag träder i kraft den 1 juli 2026.
3 Senaste lydelse 2022:1242.
1.3. Förslag till studiestödsdataförordning
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar studiestödsdatalagen (0000:00).
Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
Åtkomst till personuppgifter
2 § Centrala studiestödsnämnden ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.
3 § Centrala studiestödsnämnden ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Särskilda rutiner vid dataanalyser och urval
4 § Centrala studiestödsnämnden ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval enligt 6 § andra stycket studiestödsdatalagen.
Rutiner vid elektroniskt utlämnande
5 § Centrala studiestödsnämnden ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
1. Denna förordning träder i kraft den 1 juli 2026.
2. Genom förordningen upphävs studiestödsdataförordningen (2009:321).
1.4. Förslag till förordning om ändring i studiestödsförordningen (2000:655)
Härigenom föreskrivs att 6 kap. 10 § studiestödsförordningen (2000:655) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 kap.
10 §
Om Centrala studiestödsnämnden begär det, skall en läroanstalt till nämnden lämna uppgift om tid och omfattning för utbildningar vid läroanstalten som ger rätt till studiemedel.
Om Centrala studiestödsnämnden begär det, ska en läroanstalt till nämnden lämna uppgift om tid och omfattning för utbildningar vid läroanstalten som ger rätt till studiemedel.
Om Centrala studiestödsnämnden begär det, skall läroanstalten för en studerande som har
ansökt om eller beviljats studiemedel till nämnden lämna upp-
gift om
Om Centrala studiestödsnämnden begär det, ska läroanstalten för en studerande till nämnden lämna uppgift om
1. utbildning,
2. studietid,
3. studiernas omfattning,
4. studieaktivitet, och
5. studieresultat.
Andra stycket gäller bara om uppgifterna har betydelse för tilllämpningen av 3 kap. studiestödslagen (1999:1395) eller föreskrifter som har meddelats i anslutning till 3 kap.
Centrala studiestödsnämnden får meddela närmare föreskrifter om läroanstalters uppgiftsskyldighet enligt första och andra styckena.
Denna förordning träder i kraft den 1 juli 2026.
1.5. Förslag till förordning om ändring i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
Härigenom föreskrivs att 6 § förordningen (2001:588) om behandling av personuppgifter i Skatteverkets beskattningsverksamhet1 ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §2
På begäran av Centrala studiestödsnämnden ska uppgifter lämnas ut från beskattningsdatabasen i den utsträckning det
behövs för
På begäran av Centrala studiestödsnämnden ska uppgifter lämnas ut från beskattningsdatabasen i den utsträckning de har betydelse för tillämpningen av
1. kontroll av ansökningar om
uppskov med betalning av studiemedelsavgifter i fråga om studiestöd och av ansökningar om avskrivning av studieskuld,
( 1999:1395 ),
2. kontroll av ansökningar om
studiestöd, om nedsättning av årsbelopp och om avskrivning av studielån samt fastställande av årsbelopp,
2. lagen (2017:527) om studie-
startsstöd,
3. kontroll av ärenden om åter-
betalning av lån till hemutrustning för flyktingar och vissa andra utlänningar, eller
3. lagen (2022:856) om omställ-
ningsstudiestöd,
4. kontroll av ärenden om åter-
betalning av körkortslån.
4. föreskrifter om återbetalning
av hemutrustningslån enligt förordningen ( 1990:1361 ) om lån till hemutrustning för flyktingar och vissa andra utlänningar,
1 Senaste lydelse av förordningens rubrik 2003:1023. 2 Senaste lydelse 2022:868.
5. föreskrifter om återbetalning av körkortslån enligt förordningen ( 2018:1118 ) om körkortslån, eller
6. föreskrifter som har meddelats i anslutning till 1–5.
De uppgifter som ska lämnas ut till Centrala studiestödsnämnden med stöd av första stycket är uppgifter om
1. överskott och underskott i inkomstslagen tjänst, näringsverksamhet och kapital,
2. arbetsinkomster enligt 67 kap. 6 § första stycket inkomstskattelagen (1999:1229),
3. nettoomsättning enligt deklarationsbilaga för enskilda näringsidkare samt för delägare i handelsbolag och kommanditbolag, och
4. registrering i sjömansregistret.
Denna förordning träder i kraft den 1 juli 2026.
1.6. Förslag till förordning om ändring i förordningen (2017:532) om studiestartsstöd
Härigenom föreskrivs att 24 § förordningen (2017:532) om studiestartsstöd ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
24 §
En läroanstalt ska på begäran lämna Centrala studiestödsnämnden eller Överklagandenämnden för studiestöd uppgift om tid och omfattning för utbildningar vid läroanstalten som studiestartsstöd kan beviljas för.
Om Centrala studiestödsnämnden eller Överklagandenämnden för studiestöd begär det, ska läroanstalten för en studerande som har ansökt om eller be-
viljats studiestartsstöd lämna upp-
gift till nämnden om
Om Centrala studiestödsnämnden eller Överklagandenämnden för studiestöd begär det, ska läroanstalten för en studerande lämna uppgift till nämnden om
1. utbildning,
2. studietid,
3. studiernas omfattning,
4. studieaktivitet,
5. studieresultat.
Andra stycket gäller bara om uppgifterna har betydelse för tillämpningen av lagen ( 2017:527 ) om studiestartsstöd eller föreskrifter som har meddelats i anslutning till lagen.
Centrala studiestödsnämnden får meddela närmare föreskrifter om läroanstalters uppgiftsskyldighet till nämnden enligt första och andra stycket.
Denna förordning träder i kraft den 1 juli 2026.
1.7. Förslag till förordning om ändring i förordning (2017:819) om ersättning till deltagare i arbetsmarknadspolitiska insatser
Härigenom föreskrivs att 9 kap. 4 § förordningen (2017:819) om ersättning till deltagare i arbetsmarknadspolitiska insatser ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
9 kap.
4 §
Försäkringskassan ska till Centrala studiestödsnämnden lämna de uppgifter som har betydelse för ett ärende hos nämn-
den om
Försäkringskassan ska till Centrala studiestödsnämnden lämna de uppgifter som har betydelse för tillämpningen av
1. studiestöd enligt studiestödslagen (1999:1395), och
1. studiestödslagen (1999:1395),
2. studiestartsstöd enligt lagen (2017:527) om studiestartsstöd.
2. lagen (2017:527) om studiestartsstöd, och
3. föreskrifter som har meddelats i anslutning till 1 eller 2.
Denna förordning träder i kraft den 1 juli 2026.
1.8. Förslag till förordning om ändring i förordningen (2022:857) om omställningsstudiestöd
Härigenom föreskrivs att 38 § förordningen (2022:857) om omställningsstudiestöd ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
38 §
En läroanstalt eller en annan utbildningsanordnare ska på begäran lämna Centrala studiestödsnämnden eller Överklagandenämnden för studiestöd uppgift om tid och omfattning för utbildningar vid läroanstalten eller hos utbildningsanordnaren som omställningsstudiestöd kan beviljas för.
Om Centrala studiestödsnämnden eller Överklagandenämnden för studiestöd begär det, ska läroanstalten eller någon annan utbildningsanordnare för en studerande som har ansökt om
eller beviljats omställningsstudiestöd lämna uppgift om
Om Centrala studiestödsnämnden eller Överklagandenämnden för studiestöd begär det, ska läroanstalten eller någon annan utbildningsanordnare för en studerande lämna uppgift om
1. utbildning,
2. studietid,
3. studiernas omfattning,
4. studieaktivitet,
5. studieresultat, och
6. kontaktuppgifter till utbildningsanordnaren.
Andra stycket gäller bara om uppgifterna har betydelse för tillämpningen av lagen ( 2022:856 ) om omställningsstudiestöd eller föreskrifter som har meddelats i anslutning till lagen.
Centrala studiestödsnämnden får meddela närmare föreskrifter om läroanstalters och andra utbildningsanordnares skyldighet enligt första och andra styckena att lämna uppgifter till Centrala studiestödsnämnden.
Denna förordning träder i kraft den 1 juli 2026.
2. Utredningens uppdrag och arbete
2.1. Utredningens uppdrag
Regeringen beslutade den 27 mars 2024 att genom kommittédirektiv (2024:36) ge en särskild utredare i uppdrag att göra en översyn av Centrala studiestödsnämndens (CSN) registerförfattningar. Syftet med uppdraget är att skapa ändamålsenliga regler för CSN att behandla personuppgifter och att ge myndigheten bättre förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Kommittédirektiven finns bifogade i betänkandet.
Särskilda regler för CSN:s behandling av personuppgifter, som kompletterar EU:s dataskyddsförordning,1 finns i studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321). Det är dessa två författningar som står i huvudfokus för vårt uppdrag. I det övergripande uppdraget att göra en översyn av regleringen ingår att ta ställning till om det finns utrymme för en minskad detaljreglering jämfört med i dag och bedöma behovet av en förändrad struktur och terminologi t.ex. genom att föreslå ett modernare språk och enhetliga begrepp i förhållande till främst annan dataskyddsreglering. Ytterligare en del som ingår i det generella uppdraget att se över regleringen är att bedöma behovet av att tydliggöra tillämpningsområdet för registerförfattningarna och anpassa dem till SDG-förordningen.2 Det ingår också att föreslå hur CSN:s registerförfattningar kan utformas för att vara flexibla och anpassade efter såväl
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 2 Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättandet av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012.
den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen samtidigt som den enskildes personliga integritet värnas.
Som vi nämner ovan är en del av uppdraget som står i centrum att föreslå förändringar i registerförfattningarna i syfte att förbättra CSN:s förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Det som särskilt ska övervägas i denna del är om CSN genom ändrade ändamålsbestämmelser bör ges en vidgad möjlighet att behandla personuppgifter vid informationsutbyte med andra myndigheter och aktörer samt utökad möjlighet att utföra dataanalyser och urval. I detta sammanhang ska vi även, utifrån våra förslag, bedöma om det finns ett behov av ändringar i offentlighets- och sekretesslagen (2009:400). En annan fråga som är relevant i sammanhanget är om gällande bestämmelser om sökbegränsningar är ändamålsenligt utformade. Vi ska också bedöma om regleringen om elektroniskt utlämnande samt om bevarande och gallring är ändamålsenlig. Det sistnämnda innefattar att ta ställning till om gallringsbestämmelserna bör ersättas med regler om längsta tid som personuppgifter får behandlas. Slutligen ska vi lämna nödvändiga författningsförslag. I vårt arbete ska vi säkerställa behovet av skydd för den personliga integriteten och att EU:s dataskyddsreglering efterlevs.
Om det bedöms nödvändigt får vi ta upp andra närliggande frågor i samband med de frågeställningar som ska utredas enligt direktiven. Vi ska också redovisa förslagens konsekvenser, särskilt för den personliga integriteten.
I arbetet ska vi i den utsträckning det behövs, samråda med och inhämta upplysningar från berörda myndigheter och andra aktörer som kan beröras av vårt uppdrag. Vi ska också hålla oss informerade om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och inom EU.
2.2. Utredningens arbete
Vårt arbete inleddes i april 2024. Arbetet har bedrivits i nära samarbete med de experter som förordnades att biträda utredningen i maj samma år. Fram till lämnandet av detta betänkande har vi genomfört tre utredningssammanträden. Utöver sammanträden med samtliga exper-
ter har sekretariatet haft omfattande kontakter med framför allt experterna som representerar CSN.
Vi har gjort en rättslig analys av relevant reglering och hållit oss uppdaterade om pågående lagstiftningsarbeten som är av betydelse för våra förslag. Under arbetet har sekretariatet haft samråd och dialog med Utredningen om förbättrat informationsutbyte och en mer ändamålsenlig reglering för den arbetsmarknadspolitiska verksamheten (A 2023:01) och Utredningen om förbättrade möjligheter till informationsutbyte mellan myndigheter (Ju 2023:22). Ett möte har även ägt rum med representanter från Utbetalningsmyndigheten. Vi har också särskilt hållit oss informerade om beredningen av förslagen i betänkandena Ett stärkt och samlat skydd för välfärdssystemen (SOU 2023:52), Ökat informationsflöde till brottsbekämpningen (SOU 2023:69) och Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden (SOU 2023:100) samt promemorian Utökat informationsutbyte (Ds 2022:13).
2.3. Betänkandets disposition
Detta betänkande är indelat i 17 kapitel. I kapitel 1 redovisar vi våra författningsförslag och i kapitel 2 sammanfattar vi vårt uppdrag och redogör för genomförandet av detta. I kapitel 3 redogör vi för de rättsliga ramar vi har haft att förhålla oss till. Här beskriver vi gällande generell reglering om dataskydd och sekretess. I kapitel 4 redogör vi för CSN:s verksamhet och den reglering om dataskydd och sekretess som gäller särskilt för myndigheten och som huvudsakligen är föremål för våra förslag. Kapitel 5 innehåller en övergripande analys av behovet av en allmän översyn av den nämnda regleringen och i kapitel 6 presenterar vi våra överväganden och förslag om att studiestödsdatalagen och studiestödsdataförordning ska upphävas och ersättas av en ny lag och en ny förordning med samma namn. I kapitel 7 presenterar vi de utgångspunkter som vi anser bör ligga till grund för en modern och ändamålsenlig kompletterande dataskyddsreglering för CSN.
I kapitel 8–12 presenterar vi våra överväganden och förslag om bestämmelser i de nya registerförfattningarna. Kapitel 8 innehåller en redogörelse av våra förslag till vissa allmänna bestämmelser om personuppgiftsbehandling, bl.a. den nya studiestödsdatalagens syfte,
tillämpningsområde, förhållande till annan reglering, personuppgiftsansvar och enskildas rättigheter. I kapitel 9 redogör vi för våra förslag om ändamålsbestämmelser och i kapitel 10 finns våra förslag och bedömningar avseende vilka personuppgifter som får behandlas, inklusive känsliga personuppgifter och uppgifter om lagöverträdelser. Kapitel 11 innehåller våra överväganden och förslag om bestämmelser som syftar till att upprätthålla skyddet för den personliga integriteten. I det kapitlet tar vi bl.a. upp frågor om sökbegränsningar, tillgång och åtkomst till personuppgifter, elektroniskt utlämnande och särskilda krav på dokumentation vid dataanalyser och urval. Slutligen innehåller kapitel 12 våra överväganden och förslag till reglering av gallring och längsta tid för behandling av personuppgifter. Eftersom vi föreslår en särskild reglering för behandling av personuppgifter vid dataanalyser och urval i vissa syften redogör vi i respektive kapitel särskilt för vad som ska gälla för just sådan behandling.
I kapitel 13 och 14 redogör vi för vissa förslag om offentlighet och sekretess samt uppgiftsskyldighet. Kapitel 15 innehåller våra bedömningar och förslag i fråga om ikraftträdande- och övergångsbestämmelser. I kapitel 16 redovisar vi vår konsekvensutredning och avslutningsvis finns i kapitel 17 författningskommentarer.
3. Rättsliga ramar för vårt uppdrag – personlig integritet, dataskydd och sekretess
3.1. Inledning
I detta kapitel redogör vi för grundläggande gällande rätt som är av betydelse för vårt uppdrag och som utgör ramen för vilka ändringar som är möjliga för oss att föreslå. Vi redogör även mer detaljerat för olika delar av relevant reglering i anslutning till våra överväganden.
Den yttersta gränsen för hur personuppgifter får behandlas finns i regleringen om skydd för enskildas grundläggande fri- och rättigheter samt den generella dataskyddsregleringen. Lagstiftningsåtgärder som rör behandling av personuppgifter måste vara förenliga med denna reglering. Bestämmelser om enskildas fri- och rättigheter finns i den svenska grundlagen samt i vissa rättsakter antagna av Europeiska unionen (EU) och andra folkrättsliga rättsakter som Sverige har åtagit sig att efterleva. Den reglering om dataskydd som är relevant för de frågor som omfattas av vårt uppdrag är EU:s dataskyddsförordning och kompletterande nationell reglering till denna. Vårt uppdrag aktualiserar även frågor om sekretess och tystnadsplikt. I kapitlet redogör vi därför för vad som allmänt gäller enligt sekretessregleringen.
Den dataskydds- och sekretessreglering som gäller särskilt i CSN:s verksamhet – och som är huvudföremål för vårt uppdrag – redogör vi för i kapitel 4 där vi också beskriver myndighetens verksamhet.
3.2. Grundläggande fri- och rättigheter och personlig integritet
3.2.1. Grunderna för regleringen och personlig integritet
Det internationella samarbetet genom Förenta nationerna (FN) utgör grunden för dagens reglering av mänskliga fri- och rättigheter. Samtidigt har regionala system för att stärka upp dessa vuxit fram i olika delar av världen. I Europa finns t.ex. Europarådet, som antagit Europakonventionen.1 Även EU har tagit fram rättsakter om mänskliga fri- och rättigheter som medlemsstaterna måste följa.
För vårt uppdrag är det särskilt rätten till skydd för den personliga integriteten och skydd av personuppgifter som är av vikt. Dessa två rättigheter är en dimension av den grundläggande rätten till respekt för privat- och familjelivet. Skyddet för privatlivet omfattar vitt skilda aspekter av en persons liv och begreppet kan inte ges någon uttömmande definition.2
Den snabba tekniska utvecklingen och framväxten av informationssamhället har medfört en alltmer omfattande behandling av personuppgifter och annan data inom såväl offentlig som privat sektor. Automatiserad behandling av personuppgifter kan innebära särskilda risker ur ett integritetsperspektiv eftersom tekniken gör det möjligt att på ett enkelt sätt samla in, sammanställa och sprida stora mängder information om enskilda.
Det saknas en entydig definition av begreppet personlig integritet i svensk rätt och uppfattningen om vad som omfattas av den personliga integriteten har varierat över tid. Personlig integritet diskuteras ofta utifrån ett rättighetsperspektiv och vad som kan innebära en kränkning av den. Regeringen har tidigare uttryckt att kränkningar av den personliga integriteten möjligen kan sägas utgöra intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där oönskade intrång bör kunna avvisas.3
1 Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. 2 Se t.ex. Europeiska domstolen för de mänskliga rättigheternas (Europadomstolen) domar
López Ribalda m.fl. mot Spanien, nr 1874/13 och 8567/13, dom meddelad den 17 oktober 2019
och Breyer mot Tyskland, nr 50001/12, dom meddelad den 30 januari 2020. 3 Se prop. 2005/06:173, Översyn av personuppgiftslagen, s. 15 och prop. 2009/10:80, En reformerad
grundlag, s. 175.
I det följande redogör vi för några av de rättsakter som reglerarar rätten till privat- och familjeliv, rätten till skydd av den personliga integriteten och rätten till skydd av personuppgifter.
3.2.2. FN:s allmänna förklaring och konventioner
Det internationella arbetet för mänskliga fri- och rättigheter har sin utgångspunkt i den allmänna förklaringen om de mänskliga rättigheterna som FN antog 1948. Den allmänna förklaringen innehåller bestämmelser om skydd för den personliga integriteten. I artikel 12 anges att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till skydd mot sådana ingripanden och angrepp. Av artikel 29.2 följer att inskränkningar av fri- och rättigheter enligt förklaringen endast får göras genom lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.
Den allmänna förklaringen ses till stora delar om ett uttryck för internationell sedvanerätt. De rättigheter som omfattas av förklaringen har senare förts in och vidareutvecklats i ett antal konventioner som är bindande för de anslutna staterna. Sverige har anslutit sig till de centrala konventionerna om mänskliga rättigheter allt eftersom de har kommit till, bl.a. FN:s konvention om medborgerliga och politiska rättigheter, som i artikel 17 upprepar innehållet i artikel 12 i den allmänna förklaringen.
3.2.3. Barnkonventionen
Barnkonventionen4 antogs av FN:s generalförsamling den 20 november 1989. Konventionen syftar till att ge alla barn rätt att behandlas med respekt och att få komma till tals. Med barn avses enligt artikel 1 varje människa under 18 år, om inte barnet blivit myndigt tidigare.
4 FN:s konvention den 20 november 1989 om barnets rättigheter.
Sverige ratificerade barnkonventionen 1990 och sedan 2020 gäller den som svensk lag.5 Att barnkonventionen är svensk lag innebär att domstolar och rättstillämpare ska beakta de rättigheter som följer av konventionen vid avvägningar och bedömningar som görs i beslutsprocesser i mål och ärenden som rör barn. Det innebär också att lagstiftaren ska se till att nya lagar är förenliga med konventionen.6
Konventionen bygger på principen att barnets bästa alltid ska beaktas, vilket framgår av artikel 3. I artikel 16 anges att inget barn får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende. Barnet har rätt till lagens skydd mot sådana ingripanden eller angrepp.
3.2.4. Europakonventionen och dataskyddskonventionen
Europakonventionen innehåller bestämmelser om grundläggande fri- och rättigheter. Sverige ratificerade konventionen 1952 och den gäller sedan 1995 som svensk lag.7 Enligt 2 kap. 19 § regeringsformen (RF) får lag eller annan föreskrift inte meddelas i strid med Europakonventionen.
Rätten till respekt för den personliga integriteten ingår som en del i rätten till respekt för privatlivet enligt konventionen. Av artikel 8 följer att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Behandling av personuppgifter faller ofta inom bestämmelsens tillämpningsområde.8
Europeiska domstolen för de mänskliga rättigheterna (Europadomstolen) har i flera fall konstaterat att artikel 8 ålägger staten såväl en negativ förpliktelse att avstå från att göra intrång i rätten till respekt för privat- och familjelivet som en positiv förpliktelse att skydda enskilda mot att andra enskilda handlar på ett sätt som innebär ett integritetsintrång.9
5 Se lagen (2018:1197) om Förenta nationernas konvention om barnets rättigheter. 6 Jfr prop. 2017/18:186, Inkorporering av FN:s konvention om barnets rättigheter, s. 74. 7 Se lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. 8 Se t.ex. Europadomstolens dom i S. och Marper mot Förenade kungariket, nr 30562/04 och 30566/04, dom meddelad den 4 december 2008. 9 Se t.ex. Europadomstolens domar Airey mot Irland, nr 6286/73, dom meddelad den 9 oktober 1979, X och Y mot Nederländerna, nr. 8678/80, dom meddelad den 26 mars 1985 och Söderman
mot Sverige, nr 5786/08, dom meddelad den 12 november 2013.
Skyddet i artikel 8 är inte absolut utan får inskränkas. En inskränkning måste ha stöd i lag och vara nödvändig för att tillgodose något av de intressen som anges i artikel 8.2, t.ex. den nationella säkerheten eller till förebyggande av oordning och brott. Att inskränkningen ska vara nödvändig innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden.10 En inskränkning måste också vara proportionerlig för att vara tillåten. Europadomstolen har i flera fall uttalat att en rättvis balans måste uppnås mellan allmänna och enskilda intressen när det gäller åtgärder som inskränker rätten till privatliv.11
Vid inskränkningar i rättighetsskyddet måste den enskilde tillförsäkras vissa grundläggande rättssäkerhetsgarantier, t.ex. en rättvis rättegång och ett effektivt rättsmedel. Europadomstolen har uttalat att behovet av sådana garantier är större när det gäller automatiserad behandling av personuppgifter. Det innebär att nationell rätt måste säkerställa att uppgifterna är relevanta och inte för långtgående i förhållande till det ändamål för vilket de bevaras, men också att uppgifterna inte sparas under en tid som överstiger vad som är nödvändigt med hänsyn till ändamålet. Det måste också finnas garantier för att personuppgifterna skyddas från felaktig behandling.12
Europarådets ministerkommitté antog 1981 Dataskyddskonventionen.13 Konventionen, som trädde i kraft den 1 oktober 1985, var en av de viktigaste inspirationskällorna vid utformningen av EU:s regelverk för dataskydd, se avsnitt 3.3.1. I dag har 55 stater ratificerat konventionen, däribland samtliga EU:s medlemsstater.
Dataskyddskonventionen är ett rättsligt bindande multilateralt avtal om personuppgiftsskydd. Konventionens mål är att skydda den rätt till privatliv som erkänns i artikel 8 i Europakonventionen. Dess tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. Enligt konventionen krävs att parterna vidtar nödvändiga åtgärder i sin nationella lagstiftning för att säkerställa respekt för alla enskildas mänskliga rättigheter när det
10 Se Danelius m.fl., Mänskliga rättigheter i europeisk praxis, sjätte upplagan, 2023, s. 443. 11 Se t.ex. Europadomstolens domar Peruzzo och Martens mot Tyskland, nr 7841/08 och 57900/12, dom meddelad den 4 juni 2013, Aycaguer mot Frankrike, nr 8806/12, dom meddelad den 22 juni 2017 och Gaughran mot Storbritannien, nr 45245/15, 13 februari 2020. 12 Se t.ex. Europadomstolens domar BB mot Frankrike, nr 5335/06, dom meddelad den 17 december 2009, S. och Marper mot Storbritannien, nr 30562/04 och 30566/04, 4 december 2008 och Aycaguer mot Frankrike, nr 8806/12, dom meddelad den 22 juni 2017. 13 Europarådets konvention (ETS 108) av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter.
gäller behandling av personuppgifter. Dataskyddskonventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden.
I maj 2018 antog ministerkommittén ett ändringsprotokoll till Dataskyddskonventionen.14 Sverige tillhörde de första konventionsstaterna att underteckna protokollet. Syftet med ändringsprotokollet är att uppdatera konventionen och att hantera de utmaningar som den tekniska utvecklingen och globaliseringen av information innebär när det gäller skyddet av privat information. Den uppdaterade konventionen kommer att ha ett enhetligt tillämpningsområde för alla konventionsparter och det kommer inte att vara möjligt att helt undanta sektorer eller verksamheter från dess tillämpning (t.ex. med hänvisning till den nationella säkerheten). Den kommer därmed att omfatta all typ av databehandling under parternas jurisdiktion inom både den offentliga och den privata sektorn. Ändringsprotokollet har ännu inte trätt i kraft.
3.2.5. EU:s rättighetsstadga
EU:s rättighetsstadga15 trädde i kraft med Lissabonfördraget den 1 december 2009.16 Enligt artikel 6.1 i fördraget om Europeiska unionen17har stadgan samma rättsliga värde som fördragen, dvs. företräde framför föreskrifter i den nationella rättsordningen.
Rättighetsstadgan innehåller 54 artiklar som garanterar den som är EU-medborgare vissa fri- och rättigheter. I artikel 3 står det att var och en har rätt till fysisk och mental integritet. Enligt artikel 7 har var och en rätt till respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer.
Av artikel 8 framgår att var och en även har rätt till skydd för de personuppgifter som rör henne eller honom. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enskilda har rätt att få tillgång till insamlade uppgifter som rör henne eller honom och få rättelse av uppgifterna.
14 Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 223). 15 Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02). 16 Lissabonfördraget om ändring av fördraget om Europeiska unionen och fördraget om upprättandet av Europeiska gemenskapen (2007/C 306/01). 17 Fördraget om Europeiska unionen (2016/C 202/1).
I artikel 52 anges i vilken utsträckning stadgan tillåter inskränkningar i de rättigheter som erkänns i stadgan. Varje begränsning ska vara föreskriven i lag och förenlig med de väsentliga innehållet i rättigheterna. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och svarar mot ett allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter.
3.2.6. Regeringsformen
I regeringsformen finns bestämmelser om skydd för enskildas grundläggande fri- och rättigheter. Av målsättningsstadgandet i 1 kap. 2 § RF framgår att den offentliga makten ska utövas med respekt för människans frihet och värdighet samt att det allmänna ska värna om den enskildes privat- och familjeliv. Bestämmelsen anger ett viktigt mål för den samhälleliga verksamheten, men den är inte rättsligt bindande för det allmänna. Bestämmelsen ger därför inte upphov till några individuella rättigheter. I regeringsformens andra kapitel finns däremot rättsligt bindande föreskrifter om grundläggande fri- och rättigheter.
I 2 kap. 6 § andra stycket RF tillerkänns enskilda, gentemot det allmänna, ett generellt skydd mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta utvidgade skydd för enskildas personliga integritet tillkom i samband med en översyn av regeringsformen och trädde i kraft den 1 januari 2011. Syftet var att förstärka grundlagsskyddet för den personliga integriteten.18
Av 2 kap. 20 § RF följer att rättigheterna i 2 kap. 6 § RF endast får begränsas genom lag. En begränsning får enligt 2 kap. 21 § RF bara göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.
18 Jfr prop. 2009/10:80, En reformerad grundlag, s. 175 och 176.
3.3. Den generella dataskyddsregleringen
3.3.1. Allmänt om dataskyddsregleringen
Under 2018 genomfördes en genomgripande dataskyddsreform inom EU. Anledningen till reformen var teknisk utveckling och ökande hantering av personuppgifter. Reformen omfattar dels EU:s dataskyddsförordning, dels EU:s dataskyddsdirektiv19, vilka ersatte tidigare reglering på området: 1995 års dataskyddsdirektiv.20 I samband med reformen anpassades den svenska regleringen till den nya EU-rättsliga regleringen.
EU:s dataskyddsförordning är direkt tillämplig i alla EU:s medlemsstater21 men både förutsätter och medger samtidigt kompletterande och specificerande nationella bestämmelser av olika slag.
Kompletterande bestämmelser av generell karaktär finns i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Dataskyddslagen kompletteras i sin tur av förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. Det finns även ett flertal kompletterande registerförfattningar som t.ex. reglerar vilka uppgifter som får behandlas på särskilda områden eller i vissa verksamheter. Studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321) är sådana registerförfattningar. Om det i registerförfattningar eller annan särskild reglering som kompletterar EU:s dataskyddsförordning i svensk rätt finns bestämmelser som avviker från dataskyddslagen ska de bestämmelserna tillämpas. Dessa bestämmelser har alltså företräde framför dataskyddslagen. Behandlingen av personuppgifter måste dock alltid vara förenlig med EU:s dataskyddsförordning.22
EU:s dataskyddsdirektiv är i svensk rätt i huvudsak genomfört genom brottsdatalagen (2018:1177) och brottsdataförordningen (2018:1202). Regleringen ska tillämpas när behöriga myndigheter
19 Europaparlamentets och Rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 20 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 21 Jfr artikel 288 i fördraget om Europeiska unionens funktionssätt (2016/C 202/01). 22 Jfr 1 kap. 6 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
behandlar personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot och förebygga och förhindra hot mot den allmänna säkerheten. CSN är inte behörig myndighet enligt brottsdatalagen och regleringen är alltså inte tillämplig på den personuppgiftsbehandling som myndigheten utför. CSN:s behandling av personuppgifter regleras således endast av EU:s dataskyddsförordning med kompletterande nationell lagstiftning.
3.3.2. EU:s dataskyddsförordning
Tillämpningsområde och innehåll
EU:s dataskyddsförordning innefattar en generell reglering för behandling av personuppgifter inom EU. Förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis sker på automatiserad väg och på annan behandling än automatiserad av personuppgifter som ingår i eller kommer att ingå i ett register.23
Syftet med EU:s dataskyddsförordning är att säkerställa en enhetlig skyddsnivå för behandlingen av personuppgifter över hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen syftar alltså till att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter. Samtidigt får enligt förordningen det fria flödet av personuppgifter inom unionen varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.24
Behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken omfattas inte av EU:s dataskyddsförordnings tillämpningsområde.25 Inte heller sådan personuppgiftsbehandling som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hennes eller hans hushåll omfattas av förordningen.26 EU:s dataskyddsförordning ska
23 Se artikel 2.1 i EU:s dataskyddsförordning. 24 Jfr artikel 1 i EU:s dataskyddsförordning. 25 Jfr artikel 2.1 a och b i samt skäl 16 till EU:s dataskyddsförordning. 26 Se artikel 2.2 c i EU:s dataskyddsförordning.
inte heller tillämpas om brottsdatalagen gäller för den personuppgiftsbehandling som en behörig myndighet utför.27
I EU:s dataskyddsförordning anges de principer som ska gälla vid behandling av personuppgifter (kapitel II), den registrerades rättigheter (kapitel III), den personuppgiftsansvariges och dennes eventuella biträdes, det s.k. personuppgiftsbiträdets, skyldigheter m.m. (kapitel IV) och det som ska gälla vid överföring av personuppgifter till tredjeländer eller internationella organisationer (kapitel V). I förordningen finns också bestämmelser om oberoende tillsynsmyndigheter (kapitel VI) och deras samarbete och åtgärder som de ska vidta för att förordningen ska tillämpas på ett enhetligt sätt (kapitel VII). Vidare finns bestämmelser om rättsmedel, ansvar och sanktioner (kapitel VIII), särskilda behandlingssituationer (kapitel IX) och delegerade befogenheter (kapitel X). I fortsättningen av detta avsnitt följer en beskrivning av för vårt uppdrag centrala delar av förordningen.
Några grundläggande definitioner
Personuppgifter
Personuppgifter definieras enligt artikel 4.1 i EU:s dataskyddsförordning som varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare. För att avgöra om en uppgift avser en identifierbar fysisk person bör man beakta alla hjälpmedel som rimligen kan komma att användas för att direkt eller indirekt identifiera personen, t.ex. ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer. Det kan också avse en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska ekonomiska, kulturella eller sociala identitet.
EU:s dataskyddsförordning är alltså inte tillämplig på uppgifter som inte kan hänföras till en viss person.28 Förordningen gäller inte heller vid behandling av uppgifter som avser avlidna eller juridiska personer.29 Däremot utgör avidentifierade individdata, där nyckeln
27 Jfr artikel 2.2 d i EU:s dataskyddsförordning. 28 Jfr skäl 26 till EU:s dataskyddsförordning. 29 Jfr skäl 14 och 27 till EU:s dataskyddsförordning.
till identifieringen finns bevarad, personuppgifter i EU:s dataskyddsförordnings mening (pseudonymisering).30
Behandling
Med begreppet behandling avses enligt artikel 4.2 i EU:s dataskyddsförordning en åtgärd eller en kombination av åtgärder beträffande personuppgifter, oberoende av om de utförs automatiserat eller manuellt. Exempel på åtgärder som utgör behandling enligt artikeln är insamling, registrering, lagring, bearbetning, användning, spridning eller radering av personuppgifter. I syfte att förhindra risk för kringgående av förordningens bestämmelser har begreppet getts en teknikneutral utformning.31
Personuppgiftsansvarig och personuppgiftsbiträde
Personuppgiftsansvarig är normalt en juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. En fysisk person kan också vara personuppgiftsansvarig. Avgörande för placeringen av personuppgiftsansvaret är vem som har rätt att bestämma ändamål och medel för behandlingen. Om ändamålen och medlen bestäms av unionsrätten eller medlemsstaternas nationella rätt, är det dock enligt artikel 4.7 i EU:s dataskyddsförordning möjligt att reglera vem som är personuppgiftsansvarig i lagstiftningen.
Personuppgiftsbiträde är enligt artikel 4.8 i EU:s dataskyddsförordning en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
30 Jfr skäl 26 till EU:s dataskyddsförordning. 31 Jfr skäl 15 till EU:s dataskyddsförordning.
Grundläggande principer
För all behandling av personuppgifter enligt EU:s dataskyddsförordning gäller ett antal grundläggande principer som reglerar hur personuppgiftsbehandling får genomföras. Principerna framgår av artikel 5.1 och innebär att personuppgifter ska
a) behandlas på ett lagligt, korrekt och öppet sätt i förhållande till
den registrerade (laglighet, korrekthet och öppenhet),
b) samlas in för särskilda, uttryckligt angivna och berättigade ändamål
och inte behandlas på ett sätt som står i strid med dessa ändamål (ändamålsbegränsning),
c) vara adekvata, relevanta och inte för omfattande i förhållande till
de ändamål för vilka de behandlas (uppgiftsminimering),
d) vara riktiga och, om nödvändigt, uppdaterade (riktighet),
e) inte möjliggöra identifiering av den registrerade under längre tid
än nödvändigt (lagringsminimering), och
f) behandlas på ett sätt som säkerställer säkerheten för uppgifterna
(integritet och konfidentialitet).
Principen om ansvarsskyldighet är ytterligare en princip som den personuppgiftsansvarige måste följa. Principen kommer till uttryck i artikel 5.2 och innebär att det är den personuppgiftsansvarige ska ansvara för och kunna visa att bestämmelserna i artikel 5.1 efterlevs.
Laglig (rättslig) grund
Allmänt om kravet på rättslig grund
De grundläggande principerna reglerar alltså hur personuppgifter får behandlas. För att behandlingen av personuppgifter över huvud taget ska vara laglig enligt EU:s dataskyddsförordning krävs dock att något av de villkor som anges i artikel 6.1 är uppfyllda. Det innebär att en behandling inte är tillåten om den inte vilar på en rättslig grund enligt förordningen. De rättsliga grunderna i artikeln enligt vilka personuppgifter får behandlas är
a) med stöd av den registrerades samtycke,
b) för att fullgöra ett avtal eller en rättslig förpliktelse,
c) för att fullgöra en rättslig förpliktelse som åvilar den person-
uppgiftsansvarige,
d) till skydd för intressen som är av grundläggande betydelse för en
fysisk person,
e) för att utföra en uppgift av allmänt intresse eller som ett led i
myndighetsutövning, eller
f) utifrån en intresseavvägning mellan den personuppgiftsansvariges
eller tredje parts berättigade intressen och den registrerades intressen och grundläggande fri- och rättigheter.
Behandling av personuppgifter är, med undantag för behandling med stöd av den registrerades samtycke, endast laglig om behandlingen är nödvändig i förhållande till den rättsliga grunden. Nödvändighetskriteriet har en nära koppling till principerna om ändamålsbegränsning och uppgiftsminimering och medför ett krav på ett direkt samband mellan behandlingen och den rättsliga grunden. Att behandlingen ska vara nödvändig ska dock inte tolkas som ett krav på att det ska vara omöjligt att utföra en viss uppgift utan att utföra en viss behandlingsåtgärd. En viss behandling av personuppgifter kan t.ex. anses vara nödvändig om den leder till effektivitetsvinster, även om behandlingen inte är en förutsättning för att uppnå syftet med behandlingen. Det anses t.ex. mer eller mindre regelmässigt vara nödvändigt att använda tekniska hjälpmedel och på så sätt behandla personuppgifter på automatiserad väg, eftersom en manuell informationshantering i dag inte är ett realistiskt alternativ för vare sig myndigheter eller företag. Den metod som den personuppgiftsansvarige väljer måste dock vara ändamålsenlig, effektiv och proportionerlig och får inte medföra ett onödigt intrång i den enskildes privatliv. Även administrativa behandlingsåtgärder som i praktiken krävs för att en personuppgiftsansvarig ska kunna fullgöra en viss uppgift utgör nödvändig behandling enligt EU:s dataskyddsförordning.32
32 Jfr Europeiska unionens domstols (EU-domstolen) dom den 16 december 2008, Heinz Huber
mot Bundesrepublik Deutschland, mål nr C-524/06 och prop. 2017/18:105, Ny dataskyddslag,
s. 47, 48, 60 och 61.
De rättsliga grunderna är i viss mån överlappande och en viss behandling kan i och med det omfattas av mer än en rättslig grund. De rättsliga grunder som i huvudsak aktualiseras för myndigheter är behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (led c) och behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (led e).
Den rättsliga grunden behöver i vissa fall särskilt stöd i unionsrätten eller i en medlemsstats nationella rätt
Den rättsliga grund för behandling som avser rättslig förpliktelse respektive uppgift av allmänt intresse eller myndighetsutövning, ska fastställas i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Tillämpningen av dessa rättsliga grunder förutsätter alltså särskilt stöd i rättsordningen. Övriga grunder kan tillämpas direkt med stöd av bestämmelserna i EU:s dataskyddsförordning.
Unionsrätten eller medlemsstatens nationella rätt ska vid fastställelse av en rättslig grund uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i EU:s dataskyddsförordning, t.ex. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling och vilken typ av personuppgifter som ska behandlas. Detta framgår av artikel 6.3 andra stycket.
Hänvisningar i EU:s dataskyddsförordning till en rättslig grund eller en lagstiftningsåtgärd innebär inte nödvändigtvis en lagstiftningsakt som är antagen av EU-parlamentet eller en medlemsstats parlament. Den rättsliga grunden bör dock fastställas på ett sådan sätt att den är tydlig och precis samt att tillämpningen är förutsägbar för dem som omfattas av regleringen i enlighet med rättspraxis från Europeiska unionens domstol (EU-domstolen) och Europadomstolen.33Vilken grad av tydlighet och precision som krävs vid fastställelse av den rättsliga grunden får bedömas i det enskilda fallet, utifrån behandlingens och verksamhetens karaktär. Ett mer kännbart intrång i den personliga integriteten kräver en högre grad av precision av den
33 Jfr skäl 41 och 45 till EU:s dataskyddsförordning.
rättsliga grunden och alltså en hög grad av förutsebarhet.34 Vi redogör närmare för fastställande av rättslig grund i svensk rätt i avsnitt 3.3.3.
Finalitetsprincipen
Personuppgifter ska, som vi nämner tidigare i detta avsnitt, enligt artikel 5.1 b i EU:s dataskyddsförordning samlas in för särskilda, uttryckliga angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Bestämmelsen ger uttryck för den s.k. finalitetsprincipen. Denna princip medger att uppgifter behandlas för andra ändamål än insamlingsändamålen under förutsättning att dessa nya ändamål inte är oförenliga med det ursprungliga ändamålet, men förbjuder annan vidarebehandling av uppgifterna.
I artikel 6.4 i EU:s dataskyddsförordning anges att om en behandling för andra ändamål än de ändamål för vilket personuppgifterna samlades in inte har sin grund i den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa om behandlingen för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in beakta följande:
a) Kopplingar mellan de ändamål för vilka personuppgifterna har
samlats in och ändamålen med den avsedda ytterligare behandlingen.
b) Det sammanhang inom vilket personuppgifterna har samlats in,
särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.
c) Personuppgifternas art, särskilt om särskilda kategorier av per-
sonuppgifter behandlas i enlighet med artikel 9 eller om personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.
d) Eventuella konsekvenser för registrerade av den planerade fort-
satta behandlingen.
34 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 51.
e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa
kryptering eller pseudonymisering.
Om en personuppgiftsbehandling är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften som ytterligare behandling bör betraktas som förenlig och laglig.35 Tillåtligheten av en vidarebehandling kan alltså säkerställas genom nationell lagstiftning som reglerar när sådan vidarebehandling är tillåten.36 Om behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med insamlingsändamålen eller inte.37
Särskilda kategorier av personuppgifter (känsliga personuppgifter) och uppgifter om lagöverträdelser
Utöver de grundläggande principerna för personuppgiftsbehandling och kravet på rättslig grund för behandling gäller särskilda krav för behandling av särskilda kategorier av personuppgifter, s.k. känsliga personuppgifter. Dessa kategorier av personuppgifter är till sin natur särskilt känsliga och med detta särskilt skyddsvärda. Behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri och rättigheterna och EU:s dataskyddsförordning ställer med anledning av detta upp särskilda bestämmelser om skydd för sådana uppgifter.38
Som huvudregel är behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning förbjuden enligt artikel 9.1 i EU:s
35 Se skäl 50 till EU:s dataskyddsförordning. 36 Jfr artikel 6.3 andra stycket i EU:s dataskyddsförordning. 37 Se skäl 50 till EU:s dataskyddsförordning. 38 Jfr skäl 51 till EU:s dataskyddsförordning.
dataskyddsförordning. Detta förbud kompletteras dock med en rad undantag som anges uttömmande i förordningen.39 Likt de rättsliga grunderna för behandling av personuppgifter är vissa av dessa undantag direkt tillämpliga, medan andra undantag har uttryckliga hänvisningar till och krav på innehållet i unionsrätten och medlemsstaternas nationella rätt.
Tröskeln för att en personuppgiftsansvarig ska få behandla känsliga personuppgifter är alltså högre än den som gäller för behandling av andra personuppgifter i samma situation. Det innebär dock inte att undantagen i sig måste genomföras i svensk rätt för att vara tillämpliga.40
I artikel 10 i EU:s dataskyddsförordning finns även särskilda bestämmelser om behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. Utöver de villkor som gäller vid all behandling av personuppgifter gäller att sådana uppgifter endast får behandlas under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades fri- och rättigheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.41 Om en uppgift om en fällande dom i brottmål eller lagöverträdelse som innefattar brott även utgör en känslig personuppgift, gäller därutöver de särskilda krav som gäller för behandling av sådana uppgifter.
Den personuppgiftsansvariges skyldigheter – säkerhet m.m.
Allmänt om säkerhet vid behandling av personuppgifter
Den personuppgiftsansvarige har enligt EU:s dataskyddsförordning skyldigheter för att säkerställa att behandlingen av personuppgifter sker på ett säkert sätt. Redan av de grundläggande principerna för personuppgiftsbehandling följer att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstörning eller skada genom olyckshändelse, med användning av lämp-
39 Se artikel 9.2 i EU:s dataskyddsförordning. 40 Se prop. 2017/18:105, Ny dataskyddslag, s. 75. 41 Se artikel 10 i EU:s dataskyddsförordning.
liga tekniska och organisatoriska åtgärder.42 Allmänt kan sägas att ju högre risk som behandlingen innebär, desto högre krav ställs på säkerheten.
Enligt artikel 24.1 ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen. Av bestämmelsen framgår att behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers fri- och rättigheter ska beaktas samt att åtgärderna ska ses över och uppdateras vid behov.
I artikel 32 finns bestämmelser om säkerhet i samband med behandlingen av personuppgifter. Den personuppgiftsansvarige ska med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers fri- och rättigheter, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.43 När det är lämpligt inbegriper detta bl.a. pseudonymisering och kryptering av personuppgifter, förmågan att fortlöpande säkerställa konfidentialitet, tillgänglighet och motståndskraft hos behandlingsystemen och tjänsterna samt ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
Inbyggt dataskydd och dataskydd som standard
I artikel 25 finns krav på att den personuppgiftsansvarige, både vid fastställande av vilka medel behandlingen utförs med och vid själva behandlingen, ska genomföra lämpliga tekniska och organisatoriska åtgärder, t.ex. pseudonymisering, så att kraven i förordningen uppfylls och de registrerades rättigheter skyddas. Lämpliga tekniska och organisatoriska åtgärder ska också vidtas för att, i standardfallet, säkerställa att endast sådana personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen. Skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfatt-
42 Se artikel 5.1 f i EU:s dataskyddsförordning. 43 Se artikel 32.1 i EU:s dataskyddsförordning.
ning, tiden för lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer enligt artikel 25.2. Det finns alltså ett uttryckligt krav på vissa behörighetsbegränsningar.
Konsekvensbedömning och förhandssamråd
Om en typ av behandling är särskilt riskfylld ställer EU:s dataskyddsförordning upp krav på att den personuppgiftsansvarige ska göra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Bestämmelser om konsekvensbedömningar finns i artikel 35. Av punkten 1 framgår att vid en typ av behandling som – särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål – sannolikt leder till en hög risk för fysiska personers fri- och rättigheter, ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.
En sådan konsekvensbedömning kan aktualiseras bl.a. vid behandling i stor omfattning av känsliga personuppgifter enligt artikel 9.1, eller av sådana uppgifter som rör lagöverträdelser som avses i artikel 10.44 Konsekvensbedömningen ska göras i syfte att bedöma den höga riskens sannolikhetsgrad och allvar samt dess ursprung och bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska risken, säkerställa personuppgiftsskyddet och visa att förordningen efterlevs.45 En konsekvensbedömning bör särskilt vara tillämplig på storskalig uppgiftsbehandling med syftet att behandla betydande mängder uppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal registrerade och sannolikt kommer att innebära en hög risk.46
Om behandling enligt de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella
44 Se artikel 35.3 b i EU:s dataskyddsförordning. 45 Se skäl 90 till EU:s dataskyddsförordning. 46 Se skäl 91 till EU:s dataskyddsförordning.
specifika behandlingsåtgärden eller serien av åtgärder i fråga. Om en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, krävs ingen konsekvensbedömning, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.47
Den personuppgiftsansvarige ska, enligt artikel 36.1, begära förhandssamråd med tillsynsmyndigheten före en behandling, om en konsekvensbedömning avseende dataskydd visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken.48 Om behandlingen inte medför sådana risker behöver man alltså inte begära förhandssamråd med tillsynsmyndigheten. Av artikel 36.2 framgår att om tillsynsmyndigheten inom ramen för ett förhandssamråd anser att den planerade behandlingen skulle strida mot förordningen, ska tillsynsmyndigheten inom en viss period ge den personuppgiftsansvarige skriftliga råd. Tillsynsmyndigheten får även nyttja alla de befogenheter som den har enligt artikel 58, vilka vi redogör för längre fram i detta avsnitt.
Den registrerades rättigheter
EU:s dataskyddsförordning innehåller ett antal rättigheter för enskilda vars personuppgifter behandlas, dvs. de registrerade. Något förenklat kan bestämmelserna om enskildas rättigheter sägas innebära en rätt att veta vem som behandlar vilka uppgifter, och varför. Informationen ska vara klar och tydlig liksom villkoren för utövandet av den registrerades rättigheter.
I artikel 13 respektive 14 finns bestämmelser om vilken information som ska tillhandahållas om personuppgifter samlas in från den registrerade respektive om personuppgifterna inte har erhållits från den registrerade. Utöver kontaktuppgifter till den personuppgiftsansvarige och dataskyddsombudet rör det sig bl.a. om information om rättslig grund för och ändamålen med behandlingen, den period under vilken uppgifterna kommer att lagras (om möjligt), rätten att begära information, rättelse eller radering samt möjligheten att lämna in klagomål till tillsynsmyndigheten. Den registrerade har rätt att,
47 Se artikel 35.10 i EU:s dataskyddsförordning. 48 Jfr skäl 94 till EU:s dataskyddsförordning.
enligt artikel 15, av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör henne eller honom behandlas. I artikel 16 och 17 finns bestämmelser som innebär att den registrerade, under vissa närmare angivna förutsättningar, har rätt att begära rättelse eller radering av uppgifter.
De rättigheter som tillkommer de registrerade kan begränsas om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.49 En begränsning av den registrerades rättigheter får dock inte ske av vilken anledning som helst. Den måste ha som syfte att säkerställa något av de mål som anges i EU:s dataskyddsförordning, t.ex. unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet eller en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med sådan myndighetsutövning.50
Alla begränsande lagstiftningsåtgärder ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende bl.a. ändamålen med behandlingen eller kategorierna av behandling, omfattningen av de införda begränsningarna och skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring.51
Tillsyn och sanktionsavgifter
Integritetsskyddsmyndigheten (IMY) är svensk tillsynsmyndighet enligt den generella dataskyddsregleringen.52 Tillsynsmyndigheten ska, enligt artikel 57.1 i EU:s dataskyddsförordning, bl.a. övervaka och verkställa tillämpningen av förordningen samt behandla klagomål från registrerade.
Myndigheten har en rad undersökande, förebyggande och korrigerande befogenheter. Dessa framgår av artikel 58. Tillsynsmyndighetens utredningsbefogenheter innebär bl.a. en rätt att från den personuppgiftsansvarige få tillgång till alla personuppgifter och all
49 Se artikel 23.1 i EU:s dataskyddsförordning. 50 Se artikel 23.1 e och h i EU:s dataskyddsförordning. 51 Se artikel 23.2 a, c och d i EU:s dataskyddsförordning. 52 Se 2 a § förordningen (2007:975) med instruktion för Integritetsskyddsmyndigheten.
information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter. Tillsynsmyndigheten har också rätt att få tillträde till alla lokaler som tillhör den personuppgiftsansvarige, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionens processrätt eller medlemsstaternas nationella processrätt.
De korrigerande befogenheterna innebär att tillsynsmyndigheten bl.a. kan utfärda varningar, reprimander och förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker i enlighet med bestämmelserna i förordningen. Tillsynsmyndigheten kan även införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling. Tillsynsmyndigheten kan även påföra administrativa sanktionsavgifter i enlighet med artikel 83. Av punkten 4 framgår att en sanktionsavgift får påföras den personuppgiftsansvarige vid överträdelse av bl.a. skyldigheterna att tillämpa inbyggt dataskydd eller dataskydd som standard, vidta lämpliga tekniska och organisatoriska åtgärder samt genomföra konsekvensbedömningar och förhandssamråd. Sanktionsavgifter får, enligt punkten 5, även tas ut av en personuppgiftsansvarig vid överträdelser av förordningens grundläggande principer för behandling. Detsamma gäller för bestämmelserna om rättslig grund och de registrerades rättigheter.
3.3.3. Nationell kompletterande lagstiftning till EU:s dataskyddsförordning
Allmänna nationella dataskyddsbestämmelser
I avsnitt 3.3.1 redogör vi för att EU:s dataskyddsförordning i alla delar är bindande och direkt tillämplig i medlemsstaternas nationella rätt. Förordningen behöver alltså inte implementeras i nationell lagstiftning. Den är dock utformad på ett sådant sätt att den till viss del både förutsätter och medger nationell dataskyddsreglering som kompletterar förordningens bestämmelser.
EU:s dataskyddsförordning medger att medlemsstaterna behåller eller inför mer specifika bestämmelser för att anpassa bestämmelserna i förordningen, med hänsyn till behandling för att efterleva bestämmelserna om rättslig förpliktelse samt uppgift av allmänt intresse eller myndighetsutövning som rättslig grund. Medlemsstaterna får
även fastställa specifika krav för personuppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Den rättsliga grunden ska dessutom fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
I skälen till förordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer de tillämpas på, införliva delar av förordningen i nationell rätt.53 Möjligheten att anta kompletterande dataskyddsbestämmelser på nationell nivå medför även en möjlighet för medlemsstaterna att i viss mån anpassa förordningens bestämmelser till den nationella kontexten.
I svensk rätt har kompletterande bestämmelser till EU:s dataskyddsförordning på generell nivå antagits genom dataskyddslagen och förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning. Dessa författningar innehåller bl.a. bestämmelser som tydliggör innebörden av vissa bestämmelser i EU:s dataskyddsförordning och ger vägledning om hur dessa ska tillämpas i den svenska rättsordningen.
Som vi nämner i avsnitt 3.3.1 är dataskyddslagen subsidiär i förhållande till annan lag eller förordning, vilket innebär att avvikande bestämmelser i registerförfattningar och annan kompletterande dataskyddsreglering har företräde.54 Lagen innehåller bl.a. bestämmelser om rättslig grund för behandling av personuppgifter, behandling av känsliga personuppgifter och begränsningar av vissa rättigheter och skyldigheter samt om arkiv och statistik.
Dataskyddslagens förarbeten om rättslig grund
Fastställelse av rättslig grund i unionsrätten eller i en medlemsstats nationella rätt
Vi konstaterar i avsnitt 3.3.2 att några av de rättsliga grunder som föreskrivs i EU:s dataskyddsförordning kräver särskilt stöd i unionsrätten eller i medlemsstaternas nationella rätt. Regeringen gjorde i förarbetena
53 Se skäl 8 till EU:s dataskyddsförordning. 54 Se 1 kap. 6 § dataskyddslagen.
till dataskyddslagen flera överväganden om tolkningen av centrala delar av EU:s dataskyddsförordning, bl.a. avseende de krav som ställs i relation till de rättsliga grunder för personuppgiftsbehandling som i huvudsak är aktuella för myndigheter. Regeringen konstaterade att det av ordalydelsen i artikel 6.3 första stycket i EU:s dataskyddsförordning framgår att det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behandling som avses i artikel 6.1 c och e. Det krävs alltså inte en reglering i unionsrätten eller nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet.55 Förutsättningen att den rättsliga grunden ska vara fastställd i rättsordningen medför inte heller något krav på en särskild lag som grund för varje behandling, utan det kan räcka med en lag som grund för flera behandlingar.56
Fastställelse av en rättslig grund i svensk rätt
Kravet i EU:s dataskyddsförordning på att vissa rättsliga grunder för personuppgiftsbehandling ska vara fastställda i unionsrätten eller i medlemsstaternas nationella rätt utgjorde enligt regeringen inte någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. Legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Principen är grundlagsfäst genom 1 kap. 1 § RF och innebär att myndigheters maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar Sveriges rättsordning. Det borde inte förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser.57
Kraven på proportionalitet i artikel 6.3 i EU:s dataskyddsförordning motsvarar enligt regeringen det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Enligt 2 kap. 19 § RF gäller att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket
55 Se prop. 2017/18:105, Ny dataskyddslag, s. 48. 56 Se prop. 2017/18:105, Ny dataskyddslag, s. 49. 57 Se prop. 2017/18:105, Ny dataskyddslag, s. 50.
ovanligt att svensk rätt inte uppfyller konventionens krav. Mot den bakgrunden bör utgångspunkten vara att även EU:s dataskyddsförordnings motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställts i enlighet med svensk rätt.58 Kravet att nationell rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas måste i första hand anses riktat mot lagstiftaren och andra som har befogenhet att fastställa rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning, och inte mot personuppgiftsansvariga eller personuppgiftsbiträden.59
Av skäl 41 till EU:s dataskyddsförordning framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid EUdomstolen och Europadomstolen. Även detta var enligt regeringen ett uttryck för legalitetsprincipen och utgjorde således inte någon nyhet inom den svenska offentliga förvaltningen. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringen bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär.60
Sammanfattningsvis är rättslig grund fastställd i enlighet med svensk rätt om den följer av författning eller beslut som meddelats i enlighet med regeringsformens bestämmelser. Som följd av den svenska arbetsmarknadsmodellen kan en rättslig grund även följa av kollektivavtal.61 Befogenhet att utöva myndighet i Sverige är dock alltid fastställd i lag eller annan författning.62
Bestämmelser om rättslig grund i dataskyddslagen
Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får behandlas med stöd av artikel 6.1 c i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan
58 Se prop. 2017/18:105, Ny dataskyddslag, s. 50. 59 Se prop. 2017/18:105, Ny dataskyddslag, s. 54. 60 Se prop. 2017/18:105, Ny dataskyddslag, s. 51. 61 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 51 och 52. 62 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 62.
författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Enligt 2 kap. 2 § dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
Bestämmelserna har sin grund i artikel 6.3 första stycket i EU:s dataskyddsförordning där det anges att en rättslig förpliktelse, uppgift av allmänt intresse respektive myndighetsutövning måste fastställas i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för behandling av personuppgifter. Paragraferna är avsedda att ge vägledning för rättstillämpningen i Sverige. Bestämmelsen tydliggör att förpliktelsen eller uppgiften inte måste framgå direkt av en författning. Uppgifter av allmänt intresse kan enligt svensk rätt även följa av beslut som har meddelats med stöd av lag eller annan författning. En sådan uppgift kan bl.a. tilldelas en statlig myndighet genom ett regeringsbeslut, t.ex. regleringsbrev. Vidare tydliggörs att myndighetsutövning utgör en rättslig grund för behandling av personuppgifter bara om myndighetsutövningen sker enligt lag eller annan författning. Begreppet myndighetsutövning ska tolkas och tillämpas på samma sätt som enligt EU:s dataskyddsförordning. Det som i Sverige brukar anses som myndighetsutövning borde omfattas av begreppet.63
Särskilda registerförfattningar
Utöver bestämmelserna i dataskyddslagen finns i svensk rätt kompletterande bestämmelser om behandling av personuppgifter i ett stort antal sektorspecifika registerförfattningar och särskilda informationshanteringsförfattningar. Sådana särskilda författningar har framför allt antagits på områden där det är nödvändigt för myndigheter att behandla personuppgifter om ett stort antal registrerade och med ett särskilt känsligt innehåll.64 Syftet med registerförfatt-
63 Se prop. 207/18:105, Ny dataskyddslag, s. 189 och 190. 64 Jfr bet. 1990/91:KU11, Offentlighet, integritet och ADB, bet. 1997/98:KU18, Personuppgifts-
lag, och prop. 1997/98:44, Personuppgiftslag, s. 41.
ningarna är att anpassa regleringen till de särskilda behov som myndigheterna har i sina respektive verksamheter samt att göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för den enskildes personliga integritet.65 Det finns dock ett flertal myndigheter som inte har registerförfattningar och där enbart den generella dataskyddsregleringen tillämpas.
Registerförfattningarna kan sägas konkretisera ramarna för personuppgiftsbehandlingen och den generella regleringen kan sägas ange de yttersta ramarna för vilka ändamål en myndighet över huvud taget får behandla personuppgifter för.
Registerförfattningar och annan kompletterande dataskyddsreglering är ofta uppbyggda på så sätt att de inledande bestämmelserna anger författningens tillämpningsområde, exempelvis en viss verksamhet inom en viss myndighet, och förhållande till annan reglering, primärt EU:s dataskyddsförordning och dataskyddslagen. De allra flesta registerförfattningar innehåller därefter ändamålsbestämmelser. Ändamålsbestämmelserna brukar delas upp i primära och sekundära ändamål. Bestämmelserna om primära ändamål avser behovet av att behandla personuppgifter i myndighetens egen verksamhet och anger för vilka ändamål inom lagens tillämpningsområde myndigheten får samla in personuppgifter. Uttrycket samla in är ett begrepp som inte särskilt definieras i EU:s dataskyddsförordning. Det får dock antas avse de olika tillvägagångssätt som, i en vid bemärkelse, medför att uppgifter kommer in till myndigheten. Begreppet träffar alltså inte enbart de situationer när uppgifter kommer till myndigheten efter myndighetens egen begäran, utan även andra situationer som innebär att en myndighet får tillgång till personuppgifter, exempelvis genom att en enskild på eget initiativ lämnar in en handling av något slag till myndigheten.66 En primär ändamålsbestämmelse kan t.ex. ange att uppgifter får behandlas för tillhandahållande av information som behövs hos en myndighet för en viss arbetsuppgift som ankommer på myndigheten.
Bestämmelserna om sekundära ändamål reglerar hur personuppgifter som redan har samlats in och behandlas i verksamheten för de primära ändamålen får vidarebehandlas. I de sekundära ändamålsbestämmelserna ges ofta en uppräkning över vissa vanligt förekom-
65 Jfr t.ex. prop. 2015/16:65, Utlänningsdatalag, s. 21. 66 Se Öman, Dataskyddsförordningen (GDPR) m.m. – en kommentar, (27 september 2023, Version 2B, JUNO), kommentaren till artikel 5 under rubriken Led b – Ändamålsbegränsning.
mande ändamål för utlämnande till andra myndigheter. Utöver detta anges ofta att uppgifter får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och att uppgifter även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Det är även vanligt förekommande att registerförfattningarna innehåller särskilda bestämmelser om bl.a. personuppgiftsansvar, behandling av känsliga personuppgifter, förbud mot vissa sökningar, samt begränsningar av tillgången till personuppgifter.
Flera registerförfattningar innehåller också en reglering av vilka uppgifter som får behandlas för vilka ändamål och villkor för olika former av elektroniskt utlämnande av uppgifter, exempelvis genom direktåtkomst.
Inte sällan finns det förordningar som kompletterar registerlagarna. I förordningarna ges då ofta mer detaljerade bestämmelser, t.ex. om vilka uppgifter som får behandlas i vilken kontext, eller vilka uppgifter som får lämnas ut till vem samt i vilken elektronisk form detta får ske. I förordningarna kan det även finnas andra begränsningar.
I avsnitt 4.3 redogör vi närmare för innehållet i CSN:s registerförfattningar: studiestödsdatalagen och studiestödsdataförordningen.
3.4. Sekretess och tystnadsplikt
3.4.1. Offentlighetsprincipen och dess förhållande till EU:s dataskyddsförordning
Offentlighetsprincipen är central i den svenska rättsordningen. Den innebär att allmänheten har rätt till insyn i och tillgång till information om statens och kommunernas verksamhet. Principen kommer till uttryck på olika sätt i grundlagarna, t.ex. genom rätten till yttrandefrihet, meddelarfrihet för tjänstemän och genom allmänna handlingars offentlighet.
Bestämmelser i EU:s dataskyddsförordning ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL).67 EU:s dataskydds-
67 Se 1 kap. 7 § dataskyddslagen, jfr artikel 85 i EU:s dataskyddsförordning.
förordning medför inte heller några begränsningar av rätten att ta del av allmänna handlingar.68 Den svenska offentlighetsprincipen ges alltså i princip företräde framför rätten till skydd av personuppgifter enligt EU:s dataskyddsförordning. Detta innebär bl.a. att den svenska regleringen om allmänna handlingars offentlighet och rätten att ta del av allmänna handlingar i tryckfrihetsförordningens andra kapitel ska tillämpas framför bestämmelserna i EU:s dataskyddsförordning.69
3.4.2. Allmänna handlingar hos myndigheter
Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt.70 En handling är allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos en myndighet.71
En upptagning anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 2 kap. 7 § TF.72 Enligt den bestämmelsen anses en sammanställning inte förvarad hos en myndighet om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Om det finns sökbegränsningar eller sökförbud i en tillämplig registerförfattning anses en sammanställning, t.ex. baserad på en kategori av uppgifter som bedöms vara känsliga, därmed inte förvarad hos myndigheten.
68 Se artikel 86 i EU:s dataskyddsförordning. 69 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 40, 42 och 43. 70 Se 2 kap. 3 § tryckfrihetsförordningen (TF). 71 Se 2 kap. 4 § TF. 72 Se 2 kap. 6 § TF.
3.4.3. Allmänt om sekretess och tystnadsplikt
Reglering av sekretess
Bestämmelser om sekretess finns i offentlighets- och sekretesslagen (2009:400), OSL. Sekretess definieras som ett förbud mot att röja en uppgift, vare sig det sker muntligen, genom utlämnande av allmän handling eller på något annat sätt.73 Gäller förbud enligt offentlighets- och sekretesslagen mot att röja en uppgift, får uppgiften inte heller i övrigt utnyttjas utanför verksamhet för vilken den är sekretessreglerad.74 De uppgifter som sekretessbestämmelserna ska skydda är viss slags information med visst innehåll. Syftet är dock att en sekretessreglering inte ska innebära en större begränsning av offentlighetsprincipen än vad som är nödvändigt för att värna det intresse som sekretessen är avsedd att skydda.75
Sekretessens föremål, räckvidd och styrka
En sekretessbestämmelse består i regel av tre grundläggande rekvisit, dvs. förutsättningar för att bestämmelsen ska kunna tillämpas. Dessa tre rekvisit anger sekretessens föremål, räckvidd och styrka.76
Sekretessens föremål är information med ett visst innehåll som anges i lagen genom ordet uppgift tillsammans med en mer eller mindre långtgående precisering av uppgiftens art.
En sekretessbestämmelses räckvidd bestäms genom att det t.ex. anges att sekretess gäller i verksamhet eller i ärende av visst slag eller vid en viss myndighet, i samtliga fall för vissa uppgifter.77 Vissa sekretessbestämmelser gäller dock utan att räckvidden är begränsad till viss verksamhet, ärende eller myndighet. Sådana bestämmelser finns t.ex. i 21 kap. OSL.
Sekretessens styrka bestäms med hjälp av s.k. skaderekvisit, dvs. villkor som i regel för sekretess kräver sannolikhet i det enskilda fallet för skada av viss art om en uppgift lämnas ut.78
73 Se 3 kap. 1 § offentlighets- och sekretesslagen (2009:400), OSL. 74 Se 7 kap. 1 § OSL. 75 Jfr 2 kap. 2 § TF. 76 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 2 och Ds 2016:2, Några
frågor om offentlighet och sekretess, s. 39.
77 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 72 och 73. 78 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 78.
Vid sekretessbestämmelser med ett rakt skaderekvisit är utgångspunkten att uppgifterna är offentliga och att sekretess endast gäller om det kan antas att viss skada uppstår om uppgiften i det enskilda fallet lämnas ut. Skadebedömningen ska i dessa fall i huvudsak göras med utgångspunkt i själva uppgiften. Avgörande för om sekretess gäller är om uppgiften som sådan är av den art att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen.79 Vissa bestämmelser innehåller ett kvalificerat rakt skaderekvisit, dvs. det krävs särskilt hög sannolikhet för viss skada för att sekretessen ska gälla.80
Om en sekretessbestämmelse innehåller ett omvänt skaderekvisit innebär det att sekretess som huvudregel gäller för uppgiften. Vid sådana skaderekvisit gäller sekretess om det inte står klart att en uppgift kan röjas utan att viss skada uppstår. I praktiken innebär detta att tillämparen ofta inte kan lämna ut en uppgift som omfattas av en sådan sekretessregel utan att ha kännedom om mottagarens identitet och om dennes avsikter med uppgiften.81
Vidare kan sekretessen vara absolut. Detta innebär att sekretessbestämmelsen saknar skaderekvisit. Sekretess gäller då utan att någon skadeprövning behöver göras om uppgifterna begärs ut.
För att en enskild person ska lida skada eller men krävs att uppgifterna är hänförliga till en viss individ. Det innebär att avidentifierade uppgifter i princip kan lämnas ut utan hinder av sekretess.82
Tystnadsplikt och annat röjande
En uppgift för vilken sekretess gäller enligt offentlighets- och sekretesslagen får inte röjas för enskilda eller för andra myndigheter, om inte annat anges i offentlighets- och sekretesslagen eller i annan lag eller förordning som offentlighets- och sekretesslagen hänvisar till.83Ett förbud mot att röja vissa uppgifter som behandlas vid en myndighet träffar både myndigheten som sådan och dess personal.84Om en uppgift är sekretessbelagd får den som utgångspunkt inte
79 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 80. 80 Se Ds 2016:2, Några frågor om offentlighet och sekretess, s. 40. 81 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 82. 82 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84. 83 Se 8 kap. 1 § OSL. 84 Se 2 kap. 1 § OSL.
heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad.85
Otillåtet röjande av en sekretessbelagd uppgift är straffsanktionerat som brott mot tystnadsplikt.86 Avgörande för straffansvar är att en person röjer en uppgift som han eller hon är skyldig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning.
En grundprincip är att personen själv kan bestämma över de uppgifter som rör honom eller henne och därmed också kan välja att efterge sekretessen.87 En person kan alltså lämna sitt samtycke till att en sekretesskyddad uppgift lämnas ut till en annan person eller en myndighet. I sådana fall utgör utlämnandet inte ett otillåtet röjande.
Några regler om sekretess som gäller oavsett sammanhang
Vi nämner tidigare i detta avsnitt att det finns vissa sekretessbestämmelser som gäller oavsett i vilken verksamhet eller vid vilken myndighet uppgiften förekommer. Sekretess gäller t.ex. enligt 21 kap. 1 § OSL för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Sekretessen gäller dock inte för en uppgift som tas in i ett beslut.
En grundläggande sekretessbestämmelse, som också gäller oavsett sammanhang, innehåller en direkt koppling till den generella dataskyddsregleringen. Enligt 21 kap. 7 § OSL gäller sekretess för en personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning eller dataskyddslagen. Bestämmelsen gäller när myndigheter lämnar ut personuppgifter, oavsett i vilket sammanhang som personuppgifterna förekommer. De situationer som kan aktualisera bestämmelsen är exempelvis vid s.k. massuttag eller selekterade uttag.88
85 Se 7 kap. 1 § OSL. 86 Se 20 kap. 3 § brottsbalken. 87 Se 12 kap. 2 § OSL. 88 Se prop. 2017/18:105, Ny dataskyddslag, s. 135–136 och JO:s beslut 2013-08-28 (dnr 4171- 2011).
Några sekretessbrytande bestämmelser som gäller oavsett sammanhang
Bestämmelsen om nödvändigt utlämnande i 10 kap. 2 § OSL innebär att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. För att denna sekretessbrytande regel ska aktualiseras krävs dock att det är en nödvändig förutsättning för fullgörandet av ett visst åliggande som en myndighet har, att en sekretessbelagd uppgift lämnas ut.89
Sekretess hindrar inte att en enskild eller en myndighet som är part i ett mål eller ärende hos domstol eller annan myndighet och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska myndigheten på annat sätt lämna parten upplysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda. Sekretess hindrar aldrig att en part i ett mål eller ärende tar del av en dom eller ett beslut i målet eller ärendet.90
Ibland kan den risk för skada som hindrar ett utlämnande undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den.91 En myndighet kan då lämna uppgiften till den enskilde med ett sådant förbehåll.
Den s.k. generalklausulen stadgar att en sekretessbelagd uppgift får lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.92 Bestämmelsen möjliggör informationsutbyte mellan myndigheter av uppgifter som omfattas av sekretess ifall då det saknas uttryckliga sekretessbrytande regler. Generalklausulen gäller dock inte om det rör sådan sekretess som förekommer inom vissa särskilda områden, bl.a. inom socialtjänsten och hälso- och
89 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 465. 90 Se 10 kap. 3 § OSL. 91 Se 10 kap. 14 § OSL. 92 Se 10 kap. 27 § första stycket OSL.
sjukvården.93 Den gäller inte heller om utlämnandet strider mot lag eller förordning.94 Det innebär att om det t.ex. i lag föreskrivs att en viss myndighet på vissa angivna villkor kan få ta del av hemliga uppgifter hos en annan myndighet, kan det inte komma i fråga att, när de angivna villkoren inte är uppfyllda, lämna ut uppgifterna med stöd av generalklausulen i stället.95
Konkurrens mellan flera sekretessbestämmelser
Om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska enligt 7 kap. 3 § OSL de senare bestämmelserna ha företräde, om inte annat anges i offentlighets- och sekretesslagen. Bestämmelsen reglerar alltså vilken sekretessregel som ska ha företräde i de fall flera sekretessbestämmelser är tillämpliga på samma uppgift, s.k. konkurrens mellan sekretessbestämmelser.
3.4.4. Sekretess mellan myndigheter och mellan självständiga verksamhetsgrenar inom en myndighet
Allmänt om sekretess mellan och inom myndigheter
Om en viss uppgift hos en myndighet är skyddad av en sekretessbestämmelse gäller sekretesskyddet i förhållande till andra myndigheter. Sekretessen gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra.96 Sekretess hindrar dock inte att en uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning.97 Det är en generell regel som medför att sekretessen mellan myndigheter ger vika för uppgifter som omfattas av uppgiftsskyldighet. Bestämmelsen är tillämplig både när det gäller att lämna
93 Se 10 kap. 27 § andra stycket OSL. 94 Se 10 kap. 27 § tredje stycket OSL. 95 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 328. 96 Se 8 kap. 2 § OSL. 97 Se 10 kap. 28 § OSL.
uppgifter mellan olika myndigheter och mellan självständiga verksamhetsgrenar inom en och samma myndighet.
Överföring av sekretess m.m.
Sekretesskyddet som en sekretessregel ger följer som huvudregel inte med en uppgift när den lämnas från en myndighet till en annan. Det beror bl.a. på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset. Detta intresse måste i varje sammanhang vägas mot intresset av insyn i myndighetens verksamhet. Offentlighetsintresset kan alltså kräva att uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda myndigheten. Det finns alltså ingen generell bestämmelse om överföring av sekretess mellan myndigheter.98
Det finns dock särskilda bestämmelser om överföring av sekretess. Vid överföring av sekretess görs det skillnad mellan primära och sekundära sekretessbestämmelser. En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa direkt, t.ex. de sekretessregler som CSN ska tillämpa och som vi redogör för i avsnitt 4.4.1. En bestämmelse om överföring av sekretess innebär att en sekretessbestämmelse som är direkt tillämplig på en uppgift hos en myndighet (primär sekretess) ska tillämpas på uppgiften även av en annan myndighet som uppgiften lämnas till (sekundär sekretess). Om en sekretessreglerad uppgift lämnas från en myndighet till en annan myndighet gäller alltså sekretess för uppgiften hos den mottagande myndigheten bara om sekretess följer antingen av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess. Motsvarande gäller om en myndighet har elektronisk tillgång till en sekretessreglerad uppgift hos en annan myndighet.99Om ingen av dessa förutsättningar är uppfyllda blir uppgiften alltså offentlig hos den mottagande myndigheten.
Det finns t.ex. en bestämmelse i 11 kap. 4 § OSL som innebär att om en myndighet har elektronisk tillgång till uppgifter i en annan myndighets upptagning för automatiserad behandling och dessa
98 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 75 och 76. 99 Se 7 kap. 2 § OSL.
uppgifter omfattas av sekretess hos den utlämnande myndigheten, överförs sekretessen till den mottagande myndigheten under förutsättning att den mottagande myndigheten inte kan tillämpa en annan bestämmelse primärt.
Myndigheters informationsskyldighet
En myndighet ska enligt 6 kap. 5 § OSL på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Skyldigheten anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter.100 Enligt Högsta förvaltningsdomstolens står ett sådant utlämnande inte i strid med finalitetsprincipen.101
En skyldighet att lämna personuppgifter till en annan myndighet kan finnas reglerad i lag eller förordning. Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om det finns en sådan uppgiftsskyldighet. Detta framgår av 10 kap. 28 § OSL. Vi redogör närmare för sådana uppgiftsskyldigheter som CSN omfattas av i avsnitt 4.4.2.
100 Jfr 8 § förvaltningslagen (2017:900). 101 Se HFD 2021 ref. 10.
4. CSN:s verksamhet och myndighetsspecifik reglering
4.1. Inledning
Vårt huvudsakliga uppdrag är att göra en allmän översyn av CSN:s registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. I kapitel 3 redogör vi för de rättsliga utgångspunkter som sätter ramen för vilka förändringar vi kan föreslå. I detta kapitel redogör vi för den dataskydds-, sekretess- och uppgiftslämnandereglering som gäller särskilt för CSN, och som är huvudföremål för våra förslag. För att uppnå bästa möjliga resultat med vårt uppdrag bör de förslag vi lämnar utgå från myndighetens verksamhet. Den myndighetsspecifika regleringen förstås bäst efter en beskrivning av myndighetens verksamhet, vilket vi inleder detta kapitel med.
4.2. CSN:s verksamhet
4.2.1. Övergripande uppdrag
CSN:s övergripande uppdrag framgår bl.a. av förordningen (2017:1114) med instruktion för Centrala studiestödsnämnden. I detta avsnitt beskriver vi uppdragen övergripande och i fortsättningen av detta kapitel beskriver vi dem i mer detalj. Av förordningens 1 § framgår att CSN ska administrera studiestöd och andra stöd till enskilda som enligt lag eller förordning ska hanteras av myndigheten. Myndigheten administrerar för närvarande följande stöd:
a) studiehjälp1
b) lärlingsersättning2
c) bidrag till vissa funktionshindrade elever i gymnasieskolan
(Rg- bidrag)3
d) bidrag till utlandsstuderande för dagliga resor4
e) studiemedel5
f) studiestartsstöd6
g) bidrag för teckenspråksutbildning för vissa föräldrar (TUFF-
ersättning)7
h) omställningsstudiestöd8
i) hemutrustningslån9
j) körkortslån.10
Med begreppet studiestöd avses stöden a–h.11 När vi i fortsättningen använder begreppet är det dessa stöd som avses. Varken hemutrustningslån eller körkortslån kan längre sökas, men CSN administrerar fortfarande återbetalning av lånen.12
Andra övergripande arbetsuppgifter som CSN har är att – ge lättillgänglig och behovsanpassad information och god service
till berörda om de stöd som CSN administrerar13– säkerställa att återkrav betalas och att de lån myndigheten admini-
strerar betalas tillbaka14
1 Se 1 kap. 2 § och 2 kap. 1 §studiestödslagen (1999:1395). 2 Se 2 § förordningen (2013:1121) om kostnadsersättning till elever i gymnasial lärlingsutbildning och lärlingsliknande utbildning inom introduktionsprogram. 3 Se 8, 9 och 10 §§ förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan. 4 Se punkten 3 förordningen (CSNFS 1983:17) om bidrag till utlandsstuderande för dagliga resor. 5 Se 1 kap. 2 § och 3 kap. 1 §studiestödslagen. 6 Se 28 § lagen (2017:527) om studiestartsstöd. 7 Se 19 § förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar. 8 Se 2 § lagen (2022:856) om omställningsstudiestöd. 9 Se 1 § förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar (upphävd 1 januari 2022). 10 Se 2 § förordningen (2018:1118) om körkortslån (upphävd 1 januari 2024). 11 Se arbetsordning för CSN, gällande från och med den 1 mars 2024 (ADM/2024:88), s. 5. 12 Jfr SFS 2021:1260 och SFS 2023:923. 13 Se 2 § förordningen (2017:1114) med instruktion för Centrala studiestödsnämnden. 14 Se 3 § förordningen med instruktion för Centrala studiestödsnämnden.
– motverka bidragsbrott och säkerställa att felaktiga utbetalningar
inte görs15– följa och analysera de studerandes sociala och ekonomiska situa-
tion för att säkerställa myndighetens kunskap på området.16
CSN är också ansvarig myndighet för den officiella statistiken inom studiestödsområdet. CSN:s statistikdatabas innehåller officiell statistik om studerande med studiestöd, studieskulder, återkrav, inbetalningar, nedsättning av årsbelopp samt avskrivning av studieskulder och kronofogdekrav.17
CSN:s verksamhet styrs även av regleringsbrevet för myndigheten i vilket regeringen beslutar om vissa uppdrag, mål och återrapporteringskrav för myndigheten. Av regleringsbrevet för budgetåret 202418 framgår bl.a. att CSN ska bidra till det övergripande målet att utbetalningar från välfärdssystemet ska vara korrekta, andelen felaktiga utbetalningar ska minska och fel ska motverkas.
Liksom andra myndigheter styrs CSN:s verksamhet också av generell myndighetsreglering, t.ex. förvaltningslagen (2017:900), FL, myndighetsförordningen (2007:515) och förordningen (2007:603) om intern styrning och kontroll.
4.2.2. Organisation
CSN är en enrådighetsmyndighet under regeringen som leds av en generaldirektör.19 Vid CSN finns ett insynsråd och en funktion för internrevision. Insynsrådet består av högst 12 ledamöter som utses av regeringen.20 Rådets uppgift är att utöva insyn i verksamheten och ge generaldirektören råd.21 Internrevisionen utgör en fristående funktion och ska utföra sitt uppdrag enligt internrevisionsförordningen (2006:1228) samt de riktlinjer och den revisionsplan som generaldirektören beslutar om. I uppdraget ingår bl.a. att granska
15 Se 4 § förordningen med instruktion för Centrala studiestödsnämnden. 16 Se 5 § förordningen med instruktion för Centrala studiestödsnämnden. För framtagande av officiell statistik gäller lagen (2001:99) om den officiella statistiken, se mer om detta och den lagens förhållande till CSN:s registerförfattningar i avsnitt 8.3.1. 17 Se 6, 7 och 8 §§ förordningen med instruktion för Centrala studiestödsnämnden. 18 Regleringsbrev för budgetåret 2024 avseende Centrala studiestödsnämnden, dnr U2023/03644 och U2023/03656. 19 Se 9 och 12 §§ förordningen med instruktion för Centrala studiestödsnämnden. 20 Se 10 § förordningen med instruktion för Centrala studiestödsnämnden. 21 Se 9 § förordningen med instruktion för Centrala studiestödsnämnden.
och föreslå förbättringar av CSN:s process för intern styrning och kontroll samt ge råd och stöd till generaldirektören.22
Myndigheten är organiserad i sju avdelningar: staben, ekonomiavdelningen, rättsavdelningen, HR, utbetalningsavdelningen, inbetalningsavdelningen och it-avdelningen. Avdelningarna är i sin tur uppdelade i kontor eller enheter.
Figur 4.1 Organisationskarta
Källa: CSN.
4.2.3. Administrera studiestöd och andra stöd
Allmänt om studiestöd
Studiestöd kan användas som ett samlingsbegrepp för alla bidrag och lån som enskilda kan få från staten för att bedriva egna studier.23Under 2023 betalade CSN ut 48,8 miljarder kronor i studiestöd. Av utbetalningarna bestod 25,4 miljarder kronor av lån och 23,5 miljarder kronor av bidrag.24
De övergripande målen för studiestödet slogs fast genom propositionen till gällande studiestödslag (1999:1395).25 Sedan dess har det skett förändringar av systemet då vissa stöd har försvunnit medan andra har tillkommit. Med anledning av detta ansåg regeringen nyligen att det fanns ett behov av att förtydliga målen för studiestödet. I budgetpropositionen för 2024 omformulerades de övergripande målen till följande:
22 Se 3 och 5 §§internrevisionsförordningen (2006:1228). 23 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 33. 24 CSN:s årsredovisning för 2023 (ADM/2023:670), s. 11. 25 Se prop. 1999/00:10, Ett reformerat studiestödssystem, s. 76.
Studiestödet i form av bidrag och lån är en del av utbildningspolitiken. Studiestödet ska verka rekryterande för kvinnor och män oavsett bakgrund och bidra till ett högt deltagande i utbildning. Studiestödet ska även ha en god effekt på samhällsekonomin över tiden.26
Studiestöden regleras i olika lagar och förordningar. I studiestödslagen regleras studiehjälp och studiemedel. Lagen trädde i kraft den 1 juli 2001. Till studiestödslagen ansluter studiestödsförordningen (2000:655), enligt vilken CSN också får meddela föreskrifter. I och med ikraftträdandet upphörde den tidigare studiestödslagen (1973:349) och studiestödsförordningen (1973:418) att gälla. Enligt övergångsbestämmelserna gäller dock de äldre bestämmelserna fortsatt för studiestöd som avser tiden före ikraftträdandet. Utöver studiestödslagen finns även lagen (2017:527) om studiestartsstöd och lagen (2022:856) om omställningsstudiestöd. Båda lagarna kompletteras av förordningar, enligt vilka CSN också får meddela föreskrifter. Vissa andra stöd, nämligen lärlingsersättning, bidrag till utlandsstuderande för dagliga resor, Rg-bidrag och TUFFersättning, regleras i särskilda förordningar.27
I det följande beskriver vi översiktligt de olika studiestöd och andra stöd som CSN administrerar och vilka förutsättningar som gäller för att stöden ska beviljas.
Studiehjälp, lärlingsersättning, Rg-bidrag och bidrag till utlandsstuderande för dagliga resor
Studiehjälp är bidrag för studier på grundskolenivå, gymnasial nivå (gymnasium, komvux och folkhögskola) samt för studier vid viss behörighetsgivande utbildning vid universitet eller högskola, vid nationell yrkesutbildning och behörighetsgivande förutbildning inom yrkeshögskolan och vissa andra utbildningar från och med kvartalet närmast efter det kvartal då den studerande fyller 16 år och längst till och med det första kalenderhalvåret det år då den studerande
26 Se Budgetpropositionen för 2024, prop. 2023/24:1, utgiftsområde 15, studiestöd, s. 5 och 6. 27 Se förordningen (2013:1121) om kostnadsersättning till elever i gymnasial lärlingsutbildning och lärlingsliknande utbildning inom introduktionsprogram, förordning (CSNFS 1983:17) om bidrag till utlandsstuderande för dagliga resor, förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan och förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar.
fyller 20 år.28 Studiehjälp består av studiebidrag, inackorderingstillägg och extra tillägg.29 De två sistnämnda tilläggen kan under vissa förutsättningar också lämnas för yngre studerande än 16 år.30
Studiehjälp får lämnas till svenska medborgare och under vissa förutsättningar till utländska medborgare.31 Studiehjälp får lämnas för de delar av ett läsår då den studerande bedriver heltidsstudier vid de läroanstalter och utbildningar som bestäms av regeringen eller den myndighet regeringen bestämmer.32 Studiehjälp kan också lämnas för studier utomlands under vissa förutsättningar.33
Inackorderingstillägg och extra tillägg är bidrag som den studerande kan få utöver studiebidraget. Inackorderingstillägg kan lämnas till elever i fristående gymnasieskolor, om den studerande har långt till skolan och behöver bo på studieorten.34 Extra tillägg kan lämnas till studerande om dennes familj har låga inkomster, vilket är en bruttoinkomst som är lägre än 125 000 kronor under ett läsår.35
Lärlingsersättning kan den få som går en gymnasial lärlingsutbildning eller en lärlingsliknande utbildning på ett introduktionsprogram.36 Stödet är till för de extra kostnader för måltider och resor som den studerande kan ha när hon eller han är ute på en arbetsplats. En förutsättning för att få lärlingsersättning är att den studerande går på en utbildning som ger rätt till studiehjälp.37
Rg-bidrag kan lämnas till studerande vid en utbildning för döva och hörselskadade samt svårt rörelsehindrade.38 Bidraget är till för studerande som behöver bo på studieorten och ska täcka kostnader för boende och hemresor samt skäliga kostnader i samband med studierna som är merkostnader på grund av funktionshindret.39Bidraget lämnas endast för den del av kostnaderna som överstiger
28 Se 2 kap.2 och 3 §§studiestödslagen. Se även 2 kap. 1 § studiestödsförordningen (2000:655) och bilaga A till den förordningen där det listas vilka utbildningar som kan ge rätt till studiehjälp. 29 Se 2 kap. 1 § studiestödslagen. 30 Se 2 kap. 3 § och 1 kap.4–7 §§studiestödslagen. 31 Jfr 2 kap.4 och 4 a §§studiestödslagen. 32 Se 2 kap.2, 5 och 6 §§studiestödslagen och 2 kap. 1 § studiestödsförordningen. 33 Jfr 2 kap. 9 § studiestödslagen. 34 Se 1 kap. 3 § Centrala studiestödsnämndens föreskrifter och allmänna råd (CSNFS 2001:6) om studiehjälp. Jfr även 2 kap. 2 § studiestödslagen. 35 Jfr 2 kap. 3 § studiestödslagen och 2 kap.9–14 §§studiestödsförordningen. 36 Se 1 § förordningen om kostnadsersättning till elever i gymnasial lärlingsutbildning och lärlingsliknande utbildning inom introduktionsprogram. 37 Se 3 § förordningen om kostnadsersättning till elever i gymnasial lärlingsutbildning och lärlingsliknande utbildning inom introduktionsprogram. 38 Se 1 § förordningen om bidrag till vissa funktionshindrade elever i gymnasieskolan. 39 Jfr 4, 5 och 6 §§ förordningen om bidrag till vissa funktionshindrade elever i gymnasieskolan.
den ersättning eleven får i form av sjukersättning eller aktivitetsersättning enligt socialförsäkringsbalken.40
Bidrag till utlandsstuderande för dagliga resor kan lämnas till studerande utomlands som har långt mellan föräldrahemmet och skolan och där bidrag för resor inte lämnas av en hemkommun i Sverige.41
Studiemedel
Studiemedel består av två delar, studiebidrag som den studerande får och studielån som den studerande måste betala tillbaka.42 Studiemedel är i huvudsak till för personer som studerar på t.ex. högskola, universitetet, komvux eller yrkeshögskola, men kan även lämnas för studier inom ordinarie gymnasieskolor. Stödet får lämnas utan nedre åldersgräns för studier vid viss behörighetsgivande utbildning vid universitet eller högskola, vid behörighetsgivande förutbildning inom yrkeshögskolan, vid s.k. konst- och kulturutbildningar och vid eftergymnasiala utbildningar. Studiemedel får, för andra studier än på grundskole- och gymnasienivå, lämnas från och med det andra kalenderhalvåret det år då den studerande fyller 20 år och, oavsett nivå, längst till och med då den studerande fyller 60 år.43 Rätten att ta studiemedel i form av lån begränsas dock från och med det kalenderår den studerande fyller 51 år.44 Studiemedel kan inte lämnas för den tid då den studerande får studiehjälp och inte heller om den studerande får vissa andra statliga ersättningar eller har en inkomst som överstiger ett visst belopp.45
Liksom för studiehjälp kan studiemedel lämnas till svenska medborgare och under vissa förutsättningar till utländska medborgare.46Studiemedel får endast lämnas för studier vid de läroanstalter och utbildningar som bestäms av regeringen eller den myndighet regeringen bestämmer. Under vissa förutsättningar kan stödet lämnas för studier utomlands.47 Studiemedel får lämnas för varje vecka då
40 Se 7 § förordningen om bidrag till vissa funktionshindrade elever i gymnasieskolan. 41 Se förordningen (CSNFS 1983:7) om bidrag till utlandsstuderande för dagliga resor. 42 Se 3 kap. 1 § studiestödslagen. 43 Se 3 kap.2 och 3 §§studiestödslagen. 44 Jfr 3 kap.8 och 9 §§studiestödslagen och bilagan till studiestödsförordningen. 45 Se 3 kap. 15 och 25 § studiestödslagen. 46 Jfr 3 kap. 4 § och 1 kap.4, 5 och 6 §§studiestödslagen. 47 Se 3 kap.2 och 23 §§studiestödslagen. Se även 3 kap. 1 § studiestödsförordningen och bilagan till den förordningen där det listas vilka utbildningar som kan ge rätt till studiemedel.
den studerande bedriver studier på minst halvtid, men studierna måste pågå under en sammanhängande tid om minst tre veckor.48Om den studerande tidigare studerat med studiemedel måste hon eller han klara kravet på studieresultat för att få nya studiemedel. Kravet på studieresultat är olika beroende av bl.a. utbildning och studietakt. Om de tidigare studierna avslutats för mer än tio år sedan finns inget krav på studieresultat.49
I vissa fall har den studerande rätt till ytterligare bidrag eller lån. Tilläggsbidrag kan den studerande få om hon eller han har vårdnaden om ett barn.50 Tilläggslån går att söka från och med det år den studerande fyller 25 år om hon eller han tidigare har arbetat och haft en viss lägsta inkomst.51 Merkostnadslån går att ansöka om för en del extra kostnader som den studerande kan ha, t.ex. utlandsstudier, resor i samband med studierna och undervisningsavgifter.52
Studiestartsstöd
Studiestartsstöd är ett bidrag utan inslag av lån som vissa personer med ett stort utbildningsbehov kan få under en kortare tid för att studera på grundskole- eller gymnasienivå. Bidraget har till syfte att öka den enskildes chanser att etablera sig på arbetsmarknaden.53
En förutsättning för att få stödet är att den enskilde tillhör målgruppen, vilket ställer vissa krav. Stödet kan lämnas till svenska medborgare och under vissa förutsättningar till utländska medborgare.54Personen ska ha kort utbildning och ett stort behov av utbildning på grundläggande eller gymnasial nivå för att kunna etablera sig på arbetsmarknaden.55 Hon eller han måste också varit anmäld som arbetssökande hos den offentliga arbetsförmedlingen under minst sex av de senaste tolv månaderna och personen får inte ha fått studiestöd enligt studiestödslagen eller lagen om omställningsstudiestöd de senaste tre åren.56 Stödet får endast lämnas till den som är mellan
48 Se 3 kap. 5 § studiestödslagen. 49 Jfr 3 kap.6 och 7 §§studiestödslagen och 3 kap.5 och 5 a §§studiestödsförordningen. 50 Se 3 kap. 13 a § studiestödslagen. 51 Se 3 kap. 14 § studiestödslagen och 3 kap. 12 § studiestödsförordningen. 52 Se 3 kap. 15 § studiestödslagen och 3 kap. 13 § studiestödsförordningen. 53 Se 1 § lagen om studiestartsstöd. 54 Se 9 § lagen om studiestartsstöd och 1 kap.4, 5 och 6 §§studiestödslagen. 55 Se 4 § lagen om studiestartsstöd. 56 Se 6 § lagen om studiestartsstöd.
25 och 60 år.57 Utöver att tillhöra målgruppen ställs vissa krav på studiernas omfattning och tidigare studieresultat.58
Den studerandes hemkommun och CSN har delat ansvar för studiestartsstödet. Hemkommunen ansvarar för att pröva om den enskilde tillhör målgruppen för studiestartsstöd. Om kommunen kommer fram till att så är fallet lämnas ansökan över till CSN som prövar övriga förutsättningar.59
Studiestartsstöd har kunnat lämnas sedan den 2 juli 2017. Regeringen har i budgetpropositionen för 2025 föreslagit att stödet ska avskaffas den 1 januari 2026.60
Omställningsstudiestöd
Omställningsstudiestöd är ett studiestöd som har kunnat lämnas sedan den 1 januari 2023. Stödet är till för enskilda som är mitt i arbetslivet. Syftet med stödet är att förbättra förutsättningarna för vuxna att finansiera studier som stärker deras framtida ställning på arbetsmarknaden.61 Stödet består av både bidrag och lån.62
En förutsättning för att få stödet är att den studerande har förvärvsarbetat i en viss omfattning under en viss tid.63 Stödet får endast lämnas för studier vid en utbildning som kan antas stärka den studerandes framtida ställning på arbetsmarknaden med beaktande av arbetsmarknadens behov. Om det finns särskilda skäl, får omställningsstudiestöd lämnas även utan beaktande av arbetsmarknadens behov.64 Stödet kan lämnas till svenska medborgare och under vissa förutsättningar till utländska medborgare.65 Bidragsdelen får lämnas längst till och med det kalenderår som den studerande fyller 62 år och lånedelen får lämnas längst till och med det kalenderår då den studerande fyller 60 år.66 Utöver dessa förutsättningar finns även krav på studiernas omfattning och tidigare studieresultat.67
57 Se 5 § lagen om studiestartsstöd. 58 Jfr 11–16 §§ lagen om studiestartsstöd. 59 Jfr 27 och 28 §§ lagen om studiestartsstöd. 60 Se Budgetpropositionen för 2025, prop. 2024/25:1, utgiftsområde 15, studiestöd, s. 27. 61 Se 1 § lagen om omställningsstudiestöd. 62 Se 3 § lagen om omställningsstudiestöd. 63 Se 6 § lagen om omställningsstudiestöd. 64 Se 15 § lagen om omställningsstudiestöd. 65 Se 10 och 11 §§ lagen om omställningsstudiestöd och 1 kap.4, 5 och 6 §§studiestödslagen. 66 Se 8 § lagen om omställningsstudiestöd. 67 Jfr 16–20 §§ lagen om omställningsstudiestöd.
TUFF-ersättning
TUFF är en teckenspråksutbildning för föräldrar, eller någon som likställs med förälder, som är beroende av teckenspråk för att kunna kommunicera med sitt barn. Om en förälder ska gå en sådan utbildning kan denne få s.k. TUFF-ersättning.68 Ersättning lämnas för varje timme under vilken deltagaren förlorar arbetsinkomst på grund av deltagande i utbildningen och resor till eller från den plats där utbildningen äger rum.69
Andra stöd än studiestöd
För närvarande hanterar CSN två olika stöd som inte är studiestöd. Hemutrustningslån är ett lån som kunde sökas av utländska medborgare, främst flyktningar, och var avsett för inköp av köksutrustning och möbler. Möjligheten att ansöka om detta lån upphörde den 1 januari 2022, men CSN hanterar fortsatt återbetalningen.70 Fordran för detta lån uppgick vid utgången av 2023 till cirka 760 miljoner kronor och antalet lån var 34 300.71
Körkortslån är ett lån som vissa enskilda kunde söka för att finansiera körkortsutbildning för B-körkort. Möjligheten att ansöka om lånet upphörde den 1 januari 2024. 72 Under 2023 betalade CSN ut 30 miljoner kronor i körkortslån. Den totala fordran uppgick vid utgången av samma år till cirka 170 miljoner kronor fördelat på 18 216 låntagare varav 10 682 var återbetalningsskyldiga.73
4.2.4. Säkerställa att återkrav betalas och lån betalas tillbaka
Återbetalning av lån
CSN ansvarar för att besluta om återbetalning av lån som myndigheten har beviljat.74 Återbetalning av studielån och omställningsstudielån regleras i studiestödslagens fjärde kapitel.75 Det finns för
68 Se 1 § förordningen om statsbidrag för teckenspråksutbildning för vissa föräldrar. 69 Se 16 § förordningen om statsbidrag för teckenspråksutbildning för vissa föräldrar. 70 Se SFS 2021:1260. 71 Se CSN:s årsredovisning för 2023 (ADM/2023:670), s. 63. 72 Se SFS 2023:923. 73 Se CSN:s årsredovisning för 2023 (ADM/2023:670), s. 71. 74 Se 3 § förordningen med instruktion för Centrala studiestödsnämnden. 75 För omställningsstudielån jfr 36 § lagen om omställningsstudiestöd.
närvarande fem olika lånesystem. De olika återbetalningssystemen avser återbetalningspliktiga studiemedel tagna före 1989, studielån tagna under perioden 1 januari 1989–30 juni 2001, studielån tagna under perioden 1 juli 2001–31 december 2021 och studielån tagna efter den 31 december 2021. Dessutom återstår ett mindre antal lån avseende äldre studiestöd som beviljats med stöd av Kungl. Maj:ts studiehjälpsreglemente (1964:402). Lån som har tagits för studier som påbörjats efter den 30 juni 2001 är s.k. annuitetslån.76 De olika lånetyperna är en följd av att reglerna för återbetalning har ändrats genom åren.77 När det gäller de äldsta lånen är samtliga låntagare återbetalningsskyldiga. Återbetalning av annuitetslån börjar tidigast sex månader efter det att en låntagare senast hade studiestöd i form av lån eller bidrag.78 Återbetalningstiden för annuitetslån är 25 år. Den tiden kan dock bli kortare om lånet inte är så stort eller om låntagaren är äldre.79
Under 2023 hade omkring 1,8 miljoner låntagare sammanlagda studieskulder till CSN om 275,5 miljarder kronor. Inbetalningarna till CSN avseende dessa lån uppgick under det året till 14,8 miljarder kronor.
Återbetalning av körkortslån och hemutrustningslån regleras i respektive förordning för dessa lån.80 Hemutrustningslån ska börja betalas tillbaka när det gått två år från dagen för den första utbetalningen. Lånet betalas tillbaka genom en amorteringsplan som är mellan ett och fem år beroende på skuldens storlek. CSN uppskattar att återbetalning av denna typ av lån kommer att vara aktuellt under minst 30 år till. Återbetalning av körkortslån börjar tidigast sex månader efter beslutet om att bevilja körkortslån har slutat gälla. Körkortslånet betalas tillbaka med 300 kronor per månad. CSN bedömer att det kommer ta många år innan samtliga lån är slutbetalda.
76 Det finns två olika annuitetslån: lån utbetalda mellan 1 juli 2001 och 31 december 2021 och lån utbetalda från 1 januari 2022. 77 Se CSN:s årsredovisning för 2023 (ADM/2023:670), s. 50 och Budgetpropositionen för 2024, prop. 2023/24:1, utgiftsområde 15, studiestöd, s. 8. 78 Se 4 kap. 3 § studiestödslagen. 79 Se 4 kap. 4 § studiestödslagen. 80 Se 8 § förordningen om hemutrustningslån och 20–30 §§ förordningen om körkortslån.
Återkrav
Återkrav innebär att den enskilde måste betala tillbaka stöd som hon eller han har fått utbetalt från CSN men inte haft rätt till. CSN ansvarar för att besluta om återkrav enligt reglerna i studiestödslagens femte kapitel och motsvarande bestämmelser i lagen om studiestartsstöd och lagen om omställningsstudiestöd. Återkravet kan avse både utbetalt bidrag respektive lån och ska förenas med ränta och administrativa avgifter.81 Ett beslut om återkrav beror vanligtvis på att den studerande oavsiktligt eller avsiktligt inte följt villkoren för att få stödet, t.ex. avbrutit sina studier eller haft ogiltig frånvaro och inte informerat CSN om de ändrade förhållanden som påverkar personens rätt till stöd. Vi redogör närmare för olika orsaker till felaktiga utbetalningar i avsnitt 4.2.6. Ett felaktigt utbetalt belopp kan under vissa förutsättningar också räknas av mot kommande utbetalningar.82 Det finns ingen möjlighet att återkräva felaktigt utbetalda hemutrusningslån eller körkortslån. Den 31 december 2023 hade omkring 56 000 personer utestående skulder på grund av återkrav som sammanlagt uppgick till 1,1 miljarder kronor.
Indrivningsåtgärder, nedsättning och eftergift
Förutom att besluta om återbetalning av lån och återkrav ansvarar CSN för att driva in statens fordran som dessa beslut resulterar i. Preskriptionstiden för lån och återkrav är 25 år83 vilket innebär att CSN:s arbete med att driva in en fordran kan pågå under lång tid. I detta arbete har myndigheten vissa befogenheter att vidta åtgärder. Myndigheten kan t.ex. säga upp lån till omedelbar betalning.84 Andra åtgärder som CSN kan vidta för att driva in lån och återkrav är påminnelser, inkassokrav och domstolsprocesser. Eftersom låntagare kan vara bosatta utomlands kan CSN behöva vidta åtgärder i andra länder.85 CSN har också möjlighet att besluta om nedsättning av årsbelopp, eftergift av återkrav och avskrivning av lån eller återkrav.86
81 Jfr 5 kap. 1 och 2 §§ samt se 5 kap.4 och 5 §§studiestödslagen. 82 Se 40 § lagen om omställningsstudiestöd och 34 § lagen om studiestartsstöd. 83 Se 6 kap. 12 § studiestödslagen och punkt 21 i övergångsbestämmelserna till samma lag. 84 Se 4 kap.27 och 27 a §§studiestödslagen. 85 Se CSN:s årsredovisning för 2023 (ADM/2023:670), s. 54 och 55. 86 Jfr 4 kap.13 och 17 §§ samt 5 kap.1 och 6 §§studiestödslagen.
För de låntagare som har flera olika lån kan CSN även besluta om olika former av ändring av betalningsvillkoren.87
4.2.5. Information, analyser och statistik
CSN har till uppgift att informera om och ta fram kunskap om studiestödet och de studerandes sociala och ekonomiska situation samt ta fram statistik på studiestödsområdet. Detta gör myndigheten genom att genomföra analyser om studiestödet och dess effekter samt ta fram officiell statistik. Resultaten publiceras i form av information på myndighetens webbplats eller i myndighetens statistikdatabas samt genom rapporter och artiklar.88 Officiell statistik tas fram i CSN:s särskilda statistikverksamhet som är avgränsad från annan verksamhet. När CSN tar fram sådan statistik gäller lagen (2001:99) om den officiella statistiken vilken också reglerar personuppgiftsbehandling i sådan verksamhet.
4.2.6. Motverka bidragsbrott och säkerställa att felaktiga utbetalningar inte görs
Allmänt om felaktiga utbetalningar och bidragsbrott
CSN har till uppgift att säkerställa att felaktiga utbetalningar inte görs och att motverka bidragsbrott.89 Alla utbetalningar av de stöd som myndigheten administrerar som görs trots att villkoren att ta del av stödet inte är uppfyllda utgör felaktiga utbetalningar. I kapitel 5 går vi närmare in på omfattningen av felaktiga utbetalningar från välfärdssystemen.
87 Se punkt 2 i övergångsbestämmelserna till lagen (1988:877) om ändring i studiestödslagen (1973:349), punkt 9 och 10 i övergångsbestämmelserna till studiestödslagen (1999:1395) och punkt 5 i övergångsbestämmelserna till lagen (2021:475) om ändring i studiestödslagen (1999:1395). 88 CSN:s årsredovisning för 2023 (ADM/2023:670), s. 86. 89 Se 4 § förordningen med instruktion för Centrala studiestödsnämnden.
Organisation styrning och stöd
CSN har förtydligat ansvaret för att motverka felaktiga utbetalningar och förhindra bidragsbrott i myndighetens arbetsordning. Ansvaret ligger i dag inom CSN:s två stora produktionsavdelningar, dvs. utbetalningsavdelningen och inbetalningsavdelningen, se organisationskarta i avsnitt 4.2.2, figur 4.1. Båda dessa avdelningar har ett uppdrag att motverka felaktiga utbetalningar och förhindra bidragsbrott inom de processer avdelningen ansvar för. Utbetalningsavdelningen ansvarar även för att utreda underrättelser som lämnas med stöd av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen och för att utreda underrättelser från Utbetalningsmyndigheten om misstänkta felaktiga utbetalningar som den myndigheten har identifierat. Anmälningar om misstänkta bidragsbrott hanteras av en särskild bidragsbrottsfunktion vid utbetalningsavdelningen. Funktionens uppdrag omfattar även att utbilda och informera medarbetare om bidragsbrott och återföra kunskap om risker för felaktiga utbetalningar och brott till verksamheten.
CSN:s chefsansvar gäller för alla linjechefer och stabschefen. Cheferna ska bl.a. ansvara för att verksamheten bedrivs rättssäkert och med hög kvalitet och att uppdraget genomförs med största möjliga effektivitet. Cheferna har också ansvar för riskhantering och intern styrning och kontroll inom sin organisatoriska enhet. Staben för utveckling och kommunikation ansvarar för samordning av planering och uppföljning på en strategisk nivå. Det samordnande ansvaret av CSN:s arbete med intern styrning och kontroll ligger således på Staben för utveckling och kommunikation. En annan stödavdelning, ekonomiavdelningen, ansvarar för utbetalningar samt säkerheten i utbetalningar, vilket den fortsatt kommer att göra när Utbetalningsmyndigheten tar över utbetalningarna 2027.
Åtgärder för att hitta felaktigheter samt förebygga och förhindra felaktiga utbetalningar
Information till studerande
Information till de studerande är en väsentlig del av att förebygga och förhindra felaktiga utbetalningar. Under de senaste åren har CSN arbetat med ett särskilt projekt med syfte att minska felaktiga utbetal-
ningar. I detta har det bl.a. ingått att se över informationen på myndighetens webbplats för att få studerande att i högre grad själva komma ihåg att anmäla ändringar i studier och inkomst. En annan viktig del i arbetet är riktade utskick till studerande som riskerar att få återkrav om de inte anmäler ändrade förhållanden. I det arbetet har en modell utvecklats för att med hjälp av dataanalys söka ut ärenden med förhöjd risk för felaktiga utbetalningar, se mer om dataanalyser och urval i avsnitt 4.2.7.
Målsättningen med insatserna är att studerande i högre grad än i dag ska anmäla till CSN om de avbryter sina studier, går ner i studietakt eller får en inkomst som överstiger fribeloppet. En utgångpunkt i arbetet är att kommunikationsinsatser ska skapa beteendeförändringar hos målgruppen studerande för att minska de felaktiga utbetalningarna.
Samverkan med andra aktörer
En annan del av arbetet är samverkan med andra myndigheter för att förstärka CSN:s förmåga att säkerställa korrekta utbetalningar och motverka bidragsbrott. Ett exempel på ett sådant samarbete är initiativet Motståndskraft hos utbetalande och rättsvårdande myndigheter, mot missbruk och brott i välfärdssystemen (MUR), där CSN är en av 25 myndigheter som deltar. Myndigheten deltar också i den samverkan som sker under ledning av Ekonomistyrningsverket (ESV), med syfte att stärka arbetet med att säkerställa korrekta utbetalningar från välfärdssystemen. CSN är också en nätverksmyndighet i regeringens satsning mot organiserad brottslighet. Samverkan sker även med Utbetalningsmyndigheten och Polismyndigheten.90 Utöver samverkan med andra myndigheter arbetar CSN med läroanstalterna för att skolornas rapportering av studier och studieresultat ska bli rätt.
90 CSN:s årsredovisning för 2023 (ADM/2023:670), s. 77 och 79.
Informationsutbyte
En annan central del av CSN:s arbete med att säkerställa korrekta beslut och utbetalningar är att hämta in uppgifter från andra källor än den enskilde.91 CSN har omfattande möjligheter att hämta in uppgifter från andra myndigheter och aktörer, se avsnitt 4.4.2 (det finns dock begränsningar i nuvarande studiestödsdatalag (2009:287), se avsnitt 9.3.4). Informationsinhämtningen kan användas på många olika sätt för att båda förebygga och upptäcka felaktigheter, inte minst för att göra kontroller, se nedan. Ett exempel på hur CSN planerar att använda uppgifter från andra aktörer på ett förebyggande sätt är att myndigheten sedan 2021 arbetar med att utveckla interaktiva ansökningsprocesser. Detta innebär att myndigheten genom att presentera uppgifter från tillförlitliga källor redan i ansökningsprocessen ska underlätta för den sökande att lämna riktiga uppgifter och minskar risken för att hon eller han lämnar felaktiga uppgifter eller utelämnar uppgifter. Vi beskriver utvecklandet av de interaktiva ansökningsprocesserna närmare i kapitel 14.
Kontroller
CSN arbetar med olika former av kontroller. Kontrollåtgärder kan leda tanken till kontroller som sker i efterhand för att ta reda på om ett visst utfall har blivit korrekt eller inte. I likhet med bedömningar som tidigare lagstiftningsutredningar har gjort, där frågor om myndigheters kontroller varit aktuella, anser vi att kontroll ska ges en vid definition i detta sammanhang. Kontroll bör ses som en aspekt av CSN:s arbete i stödverksamheten och genom hela ärendehanteringen. Det avser alltså åtgärder som myndigheten vidtar från det att information lämnas till enskilda, genom hela beslutsprocessen, fram till dess att eventuella efterhandskontroller sker. Med andra ord avses kontroller som sker före, under eller efter handläggnings- eller beslutsprocessen.92 På så sätt anser vi att kontroller kan ha till syfte att förebygga, förhindra och upptäcka felaktigheter. När vi i betänk-
91 Jfr prop. 2023/24:85, En ny lag om uppgiftsskyldighet för att motverka felaktiga utbetalningar
från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet, s. 74 och 75.
92 Se SOU 2014:16, Det ska vara lätt att göra rätt – Åtgärder mot felaktiga utbetalningar inom
den arbetsmarknadspolitiska verksamheten, s. 71–74 och SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 109–110 och SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 1014.
andet använder begreppet kontroll är det alltså denna breda definition som avses.
CSN utför ett stort antal kontroller enligt myndighetens kontrollplan. I planen beskrivs kontrollerna, vilka risker de baseras på, när och hur de ska utföras och omfattningen av kontrollerna. Kontrollerna avser studerandes uppgifter i samband med ansökan om studiestöd, under studietiden och i efterhand. Myndigheten gör kontroller utifrån uppgifter från de studerande, från läroanstalter i Sverige och utlandet samt från andra myndigheter och aktörer. För uppgifter från svenska samarbetspartners är informationsutbytet ofta automatiserat och inbyggt i handläggningssystemen. När en studerande t.ex. har ansökt om studiemedel kontrolleras uppgifterna i ansökan och före utbetalning gör CSN kontroller för att säkerställa att stödet används för avsett ändamål. Som vi nämner ovan arbetar CSN även med utveckling av interaktiva och enklare ansökningsprocesser. Ett syfte med detta är att uppgifter som den enskilde lämnar ska kunna kontrolleras mot andra myndigheter och aktörer direkt i ansökningsprocessen. En del kontroller sker också direkt av handläggare i den ordinarie handläggningen, framför allt vid studier utomlands då CSN inte har maskinellt informationsutbyte med skolorna där.
Sedan 2016 arbetar CSN även med riskbaserade kontroller genom dataanalyser och urval, vilka i dagsläget kompletterar de etablerade kontrollmetoderna. Planen är dock att dessa typer av kontroller ska kunna utvidgas. Vi beskriver dataanalyser och urval samt hur CSN arbetar med verktygen i dag i avsnitt 4.2.7.
Av relevans för kontrollåtgärder är vissa generella föreskrifter i myndighetsförordningen. Enligt 3 § i den förordningen ansvarar en myndighets ledning inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i EU, att den redovisas på ett tillförlitligt sätt samt att myndigheten hushållar med statens medel. Av 6 § första stycket följer att myndigheter fortlöpande ska utveckla verksamheten.
Vidare ska myndigheter enligt 23 § FL se till att ett ärende blir utrett i den omfattningen som dess beskaffenhet kräver. Bestämmelsen innebär bl.a. att kraven på omfattningen av myndighetens utredningsåtgärder kan variera med hänsyn till ärendets karaktär. En myndighet kan t.ex. i praktiken inte vara lika aktiv om ärendet avser en enskilds begäran om att få en förmån från det allmänna,
som i ett ärende som avser myndighetens ingripande mot någon enskild.93 Enligt 9 § första stycket FL ska ett ärende handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts.
Uppföljning
CSN:s övergripande uppföljning av arbetet med att säkerställa att felaktiga utbetalningar inte görs och att motverka bidragsbrott sker i årsredovisningen där myndigheten också gör en bedömning av resultatet. Uppföljningen i de senaste årsredovisningarna har gjorts utifrån målet i myndighetens regleringsbrev att andelen felaktiga utbetalningar från de stöd som myndigheten hanterar ska minska, samt tillhörande återrapporteringskrav.94 Utöver detta gör myndigheten månadsvisa uppföljningar av antalet polisanmälningar. Utbetalningsavdelningen har en avdelningsplan som beskriver hur avdelningen bidrar till myndighetens långsiktiga riktning och hur den ska fullgöra uppdraget gällande bl.a. att säkerställa korrekta utbetalningar. Avdelningsplanen följs upp kvartalsvis genom dialoger kring genomförda insatser och effekter.
Myndigheten gör i enlighet med förordningen om intern styrning och kontroll riskanalyser med syfte att identifiera omständigheter som utgör en väsentlig risk för att myndigheten inte ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål eller uppfylla kraven enligt myndighetsförordningen.95 Enligt förordningen (2021:663) om arbetet med att säkerställa korrekta utbetalningar från välfärdssystemen ska CSN också återkommande studera omfattningen av felaktiga utbetalningar, s.k. omfattningsstudier. Inom ramen för dessa studier ska myndigheten studera omfattningen av felaktiga utbetalningar av enskilda ersättningar i enlighet med vad regeringen närmare beslutar och analysera riskerna för felaktiga utbetalningar av enskilda ersättningar.
Omfattningsstudierna och riskanalyserna ligger bl.a. till grund för insatser eller aktiviteter för att säkra korrekta utbetalningar. De senaste analyserna och studierna genomfördes under 2021 och 2022
93 Se prop. 2016/17:180, En modern och rättssäker förvaltning – ny förvaltningslag, s. 308. 94 Se regleringsbrev för budgetåret 2024 avseende Centrala studiestödsnämnden, dnr U2023/03644 och U2023/03656. 95 Se 3 § förordningen om intern styrning och kontroll.
under ESV:s ledning. CSN genomförde då analyser och studier avseende felaktiga utbetalningar inom studiemedel för studier i Sverige, studiemedel för studier utomlands och studiehjälp. Vi redogör närmare för resultaten av dessa studier i avsnitt 5.3. Risker för felaktiga utbetalningar innefattar risker för bidragsbrott och annan ekonomisk brottslighet, även om detta inte är i fokus för dessa analyser.96
Åtgärder när en felaktig utbetalning upptäcks
Som vi nämner i avsnitt 4.2.4 kan en felaktig utbetalning av studiestöd leda till ett beslut om återkrav. Felaktigt utbetalat studiemedel eller studiestartsstöd kan under vissa förutsättningar också räknas av mot kommande utbetalningar. Då regleras skulden genom att kommande utbetalningar blir mindre. De vanligaste orsakerna till återkrav och avräkning av studiemedel var under 2023 att den studerandes inkomst var för hög, att studierna avbröts eller att studietakten ändrades.97 För andra stöd än studiemedel kan andra grunder för återkrav och avräkning förekomma. Inom studiehjälpen är t.ex. ogiltig frånvaro en vanlig orsak till återkrav.
Om en person som mottagit en felaktig utbetalning bedöms ha varit i god tro när utbetalningen skedde, får personen behålla utbetalningen. I de fallen har den felaktiga utbetalningen uppstått utan att vare sig stödmottagaren eller CSN gjort något fel, och utan att stödtagaren vid utbetalningstillfället haft anledning att misstänka att utbetalningen var felaktig. De beviljade studiestödsveckorna och beloppen betraktas då som förbrukade och eventuella lån ska betalas tillbaka inom ramen för den ordinarie återbetalningen. CSN kan dock i vissa situationer säga upp hela lånet till omedelbar betalning. Det handlar då om att låntagaren trots påminnelser och krav inte sköter sin ordinarie återbetalning.98 Om en person själv har orsakat en felaktig utbetalning eller fara för felaktig utbetalning genom att lämna en oriktig uppgift eller inte meddela ändringar till CSN kan
96 Jfr t.ex. Ekonomistyrningsverkets (ESV) rapport, Omfattningen av felaktiga utbetalningar från
välfärdssystemen, förslag på ersättningar som ska studeras, ESV 2024:45, s. 8 och 1 § förord-
ningen (2021:663) om arbetet med att säkerställa korrekta utbetalningar från välfärdssystemen. 97 CSN:s årsredovisning för 2023 (ADM/2023:670), s. 77. 98 Se 4 kap. 27 a § studiestödslagen.
det utgöra ett bidragsbrott. För att handlingen ska vara brottslig krävs att den har skett med uppsåt eller av grov oaktsamhet.99
Myndighetens hantering av felaktiga utbetalningar innebär att återkrav beslutas relativt snabbt efter det att en impuls om en felaktig utbetalning har inkommit. Får CSN t.ex. uppgift från en skola om att studier har avbrutits kan CSN samma dag fatta ett interimistiskt beslut om att tillfälligt stoppa vidare utbetalningar.100
Kombinationen att studiemedel betalas ut i förskott och att alla misstänkta bidragsbrott som upptäcks också ska anmälas till Polismyndigheten gör att CSN får ett stort antal kontrollärenden. Vid vissa efterkontroller är det ett urval av handläggare som jobbar med dem. Kontrollåtgärder är därmed integrerade inom samma verksamhetsområde som själva handläggningen. Handläggaren gör efter återkrav en första preliminär bedömning av om brott kan misstänkas och skickar sedan ärendet till bidragsbrottsfunktionen, som gör ytterligare en preliminär bedömning och därefter upprättar en polisanmälan.
Innan CSN gör en anmälan till polisen utreds alltså om ärendet kan vara ett misstänkt bidragsbrott eller inte. De objektiva förutsättningarna för brott utreds, det vill säga om det kan vara en oriktig uppgift som lämnats eller en skyldighet att anmäla ändrade förhållanden som underlåtits. Vidare utreds om en felaktig utbetalning eller fara för en sådan skulle kunna ha skett har orsakats av den oriktiga uppgiften eller underlåtenheten att anmäla ändrade förhållanden och om det gjorts en frivillig rättelse eller inte.
4.2.7. Särskilt om dataanalyser och urval som verktyg för kontroll
Övergripande om begreppen och användningen
Dataanalyser och urval har ingen legal definition. Liksom flera tidigare lagstiftningsutredningar använder vi begreppen på följande sätt: dataanalyser avser användandet av digitala verktyg och tekniker för att analysera stora mängder data som t.ex. kan användas för att upptäcka avvikelser, mönster, samband och andra riskindikatorer. Urval avser processen genom vilken urvalsträffar tas fram. För att få fram
99 Se 2 och 4 §§bidragsbrottslagen (2007:612). 100 Se 6 kap. 3 a § studiestödslagen.
en urvalsträff används urvalsmodeller som har utformats utifrån avvikelser, mönster, samband och andra indikationer som har identifierats med hjälp av dataanalyser. Med andra ord kan urvalsmodeller tillämpas på data som tillgängliggjorts för ett visst ändamål för att upptäcka t.ex. uppgifter som det kan finnas anledning att anta är felaktiga, dvs. urvalsträffar. Sedan granskas och utvärderas urvalsträffarna för att avgöra vilka som bör kontrolleras närmare samt vilka övriga åtgärder som bör vidtas innan ett eventuellt ärende inleds.101
Dagens tekniska verktyg ger myndigheter en möjlighet att använda dataanalyser på ett mer effektivt och ändamålsenligt sätt än vad som var möjligt i slutet av 00-talet då CSN:s gällande registerförfattningar trädde i kraft. Vid myndigheter är det ofta dataanalytiker som arbetar med att genomföra dataanalyser och utveckla urvalsmodeller som sedan kan användas i en verksamhet. Dataanalytiker kan arbeta med olika metoder som inbegriper artificiell intelligens (AI), men så behöver inte nödvändigtvis vara fallet då det finns en mängd olika metoder.
Dataanalyser och urval har väldigt många användningsområden och kan användas för en mängd olika syften i en myndighets verksamhet. Vårt huvudsakliga uppdrag är enligt våra direktiv att se över möjligheterna för CSN att använda verktygen för att förebygga, förhindra och upptäcka felaktiga utbetalningar, dvs. för kontroll enligt den vida definition vi beskriver i avsnitt 4.2.6. Detta avsnitt fokuserar därför på att beskriva dataanalyser och urval för det användningsområdet. Det kan alltså finnas andra användningsområden för de metoder vi beskriver i det följande, men dessa metoder är de som vi uppfattar som de vanligaste att använda för kontrollsyften. Vi redogör närmare för andra användningsområden och hur dessa förhåller sig till våra förslag i avsnitt 9.4.2.
Olika analysmetoder
Det finns ett stort antal analysmetoder som kan användas för att analysera data. Det är varken möjligt eller vår avsikt att här uttömmande redogöra för alla analysmetoder, utan vi exemplifierar med
101 Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 110 och SOU 2023:100, Framtidens dataskydd vid Skatteverket Tullverket och Kronofogden, s. 1034 och 1035.
några metoder som är vanliga för myndigheters användning i kontrollsyften.
Deskriptiva analyser använder data för att beskriva något som redan
har skett.102 Sådana analyser kan användas för att upptäcka avvikelser. Ett förenklat exempel på en deskriptiv analys är att alla utbetalningar som är på stora belopp analyseras. Deskriptiva analyser av avvikelser kan också användas för att upptäcka nya eller mer ovanliga typer av bedrägerier. 103
Prediktiva analyser använder data och algoritmer för att förutse
vad som sannolikt kommer att hända eller bedöma sannolikheten för att något (okänt) har inträffat, ofta genom användning av maskininlärning (en form av AI, se vidare nedan).104 Sådana analyser kan användas för att se mönster och samband som sedan kan ligga till grund för urvalsmodeller. Analyserna använder historiska data och utgår på så sätt från tidigare konstaterade fel. Utifrån tidigare fall kan prediktiva analyser upptäcka mönster eller andra typer av indikatorer som kan indikera vad som kan vara en korrekt respektive en felaktig utbetalning. Prediktiva analyser kan också användas för att uppskatta omfattningen av fel och bedrägerier.105
Nätverksanalyser utgår från samband, t.ex. mellan bolagsföreträd-
are, telefonnummer, familjeförhållanden, adresser, tidpunkter, fastigheter, fordon m.m. Sådana analyser kan vara effektiva för att upptäcka organiserade upplägg för att missbruka systemen. Nätverksanalyser kan ge hög precision och bidra till att fel upptäcks tidigt.106
AI och maskininlärning
Allmänt om AI och maskininlärning
För att genomföra dataanalyser och utveckla urvalsmodeller kan en myndighet använda sig av AI. Det är sannolikt att sådana tekniker kommer att – ju mer de utvecklas – användas alltmer i olika verksam-
102 OECD (2019), A data-driven public sector – Enabling the strategic use of data for a productive,
inclusive and trustworthy governance, s. 13.
103SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp-
täcka felaktiga utbetalningar från välfärdssystemen, s. 217.
104 OECD (2019), A data-driven public sector – Enabling the strategic use of data for a productive,
inclusive and trustworthy governance, s. 13.
105SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp-
täcka felaktiga utbetalningar från välfärdssystemen, s. 217.
106SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp-
täcka felaktiga utbetalningar från välfärdssystemen, s. 217.
heter som myndigheter bedriver. AI-teknik är under snabb utveckling och den kan användas på en mängd olika sätt inom olika delar av samhället. Genom AI-tekniken kan stora effektivitetsvinster uppnås. Myndigheten för digital förvaltning har uppskattat att det ekonomiska värdet av ett fullständigt införande av nuvarande AI-teknik i svensk offentlig förvaltning skulle uppgå till cirka 140 miljarder kronor. Nyttan beräknas i form av högre produktivitet, ökade intäkter och minskade utbetalningar. Utöver detta bedömer myndigheten att det kan finnas indirekta ekonomiska värden i form av bl.a. ökad rättvisa.107 Samtidigt kan AI också ge upphov till olika risker, vilka vi redogör för längre fram i detta avsnitt. Dessa risker är också en anledning till att vi beskriver just denna teknik särskilt i detta sammanhang.
EU:s nya AI-förordning108 kommer i olika delar att träda i kraft vid olika tidpunkter under de närmsta åren. Regeringen har nyligen tillsatt en utredning för att se över behovet av nationella anpassningar till följd av förordningen.109 Syftet med förordningen är bl.a. att harmonisera regler om AI inom EU och den kommer påverka myndigheters användning av sådan teknik när den träder i kraft. I förordningen definieras AI-system som ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi, som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, på grundval av de indata det tar emot, drar slutsatser om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras.110
Det som utmärker AI från andra metoder för automation är AIteknikens förmåga att lära sig och bli smartare över tid.111 Inom AI finns flera olika delområden. Hit hör bl.a. maskininlärning, där logiken inte längre är exakt programmerad på förhand, utan tränas på stora datamängder med syfte att systemet självt ska förstå sam-
107 Myndigheten för digital förvaltning, Främja den offentliga förvaltningens förmåga att använda
AI, delrapport i regeringsuppdraget I2019/01416/DF och I2019/01020/DF (delvis), s. 9.
108 Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens). 109 Se dir. 2024:83, Trygg och tillförlitlig användning av AI. 110 Se artikel 3 (1) i EU:s AI-förordning. 111 Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell
intelligens, s. 4. Informationsmaterial, N2018.14.
band mellan datapunkter. Ju mer processorkraften ökar, desto mer komplexa tillämpningar kan göras med AI.112
Ett moment som tillkommer med maskinlärda urvalsmodeller är att dessa behöver tränas innan de tas i drift. Det finns inget motsvarande moment vid programmering av traditionella algoritmer. När AI-modeller tränas används olika former av s.k. träningsdata, inte sällan bestående av personuppgifter. Träningen av modellen kan ske genom olika träningsmetoder och den färdigtränade AImodellen kan sedan användas för att utföra en uppgift.
Generellt sett gäller att ju mer träningsdata som en AI-modell förses med, desto bättre blir den. Kvaliteten på data, och hur den lärs in i modellen, kan dock vara minst lika viktigt för resultatet. Vid träning av en modell är det viktigt att aktuella data är representativa för den uppgift som modellen ska kunna utföra. Mängden representativ data som används vid träningen av en modell kan i sig vara en nödvändig faktor för att kunna garantera rättssäkra förfaranden. Om sådan data inte används ökar risken för fel och rättsosäkerhet eftersom dataunderlaget varit bristfälligt under AI-systemets ”upplärningsprocess”.113 En annan potentiell felkälla är om den data som används vid utvecklandet och användningen av AI inte håller tillräckligt hög kvalitet, t.ex. på grund av felaktigheter i registreringar, systematiska (medvetna eller omedvetna) fel i insamlandet, val av källor eller märkning av data. Risker kan då uppstå i form av felaktiga eller på annat sätt oönskade resultat.114
Resultatet av träningen blir en urvalsmodell som kan förses med data för att utföra en uppgift. Modellen lagrar oftast inte träningsdata, utan består av en representation av de data som har använts under träningen. Det kan i vissa fall vara möjligt att återskapa data som har använts under träningen.115
112SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 149. 113 Se SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 212 och Datatilsynet,
Artificial intelligence and privacy, Report, januari 2018, s. 11.
114 Se Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell
intelligens, s. 10. Informationsmaterial, N2018.14.
115 Se Träning av AI – data metoder och resultat, IMY, https://www.imy.se/verksamhet/dataskydd/innovationsportalen/vagledning-om-gdpr-ochai/teknisk-beskrivning-av-ai/traning-av-ai/ (senast besökt 2024-12-10).
Risker i förhållande till dataskyddsregleringen
Om de datamängder som är nödvändiga för att träna en AI-modell innehåller personuppgifter behöver det finnas förutsättningar för datainsamlingen och behandlingen enligt dataskyddsregleringen redan på stadiet då AI-modellen tränas.116 Även om AI kan bidra till effektivitetsvinster i den offentliga förvaltningen, t.ex. genom förkortade handläggningstider och större möjligheter att rikta kontroller mot de ärenden där riskerna för fel och brott är som störst, kan det finnas vissa oönskade eller oförutsedda konsekvenser av att använda AI som följd av vinklade eller manipulerade data, bristande transparens, missbruk eller fientlig användning. Det kan leda till diskriminering, minskad tillit, ekonomisk skada och påverkan på demokratins funktionssätt.117 Vid utveckling och användning av AI uppkommer vidare särskilda utmaningar i förhållande till den generella dataskyddsregleringen eftersom en grundläggande förutsättning är tillgången till och användningen av data. Personuppgifter bör dessutom endast behandlas om syftet med behandlingen inte kan uppnås med andra medel.118
Begreppet personuppgift är brett definierat i EU:s dataskyddsförordning. Detta innebär att förordningen i de flesta fall kommer att vara tillämplig då en myndighet samlar in och delar data för att göra dataanalyser och urval, t.ex. genom maskininlärning.119 En risk som brukar nämnas i samband med vissa former av maskininlärning är bristande förklarbarhet, eller ”the black box”; svarta lådan. Det innebär att det inte alltid går att säga hur en modell har kommit fram till ett visst resultat.120 Detta kan sättas i relation till EU:s dataskyddsförordnings krav på öppenhet i artikel 5.1 a.
Resultatet som kommer ur en modell baserad på maskininlärning kan vidare vara felaktigt och diskriminerande om den data som har använts för att träna modellen återger en partisk bild av verkliga förhållanden eller om den inte är relevant för det resultat som ska åstadkommas. Användningen av sådana personuppgifter kan därför
116SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 212 och 213. 117 Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelli-
gens, s. 4. Informationsmaterial, N2018.14.
118 Jfr skäl 39 till EU:s dataskyddsförordning. 119 Jfr Westman, D., Dataskyddet som hinder mot maskininlärning och samhällsnyttig analys?, Lov och data, nr 150, september 2022, nr 3/2022, s. 2. 120 Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 12.
stå i strid med principen om korrekthet som framgår av artikel 5.1 a i EU:s dataskyddsförordning.121
För att minska behovet av att använda och dela personuppgifter på ett sätt som är problematiskt enligt EU:s dataskyddsförordning kan syntetiska data användas.122 Ett problem som då kan uppstå vid myndigheters tillämpning av maskininlärda urvalsmodeller är risker för fel och rättsosäkerhet om träningsdatan inte motsvarar just den typ av data som sedan ska användas i skarpa fall.
Särskilt om risker för profilering
Profilering definieras i EU:s dataskyddsförordning som varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.123 Profilering är inte otillåtet enligt EU:s dataskyddsförordning, men vissa krav ställs upp vid automatiserat individuellt beslutsfattande som inbegriper profilering.124 Den registrerade har rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för henne eller honom eller på liknande sätt i betydande grad påverkar henne eller honom.125 Ett beslut är automatiserat om det enbart grundas på automatiserad behandling som inbegriper profilering, dvs. bedömning av personliga egenskaper. Är det en eller flera människor som fattat själva beslutet, är det inte automatiserat även om människorna har utnyttjat automatiserad behandling, som inbegriper profilering, för att komma fram till beslutet.126
121 Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 16. 122 Westman, D., Dataskyddet som hinder mot maskininlärning och samhällsnyttig analys?, Lov och data, nr 150, september 2022, nr 3/2022, s. 3. 123 Se artikel 4.4 i EU:s dataskyddsförordning. 124 Se artikel 22 i EU:s dataskyddsförordning. 125 Se artikel 22.1 i EU:s dataskyddsförordning. 126 Öman, S., Dataskyddsförordningen (GDPR) m.m., (1 juli 2022, JUNO), kommentaren till artikel 22.
Särskilt om risker för diskriminering
Vid användning av t.ex. maskinlärda modeller kan det finnas en risk för diskriminerande resultat om inte för tillämpningen representativa data används. Det är därför av stor vikt att de urvalsmodeller som en myndighet tar fram utvärderas och granskas kontinuerligt. Det allmänna har ett ansvar för att motverka diskriminering av människor på grund av kön, hudfärg, funktionshinder, sexuell läggning, ålder eller andra omständigheter som gäller den enskilde som person.127Möjligheten att göra sammanställningar av uppgifter begränsas alltså av diskrimineringslagstiftningen.128 Myndigheter måste se till att upprätthålla kravet på likabehandling även vid dataanalyser och urval. Diskrimineringsgrunderna bör därför undvikas som grund för urval om det inte tydligt motiveras.129
Dataanalyser och urval som verktyg för kontroll är faktiskt handlande
Förvaltningslagen skiljer på myndigheters verksamhet som innefattar ärendehandläggning och annan förvaltningsverksamhet.130 Enligt förarbetena till förvaltningslagen är gränsen mellan vad som är ärendehandläggning och vad som är annan förvaltningsverksamhet, dvs. det som vanligtvis brukar betecknas som faktiskt handlande, i många fall förhållandevis tydlig. En principiell skillnad mellan åtgärder av det ena och det andra slaget är att handläggningen av ett ärende avslutas med ett beslut av något slag, medan ett faktiskt handlande karaktäriseras av att myndigheten i praktiken vidtar en viss faktisk åtgärd.
I vissa fall kan det vara något svårare att avgöra om en åtgärd innefattar ärendehandläggning eller enbart ett faktiskt handlande. I gränszonen märks t.ex. åtgärder som kännetecknas av att de innebär ett ingripande som tillsynes inte föregåtts av någon handläggning och där det finns ett mycket nära tidsmässigt samband mellan myndighetsföreträdarens ställningstagande att ingripa och den faktiska åtgärden. Ett exempel som illustrerar en sådan situation är polismannens
127 Se 1 kap. 2 § femte stycket RF. 128 Se även diskrimineringslagen (2008:567). 129 Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp-
täcka felaktiga utbetalningar från välfärdssystemen, s. 223.
130 Jfr 1 § förvaltningslagen (2017:900).
ingripande med våldsanvändning mot ordningsstörande verksamhet. En sådan åtgärd får vidtas bara om vissa rättsliga förutsättningar är uppfyllda och det krävs därför ett aktivt ställningstagande, dvs. ett beslut av den myndighetsperson som handlar innan åtgärden vidtas.131
En myndighets användning av dataanalyser och urval som verktyg för kontroll innebär att den vidtar en åtgärd. Denna åtgärd innebär inte i sig att myndigheten ingriper i enlighet med materiell verksamhetsreglering. Det är i stället åtgärder som myndigheten vidtar för att välja ut vilka ärenden eller subjekt som särskilt ska kontrolleras. Användningen av verktygen förutsätter att uppgifter, bl.a. om fysiska personer, behandlas. Innan personuppgifter behandlas gör myndigheten visserligen en bedömning av om uppgifterna får behandlas. Personuppgiftsbehandlingen kräver ju att vissa rättsliga förutsättningar är uppfyllda. Användningen av dataanalyser och urval – och därmed personuppgiftsbehandlingen som då kan komma att utföras – avslutas dock inte i sig med något beslut. Åtgärden måste inte heller avslutas med ett beslut. En annan sak är att utfallet av åtgärden, urvalsträffarna, kan innebära att myndigheten i nästa led initierar ett ärende. Verktygen kan därför beskrivas som att användningen av dem är ett hjälpmedel vid myndighetens handläggning av ärenden.
Mot denna bakgrund är vi av uppfattningen att när en myndighet utför dataanalyser och urval för kontrollsyften är det inte fråga om ärendehandläggning i förvaltningsrättslig mening. Det bör i stället anses utgöra det som brukar betecknas som faktiskt handlande. Det är dock inte uteslutet att dataanalyser och urval i framtiden kan användas för t.ex. automatiskt beslutsfattande, vilket skulle innebära att åtgärden bör definieras som ärendehandläggning. Vi diskuterar detta vidare i avsnitt 9.4.2.
CSN använder dataanalyser och urval i dag
Utifrån de förutsättningar som CSN för närvarande har att behandla personuppgifter har myndigheten med hjälp av maskininlärning utvecklat en urvalsmodell som tillämpas för kontrollåtgärder. Modellen tränas och används för att identifiera ärenden om studiemedel för utlandsstudier där det bedöms föreligga en förhöjd risk för felaktiga ut-
131 Se prop. 2016/17:180, En modern och rättssäker förvaltning – ny förvaltningslag, s. 23 och 24.
betalningar. Resultatet av analysen innebär att ärendet får ett granskningsvärde. Ju högre granskningsvärdet är, desto högre är risken för att det förekommer felaktiga utbetalningar i ärendet. Om värdet är tillräckligt högt kommer ärendet att granskas manuellt för att identifiera eventuella felaktiga utbetalningar. Modellen innefattar alltså inte automatiserat beslutsfattande utan utgör ett automatiserat stöd i arbetet med att identifiera och förhindra felaktiga utbetalningar.
Vid träning av urvalsmodellen använder sig CSN av ett omfattande antal historiska ärendeuppgifter, inklusive personuppgifter. Den färdigutvecklade modellen innehåller dock inga personuppgifter. Däremot behandlas personuppgifter när modellen tillämpas för att analysera respektive ärende.
CSN har även arbetat med ett pilotprojekt som innebär att en urvalsmodell tränas för att identifiera ärenden om studiemedel med förhöjd risk för återkrav på grund av att den studerande har en för hög inkomst. Enligt myndigheten är syftet med denna modell att kunna skicka riktad information till de studerande för att de själva ska vidta åtgärder för att inte bli föremål för återkrav. Myndigheten ser även att dataanalyser och urval kan få ett bredare användningsområde än för kontrollsyften i framtiden, vilket vi återkommer till i avsnitt 9.4.2.
4.2.8. Personuppgifter som behöver behandlas i olika delar av verksamheten
För att kunna utföra sina arbetsuppgifter enligt studiestödslagen och andra författningar om studiestöd och annat stöd behöver CSN behandla en mycket stor mängd personuppgifter om ett stort antal människor. Genom beskrivningen av CSN:s verksamhet i avsnitt 4.2 går det att utläsa och dra slutsatser kring vilka personuppgifter som behöver behandlas i olika sammanhang. Det är omöjligt för oss att på ett uttömmande sätt ange vilka personuppgifter som myndigheten behöver behandla, särskilt eftersom detta också kan förändras över tid. Vår avsikt är att i detta avsnitt ge en något mer centrerad överblick med exempel på vilka personuppgifter som myndigheten kan behöva behandla i olika situationer.
CSN behöver bl.a. behandla personuppgifter om personer som går gymnasial utbildning, som har sökt eller beviljats studiehjälp eller är betalningsmottagare av studiehjälp, som har antagits till
utbildning, sökt studiemedel, studiestartsstöd, omställningsstudiestöd eller någon annan form av stöd för studier, som är utländska medborgare vid prövning av principiell rätt till svenskt studiestöd eller som har studieskuld, körkortslån eller hemutrustningslån.
Många av de uppgifter som myndigheten behöver behandla för att kunna utföra sin stödverksamhet, och som är återkommande för alla typer av stöd, är av administrativ karaktär som utbetalningsdatum, uppgift för identifikation av betalningar eller beslutsdatum. Även namn och personnummer, samt adress, telefonnummer och e-postadress till den sökande är sådana personuppgifter som myndigheten behöver behandla för att utföra sin stödverksamhet. Denna typ av uppgifter innehåller vanligtvis inte något som typiskt och isolerat sett är av särskilt känslig natur för den enskilde.
I övrigt kan CSN för olika typer av stöd behöva behandla skilda typer av personuppgifter som är av olika känslig karaktär. För studiehjälp och studiestöd kan det t.ex. röra sig om information om medborgarskap, studietakt, examenstidpunkt, uppgift om en studerandes utbildningsbakgrund och tid med studiestöd från CSN samt uppgifter om närmast anhöriga. I många fall måste CSN även registrera uppgifter om enskildas ekonomiska förhållanden, t.ex. uppgifter om utbetalt studiebidrag, årsinkomst och uppgift om eventuell skuldsanering. Andra integritetskänsliga uppgifter, t.ex. om sjukperioder, försörjningsstöd, sjuk- eller aktivitetsersättning, sjukdom, funktionsnedsättning och intagning i kriminalvårdsanstalt kan också förekomma. Även uppgifter om personliga och ekonomiska förhållanden för stödtagarens föräldrar, barn och andra närstående kan behöva registreras. En anledning till det är att det finns stöd som man bara kan få om ens familjs inkomst understiger ett visst belopp.
För omställningsstudiestöd kan myndigheten också behöva behandla personuppgifter om sökandens tid i förvärvsarbete, arbetsinkomster och perioder med olika ersättningar från Försäkringskassan under de senaste 14 åren, uppgift om aktuell arbetsgivare och tillhörighet till en omställningsorganisation. Likaså kan uppgifter om personliga och ekonomiska förhållanden för stödtagarens föräldrar, barn och andra närstående förekomma. Andra integritetskänsliga uppgifter, t.ex. sjukperioder, sjukdom, funktionsnedsättning och intagning i kriminalvårdsanstalt kan också behöva registreras.
För att administrera körkortslån behöver myndigheten behandla uppgifter om t.ex. trafikskola och kostnader för vilka körkortslån har utbetalats, datum för godkänt körprov och kunskapsprov, taxerade inkomster, fastställd utländsk inkomst och tidigare utbildning. Även uppgifter om låntagarens ekonomiska situation, försörjningsstöd och uppgifter om sjukdom som låntagaren har lämnat till CSN. För att administrera hemutrustningslån kan uppgifter om medborgarskap, civilstånd, hushållets ekonomiska förhållanden och uppgifter om barn som ingår i ansökan om lån behöva behandlas.
Myndigheten behöver behandla personuppgifter om såväl vuxna som barn. Som framgår ovan kan uppgifterna vara centrerade till att röra den person som är aktuell för stöd, men kan även röra uppgifter om anhöriga till den personen. Myndigheten behöver behandla personuppgifter som kommer in från enskilda och från andra myndigheter eller aktörer. För de flesta typer av lån som CSN administrerar behöver myndigheten också behandla personuppgifter under en väldigt lång tid.
Uppgifterna som behöver behandlas för att administrera olika typer av stöd eller som myndigheten tar emot med anledning av olika uppgiftsskyldigheter, se avsnitt 4.4.2, kan också behövas för att utföra andra arbetsuppgifter som CSN ska utföra, t.ex. göra dataanalyser för att säkerställa att felaktiga utbetalningar inte görs eller motverka bidragsbrott.
4.3. Studiestödsdatalagen och studiestödsdataförordningen
4.3.1. Ikraftträdande och relevanta ändringar genom åren
I avsnitt 3.3.3 beskriver vi den generella svenska reglering som kompletterar EU:s dataskyddsförordning. CSN har egna registerförfattningar som reglerar hur myndigheten får behandla personuppgifter i studiestödsverksamheten: studiestödsdatalagen med tillhörande studiestödsdataförordning.
Majoriteten av bestämmelserna i studiestödsdatalagen trädde i kraft den 1 januari 2010. Innan dess reglerades personuppgiftsbehandling i CSN:s verksamhet inte särskilt. Vid tidpunkten för ikraftträdandet gällde 1995 års dataskyddsdirektiv och personuppgiftslagen (1998:204), vilka då utgjorde grunden för personuppgiftsbehandling i EU respek-
tive Sverige. CSN:s registerförfattningar kom till som en konsekvens av denna reglering. Studiestödsdatalagen har sedan dess ändrats vid ett flertal tillfällen, bl.a. i syfte att anpassa regleringen till EU:s dataskyddsförordning som ersatte 1995 års dataskyddsdirektiv och som innebar att personuppgiftslagen
upphävdes.132 En begränsad översyn
gjordes även efter att EU:s data
skyddsförordning trädde i kraft i syfte
att ge CSN en mer ändamålsenlig dataskyddsreglering.133 Någon övergripande översyn av de aktuella registerförfattningarna har dock inte gjorts sedan de började att gälla.
4.3.2. Tillämpningsområde m.m.
Studiestödsdatalagen är endast tillämplig på sådan behandling av personuppgifter som utförs av CSN och gäller endast om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.134 Lagen är vidare endast tillämpliga på behandling av personuppgifter som sker som ett led i myndighetens studiestödsverksamhet.135
Registerförfattningarna är inte tillämpliga när CSN behandlar personuppgifter i sin interna administration, t.ex. i personalärenden.136I fråga om myndighetens statistikverksamhet ska lagen om den officiella statistiken och anslutande författningar tillämpas i stället för studiestödsdatalagen.137
Studiestödsverksamheten är enligt regeringens bedömning en i bl.a. studiestödslagen fastställd uppgift av allmänt intresse i enlighet med artikel 6.1 e i EU:s dataskyddsförordning. Studiestödsdatalagen och studiestödsdataförordningen är sådana mer specifika bestämmelser om personuppgiftsbehandling som är tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning.138
132 Jfr prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet, s. 23. 133 Se prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksam-
heten, s. 7.
134 Se 1 § studiestödsdatalagen (2009:287). 135 Se 1 § studiestödsdatalagen. 136 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 76. 137 Se 2 a § studiestödsdatalagen. 138 Se prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet, s. 108 och 109.
Registerförfattningarna kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till registerförfattningarna. Termer och uttryck i registerförfattningarna har samma betydelse som i EU:s dataskyddsförordning.139 Det är CSN som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.140
4.3.3. Ändamål för behandlingen av personuppgifter
Studiestödsdatalagen innehåller bestämmelser om s.k. primära och sekundära ändamål. Personuppgifter får enligt de primära ändamålen behandlas i studiestödsverksamheten om det behövs för att
1. handlägga ärenden i den verksamheten,
2. administrera handläggningen,
3. förbereda handläggningen,
4. informera studiestödsberättigade om studiestödsförmåner och
studiesociala förmåner,
5. ta fram och distribuera bevis om studiestöd för studier till studer-
ande, eller
6. anmäla oegentligheter inom studiestödsverksamheten till ett
offentligt organ som har att utreda eller beivra oegentligheterna.141
Enligt de sekundära ändamålen får uppgifter som behandlas enligt de primära ändamålen även behandlas genom att lämnas ut till den registrerade själv, till riksdag och regering samt, i den utsträckning skyldighet för CSN att lämna uppgifter följer enligt lag eller förordning, till andra.142 Behandling genom utlämnande förutsätter att uppgifterna inte omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400).143 Personuppgifter som behandlas enligt de primära ändamålen och som inte direkt pekar ut den registrerade får också behandlas för att ge tillgång till vägledande avgöranden. Vidare får uppgifter behandlas för andra ändamål, under förutsätt-
139 Se 2 § studiestödsdatalagen. 140 Se 3 § studiestödsdatalagen. 141 Se 4 § första stycket studiestödsdatalagen. 142 Se 4 § andra stycket studiestödsdatalagen. 143 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 45 och 80.
ning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen.144
Regeringen får enligt ett bemyndigande meddela föreskrifter om begränsningar av ändamålen i 4 § första stycket och om i vilka fall behandling får göras när det gäller att förbereda handläggningen.145Vidare finns en upplysningsbestämmelse om att regeringen meddelar föreskrifter om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.146 Regeringen har meddelat sådana föreskrifter i studiestödsdataförordningen när det gäller behandling av personuppgifter för förberedande handläggning av ärenden,147 information om studiestödsförmåner och studiesociala förmåner148 och framtagande och distribution av bevis om studiestöd för studier.149
4.3.4. Regler om vilka personuppgifter som får behandlas
I förhållande till vissa av de primära ändamålen finns reglering i studiestödsdataförordningen som anger vilka personuppgifter som CSN får behandla. Detta innebär alltså att myndigheten – för det aktuella ändamålet – inte får behandla några andra uppgifter än de som föreskrivs där.150 Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, känsliga personuppgifter, och uppgifter som avses i artikel 10, personuppgifter om lagöverträdelser, får behandlas av CSN för de primära ändamålen som avser att handlägga ärenden och anmäla oegentligheter. Sådan behandling får också ske för det primära ändamålet att förbereda handläggningen, men för detta ändamål finns – i förhållande till de övriga nämnda ändamålen – omfattande begränsningar i vilka personuppgifter som får behandlas.151 Känsliga personuppgifter och personuppgifter om lagöverträdelser får också behandlas för det sekundära ändamålet att lämna ut uppgifter bl.a. i enlighet med uppgiftsskyldighet som följer av
144 Se 4 a § studiestödsdatalagen. 145 Se 4 § tredje stycket studiestödsdatalagen. 146 Se 4 § tredje stycket studiestödsdatalagen. 147 Se 3, 4 och 4 a §§studiestödsdataförordningen. 148 Se 5 § studiestödsdataförordningen. 149 Se 6 § studiestödsdataförordningen. 150 Se 3–6 §§studiestödsdataförordningen. 151 Se 2–4 a §§studiestödsdataförordningen.
författning.152 Uppgifterna får också behandlas i enlighet med finalitetsprincipen, men endast om det är absolut nödvändigt för syftet med behandlingen.153
4.3.5. Sökbegrepp
I studiestödsdatalagen finns bestämmelser som reglerar begränsningar i användningen av olika sökbegrepp. Det är förbjudet för CSN att använda sökbegrepp som avslöjar
1. personuppgifter som avses i artikel 9 i EU:s dataskyddsförord-
ning (känsliga personuppgifter),
2. personuppgifter som avses i artikel 10 i EU:s dataskyddsförord-
ning (lagöverträdelser m.m.),
3. uppgifter som rör inkomst, förmögenhet eller anledning till
studieavbrott, eller
4. uppgift om att det allmänna helt eller till en väsentlig del
bekostat en persons uppehälle.154
Sökbegrepp som avslöjar sådana uppräknade uppgifter får dock användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en samling vägledande avgöranden.155 Sökbegrepp får också användas om de avslöjar uppgifter som rör hälsa, om det är nödvändigt för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse och inkomst och förmögenhet, om det är nödvändigt för att ge behörig personal tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.156
152 Se 6 § första och andra tycket studiestödsdatalagen. 153 Se 6 § tredje stycket studiestödsdatalagen. 154 Se 8 § första stycket studiestödsdatalagen. 155 Jfr 8 § andra stycket studiestödsdatalagen. 156 Se 8 § tredje stycket studiestödsdatalagen.
4.3.6. Intern elektronisk tillgång till personuppgifter
Av studiestödsdatalagen framgår att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som arbetar i CSN:s studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den anställde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten.157 Regeringen har meddelat sådana föreskrifter i studiestödsdataförordningen och överlåtit till CSN att meddela ytterligare föreskrifter.158 Myndigheten ska inför beslut om att meddela sådana föreskrifter samråda med IMY.159
CSN ska även se till att elektronisk tillgång till personuppgifter dokumenteras.160 Det är den faktiska tillgången till personuppgifter som finns hos myndigheten som ska dokumenteras. Dokumentationen ska avse såväl intern tillgång inom myndigheten som tillgång för utomstående genom t.ex. direktåtkomst.161 Myndigheten ska också systematiskt och återkommande kontrollera om någon obehörig åtkomst till uppgifterna har förekommit.162 Det är alltså inte tillräckligt att myndigheten endast utför kontroller när den har anledning att misstänka att obehörig åtkomst har förekommit.163 Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om dokumentation och kontroll.164
4.3.7. Direktåtkomst och annat elektroniskt utlämnande av personuppgifter
Direktåtkomst till, och annat elektroniskt utlämnande av, personuppgifter som behandlas i CSN:s studiestödsverksamhet är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att ändamålsbestämmelserna, bestämmelserna om när känsliga personuppgifter får behandlas och bestämmelser om sökbegränsningar följs.165
157 Se 9 § första stycket studiestödsdatalagen. 158 Se 7 och 8 §§studiestödsdataförordningen. 159 Se 9 § studiestödsdataförordningen. 160 Se 9 § andra stycket studiestödsdatalagen. 161 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 55 och 84. 162 Se 9 § andra stycket studiestödsdatalagen. 163 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 84. 164 Se 9 § tredje stycket studiestödsdatalagen. 165 Se 10 § studiestödsdatalagen. För en närmare beskrivning av begreppen direktåtkomst och annat elektroniskt utlämnande, se avsnitt 11.4.2.
Bestämmelser om att bl.a. den registrerade, arbetslöshetskassorna, läroanstalter och socialnämnder under vissa förutsättningar får ha direktåtkomst till personuppgifter hos CSN finns i både studiestödsdatalagen och studiestödsdataförordningen. I förordningen finns också bestämmelser om hur CSN får lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.166
4.3.8. Gallring
Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.167
Personuppgifter som behandlas för att förbereda handläggningen ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.168
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. CSN får också i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras, dock längst till dess att uppgifterna inte längre bedöms nödvändiga för det ändamål för vilka de behandlas.169 I studiestödsdataförordningen har regeringen bemyndigat Riksarkivet att meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för redovisningsändamål. Föreskrifter
166 Se 15 § studiestödsdataförordningen. 167 Se 16 § första stycket studiestödsdatalagen. 168 Se 16 § andra stycket studiestödsdatalagen. 169 Se 16 § tredje stycket studiestödsdatalagen.
får dock bara meddelas efter att IMY har getts tillfälle att yttra sig.170I förordningen framgår också att sådana föreskrifter som Riksarkivet meddelar får avvika från bestämmelserna om gallring i studiestödsdatalagen.171
4.4. Reglering om sekretess och uppgiftsskyldighet
4.4.1. Sekretess för uppgifter i CSN:s verksamhet
I avsnitt 3.4 redogör vi för en övergripande beskrivning av sekretessregleringen. Enligt 28 kap. 9 § OSL gäller sekretess för uppgift om enskildas personliga eller ekonomiska förhållanden i tre grupper av ärenden som hanteras av CSN: studiestöd, körkortslån och lån till hemutrustning för flyktingar och vissa andra utlänningar. Bestämmelsen innehåller ett s.k. rakt skaderekvisit som innebär att det finns en presumtion för offentlighet. Sekretessens räckvidd är i fråga om ärende om körkortslån och hemutrustningslån begränsad till att endast gälla för uppgift som finns hos CSN och gäller endast för uppgifter som hanteras i ärenden hos myndigheten. Det sistnämnda gäller även för studiestöd, men där är sekretessen inte begränsad till att gälla uppgift som finns hos CSN.
4.4.2. Anmälnings- och uppgiftsskyldighet
Allmänt om uppgiftsskyldigheter som berör CSN
Vi redogör i avsnitt 3.4.4 generellt om uppgiftsskyldighet och sekretessbrytande bestämmelser. CSN har skyldighet att lämna uppgifter till andra aktörer i mängd olika fall. På samma sätt har många aktörer skyldighet att lämna uppgifter till CSN. Sådana uppgiftsskyldigheter regleras i olika lagar och förordningar. Skyldigheten kan avse myndigheter generellt eller CSN specifikt. Uppgifter kan behöva lämnas på eget initiativ av den uppgiftslämnande aktören eller på begäran av den uppgiftstagande aktören. Syftet med att reglera sådana uppgiftsskyldigheter är i huvudsak att myndigheter eller andra aktörer ska kunna ha ett korrekt underlag för beslut och kunna kontrollera uppgifter som enskilda lämnar.
170 Se 16 § första stycket studiestödsdataförordningen. 171 Se 16 § andra stycket studiestödsdataförordningen.
En av de bestämmelser som ligger till grund för den stora mängden utlämnanden från CSN är 110 kap. 34 § socialförsäkringsbalken, enligt vilken CSN till Försäkringskassan ska lämna de uppgifter som har betydelse för tillämpningen av socialförsäkringsbalken och lagen om omställningsstudiestöd. Ytterligare ett exempel är 2 § förordningen (2008:975) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453) som föreskriver att socialnämnden i en kommun har rätt att hos CSN ta del av vissa i bestämmelsen uppräknade uppgifter. Om det finns skäl för det ska CSN enligt bestämmelsens andra stycke på eget initiativ lämna sådana nämnda uppgifter till socialnämnden.
Ett stort antal aktörer har, som vi nämner ovan, också en skyldighet att lämna uppgifter till CSN. Det gäller t.ex. läroanstalter, som ska lämna uppgifter på både eget initiativ och på begäran av CSN.172 Försäkringskassan och Migrationsverket ska också på begäran lämna uppgifter till CSN under vissa förhållanden enligt 6 kap.12–13 a §§studiestödsförordningen. Ytterligare ett exempel är att Skatteverket är skyldig att lämna uppgifter till CSN enligt 6 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Välfärdsmyndigheter, däribland CSN, som har i uppdrag att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott omfattas av särskilda författningar som föreskriver uppgiftsskyldighet mellan dessa myndigheter. Denna reglering har inte bara till syfte att säkerställa korrekta beslutsunderlag, utan även för att generellt motverka brottslighet. Några av dessa regleringar beskriver vi i det följande.
Anmälningsskyldighet för misstänkta bidragsbrott
Bidragsbrottslagen (2007:612) innehåller straffbestämmelser som är anpassade till de särskilda förutsättningar som råder vid utbetalning och tillgodoräknande av ekonomiska förmåner och stöd från välfärdssystemen. Vidare innehåller lagen en bestämmelse om skyldighet för bl.a. myndigheter, t.ex. CSN, att göra en anmälan till Polismyndigheten om det kan misstänkas att brott enligt lagen har
172 Se t.ex. 9, 10 och 11 §§studiestödsförordningen.
begåtts.173 Syftet med lagen är att minska antalet felaktiga utbetalningar och att stärka tilltron till välfärdssystemen.
Underrättelseskyldighet vid felaktiga utbetalningar från välfärdsystemen
Lagen om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen innebär en skyldighet för välfärdsmyndigheter, bl.a. CSN, kommuner och arbetslöshetskassor att informera varandra vid misstanke om felaktiga utbetalningar. Syftet med underrättelseskyldigheten är att möjliggöra för statliga myndigheter och kommuner att bistå varandra när det gäller att upptäcka och förhindra felaktiga utbetalningar från välfärdssystemen.174 Skyldigheten träder in om det finns anledning att anta att en ekonomisk förmån eller ett ekonomiskt stöd har beslutats, betalats ut eller tillgodoräknats felaktigt eller med ett för högt belopp.175
Uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet
Lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet gäller vid särskilt beslutad samverkan mellan myndigheter för att förebygga, förhindra eller upptäcka brottslig verksamhet som är av allvarlig eller omfattande karaktär, och bedrivs i organiserad form eller systematiskt av en grupp individer.176Bland de myndigheter som är skyldiga att lämna eller får ta emot uppgifter enligt lagen finns CSN.177
Inom ramen för samverkan enligt lagen ska en myndighet trots sekretess lämna uppgift till en annan myndighet om det behövs för den mottagande myndighetens deltagande i samverkan. En uppgift ska inte lämnas om övervägande skäl talar för att det intresse som
173 Se 6 § bidragsbrottslagen. 174 Se prop. 2007/08:48, Underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen, s. 16 och 17. 175 Se 3 § lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar. 176 Se 1 § lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. 177 Se 2 § förordningen (2016:775) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet.
sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut.178
Lagen gäller endast vid särskilt beslutad myndighetsöverskridande samverkan på det s.k. underrättelsestadiet. Den är alltså inte tillämplig när myndigheter mer sporadiskt tar kontakt med varandra eller endast tillfälligt samarbetar kring någon specifik fråga.179
Uppgiftsskyldighet gentemot Utbetalningsmyndigheten
I och med att Utbildningsmyndigheten påbörjade sin verksamhet i januari 2024 infördes också lagen (2023:456) om skyldighet att lämna uppgifter till Utbetalningsmyndigheten. För att den myndighetens verksamhet ska kunna bedrivas på ett ändamålsenligt sätt behöver den få ta del av uppgifter från statliga myndigheter, bl.a. CSN.
Enligt 2 § lagen om skyldighet att lämna uppgifter till Utbetalningsmyndigheten är CSN och andra myndigheter vars utbetalningar ska administreras via systemet med transaktionskonto enligt lagen (2023:454) om transaktionskonto vid Utbetalningsmyndigheten skyldig att lämna de uppgifter som Utbildningsmyndigheten behöver för att administrera betalningarna, t.ex. för att göra en utbetalning. Det bör enligt förarbetena inte krävas någon uttrycklig begäran från Utbildningsmyndigheten i varje enskilt fall. En rutinmässig överföring av uppgifter behöver dock alltid föregås av någon form av begäran eller kontakt från Utbetalningsmyndigheten i anslutning till att en rutin för överföringen upprättas. I samband med en sådan begäran eller kontakt får Utbetalningsmyndigheten precisera vilka uppgifter som myndigheten vill få del av, och med vilken regelbundenhet detta ska ske. Den utlämnande myndigheten får i samband med detta ta ställning till om uppgifterna omfattas av uppgiftsskyldigheten och ska lämnas ut.180
CSN och vissa andra myndigheter ska också lämna uppgifter till Utbetalningsmyndigheten som är betydelse för den myndighetens dataanalyser och urval. Det rör bl.a. uppgifter om beslut om ekonomiska förmåner och ekonomiska stöd. Bestämmelsen innebär att uppgifter endast ska lämnas på begäran av Utbetalningsmyndigheten.
178 Se 2 § lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. 179 Se prop. 2015/16:167, Informationsutbyte vid samverkan mot organiserad brottslighet, s. 24–31. 180 Jfr prop. 2022/23:43, Utbetalningsmyndigheten, s. 194.
Uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdssystemen m.m.
I lagen (2024:307) om uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdsystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet föreskrivs att kommuner, arbetslöshetskassor och vissa statliga myndigheter, bl.a. CSN, ska lämna en uppgift som den förfogar över till en annan av dessa aktörer om uppgiften behövs i den mottagande aktörens författningsreglerade verksamhet för att säkerställa korrekta beslutsunderlag för att förebygga, förhindra, upptäcka eller utreda felaktiga utbetalningar från välfärdssystemen.181
En uppgift som omfattas av sekretess ska inte lämnas ut om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför att uppgiften lämnas ut.182 Vissa uppgifter omfattas inte alls av uppgiftsskyldigheten. Detta gäller bl.a. uppgifter som omfattas av sådan sekretess som inte bryts med stöd av generalklausulen i offentlighets- och sekretesslagen, se avsnitt 3.4.3. Uppgifter som omfattas av sekretess till skydd för andra intressen än enskilds personliga och ekonomiska förhållanden är också undantagna från uppgiftsskyldigheten.183
Lagen reglerar också uppgiftsskyldighet för att motverka fusk, regelöverträdelser och brottslighet i arbetslivet, men CSN omfattas inte av den regleringen.184
181 Se 2 § första stycket lagen (2024:307) om uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdsystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet. 182 Se 2 § andra stycket lagen om uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet. 183 Se 2 § tredje stycket lagen om uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet och prop. 2023/24:84, En ny lag om uppgiftsskyldighet för att motverka felaktiga utbetalningar från
välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet, s. 47, 48 och 50.
184 Jfr 4 § lagen om uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet.
5. Behovet av en allmän översyn av CSN:s dataskyddsreglering
5.1. Inledning
Enligt våra direktiv ska vi analysera behovet av ändringar i CSN:s registerförfattningar som innebär förbättrade förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Inom ramen för den analysen ska vi särskilt se över tillåtna ändamål, sökbegränsningar, elektroniskt utlämnande av uppgifter samt bevarande och gallring. Vi har också i uppdrag att göra en mer övergripande översyn av CSN:s registerförfattningar. Med anledning av detta finns det också skäl att analysera behovet av en sådan översyn.
I detta kapitel presenterar vi en övergripande analys av behovet av förändringar i CSN:s registerförfattningar. I anslutning till våra förslag om en ny dataskyddsreglering för CSN i kapitel 8–12 redogör vi mer detaljerat för hur specifika bestämmelser i nuvarande reglering påverkar CSN:s möjligheter att bedriva sin verksamhet, medan detta kapitel syftar till att ge en övergripande bild av den generella problematiken och vilka konsekvenser problembilden resulterar i.
Vi redogör inledningsvis i detta kapitel för den tekniska och rättsliga utvecklingen, dels sedan personuppgiftslagen (1998:204) trädde i kraft, dels sedan CSN:s registerförfattningar började tillämpas. Efter detta redogör vi för vissa studier om omfattningen av felaktiga utbetalningar från välfärdsystemen och hur sådana betalningar påverkar förtroendet för dessa system. Vi redogör sedan för CSN:s beskrivning av hur nuvarande reglering påverkar myndighetens verksamhet. Slutligen presenterar vi vår bedömning att det finns ett starkt behov av att ge CSN förbättrade förutsättningar att förebygga förhindra och upptäcka felaktiga utbetalningar, men att det också finns anledning att ta ett helhetsgrepp om regleringen och att generellt förbättra CSN:s förutsättningar för personuppgiftsbehandling.
5.2. Den tekniska och rättsliga utvecklingen
5.2.1. Den tekniska utvecklingen
Digitaliseringens framfart i den offentliga förvaltningen
När personuppgiftslagen trädde i kraft 1998 var den elektroniska förvaltningen fortfarande i början av sin uppbyggnad. Lagen kom alltså till under en period då digitaliserad informationshantering inom den offentliga förvaltningen fortfarande var ett komplement till analog informationshantering. CSN:s registerförfattningar kom till 10 år senare, då digitaliseringen hade utvecklats ytterligare, men det var personuppgiftslagen som utgjorde grunden för regleringen även då. Mycket har skett på digitaliseringsfronten sedan dess.
I dag är digital informationshantering en självklarhet och huvudregel inom den offentliga sektorn. Ärenden handläggs elektroniskt och beslut fattas i stor utsträckning med olika tekniska beslutsstöd. Enskilda och andra aktörer kommunicerar i stor omfattning med myndigheter på elektronisk väg. Inom unionsrätten finns också krav på att vissa digitala lösningar används i det unionsgemensamma samarbetet, t.ex. i SDG-förordningen. Arbetet med att öka effektiviteten i myndigheters verksamhet och samverkan mellan myndigheterna samt att ge medborgarna en förbättrad service är dessutom i princip helt inriktat på att det ska ske på elektronisk väg.1 I dag är digital informationshantering alltså inte längre en avgränsad del av myndigheters verksamhet som utförs åtskild från verksamheten i övrigt, som var fallet när personuppgiftslagen infördes. I dag är digital informationshantering i stället helt integrerad i verksamheterna och det går inte att särskilja den digitala informationshanteringen från verksamheten i sig.
CSN:s digitalisering – från datorstöd till helt digital informationshantering
CSN har, likt många andra myndigheter, genomgått en teknisk resa från att hantera all verksamhet manuellt i pappersform med visst datorstöd till helt automatiserade processer. Datorstöd har använts för handläggningen vid myndigheten sedan slutet av 1960-talet. Den
1 Jfr SOU 2015:39, Myndighetsdatalag, s. 175.
första datorn kördes i en datamaskincentral i vilken utbetalningar och inbetalningar registrerades. Det systemet utvecklades succesivt för att stödja administrationen av samtliga studiestöd med undantag för TUFF-bidrag och Rg-bidrag.2 Myndigheten började redan 1988 mikrofilma dokument. Några år senare, 1995, började myndigheten i stället skanna dokument, vilket sker än i dag.
En stor förändring ägde rum i samband med att annuitetslånet infördes den 1 juli 2001 (se avsnitt 4.2.4) eftersom ett nytt handläggningssystem etablerades. I vart fall från denna tidpunkt kan man säga att handläggningen av studiestödsärenden som huvudregel var automatiserad hos CSN.
Många delar av handläggningen är i dag helt automatiserad, t.ex. prövas studiebidrag vanligen genom en helautomatisk rutin där input är en studierapport från skolan och output är utbetalning av studiebidraget till betalningsmottagaren. Inom återbetalningsområdet är också en stor del av handläggningen helt automatiserad. CSN har sedan några år tillbaka påbörjat ett arbete att byta ut handläggningssystemet till en ny teknisk lösning.
Utvecklingen sedan CSN:s registerförfattningar trädde i kraft
Många av de sektorsspecifika registerförfattningarna infördes i början av 00-talet, efter att personuppgiftslagen trädde i kraft i slutet av 1998, t.ex. lagen (2001:454) om behandling av personuppgifter i socialtjänsten, lagen (1998:543) om hälsodataregister och lagen (2001:185) om behandling av personuppgifter i Tullverkets verksamhet. Under denna tid var det många myndigheter, likt CSN, som var i startgroparna för att övergå från analog till digital informationshantering. Den digitala hanteringen var på den tiden dock ofta ett komplement till den analoga hanteringen.3 På så sätt utgjorde registerförfattningarna en sorts särreglering. När CSN:s registerförfattningar trädde i kraft, cirka tio år senare, hade den digitala informationshanteringen tagit över och den analoga hanteringen blivit komplementet.
CSN:s registerförfattningar utformades alltså i en tid då myndigheten redan i princip var helt digitaliserad. CSN:s registerför-
2 Vi beskriver dessa bidrag i avsnitt 4.2.3. 3 Jfr prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 54–55, SOU 1999:105, Skatt
Tull Exekution Normer för behandling av personuppgifter, s. 197–198 och prop. 2000/01:33Behandling av personuppgifter inom skatt, tull och exekution, s. 80 och 81.
fattningar har följaktligen aldrig utgjort någon särreglering, utan har ända sedan de trädde i kraft varit den primära regleringen för myndighetens behandling av personuppgifter. Det har dock ändå skett mycket i teknikutvecklingen i den offentliga förvaltningen sedan slutet av 00-talet, t.ex. har myndigheter börjat använda nya tekniska verktyg, inkluderat AI.
Regeringens målsättning med digitaliseringspolitiken
Sedan början av 10-talet har målsättningen för digitaliseringspolitiken blivit skarpare. Målet för digitaliseringspolitiken är sedan flera år att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.4 Regeringen uttalade 2018 att målet för digitaliseringen av den offentliga förvaltningen bl.a. är en enklare vardag för medborgare och högre kvalitet och effektivitet i verksamheterna. Vidare har regeringen gjort bedömningen att digitalt ska vara förstahandsvalet i den offentliga förvaltningens verksamhet samt i kontakter med privatpersoner och företag, samtidigt som säkerheten och skyddet för den personliga integriteten ska säkerställas.5 I budgetpropositionen för 2023 uttalade regeringen att det behövs en ambitionshöjning för att nå nämnda mål. I sammanhanget påpekade regeringen att det faktum att flera andra länder lyckats bättre än Sverige, trots sämre förutsättningar, visar på att Sverige ännu inte lyckats använda digitaliseringens möjligheter fullt ut.6 Även i budgetpropositionen för 2024 bedömde regeringen att Sverige inte når det övergripande målet med den svenska digitaliseringspolitiken.7
5.2.2. Den rättsliga utvecklingen
Införandet av EU:s dataskyddsförordning innebar i många avseenden en förändring i förhållande till personuppgiftslagen och 1995 års dataskyddsdirektiv. Framför allt ställer EU:s dataskyddsförordning högre krav på personuppgiftsansvariga myndigheter. I avsnitt 3.3.2 redogör vi för de bestämmelser i EU:s dataskyddsförordning som i
4 Budgetpropositionen för 2012, prop. 2011/12:1, utgiftsområde 22, kommunikationer, s. 84. 5 Budgetpropositionen för 2019, prop. 2018/19:1utgiftsområde 2, samhällsekonomin och finans-
förvaltningen, s. 53.
6 Budgetpropositionen för 2023, prop. 2022/23:1, utgiftsområde 22, kommunikationer, s. 105. 7 Budgetpropositionen för 2024, prop. 2023/24 :1, utgiftsområde 22, kommunikationer, s. 106.
första hand är relevanta för vårt uppdrag. Vi avser här att peka på några av de viktigaste skillnaderna som införandet av förordningen innebar.
De grundläggande principerna i artikel 5 i EU:s dataskyddsförordning fanns även i 1995 års dataskyddsdirektiv och personuppgiftslagen.8 Likaså fanns i personuppgiftslagen och direktivet bestämmelser om vilka villkor som behövde vara uppfyllda för att personuppgiftsbehandling över huvud taget skulle vara laglig, dvs. motsvarande rättslig grund i EU:s dataskyddsförordning.9 En skillnad är dock att enligt den tidigare regleringen kunde offentliga aktörer behandla personuppgifter med grund i ett berättigat intresse.10 Enligt EU:s dataskyddsförordning kan en myndighet som utgångspunkt inte behandla personuppgifter med stöd av den grunden när den utför sina uppgifter.11 Myndigheter kan i stället i huvudsak endast behandla personuppgifter om det är nödvändigt för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.12
Enligt EU:s dataskyddsförordning ska dessutom den grund för behandling som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den medlemsstatens nationella rätt som den personuppgiftsansvarige omfattas av.13 Något motsvarande krav fanns inte i personuppgiftslagen eller 1995 års dataskyddsdirektiv. Det var alltså tidigare möjligt för myndigheter att behandla personuppgifter om det var nödvändigt för att utföra en uppgift av allmänt intresse även om den rättsliga grunden inte var fastställd i författning.
Med införandet av att de nämnda rättsliga grunderna ska vara fastställda i rättsordningen kom också kravet att syftet med behandlingen ska fastställas i den rättsliga grunden, eller i fråga om behandling enligt artikel 6.1 e i EU:s dataskyddsförordning, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.14 Artikel 6.3 i EU:s dataskyddsförordning ställer också krav på att – i fråga om den rättsliga grunden för personuppgiftsbehandling – unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
8 Jfr artikel 6 i 1995 års dataskyddsdirektiv och 9 § personuppgiftslagen (1998:204). 9 Jfr artikel 6 i EU:s dataskyddsförordning. 10 Jfr artikel 7 i 1995 års dataskyddsdirektiv och 10 § personuppgiftslagen. 11 Jfr artikel 6.1 andra stycket i EU:s dataskyddsförordning. 12 Se artikel 6.1 c och e i EU:s dataskyddsförordning. 13 Se artikel 6.3 i EU:s dataskyddsförordning. 14 Se artikel 6.3 i EU:s dataskyddsförordning.
EU:s dataskyddsförordning innehåller också en mer extensiv reglering av säkerhet vid behandling i jämförelse med tidigare reglering. Det finns i förordningen utförliga bestämmelser om den personuppgiftsansvariges ansvar att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att personuppgiftsbehandling utförs i enlighet med förordningens bestämmelser,15 bygga in dataskydd i de tekniska systemen för att rent tekniskt säkerställa att de grundläggande principerna följs,16och att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå.17 Vidare finns förfaranderegler om konsekvensbedömningar och förhandssamråd med de nationella tillsynsmyndigheterna vid behandling som kan innebära särskilt hög risk för de registrerade,18 samt förfarandregler vid gemensamt personuppgiftsansvar19 och om personuppgiftsbiträden.20
De registrerades rättigheter är också förstärkta genom förordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade är preciserade och utvidgade i förordningen, bl.a. avseende information om ändamålen med behandlingen och gränsöverskridande behandling till tredje land. Det anges också uttryckligen i EU:s dataskyddsförordning att den personuppgiftsansvarige ska tillhandahålla information i en begriplig och lättillgänglig form.
Ytterligare en skillnad mellan EU:s dataskyddsförordning och 1995 års dataskyddsdirektiv är att tillsynsmyndigheternas befogenheter har stärkts.21 Genom förordningens bestämmelser om administrativa rättsmedel, ansvar och sanktioner har tillsynsmyndigheten möjlighet att bl.a. påföra en myndighet administrativa sanktionsavgifter på upp till motsvarande 20 000 000 euro om behandlingen strider mot de grundläggande principerna i förordningen, t.ex. kravet på att personuppgifter bara får samlas in för berättigade ändamål eller att den registrerade inte får sina rättigheter tillgodosedda.22
15 Se artikel 24 i EU:s dataskyddsförordning. 16 Se artikel 25 i EU:s dataskyddsförordning. 17 Se artikel 32 i EU:s dataskyddsförordning. 18 Se artikel 35 och 36 i EU:s dataskyddsförordning. 19 Se artikel 26 i EU:s dataskyddsförordning. 20 Se artikel 28 i EU:s dataskyddsförordning. 21 Jfr artikel 58 i EU:s dataskyddsförordning och artikel 28.2 i 1995 års dataskyddsdirektiv. 22 Se kapitel VIII i EU:s dataskyddsförordning.
EU:s dataskyddsförordning innehåller totalt 99 artiklar, medan 1995 års dataskyddsdirektiv endast innehöll 34 artiklar. Bestämmelserna i förordningen är i många fall mer omfångsrika i jämförelse med direktivet. Artiklarna i förordningen kompletteras dessutom av 173 beaktandeskäl, mot 72 i direktivet. I och med införandet av förordningen skapades även Europeiska dataskyddsstyrelsen (EDPB), en paraplyorganisation som sammanför de nationella dataskyddsmyndigheterna. EDPB publicerar bl.a. riktlinjer och rekommendationer som tydliggör den närmare innebörden av förordningens bestämmelser.
5.3. Felaktiga utbetalningar från välfärdssystemen
5.3.1. Förtroendet för välfärdssystemen
De svenska välfärdssystemen ger ekonomisk trygghet för dem som behöver stöd på grund av t.ex. studier, sjukdom, arbetslöshet, ålderdom eller föräldraskap. De totala utbetalningarna av ersättningar och bidrag från CSN, Arbetsförmedlingen, arbetslöshetskassorna, Migrationsverket, Försäkringskassan och Pensionsmyndigheten uppgick 2023 till sammanlagt cirka 754 miljarder kronor (inklusive ålderspensionssystemet).23 Förtroendet för välfärdssystemen är centralt för systemens legitimitet och folkliga stöd. Med ett försämrat förtroende riskerar tilltron till myndigheternas förmåga att hantera allmänna medel och utföra sina uppdrag att skadas och viljan att bidra till välfärdsystemens finansiering urholkas. Felaktiga utbetalningar och brottslighet riktad mot välfärdsystemen undergräver förtroendet för systemen.24
5.3.2. Ett omfattande samhällsproblem
Välfärdsmyndigheter redovisar vanligtvis upptäckta felaktiga utbetalningar per år i sin årsredovisning. Det finns dock problem med mörkertal och det har därför gjorts ett flertal uppskattningar av omfattningen av felaktiga utbetalningar från välfärdssystemen. Dele-
23 Se Ekonomistyrningsverkets (ESV) rapport, Målet att minska felaktiga utbetalningar från
välfärdssystemen – en samlad analys av måluppfyllelsen för 2023, ESV 2024:32, s. 46.
24 Se prop. 2023/24 :85, En ny lag om uppgiftsskyldighet för att motverka felaktiga utbetalningar
från välfärdsystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet, s. 10.
gationen för korrekta utbetalningar från välfärdsystemen uppskattade att de felaktiga utbetalningarna från systemen uppgick till cirka 18 miljarder kronor 2018. Med ett osäkerhetsintervall mellan 11 och 26 miljarder kronor motsvarar det 3,5–8,0 procent av de totala utbetalningarna exklusive ålderspensionssystemet.25
I mars 2023 redovisade Ekonomistyrningsverket (ESV) en s.k. fördjupad lägesbeskrivning i enlighet med 13 § förordningen (2021:663) om arbetet med att säkerställa korrekta utbetalningar från välfärdssystemen. I lägesbeskrivningen ingår ekonomiska förmåner och stöd från CSN, Arbetsförmedlingen, arbetslöshetskassorna, Försäkringskassan, Migrationsverket och Pensionsmyndigheten. Kommunala utbetalningar omfattas alltså inte. Rapporten baseras i huvudsak på myndigheternas resultat i dess egna omfattningsstudier som gjordes under 2021 och 2022, se avsnitt 5.3.3. I lägesbeskrivningen uppskattar ESV den totala omfattningen av felaktiga utbetalningar från välfärdssystemen 2021 till cirka 14,6 miljarder kronor, med ett osäkerhetsintervall mellan 13,0 och 16,3 miljarder kronor.26 Det motsvarar ungefär 2,0 procent av de totala utbetalningarna 2021.
Regeringen bedömde i budgetpropositionen för 2024 att den totala omfattningen av de felaktiga utbetalningarna för 2021 fortsatt är stor och på ungefär samma nivå som 2018, cirka 15–20 miljarder kronor per år. Precisionen i studierna för 2021 är generellt sett högre än i tidigare studier, eftersom en högre andel av ersättningarna har studerats empiriskt.27 Regeringen fann dock att uppskattningen om 14,6 miljarder kronor sannolikt är en underskattning, bl.a. eftersom vissa betydande risker inte har studerats. Regeringen noterade även att en högre andel än tidigare, cirka 90 procent, av det totalt skattade beloppet för felaktiga utbetalningar bedöms bero på att felaktiga uppgifter ligger till grund för utbetalningar från välfärdssystemen.28Av dessa fel har ESV bedömt att cirka 56 procent avser felaktiga uppgifter vid ansökan om ersättning, och cirka 44 procent underhållenhet att anmäla ändrade förhållanden av betydelse under den
25 Se SOU 2019:59, Samlade åtgärder för korrekta utbetalningar från välfärdssystemen, s. 94 och 95. 26 Se Ekonomistyrningsverkets rapport, Omfattningen av felaktiga utbetalningar från välfärds-
systemen, ESV 2023:22, s. 20.
27 Se Budgetpropositionen för 2024, prop. 2023/24:1, utgiftsområde 2, samhällsekonomin och
finansförvaltningen, s. 106.
28 Se Budgetpropositionen för 2024, prop. 2023/24:1, utgiftsområde 2, samhällsekonomin och
finansförvaltningen, s. 115.
tid som ersättning uppbärs.29 Enligt regeringens bedömning upptäcker myndigheterna endast 2–3 miljarder kronor av de totalt 15– 20 miljarder kronor som betalas ut felaktigt varje år, motsvarande 10–20 procent. Regeringen konstaterade också att det är oacceptabelt att omfattningen av de felaktiga utbetalningarna är så stor och framhöll att välfärdens medel ska finansiera t.ex. fler undersköterskor och lärare, inte utnyttjas av kriminella. 30
5.3.3. Upptäckt och uppskattad omfattning av felaktiga utbetalningar från CSN
Under 2023 upptäckte CSN felaktiga utbetalningar av studiestöd motsvarande 1,0 procent av det totalt utbetalade beloppen för sådana stöd. För studier utomlands uppgick andelen upptäcka felaktiga utbetalningar till 1,7 procent samma period. Återkrav och avräkning av studiehjälp, studiemedel och studiestartsstöd uppgick under samma år till 359 miljoner kronor, varav 28 miljoner kronor avsåg studiehjälp, Rg-bidrag och lärlingsersättning, 10 miljoner avsåg studiestartsstöd och resterande del, 321 miljoner kronor, avsåg studiemedel.31 Under samma år gjorde CSN 675 polisanmälningar gällande misstänkt bidragsbrott eller misstänkt urkundsförfalskning.32
Högst sannolikt finns det – vilket vi nämner ovan – ett omfattande antal felaktiga utbetalningar som inte upptäcks. CSN genomförde omfattningsstudier enligt förordningen om arbetet med att säkerställa korrekta betalningar från välfärdssystemen under 2022.33 Studierna omfattade studiehjälp, studiemedel för studier i Sverige, studiemedel för studier i utlandet samt lärlingsersättning, Rg-bidrag och studiestartsstöd och baserades i huvudsak på data från 2021. Studierna påvisade inga felaktiga utbetalningar av studiebidrag inom studiehjälpen till följd av handläggningen av ärenden med ogiltig frånvaro. För extra tillägg uppskattades de totala felaktiga utbetalningarna till 24 miljoner kronor. Inom studiemedel för studier i Sverige skattades de felaktiga
29 Se Budgetpropositionen för 2024, prop. 2023/24:1, utgiftsområde 2, samhällsekonomin och
finansförvaltningen 2, s. 107.
30 Se Budgetpropositionen för 2024, prop. 2023/24:1, utgiftsområde 2, samhällsekonomin och
finansförvaltningen, s. 116.
31 CSN:s årsredovisning för 2023 (ADM/2023:670), s. 77. 32 CSN:s årsredovisning för 2023 (ADM/2023:670), s. 79. 33 Se CSN:s avrapportering av omfattningsstudier 2022 (ADM/2022:138) och Ekonomistyrningsverkets rapport, Omfattningen av felaktiga utbetalningar från välfärdssystemen, ESV 2023:22, s. 83–91.
utbetalningarna till 3,5 procent av de totala utbetalningarna, vilket motsvarade 1 179 miljoner kronor. När det gäller studiemedel för studier utomlands uppskattades de felaktiga utbetalningarna 1,0 procent av de totala utbetalningarna, vilket motsvarade 22 miljoner kronor. Det finns enligt CSN risk för hög felmarginal i uppskattningen av felaktiga utbetalningar av studiemedel för studier utomlands till följd av ett litet urval i omfattningsstudien. Osäkerhetsintervallet för skattningen är också stort, 13–50 miljoner kronor. I studierna av studiemedel för studier i Sverige och studier utomlands uppskattades en majoritet av de felaktiga utbetalningarna orsakas av den sökande. När det gäller studiemedel för studier i Sverige handlar dessa fel främst om att den sökande lämnar felaktiga uppgifter i ansökan om stöd. För studier utomlands utgörs felen oftast av att den enskilde inte har anmält ändrade förhållanden.34
5.4. CSN:s beskrivning av hur nuvarande reglering i registerförfattningarna försvårar för myndigheten att utföra sina uppgifter
5.4.1. En svårtillämpad reglering som skapar osäkerhet
CSN beskriver att nuvarande registerförfattningar innehåller flera bestämmelser som skapar problem för myndigheten när den utför sina uppdrag. Med anledning av att regleringen är så detaljerad är den också enligt myndigheten mycket begränsande i förhållande till vilken personuppgiftsbehandling den får utföra.
Ett av de mer grundläggande problemen med nuvarande reglering är enligt CSN att den inte ger myndigheten ett tydligt stöd för vilken personuppgiftsbehandling som myndigheten får utföra. CSN exemplifierar med att befintlig bestämmelse om tillåtna ändamål utgår från förutsättningen att personuppgiftsbehandling har koppling till ett befintligt stödärende. Detta innebär att det rättsliga stödet för personuppgiftsbehandling utan sådan tydlig koppling blir osäkert, t.ex. gällande behandling av personuppgifter för personer som inte har ansökt om stöd eller för ändamål som tar sikte på utveckling och effektivisering av verksamheten. Den snävt utformade bestämmelsen om tillåtna ändamål begränsar även vilka behandlingar som
34 CSN:s årsredovisning för 2023 (ADM/2023:670), s. 78.
kan anses inrymmas i finalitetsprincipen. Befintliga ändamålsbestämmelser skapar därför osäkerhet kring tillåtligheten av personuppgiftsbehandlingar som är nödvändiga för att myndigheten ska kunna utföra sitt uppdrag.
Det är inte bara ändamålsbestämmelserna som skapar problem för myndigheten. I det följande beskriver vi hur CSN på fler sätt exemplifierar den övergripande problembilden med regleringen i förhållande till några av de arbetsuppgifter som myndigheten har.
5.4.2. Administrationen av stöd försvåras
Vissa av ändamålsbestämmelserna i studiestödsdatalagen (2009:287) begränsas ytterligare genom bestämmelser i studiestödsdataförordningen (2009:321). Där anges t.ex. detaljerat vilka personuppgifter som CSN får behandla för ändamålet att förbereda handläggningen av ärenden. För detta ändamål får myndigheten alltså endast behandla vissa nämnda personuppgifter. Detta utgör ett generellt problem för myndigheten när den ska utföra sina reglerade arbetsuppgifters. Som exempel kan nämnas att CSN får behandla uppgift om adress men har inte rätt att behandla uppgift om telefonnummer eller e-postadress, vilket innebär att CSN är hänvisad till att skicka brev och kan inte kontakta den enskilde via e-post eller SMS, vad gäller den förberedande handläggningen. Ett annat exempel där detaljregleringen kan ställa till problem eller osäkerhet vad gäller rättsligt stöd för behandling av vissa uppgifter är då ett barn eller en ungdom har ”flyttats upp en årskurs”. Denna person ska påbörja gymnasiet men kommer inte att fylla 16 år då gymnasiestudierna påbörjas. CSN får dock bara behandla personuppgifter om den person som fyller 16 år – för förberedande handläggning – gällande studiehjälp. I och med denna reglering uppstår problem för CSN att faktiskt besluta om bl.a. studiehjälp. Studiehjälp kräver nämligen ingen ansökan från den enskilde. Myndigheten hämtar därför in uppgifter om enskilda från andra myndigheter innan ett ärende har öppnats och behandlar då uppgifterna för att förbereda handläggningen.
Att CSN inte får använda sökbegrepp baserat på uppgifter om inkomst försvårar också CSN:s möjlighet att genom proaktivt arbete söka ut och ge riktad information, t.ex. genom att söka ut personer
med låg inkomst som kan antas ha sjukersättning på garantinivå vilket kan ge rätt till avskrivning av lån.
5.4.3. Möjligheter att säkerställa korrekta utbetalningar och motverka bidragsbrott begränsas
Begränsningarna av vilka personuppgifter som får behandlas för vissa ändamål är inte bara begränsande för själva administrationen av ärenden. Enligt CSN motverkar en sådan inskränkning ett effektivt arbete för att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Ett exempel på detta är att begränsningen hindrar myndigheten från att utveckla effektiva digitala ansökningsförfaranden, se även avsnitt 14.2. Eftersom CSN bara får behandla vissa uppgifter innan ett ärende upprättas är det svårt att utveckla effektiva tekniska lösningar för ansökningsprocessen, då en enskild lämnar uppgifter just innan ett ärende skapats. Att utveckla ansökningsförfarandet, genom inhämtning av relevanta uppgifter från andra aktörer redan i samband med att den sökande befinner sig i en elektronisk ansökningssession på CSN:s webbplats utan att ännu ha skickat in sin ansökan, kan bidra till att färre felaktiga uppgifter lämnas och därmed ge myndigheten ett mer korrekt underlag för beslut. På så sätt kan risken för felaktiga utbetalningar minska.
Vidare innebär den begränsande ändamålsbestämmelsen osäkerhet kring det rättsliga stödet för CSN att behandla personuppgifter för att göra dataanalyser, särskilt avseende träningen av en maskinlärd urvalsmodell. Det faktum att CSN i dag bedömer att denna behandling behöver baseras på finalitetsprincipen, se avsnitt 9.3.3, inskränker även CSN:s möjligheter att utveckla kontrollarbetet genom att, för ändamålet att göra dataanalyser och träna urvalsmodeller, hämta in relevanta uppgifter från andra myndigheter.
Ytterligare ett exempel på att regleringen försvårar CSN:s arbete med att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott är regleringen om sökbegränsningar. Utöver känsliga personuppgifter och uppgifter om lagöverträdelser får CSN bl.a. inte använda sökbegrepp som avslöjar uppgifter om inkomst och förmögenhet, om det inte är nödvändigt för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller
av uppgifter som har legat till grund för ett beslut i ett ärende.35 En av de vanligaste orsakerna till att felaktiga utbetalningar sker är att den studerande inte meddelar att hennes eller hans inkomst har överstigit fribeloppet. På grund av regleringen är det svårt för CSN att på ett effektivt sätt t.ex. söka ut ärenden som bedöms ha en förhöjd risk för beslut om återkrav på grund av för hög inkomst bl.a. mot bakgrund av tidigare fall av höga inkomster under tidigare år av studier.
Ett annat exempel är CSN:s möjligheter att behandla uppgifter som andra myndigheter eller allmänheten lämnar och som avser personer som ännu inte förekommer i något ärende hos CSN. Det kan handla om uppgifter eller tips som visar att en utpekad person kan komma att ansöka om studiestöd utan ha någon verklig avsikt att studera. CSN har i dag ingen laglig möjlighet att i studiestödsverksamheten behandla en sådan uppgift i avvaktan på att en ansökan ska komma in till myndigheten.
Även bestämmelser om gallring i studiestödsdatalagen försvårar enligt CSN dels handläggningen av ärenden med förhöjd risk för felaktiga utbetalningar, dels att följa upp och dra lärdom av ärenden med konstaterade felaktiga utbetalningar eller bidragsbrott. Bestämmelsen om gallring i studiestödsdatalagen anger detaljerat när CSN ska gallra uppgifter och föreskriver i fråga om ärenden där återkrav eller återbetalning inte är aktuellt förhållandevis korta gallringsfrister. Detta medför t.ex. att nödvändiga kontroller ibland inte hinner genomföras trots att det bedömts finnas en förhöjd risk för felaktiga utbetalningar. Det innebär också svårigheter att utveckla arbetet mot felaktiga utbetalningar till följd av hinder mot att bevara t.ex. konstaterade förfalskningar i studiestödsverksamheten. Vidare innebär det hinder mot att bevara uppgifter över tid i syfte att dra lärdom från tidigare ärenden med misstänkt brottslighet.
5.4.4. Försvårande av informationsutbyte med andra myndigheter och aktörer
CSN ger exempel på att regleringen kan påverka andra aktörer negativt. Personuppgifter som myndigheten behandlar enligt de primära ändamålen får även behandlas genom att lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyl-
35 Jfr 8 § tredje stycket 2 studiestödsdatalagen (2009:287).
dighet för CSN att lämna uppgifter följer av lag eller förordning, till andra. Enligt de primära ändamålsbestämmelserna behöver det som huvudregel finnas en koppling till handläggningen av ett ärende hos CSN, eller en koppling till att anmäla oegentligheter. Begränsningen i den sekundära ändamålsbestämmelsen innebär att CSN får behandla personuppgifter för att lämna ut uppgifter som den samlat in för de primära ändamålen till andra, om uppgiftsskyldighet föreligger. Detta medför att CSN ifrågasätter om myndigheten har rättsligt stöd för att lämna uppgifter på eget initiativ eller då det finns en föreskriven möjlighet. Myndigheten är också tveksam till om den enligt bestämmelsen kan ta emot och behandla personuppgifter om personer som inte omfattas av ett ärende hos CSN. Den sekundära ändamålsbestämmelsen i studiestödsdatalagen är snävare formulerad i jämförelse med sekundära ändamålsbestämmelser i andra registerförfattningar, där personuppgifter får behandlas för att tillhandahålla information som behövs hos någon annan myndighet.
Att CSN inte får använda sökbegrepp baserat på uppgifter om inkomst ställer också till det i fråga om reglerade uppgiftsskyldigheter. CSN har t.ex. en skyldighet att lämna vissa uppgifter till Utbetalningsmyndigheten, se avsnitt 4.4.2. Den myndigheten har meddelat CSN att den behöver vissa uppgifter om inkomst. Eftersom CSN inte kan använda sökbegrepp baserat på uppgifter om inkomst finns det svårigheter att hitta och lämna ut sådana uppgifter till Utbetalningsmyndigheten. Begränsningen av användningen av sökbegrepp försvårar även CSN:s och andra aktörers möjlighet till uppföljning av myndighetens verksamhet.
Den detaljerade och restriktiva regleringen om elektroniskt utlämnande medför också olika problem. Dels försvårar den för CSN att delta i samarbeten och informationsutbyten med andra myndigheter. Enligt regleringen får CSN inte lämna ut personuppgifter elektroniskt om det inte står särskilt föreskrivet. I stor utsträckning bygger informationsutbytet på att information kan hanteras elektroniskt. Detta har också påpekats i lagstiftningsärenden där det föreslås utökade informationsutbyten med CSN.36 Dels försvårar regleringen om elektroniska utlämnanden för CSN att åstadkomma effektiva arbetssätt i relation till andra myndigheter. Ett exempel är att CSN enligt 15 § studiestödsdataförordningen till
36 Se SOU 2023:69, Ökat informationsflöde till brottsbekämpningen – En ny huvudregel, s. 691 och 692.
Polismyndigheten får lämna de uppgifter elektroniskt som krävs för att göra anmälningar enligt bidragsbrottslagen (2007:612). För andra anmälningar saknar CSN rättsligt stöd för att lämna uppgifter elektroniskt till samma myndighet. Ett annat exempel är att CSN inte har stöd för att lämna de uppgifter som behövs för att anmäla fordringar i ärenden om skuldsanering elektroniskt till Kronofogdemyndigheten. Därigenom kan CSN inte använda den e-tjänst som Kronofogdemyndigheten har tagit fram för ändamålet. I stället är CSN hänvisad till att lämna uppgifterna i pappersform. Begränsningarna avseende elektroniskt utlämnande påverkar inte bara informationsutbyte med myndigheter, utan även med privata subjekt och enskilda. Enligt myndigheten skapar denna reglering också merarbete och kostnader för att lämna ut uppgifter genom utskrift på papper. Merarbete uppstår även för mottagaren som inte sällan behöver skanna de mottagna uppgifterna för att återföra dem till ett elektroniskt format.
5.5. Det finns ett behov av en allmän översyn av CSN:s dataskyddsreglering
Vår bedömning: Det finns ett behov av att ta ett helhetsgrepp
om CSN:s registerförfattningar i syfte att skapa en ändamålsenlig reglering som är anpassad efter den generella dataskyddsreglering som gäller i dag, den tekniska utvecklingen och myndighetens behov av att behandla personuppgifter i förhållande till dess uppdrag. Det senare gäller i synnerhet CSN:s uppgift att motverka bidragsbrott och säkerställa att felaktiga utbetalningar inte görs.
Skälen för bedömningen
Registerförfattningarna är inte anpassade efter dagens tekniska och rättsliga förutsättningar
De gällande registerförfattningarna baseras ursprungligen på personuppgiftslagen, en lag som inte längre tillämpas. EU:s dataskyddsförordning innehåller en väsentligt mer utförlig reglering som ger ett mer omfattande skydd i jämförelse med 1995 års dataskydds-
direktiv och personuppgiftslagen. I och för sig gjordes vissa justeringar av registerförfattningarna i samband med att EU:s dataskyddsförordning började tillämpas och ytterligare några justeringar gjordes några år senare. Det har dock inte gjorts någon fullständig översyn av registerförfattningarna sedan de trädde i kraft. Regleringen som ligger till grund för författningarna har alltså genomgått grundläggande förändringar, medan författningarna har anpassats utan ett att ett helhetsgrepp har tagits.
Redan när CSN:s registerförfattningar trädde i kraft var myndighetens verksamhet i princip helt digitaliserad. Det är på grund av detta svårt för oss att motivera ändringar av CSN:s registerförfattningar med anledning av att informationshanteringen sedan ikraftträdandet gått från analog till digital. Under tiden som registerförfattningarna varit i kraft har dock förutsättningarna för CSN:s digitalisering och personuppgiftsförhandling förändrats, särskilt med hänsyn till den snabba tekniska utvecklingen. Denna utveckling har CSN inte kunnat delta i till fullo, mycket på grund av registerförfattningarnas utformning. Informationsutbytet mellan myndigheter har med tiden också utökats, bl.a. med anledning av arbetet med att motverka felaktiga utbetalningar från välfärdssystemen.
Regeringen har i andra lagstiftningsarbeten om sektorsspecifika dataskyddsregleringar konstaterat att det är av stor vikt att de möjligheter som digitaliseringen för med sig för samhället – för individer, näringsliv, civilsamhälle och offentlig förvaltning – både främjas och används. Regeringen har också fört fram att digitaliseringen av den offentliga förvaltningen ska leda till en enklare vardag för medborgare, en öppnare förvaltning som stöder innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.37 Vi kan konstatera att CSN:s registerförfattningar inte är anpassade till den mer avancerade och omfattande automatiserade behandling av personuppgifter som i dag förväntas av myndigheterna.
Regleringen försvårar CSN:s samtliga uppdrag
Vi kan utifrån CSN:s beskrivning dra slutsatsen att dagens reglering i myndighetens registerförfattningar ger upphov till problem som försvårar dess möjligheter att utföra sina uppgifter. Det är uppenbart
37 Se t.ex. prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 19 och 20.
att regleringen orsakar svåra tolkningssituationer och osäkerhet kring om viss personuppgiftsbehandling kan utföras. Om det för en åtgärd saknas uttryckligt stöd i författning och om det råder osäkerhet kring om vissa åtgärder kan utföras är det rimligt att myndigheten intar ett försiktigt förhållningssätt. Detta medför i sin tur att myndigheten riskerar att bedriva verksamheten på ett mindre effektivt sätt. Ett sådant förhållningssätt kan också leda till att utvecklingen av verksamheten avstannar, vilket gör att effektiviteten minskar ytterligare. Det är bl.a. uppenbart att nuvarande reglering resulterar i att CSN inte kan delta i digitaliseringen av den offentliga förvaltningen på ett effektivt sätt.
Vi gör här inga bedömningar om hur dagens reglering bör tolkas eller i vilken omfattning CSN borde kunna utföra personuppgiftsbehandling enligt nuvarande reglering. Det finns inte behov av en sådan bedömning när vi kan konstatera att regleringen är så pass detaljerad att den blir svårtillämpad. Vid sådana förhållanden spelar det mindre roll hur bestämmelserna egentligen bör eller skulle kunna tolkas.
Det är alltså vår bedömning att nuvarande reglering påverkar myndighetens uppdrag starkt negativt. Samtliga uppdrag försvåras av de detaljrika och begränsande ändamålsbestämmelserna. Inte minst begränsas myndigheten i arbetet med att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Regleringen om sökförbud hindrar myndigheten att upptäcka, hantera och följa upp bidragsbrott och felaktiga utbetalningar. Likaså försvårar reglerna om gallring möjligheten för myndigheten att utföra kontroller i ärenden där det finns misstanke om felaktiga utbetalningar eller brott. Bestämmelserna om elektroniskt utlämnande hindrar också samarbetet med andra myndigheter och medför i dagens digitala värld onödigt merarbete och kostnader. Det är enligt oss också allvarligt att till och med CSN:s kärnverksamhet – att administrera studiestöd och andra stöd – försvåras genom dagens reglering.
Långtgående konsekvenser om registerförfattningarna inte medger en ändamålsenlig personuppgiftsbehandling
Om CSN inte kan utföra sina uppdrag på ett ändamålsenligt sätt påverkar detta i längden inte bara de studerande utan också samhället i stort. Det sistnämnda gäller särskilt CSN:s uppdrag att förebygga,
förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Som vi beskriver i avsnitt 5.3 är felaktiga utbetalningar ett stort problem för välfärdsmyndigheterna och riskerar att rubba förtroendet för välfärdssystemen.
Det är vår uppfattning att CSN, liksom andra myndigheter, bör ges förutsättningar att behandla personuppgifter på ett sätt som är ändamålsenligt i förhållande till dagens generella dataskyddsreglering, den tekniska utvecklingen och myndighetens specifika behov av att behandla personuppgifter i verksamheten. En sådan reglering skulle inte bara effektivisera myndighetens stödverksamhet utan också minska risken för felaktiga beslut som kan leda till felaktiga utbetalningar samt öka möjligheterna för myndigheten att förebygga, förhindra och upptäcka sådana utbetalningar och brott. Det är alltså vår bestämda uppfattning att det finns ett starkt behov av att genom en översyn av registerförfattningarna ge CSN förbättrade förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott, inte minst för att minska omfattningen av sådana utbetalningar och brott samt upprätthålla legitimiteten och förtroendet för myndighetens skattefinansierade verksamhet. Utöver detta finns det också anledning att ta ett helhetsgrepp om regleringen och generellt förbättra CSN:s förutsättningar för personuppgiftsbehandling.
6. En ny dataskyddsreglering för CSN
6.1. Inledning
Enligt våra direktiv ska vi lämna nödvändiga författningsförslag inom ramen för vår översyn av CSN:s registerförfattningar. I detta kapitel presenterar vi vårt förslag om att studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321) ska upphävas. Vi föreslår vidare att lagen ska ersättas med en ny lag som ska kompletteras av en ny förordning. Vi redogör också för vår bedömning av vilken normgivningsnivå CSN:s nya dataskyddsreglering kräver mot bakgrund av regeringsformens bestämmelser. Vi inleder dock med att besvara frågan om det över huvud taget fortsatt behövs en särskild reglering för behandling av personuppgifter vid CSN.
6.2. En särskild reglering behövs fortsatt
Vår bedömning: Det behövs fortsatt en särskild reglering för
behandling av personuppgifter vid CSN.
Skälen för bedömningen
Som vi beskriver i avsnitt 4.2.8 har myndigheten behov av att behandla en omfattande mängd personuppgifter och en större mängd integritetskänsliga sådana, som innefattar känsliga personuppgifter i EU:s dataskyddsförordnings mening. Vid behandling av sådana uppgifter är det av stor vikt att det finns ett regelverk som tydligt anger ramarna för behandlingen och säkerställer ett starkt skydd för den personliga integriteten.
Vi konstaterar också i avsnitt 5.5 att dagens reglering försvårar för CSN att utföra sin stödverksamhet. En ändamålsenlig och flexibel reglering om personuppgiftsbehandling är en förutsättning för att CSN ska kunna utföra sina reglerade arbetsuppgifter effektivt. Det är dock inte nödvändigt att särskilt reglera myndighetens personuppgiftsbehandling, utan det hade principiellt varit fullt möjligt att denna endast regleras av den generella dataskyddsregleringen. Det är mot denna bakgrund rimligt att ställa sig frågan om CSN behöver en särskild dataskyddsreglering över huvud taget.
CSN:s behandling av personuppgifter omfattas av bestämmelserna i EU:s dataskyddsförordning och dataskyddslagen. Förordningen är direkt tillämplig i svensk rätt och är närmast heltäckande i dataskyddsrättsliga frågor. Trots detta är förordningen generell på så vis att regelverket inte föreskriver några anpassade skyddsåtgärder.
I svensk rätt finns en tradition av att i särskilda registerförfattningar införa bestämmelser för viktigare eller känsligare behandling av personuppgifter, som kompletterar eller innehåller undantag från de generella bestämmelser som reglerar personuppgiftsbehandling. En särskild reglering anses under vissa förutsättningar innebära en bättre garanti för utformningen av integritetsskyddet vid känslig personuppgiftsbehandling, särskilt där det finns behov av att utföra omfattande behandlingar av integritetskänslig karaktär. En sådan reglering kan anpassas efter behovet av behandling av personuppgifter i en viss verksamhet och behovet av särskilt skydd för den personliga integriteten med anledning av behandlingen.
Att reglera viss personuppgiftsbehandling i en särskild författning utgör alltså en form av skydd för den enskilde och är också en möjlig väg för att säkerställa att svensk rätt möter kraven på proportionalitet och bestämmelser om lämpliga och särskilda skyddsåtgärder i EU:s dataskyddsförordning. Registerförfattningar gör det möjligt att ange under vilka förutsättningar personuppgifter får behandlas och vilka skyddsåtgärder som ska gälla för personuppgiftsbehandlingen. En ändamålsenligt utformad registerförfattning bidrar också till att en myndighet kan fullgöra sina uppgifter på ett effektivt och ändamålsenligt sätt samtidigt som de registrerades rättigheter och skyddet för den personliga integriteten säkerställs.
Vi anser sammanfattningsvis att CSN:s behandling av personuppgifter fortsatt bör regleras särskilt. Detta framför allt med hänsyn till mängden uppgifter som myndigheten behöver behandla och
uppgifternas karaktär. Vid sådan behandling av personuppgifter är det av stor vikt att det finns ett anpassat regelverk som tydligt anger ramarna för behandlingen och ser till att det finns lämpliga skyddsåtgärder för att åstadkomma ett starkt skydd för den personliga integriteten. Detta samtidigt som CSN ges goda förutsättningar att kunna fullgöra sin samhällsviktiga verksamhet på ett ändamålsenligt sätt. Även om vi anser att dagens reglering brister i detta avseende kan en ny särskild reglering skapa tydlighet och transparens för såväl tillämpare som de registrerade och övrig allmänhet.
6.3. Studiestödsdatalagen ska upphävas och ersättas av en ny lag med samma namn
Vårt förslag: Nuvarande studiestödsdatalag, som reglerar CSN:s
behandling av personuppgifter inom studiestödsverksamheten, ska upphävas och ersättas av en ny lag med samma namn.
Vår bedömning: Bestämmelser om hur personuppgifter får sam-
las in, för vilka ändamål uppgifterna får behandlas och bestämmelser som har central betydelse för integritetsskyddet bör ges i form av lag.
Skälen för förslaget och bedömningen
En omarbetning av både innehåll och struktur
Vi anser att inom ramen för den systematiska översyn vi nu gör av CSN:s registerförfattningar bör regleringen omarbetas i sin helhet, både när det gäller innehåll och struktur. När en allmän översyn av en lagstiftning får till följd att ett flertal paragrafer ändras och upphävs, kan det leda till att lagstiftningen blir svåröverskådlig. Det är då fördelaktigt att upphäva hela den gällande regleringen och ersätta den med en ny. En sammanhållen lagstiftning gör regleringen mer pedagogisk och överblickbar.1Studiestödsdatalagen bör mot bakgrund av detta upphävas och ersättas med en ny lag med samma namn.
1 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 22.
I resterande delar av detta avsnitt presenterar vi skälen till att CSN:s personuppgiftsbehandling fortsatt bör regleras i lag.
Normgivningsmakten enligt regeringsformen
I målsättningsstadgandet i 1 kap. 2 § första stycket RF slås det fast att den offentliga makten ska utövas med respekt för den enskilda människans frihet, och i fjärde stycket anges att det allmänna ska värna om den enskildes privatliv och familjeliv.
Grundlagens regler om hur normgivningsmakten är fördelad mellan riskdagen och regeringen finns i huvudsak i regeringsformens åttonde kapitel. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag bl.a. om de avser skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden.2 Kravet på att sådana föreskrifter ska ha lagform är dock inte undantagslöst. Riksdagen kan med vissa begränsningar, som inte är aktuella här, bemyndiga regeringen att meddela föreskrifterna.3 Regeringen får i övrigt meddela bl.a. sådana föreskrifter som inte enligt grundlag ska meddelas av riskdagen.4 Denna föreskriftsrätt brukar kallas regeringens restkompetens.
Att det allmänna behandlar personuppgifter om enskilda anses inte innebära någon skyldighet för enskilda eller något ingrepp i deras personliga förhållanden i den mening som avses i regeringsformen. Bestämmelser om personuppgiftsbehandling som utförs av statliga myndigheter under regeringen har därmed i princip ansetts kunna beslutas av regeringen med stöd av dess restkompetens.5 Utgångspunkten kan alltså sägas vara att bestämmelser om CSN:s personuppgiftsbehandling inte behöver regleras i lag till följd av bestämmelserna om normgivning i regeringsformens åttonde kapitel.
Konstitutionsutskottet har dock framhållit att det bör vara en målsättning att föreskrifter om myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll ska
2 Se 8 kap. 2 § första stycket 2 RF. 3 Se 8 kap. 3 § RF. 4 Se 8 kap. 7 § RF. 5 Se bl.a. SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 202, prop. 2017/18:105,
Ny dataskyddslag, s. 26 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 116.
meddelas genom lag, vilket regeringen också instämt i.6 Det kan i och för sig ifrågasättas i vilken mån dessa uttalanden kan appliceras på myndigheters personuppgiftsbehandling som sådan, eller om uttalandena framför allt är hänförliga till förfarandet av regelrätta register, t.ex. fastighetsregistret eller belastningsregistret.7 Uttalandena har dock med åren kommit att bli vägledande för att välja lagform inte bara på regleringen av regelrätta register, utan i många fall även myndigheters behandling av personuppgifter i stort.
Oavsett gäller sedan 2011 ett utökat grundlagsskydd för den personliga integriteten enligt 2 kap. 6 § andra stycket RF. Skyddet får enligt 2 kap. 20 § RF endast begränsas genom lag.
Regeringsformens skydd för den personliga integriteten
Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begreppet enskilds
personliga integritet har samma innebörd som i tryckfrihetsförord-
ningen och offentlighets- och sekretesslagen (2009:400).8 Det innebär att bestämmelsen kan omfatta vitt skilda slag av information som är knuten till en enskild person, t.ex. namn och andra identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även uppgifter som inte är direkt knutna till den enskildes privata sfär, t.ex. uppgift om anställning, omfattas av begreppet.9 Även uppgift om en persons ekonomi faller vanligtvis under begreppet personliga
förhållanden.10
Det grundlagsreglerade integritetsskyddet omfattar åtgärder som sker utan samtycke och som innebär kartläggning eller övervakning av enskildas personliga förhållanden. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte vad som är dess huvudsakliga syfte, utan vilken effekt den har. Vad som avses med övervakning respektive kartläggning får bedömas med
6 Bet. 1990/91:KU11, s. 11, bet. 1997/98:KU18, s. 48 samt prop. 1990/91:60, om offentlighet,
integritet och ADB, s. 58 och prop. 1997/98:44, Personuppgiftslag, s. 41.
7 Jfr SOU 2015:39, Myndighetsdatalag, s. 202 och SOU 2023:100, Framtidens dataskydd vid
Skatteverket, Tullverket och Kronofogden, s. 344 och 345.
8 Se prop. 2009/10:80, En reformerad grundlag, s. 250. 9 Se prop. 2009/10:80, En reformerad grundlag, s. 177. 10 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84.
utgångspunkt i vad som enligt normalt språkbruk läggs i dessa begrepp.11 En samling och behandling av uppgifter från det allmännas sida i t.ex. ett myndighetsspecifikt verksamhetsregister i syfte att ge underlag för ärendehandläggning, kan alltså innebära en kartläggning av enskildas personliga förhållanden även om det huvudsakliga ändamålet med behandlingen är ett helt annat.12
Vidare omfattas endast sådana åtgärder som innebär ett betydande intrång i den personliga integriteten. Vad som utgör ett betydande integritetsintrång måste bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Vid bedömningen av hur ingripande ett intrång i den personliga integriteten är ska stor vikt läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även ändamålet med behandlingen av uppgifterna kan vara av betydelse vid bedömningen. Därutöver kan mängden uppgifter som behandlas vara en betydelsefull faktor, liksom i vilken omfattning de lämnas ut till andra utan omedelbart stöd i offentlighetsprincipen.13
Skyddet för den personliga integriteten är inte absolut utan begränsningar får göras genom lag.14 En sådan begränsning får dock endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar.15 Vid en begränsning ska det därför göras en proportionalitetsbedömning. Kravet på reglering i lag innebär dels att riksdagen måste iaktta de begränsningar som följer av 2 kap. 21 § RF, dels att lagstiftaren öppet och noggrant ska redovisa skälen för ett ingrepp och varför det krävs.
Även utanför tillämpningsområdet för det utökade grundlagsskyddet kan det ställas krav på att ett intrång måste ha stöd i lag till följd av reglerna i bl.a. regeringsformens åttonde kapitel eller artikel 8 i Europakonventionen.16
11 Se prop. 2009/10:80, En reformerad grundlag, s. 250. 12 Jfr prop. 2009/10:80, En reformerad grundlag, s. 180. 13 Se prop. 2009/10:80, En reformerad grundlag, s. 183 och 184. 14 Se 2 kap. 20 § 2 RF. 15 Se 2 kap. 21 § RF. 16 Se prop. 2009/10:80, En reformerad grundlag, s. 177.
Behandling av personuppgifter i CSN:s stödverksamhet omfattas av skyddet mot betydande intrång i den personliga integriteten
Vid ikraftträdandet av studiestödsdatalagen hade nuvarande bestämmelse i 2 kap. 6 § andra stycket RF ännu inte trätt i kraft. Bestämmelsens effekt på regleringen i CSN:s registerförfattningar berördes inte heller särskilt i samband med den översyn som gjordes när EU:s dataskyddsförordning skulle börja tillämpas.17
CSN behandlar redan i dag en större mängd personuppgifter inom ramen för myndighetens stödverksamhet. Genom våra förslag kommer myndigheten ges utökade möjligheter att behandla personuppgifter, både sett till antal registrerade och antalet personuppgifter, se t.ex. avsnitt 9.4.1. Detta för att myndigheten t.ex. ska kunna arbeta mer effektivt i dess uppdrag att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott. Det rör sig om uppgifter om enskildas personliga förhållanden i den mening som avses i 2 kap. 6 § andra stycket RF. Det handlar också i stor utsträckning om sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning. Behandlingen av personuppgifter i CSN:s stödverksamhet kommer vidare i många fall att göras utan den registrerades samtycke.
De personuppgifter som genom våra förslag skulle få samlas in till CSN:s stödverksamhet rör ett mycket stort antal personer och många låntagare kan förekomma som registrerade under mycket lång tid. Uppgifterna, som kan vara av varierande karaktär, kommer som utgångspunkt att samlas in löpande och kan avse enskilda i livets alla faser. Även förhållandevis harmlösa uppgifter kan, om de samlas in tillsammans med andra personuppgifter, skapa en totalbild av en persons förhållanden.
CSN kommer också genom våra förslag att ges utökade möjligheter att behandla personuppgifter genom att göra dataanalyser och urval för bl.a. kontroll av enskilda, se avsnitt 9.4.2. Användningen av sådana verktyg förutsätter att stora mängder uppgifter som myndigheten förfogar över och kan samla in om enskilda behandlas för att ta fram urvalsträffar. Förfarandet vid dataanalyser och urval innebär att uppgifter genom sambearbetning kan komma att skapa en bild av enskildas personliga och ekonomiska förhållanden som är mer heltäckande än vid t.ex. handläggning av ett enskilt ärende.
17 Se prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet.
Även om syftet med CSN:s personuppgiftsbehandling är något annat än kartläggning får – med hänsyn till omfattningen och karaktären av myndighetens verksamhet – den behandling som sker inom ramen för verksamheten enligt vår bedömning anses vara en sådan kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 § andra stycket RF.
Den avgörande frågan är därefter om det intrång i den personliga integriteten som behandlingen kan innebära är att bedöma som så betydande att det omfattas av grundlagsskyddet. Det är, som framgår ovan, endast vissa kvalificerade intrång som aktualiserar en tillämpning av grundlagsskyddet.
CSN kommer genom våra förslag att ges möjlighet att samla in och hantera omfattande mängder av personuppgifter i sin stödverksamhet, såväl känsliga personuppgifter som andra personuppgifter av mer eller mindre integritetskänslig karaktär. De tekniska förutsättningarna är i dag sådana att det är möjligt att på ett relativt enkelt sätt åstadkomma precisa sammanställningar av stora mängder personuppgifter. Uppgifter kan i CSN:s stödverksamhet dessutom komma att behandlas under en lång tid samt i syfte att göra dataanalyser och urval. Utöver detta finns en omfattande reglering om uppgiftsutlämnande som dels innebär att CSN behöver lämna ut uppgifter till andra myndigheter och andra aktörer, dels att CSN tar emot sådana uppgifter från andra myndigheter och andra aktörer som CSN sedan bearbetar tillsammans med uppgifter som samlats in på annat sätt.
Även om personuppgiftsbehandlingen i CSN:s stödverksamhet och dataanalyser och urval syftar till att ge ökad nytta för såväl samhället i stort som för de personer som ansöker om stöd bedömer vi, med hänsyn till de omständigheter som presenteras ovan, att behandlingen innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket RF. Utgångspunkten är därför att den föreslagna regleringen ska ges i lagform.
Ramarna för personuppgiftsbehandlingen och bestämmelser av central betydelse för integritetsskyddet bör regleras i lag
CSN:s personuppgiftsbehandling i myndighetens stödverksamhet behöver alltså regleras på ett tydligt sätt i lag. Det behöver dock inte innebära att alla led i behandlingen måste bli föremål för lag-
reglering. Integritetsskyddskommittén,18 som lämnade förslaget till grundlagsbestämmelsen i 2 kap. 6 § andra stycket RF, konstaterade att de från integritetsskyddssynpunkt viktigaste momenten i hanteringen handlar om hur uppgifter om enskilda får samlas in och om ändamålet med behandlingen. Dessa moment i hanteringen av personuppgifter utgör alltså sådana intrång som bör prövas mot förutsättningarna i 2 kap. 20 och 21 §§ RF. I vilken utsträckning andra moment i hanteringen av personuppgifter bör regleras i form av lag eller genom förordning får avgöras utifrån de allmänt gällande reglerna om normgivning i regeringsformens åttonde kapitel.19
Allt sedan det utökade grundlagsskyddet trädde i kraft har lagstiftaren tagit ställning till vilka led i en behandling av personuppgifter som utgör ett betydande intrång i den personliga integriteten, och som därför bör ges i form av lag. I förarbetena stannar regeringen i de flesta fall vid att konstatera att en behandling av personuppgifter ska slås fast i lag. I vissa fall uttalar regeringen också att de bestämmelser som är centrala för integritetsskyddet bör ges i lagform.20Ledning i vilka moment i en behandling av personuppgifter som utgör ett betydande intrång i den personliga integriteten bör därför hämtas i hur sådan lagreglering har utformats.
I allmänhet regleras de primära och sekundära ändamålen för behandlingen i lag. Det brukar även finnas ett förtydligande om det är tillåtet att behandla personuppgifter för andra ändamål än de ändamål som de ursprungligen samlades in för. Där det är relevant regleras vidare tillåten behandling av känsliga personuppgifter. Ofta finns det också en bestämmelse som fastställer när det är tillåtet att lämna ut personuppgifter i elektronisk form.21
I syfte att bidra till att balansera ett betydande intrång i den personliga integriteten finns ofta en reglering av sökbegränsningar och längsta tid för behandling av personuppgifter. Även bestämmelser om begränsning och kontroll av tillgången till personuppgifter i en myndighets verksamhet återfinns ofta i lag. Likaså har en särskild
18 Ju 2004:05. 19 Se SOU 2008:3, Skyddet för den personliga integriteten – Bedömningar och förslag, s. 272 och 273. 20 Se t.ex. prop. 2014/15:148, Domstolsdatalag, s. 23, prop. 2016/17:89, Skattebrottsdatalag, s. 46, prop. 2019/20:51, Totalförsvarsdatalag – personuppgiftsbehandling vid Totalförsvarets rekryter-
ingsmyndighet, s. 28, prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 24
och 25, prop. 2022/23:34, Utbetalningsmyndigheten, s. 118 och 119 samt prop. 2022/23:41,
Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 44.
21 Se bl.a. domstolsdatalag (2015:728), lag (2020:421) om Rättsmedicinalverkets behandling av personuppgifter och lag (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten.
reglering om dataanalyser och urval på senare tid förts in i lag. Slutligen fastställs också vanligen vem som är personuppgiftsansvarig för behandlingen.
I överensstämmelse med det som vi nu presenterar är det enligt vår uppfattning ramarna för personuppgiftsbehandlingen i CSN:s verksamhet som ska slås fast i lag. Det handlar om bestämmelser som rör hur uppgifterna får samlas in och de primära och sekundära ändamålen med behandlingen. Även de bestämmelser som är av central betydelse för integritetsskyddet bör ges i lagform. Genom att i lag balansera det integritetsintrång som personuppgiftsbehandlingen innebär skapas tydliga förutsättningar för att behandlingen inte blir mer ingripande än vad som är nödvändigt. Genom en tydlig lagreglering skapas också bättre förutsättningar för att få allmänhetens förtroende för behandlingen av personuppgifter i CSN:s verksamhet.
Proportionalitetsbedömningar
Begränsningar av skyddet mot betydande integritetsintrång får som vi nämner tidigare i detta avsnitt endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle, och aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Det är därmed av stor vikt att de förslag som vi lägger fram i detta avseende uppfyller dessa krav, vilket vi bedömer att de gör. Vi gör i anslutning till våra respektive förslag en bedömning av om förslagen är proportionerliga och – i tillämpliga fall – om de utgör ett adekvat integritetsskydd. Vid denna bedömning behöver vi utgå från den reglering som gäller i dag och jämföra vilka utökade möjligheter till personuppgiftsbehandling CSN kommer få genom våra förslag. Utifrån jämförelsen identifierar vi risker med våra förslag och gör sedan en avvägning mellan CSN:s behov av att behandla personuppgifter och skyddet för den personliga integriteten. Den nya regleringen vi föreslår utgår dock från helt andra förutsättningar än vad som gäller enligt den nuvarande regleringen. Den föreslagna regleringen bör enligt vår mening därför ses som en helhet, dvs. hänsyn ska tas till samtliga bestämmelser som föreslås i den nya lagen. I avsnitt 16.3 redovisar vi därför också en samlad bedömning av konsekvenserna för den personliga integriteten, en form av sammanfattad dataskydds- och integritetsanalys, av samtliga förslag.
Lagens namn
En av utgångspunkterna för våra förslag om en ändamålsenlig dataskyddsreglering för CSN, vilka vi presenterar i kapitel 7, är att den nya lagen ska komplettera EU:s dataskyddsförordning och enbart innehålla bestämmelser om dataskydd. CSN:s personuppgiftsbehandling sker i dag i princip uteslutande på automatiserad väg. Detta avspeglas redan i lagens nuvarande namn, som vi anser ska behållas. Namnet passar enligt vår mening även väl ihop med den förkortning som lagen med kompletterande bestämmelser till EU:s dataskyddsförordning brukas ges, dvs. dataskyddslagen. Även om vi föreslår att lagens tillämpningsområde ska omfatta även andra stöd än studiestöd som CSN administrerar, se avsnitt 8.3.1, utgörs myndighetens mest omfattande verksamhet av just studiestöd. Den nya lagen bör alltså benämnas studiestödsdatalag.
6.4. Studiestödsdataförordningen ska upphävas och ersättas av en ny förordning med samma namn
Vårt förslag: Nuvarande studiestödsdataförordning ska upphävas
och ersättas med en ny förordning med samma namn.
Bestämmelser som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter som kompletterar bestämmelserna i den nya studiestödsdatalagen ska införas i den lagen.
Vår bedömning: Någon generell upplysningsbestämmelse om
regeringens normgivningskompetens behöver inte tas in i den nya studiestödsdatalagen.
Det behövs inte heller en bestämmelse som bemyndigar CSN att meddela föreskrifter om verkställigheten av den nya lagen och den nya förordningen.
Skälen för förslaget och bedömningen
Kompletterande bestämmelser på förordningsnivå
Vi redogör i avsnitt 6.2 för att vi anser att ramarna för CSN:s personuppgiftsbehandling och bestämmelser som är av central betydelse för integritetsskyddet bör regleras i lag. På detta sätt är det möjligt att åstadkomma ett fortsatt starkt integritetsskydd för personuppgifter om enskilda. Det är dock enligt vår bedömning inte ändamålsenligt att i lagen detaljreglera personuppgiftsbehandlingen. Ett sådant utförande skulle nämligen tynga lagen och motverka en flexibel tillämpning. Det finns därför anledning att i viss utsträckning reglera CSN:s personuppgiftsbehandling även på annan normgivningsnivå.
Kompletterande bestämmelser till studiestödsdatalagen bör mot denna bakgrund införas på förordningsnivå. En kombination av lag och kompletterande föreskrifter på förordningsnivå säkerställer skyddet för den personliga integriteten samtidigt som CSN ges tillräcklig flexibilitet.
Detta innebär att de grundläggande och skyddande reglerna i lag är långsiktiga och stabila och sätter ett slags tak för vilken behandling som kan tillåtas i CSN:s verksamhet, medan regleringen i förordning snabbare kan justeras för att t.ex. möta förändrade behov. På så vis undviks att riksdagen måste ta ställning till enskilda detaljer, vilket varken kan anses effektivt eller ändamålsenligt. Det ska samtidigt framhållas att såväl en ändring i lag som en ändring i förordning kräver en gedigen beredning. De regler som föreskrivs i förordning får inte utgöra ytterligare intrång i den personliga integriteten utöver vad som följer av föreslagna regler i lag, och inte heller kräva lagform i övrigt enligt de allmänt gällande reglerna om normgivning i regeringsformens åttonde kapitel.
Sammanfattningsvis bedömer vi alltså att lagregleringen avseende CSN:s personuppgiftsbehandling bör kompletteras av bestämmelser som meddelas genom förordning med stöd av 8 kap. 7 § RF, dvs. regeringens restkompetens. De förskrifter som regeringen meddelar får inte innebära ett betydande intrång i den personliga integriteten.22Detta bör göras genom att nuvarande studiestödsdataförordning upphör att gälla och att en ny förordning med samma namn införs.
22 Jfr 2 kap. 6 § andra stycket och 20 § RF.
Upplysningsbestämmelser om rätt att meddela föreskrifter där det behövs av tydlighetsskäl
Mot bakgrund av att det följer av regeringsformens åttonde kapitel att kompletterande bestämmelser kan finnas i förordning, bedömer vi att det inte finns något behov av att ta in en generell upplysningsbestämmelse om regeringens normgivningskompetens i studiestödsdatalagen.23
Detta utesluter dock inte att det avseende vissa bestämmelser i lagen av tydlighetsskäl kan finnas ett behov av att upplysa om regeringens rätt att med stöd av 8 kap. 7 § RF meddela vissa föreskrifter som kompletterar bestämmelser i den nya lagen. En sådan information kan vara särskilt angelägen om en tillämpare får en felaktig uppfattning genom att bara läsa lagbestämmelserna i ämnet och det därigenom finns en risk att bestämmelserna tillämpas fel.24 Vidare framgår det av en dom från Högsta förvaltningsdomstolen att en upplysningsbestämmelse i vissa fall kan sägas ha en materiell funktion, eftersom regeringen utan en sådan bestämmelse kan vara förhindrad att med stöd av restkompetensen meddela föreskrifter i fall då riksdagen har lagstiftat på området för regeringens restkompetens. Genom bestämmelsens avgränsning tydliggörs i vilken mån regeringen kan använda sig av restkompetensen på området.25
Vi föreslår mot denna bakgrund att sådana upplysningsbestämmelser tas in i studiestödsdatalagen där det bedöms finnas ett behov av det, vilket vi kommer redogöra särskilt för i anslutning till respektive förslag.
Ett generellt bemyndigande till CSN att meddela verkställighetsföreskrifter behövs inte
Av 8 kap. 11 § RF följer att regeringen får bemyndiga en myndighet under regeringen eller någon av riksdagens myndigheter att meddela föreskrifter enligt 8 kap. 7 § RF. Det innebär att regeringen kan överlåta den normgivningskompetens som regeringen har enligt 8 kap. 7 § RF, dvs. att meddela föreskrifter om verkställighet av lag, s.k.
23 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 119. 24 Se Ds 2014:1, Gröna boken – Riktlinjer för författningsskrivning, s. 90. 25 Se HFD 2023 ref. 2.
verkställighetsföreskrifter, samt föreskrifter som enligt grundlag inte ska meddelas av riksdagen, den s.k. restkompetensen.
Med verkställighetsföreskrifter avses tillämpningsföreskrifter av rent administrativ karaktär och föreskrifter som i viss utsträckning i materiellt hänseende fyller ut en lag under förutsättning att regleringen inte tillförs något väsentligt nytt. Verkställighetsföreskrifter får alltså inte innebära ett nytt åliggande för enskilda eller något som kan betraktas som ett nytt ingrepp i enskildas personliga eller ekonomiska förhållanden.26
I nuvarande studiestödsdataförordning finns ingen generell bestämmelse som innebär att regeringen bemyndigar CSN att meddela föreskrifter om verkställighet av bestämmelserna i studiestödsdatalagen och studiestödsdataförordningen. Vi bedömer att en sådan bestämmelse inte heller behövs i den nya regleringen.
26 Se prop. 1973:90, Kungl. Maj:ts proposition med förslag till ny regeringsform och ny riksdags-
ordning m.m., s. 211.
7. Utgångspunkter för en ny och ändamålsenlig dataskyddsreglering för CSN
7.1. Inledning
Vårt huvudsakliga uppdrag är att göra en allmän översyn av CSN:s dataskyddsreglering i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Våra förslag bör enligt våra direktiv leda till att regleringen blir flexibel och anpassad efter såväl den tekniska utvecklingen som den generella dataskyddsregleringen, samtidigt som enskildas personliga integritet värnas.
Vi redogör i kapitel 6 för våra förslag att nuvarande reglering ska upphävas och ersättas med en ny. I detta kapitel presenterar vi vissa bedömningar om vilka generella utgångspunkter som bör ligga till grund för våra förslag om en ny och ändamålsenlig dataskyddsreglering för CSN.
7.2. Ett adekvat integritetsskydd och ett tydligt rättsligt stöd för personuppgiftsbehandling
Vår bedömning: CSN:s dataskyddsreglering bör utgöra ett
adekvat skydd för enskildas personliga integritet. Samtidigt bör våra förslag också ge CSN ett tydligt rättsligt stöd för den personuppgiftsbehandling myndigheten behöver utföra.
Skälen för bedömningen
Uppgifter om enskildas personliga förhållanden åtnjuter skydd i en rättsstat. Vi redogör i avsnitt 3.2 för de relevanta rättsakter som föreskriver detta. Där går vi bl.a. igenom rätten till skydd av personuppgifter1 och rätten till skydd för privat- och familjeliv.2 Vi redogör också för att var och en gentemot det allmänna enligt regeringsformen är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.3
Respekten för individens självbestämmande och integritet är alltså grundläggande i en demokrati och inte enbart en dataskyddsrättslig fråga.4 En given utgångspunkt för utformningen av CSN:s dataskyddsreglering är därför att enskilda har ett berättigat intresse av att erbjudas skydd för information om sina personliga förhållanden.5
Som vi beskriver i avsnitt 3.2 kan grundläggande rättigheter vara absoluta eller relativa, dvs. möjliga att begränsa. De rättigheter vi nämner som relevanta för vårt uppdrag är sådana rättigheter som kan begränsas.6
Enligt EU:s dataskyddsförordning måste rätten till skydd för personuppgifter förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna princip innebär att åtgärder ska vara lämpliga och nödvändiga för att uppnå det önskade resultatet, och inte innebära en orimlig börda för den enskilde i förhållande till det eftersträvade målet. Principen framgår också av regeringsformen och i olika EUrättsliga och internationella rättsakter.7
I CSN:s stödverksamhet behandlar myndigheten en stor mängd uppgifter om enskilda. Det rör sig såväl om behandling av uppgifter som bör uppfattas som integritetskänsliga, t.ex. om hälsa och ekonomi, som om behandling av uppgifter som typiskt sett är mindre skyddsvärda, t.ex. om enskilds adress. Myndigheten har förvisso ett
1 Se artikel 8.1 i EU:s rättighetsstadga. 2 Se artikel 8.1 i Europakonventionen. 3 Se 2 kap. 6 § andra stycket RF. 4 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 161. 5 Jfr prop. 2009/10:80, En reformerad grundlag, s. 175. 6 Jfr t.ex. 2 kap. 21 § RF. 7 Se 2 kap. 21 § RF och t.ex. artikel 5.4 i Fördraget om Europeiska unionens funktionssätt (2016/C 202/1) och artikel 52.1 i EU:s rättighetsstadga.
legitimt behov av att behandla personuppgifter i syfte att utföra den verksamhet som riksdag eller regering har beslutat eller som krävs enligt unionsrätten. De uppgiftssamlingar som förekommer inom verksamheten kan dock innebära att uppgifterna är tillgängliga för myndigheten på sådant sätt att behandlingen kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat (se även avsnitt 6.3).8
Mot bakgrund av detta bör CSN ges möjlighet att utföra personuppgiftsbehandling endast i den utsträckning det är proportionerligt i förhållande till enskildas berättigade intresse av skydd för information om sina personliga förhållanden. Det innebär att myndighetens dataskyddsreglering inte bör möjliggöra annan personuppgiftsbehandling än sådan som kan antas leda till att myndigheten kan utföra sin verksamhet enligt tillämplig lagstiftning. Myndighetens dataskyddsreglering bör inte heller möjliggöra sådan personuppgiftsbehandling som är mer omfattande än vad som behövs för att CSN ska kunna utföra sin verksamhet, eller sådan behandling som inte står i ett rimligt förhållande till det intrång i den personliga integriteten som behandlingen innebär.
En utgångspunkt för våra förslag bör därför vara att CSN:s dataskyddsreglering ska omfatta de bestämmelser som krävs för att regleringen ska kunna utgöra ett adekvat skydd för enskildas personliga integritet.
Samtidigt som regleringen ska ge ett adekvat integritetsskydd bör våra förslag också leda till att CSN får ett tydligt rättsligt stöd för den personuppgiftsbehandling som myndigheten behöver utföra. I avsnitt 5.5 konstaterar vi att dagens reglering inte lever upp till detta. För att myndigheten ska kunna utföra sina uppdrag på ett ändamålsenligt sätt behövs tydligt rättligt stöd för personuppgiftsbehandlingen. Ett sådant stöd, som är väl avvägt utifrån integritetsaspekter, bör också ge ett adekvat integritetsskydd.
Som vi nämner i avsnitt 6.3 redogör vi i anslutning till våra respektive förslag för en bedömning av om den föreslagna regleringen kan anses vara proportionerlig och – där det är tillämpligt – innebära ett adekvat integritetsskydd. I avsnitt 16.3 presenterar vi också en övergripande bild av konsekvenserna för den personliga integriteten.
8 Se prop. 2009/10:80, En reformerad grundlag, s. 175.
7.3. EU:s dataskyddsförordning är den primära rättskällan för dataskyddsfrågor
Vår bedömning: CSN:s dataskyddsreglering bör utformas med
beaktande av att EU:s dataskyddsförordning utgör den primära rättskällan för dataskyddsfrågor.
Skälen för bedömningen
För att säkerställa att EU-regleringen ger samma skydd för alla medborgare inom unionen har bestämmelser som finns i en EU-förordning företräde framför nationella lagar.9 EU:s dataskyddsförordning ska alltså tillämpas av enskilda och myndigheter precis som om bestämmelserna i förordningen hade funnits i en svensk författning. Det innebär att den primära regleringen av personuppgiftsbehandling vid svenska myndigheter i dag finns i EU:s dataskyddsförordning.
Vi beskriver i avsnitt 5.2.2 skillnaderna mellan EU:s dataskyddsförordning och regleringen som gällde innan: 1995 års dataskyddsdirektiv och personuppgiftslagen (1998:204). I avsnitt 5.5 konstaterar vi också att förordningen är väsentligt mer utförligt utformad och ger ett mer omfattande skydd än den tidigare regleringen.
Genom EU:s dataskyddsförordning begränsades myndigheters möjligheter att behandla personuppgifter i jämförelse med tidigare reglering. EU:s dataskyddsförordning ställer även högre krav på att myndigheter ska vidta ett flertal olika åtgärder för att kunna säkerställa bl.a. lämplig säkerhet för de personuppgifter som får behandlas och en möjlighet för tillsynsmyndigheten att besluta om administrativa sanktionsavgifter.
Trots att EU:s dataskyddsförordning är närmast heltäckande i dataskyddsrättsliga frågor både förutsätter och medger den nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Enligt förordningen finns det alltså möjligheter och skyldigheter att i nationell rätt behålla eller införa kompletterande dataskyddsreglering. I några fall ger förordningen utrymme för undantag eller kompletteringar avseende en särskild typ av verksamhet. I andra fall ges medlemsstaterna möjlighet att fastställa mer specifika villkor för att anpassa förordningens bestämmelser i syfte
9 Se t.ex. EU-domstolens dom den 15 juli 1964, Flaminio Costa mot E.N.E.L., mål 6/64.
att säkerställa en laglig och rättvis behandling. Principen om unionsrättens företräde innebär dock att en bestämmelse i en myndighetsspecifik författning endast får tillämpas om den är förenlig med EU:s dataskyddsförordning och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt.
För att avgöra i vilken utsträckning det är nödvändigt med reglering som kompletterar EU:s dataskyddsförordning inom en viss sektor eller myndighet krävs överväganden som tar hänsyn till de omständigheter som föreligger i den aktuella verksamheten. Inom offentlig verksamhet kan det t.ex. förekomma ytterst integritetskänslig behandling där det kan uppfattas vara nödvändigt med kompletterande reglering för att åstadkomma ett adekvat integritetsskydd. Att EU:s dataskyddsförordning är den primära rättskällan i dataskyddsfrågor innebär dock att det redan finns en tydlig reglering av dataskyddsrättsliga frågor som alla – såväl myndigheter som privata ekonomiska aktörer och organisationer – som behandlar personuppgifter måste iaktta.
7.4. EU:s dataskyddsförordnings dubbla syfte
Vår bedömning: CSN:s dataskyddsreglering bör utformas med
beaktande av att EU:s dataskyddsförordnings syfte inte enbart är att skapa ett starkt skydd för den personliga integriteten, utan även att skapa en enhetlig och likvärdig nivå för integritetsskyddet inom unionen.
Skälen för bedömningen
Ett av de huvudsakliga syftena med EU:s dataskyddsförordning, förutom att skapa ett adekvat integritetsskydd, är att åstadkomma en harmonisering av dataskyddsregleringen inom unionen för att undanröja hinder för det fria flödet av personuppgifter inom EU. Detta avser inte enbart ekonomiska aktörer utan även myndigheter.
I skäl 6 till EU:s dataskyddsförordning anges att den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter, och att tekniken gör det möjligt för bl.a. offentliga myndigheter att i sitt arbete använda sig av
personuppgifter i en helt ny omfattning. Dessa förändringar kräver enligt skäl 7 till förordningen en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. I skäl 9 konstateras att 1995 års dataskyddsdirektiv inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt nämnda skäl förhindra det fria flödet av personuppgifter och därför bl.a. hindra myndigheter från att fullgöra sina skyldigheter enligt unionsrätten.
För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skäl 13, en förordning som bl.a. ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheter i olika medlemsstater effektivt.
Det är mot denna bakgrund vår uppfattning att det är angeläget att förordningens bestämmelser inte tolkas på ett mer begränsande sätt i Sverige än i andra medlemsstater.10 Det avser särskilt bedömningen av i vilken utsträckning det är nödvändigt eller lämpligt att med stöd av bl.a. artikel 6.2 och 6.3 andra stycket fastställa mer specifika villkor för eller begränsningar av myndigheters personuppgiftsbehandling i syfte att anpassa bestämmelserna i förordningen för att säkerställa en laglig och rättvis behandling.
7.5. Överväganden om rättslig grund i samband med införandet av dataskyddslagen
Vår bedömning: CSN:s dataskyddsreglering bör utformas med
utgångspunkt i de överväganden om rättslig grund som gjordes i samband med att dataskyddslagen infördes.
10 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 99.
Skälen för bedömningen
I Sverige kompletteras EU:s dataskyddsförordning av dataskyddslagen. I den lagen finns bestämmelser som förtydligar förordningens regelverk, bl.a. i fråga om den rättsliga grund för personuppgiftsbehandling som är aktuell för myndigheter. Vi redogör för relevanta bestämmelser i dataskyddslagen i avsnitt 3.3.3, och lyfter fram några viktiga aspekter här.
Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får behandlas med stöd av artikel 6.1 c i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Av 2 kap. 2 § framgår att personuppgifter får behandlas med stöd av artikel 6.1 e i förordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
I förarbetena till dataskyddslagen finns en utförlig beskrivning av bestämmelsernas innebörd och de överväganden som regeringen gjort i fråga om hur EU:s dataskyddsförordnings krav på rättlig grund ska tolkas på ett generellt plan. Regeringens uttalanden i detta avseende redovisar vi också i avsnitt 3.3.3. De överväganden och bedömningar som regeringen ger uttryck för i dessa förarbeten är av naturliga skäl allmänna eftersom dataskyddslagen kompletterar EU:s dataskyddsförordning på ett generellt plan. Regeringen bedömde t.ex. att risken för att myndigheter på ett generellt plan inte skulle kunna behandla personuppgifter med stöd av EU:s dataskyddsförordning om inte kompletterande lagstiftning infördes var mycket liten. Detta eftersom det inte borde förkomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats med stöd av regeringsformens bestämmelser.11
Regeringen konstaterar också i förarbetena till dataskyddslagen att EU:s dataskyddsförordnings krav på proportionalitet motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat.
11 Se prop. 2017/18:105, Ny dataskyddslag, s. 50.
Eftersom Europakonventionen inkorporerats i svensk rätt och att lagar och andra föreskrifter enligt regeringsformen inte får meddelas i strid med Sveriges åtaganden enligt konventionen, anser regeringen också att det borde vara mycket ovanligt att svensk rätt inte uppfyller konventionens krav. Mot denna bakgrund bör enligt regeringen utgångspunkten vara att även EU:s dataskyddsförordnings motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser och uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt. Enligt regeringen behöver den personuppgiftsansvarige därmed inte göra någon proportionalitetsbedömning avseende regleringen av den rättsliga grunden för behandlingen, utan kan utgå från att svensk rätt uppfyller detta krav.12
CSN har sedan en lång tid en myndighetsspecifik dataskyddsreglering. Myndighetens verksamhet och uppdrag regleras dock i den nationella rätten och unionsrätten. De överväganden som regeringen gör i förarbetena till dataskyddslagen bör därför utgöra en utgångspunkt för våra förslag.
7.6. Regleringen bör vara teknikneutral
Vår bedömning: CSN:s dataskyddsreglering bör som utgångs-
punkt inte innehålla bestämmelser som förutsätter eller förhindrar användandet av någon befintlig eller framtida teknisk lösning.
Skälen för bedömningen
I avsnitt 5.2.1 beskriver vi att tekniken har utvecklats i hög fart sedan slutet av 90-talet då personuppgiftslagen, som ursprungligen ligger till grund för CSN:s registerförfattningar, trädde i kraft. Skyddet för fysiska personer bör enligt skäl 15 till EU:s dataskyddsförordning vara teknikneutralt och inte beroende av den teknik som används. Frågan om vad som egentligen avses med en teknikneutral reglering har dock inte ett självklart svar. En sådan reglering kan vara neutral i den bemärkelsen att den inte pekar ut att en viss teknisk lösning ska användas, t.ex. e-post eller vanligt brev. Även en reglering som förefaller teknikneutral har dock ofta utformats med utgångspunkt
12Prop. 2017/18:105, Ny dataskyddslag, s. 50.
i kommunikationssätt eller informationshantering i former som i dag inte längre används, eller endast används i begränsad omfattning. Det kan röra sig om att regleringen styr att viss information ska överföras från en aktör till en annan, t.ex. genom att förutsätta att en begäran inleder ett förfarande. Sådana bestämmelser kan visserligen sägas vara neutrala i förhållande till vilken teknik som används. En helt digital informationshantering väcker emellertid frågor även rörande sådana bestämmelser, eftersom den digitala tekniken möjliggör en i allt väsentligt annan typ av hantering av information än vad som var möjligt när förfarandet ursprungligen reglerades. Det kan alltså vid en helt digital hantering vara svårt att avgöra vad som ska anses utgöra en begäran. Bestämmelser som kan framstå som teknikneutrala kan därför behöva förändras om målsättningen är att de faktiskt ska vara det.13
I sammanhanget kan även påpekas att också viss reglering som inte är teknikneutral, utan som särskilt reglerar en viss digital lösning, kan komma att få en förändrad betydelse om de tekniska förutsättningarna för det avsedda förfarandet förändras. Ett tydligt exempel är begreppet utlämnande på medium för automatiserad
behandling, vilket i dag avser exempelvis e-post eller direkt över-
föring från ett it-system till ett annat, dvs. något helt annat än de magnetband och hålremsor som ursprungligen avsågs.14
Vid sidan om integritetshänsyn var målsättningar om bl.a. flexibilitet och teknikoberoende vägledande vid tidpunkten för CSN:s befintliga registerförfattningars tillkomst.15 Författningarna innehåller dock i flera fall begränsningar av myndighetens möjlighet att kommunicera digitalt med enskilda, vilket innebär att CSN i flera situationer är hänvisad till att använda vanlig postgång när information ska lämnas till enskilda. I de anpassningar som har gjorts i CSN:s dataskyddsreglering sedan EU:s dataskyddsförordning trädde i kraft har teknikneutralitet inte heller stått i fokus.
Vilka möjligheter till kommunikation och övrig informationshantering som framtida teknik för med sig är lika svårt att förutse i dag som det var 1998 när personuppgiftslagen trädde i kraft och 2010 när CSN:s registerförfattningar började tillämpas. En utgångspunkt för våra förslag bör därför vara att regleringen ska vara teknik-
13 Jfr SOU 2018 :25, Juridik som stöd för förvaltningens digitalisering, s. 127. 14 Jfr prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihets-
förordningen m.m., s. 75.
15 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 74.
neutral i så hög utsträckning som möjligt. Mot bakgrund av den snabba tekniska utvecklingen förefaller det vara en förutsättning för en ändamålsenlig dataskyddsreglering. I det ligger alltså inte enbart frågan om vilken terminologi som används, utan målsättningen om teknikneutralitet bör tillåtas påverka även vilka förfaranden som över huvud taget regleras i CSN:s dataskyddsreglering.
7.7. Regleringen bör vara renodlad
Vår bedömning: CSN:s dataskyddsreglering bör utformas med
beaktande av den reglering som i övrigt styr myndighetens verksamhet. Myndighetens dataskyddsreglering bör som utgångspunkt endast omfatta bestämmelser av dataskyddsrättslig karaktär.
Skälen för bedömningen
CSN:s verksamhet är reglerad i flera andra sammanhang
CSN:s dataskyddsreglering bör utformas utifrån att det finns många andra regelverk än det dataskyddsrättsliga som styr myndighetens verksamhet. För att åstadkomma en ändamålsenlig myndighetsspecifik dataskyddsreglering bör därför inte endast vad som framgår av den allmänna dataskyddsregleringen beaktas.
Särskilt bör en utgångspunkt vara att EU:s dataskyddsförordnings krav på att den rättsliga grunden för behandling ska vara fastställd i rättsordningen är uppfyllt genom den reglering av CSN:s verksamhet som framgår av unionsrätten eller nationell rätt. Av de bestämmelser som styr myndighetens verksamhet framgår i regel vilka förhållanden som tillmäts betydelse vid tillämpningen eller som är avgörande för en prövning, se avsnitt 4.2. Att tillämpningen eller prövningen i dag sker med stöd av tekniska lösningar behöver därför inte innebära att det finns ett behov av att t.ex. författningsreglera vilka uppgifter som får behandlas i syfte att utföra verksamheten. En begränsning av vilka uppgifter som CSN får behandla automatiserat för att utföra sina uppgifter innebär nämligen också en begränsning av den materiella verksamhetsregleringen i sig, om verksamheten är helt digitaliserad.
Förvaltningslagens (2017:900) bestämmelser – med bl.a. krav på legalitet, objektivitet och proportionalitet – bör i detta sammanhang även beaktas. Likaså det arkivrättsliga regelverket med bestämmelser om gallring och arkiv som framgår av arkivlagen (1990:782). Även myndighetsförordningen (2007:515) och andra regelverk som i olika hänseende styr CSN:s verksamhet bör beaktas. Offentlighets- och sekretesslagens (2009:400) bestämmelser om sekretess i vissa fall, till skydd för enskildas personliga och ekonomiska förhållanden, måste också tillmätas betydelse i frågan om det finns skäl att särskilt reglera viss behandling av personuppgifter.
I vilken mån myndighetsspecifik dataskyddsreglering behöver innehålla särskilda bestämmelser för att tillförsäkra enskilda ett adekvat integritetsskydd behöver övervägas mot bakgrund av sådana bestämmelser om rättigheter för enskilda och skyldigheter för myndigheter som finns i det förvaltningsrättsliga regelverket i stort och i övrig reglering som styr CSN:s verksamhet. Att behovet av myndighetsspecifik dataskyddsreglering övervägs i relation till hur myndighetens verksamhet är reglerad i övrigt borde överensstämma med de grunder som EU:s dataskyddsförordning bygger på och ger uttryck för.
CSN:s dataskyddsreglering bör så långt som möjligt endast innehålla bestämmelser om dataskydd
Mot bakgrund av det vi redogör för ovan bör en utgångspunkt för våra förslag vara att en ändamålsenlig dataskyddsreglering för CSN i så hög grad som möjligt endast ska omfatta sådana bestämmelser av dataskyddsrättslig karaktär som av någon anledning är motiverade i myndighetens verksamhet.
I de befintliga författningarna finns t.ex. bestämmelser om gallring och bevarande. Regelverket har med tiden blivit svåröverskådligt och det finns utrymme för olika tolkningar av bestämmelserna. Regleringen uppfattas även av myndigheten som svårtillämpad, vilket till viss del borde vara relaterat till den variationen i förekommande bestämmelsers karaktär och syfte. En blandning av bestämmelser med olika funktion och rättslig karaktär som ibland dessutom överlappar varandra riskerar att skapa en omotiverat komplex lagstiftning. Det nyss sagda gäller enligt vår mening särskilt bestämmelser som reglerar förhållanden som ligger nära de rena dataskyddsfrågorna, eftersom
bestämmelsernas skiftande karaktär och föremål kan medföra en osäkerhet kring deras innebörd.
En reglering som innehåller bestämmelser av olika karaktär kan även skapa osäkerhet om dess innebörd i förhållande till andra rättsområden, t.ex. i frågor om uppgiftslämnande.16 En utgångspunkt för arbetet med en ändamålsenlig reglering av CSN:s behandling av personuppgifter bör alltså vara att den inte ska syfta till att reglera myndighetens verksamhet utanför dataskyddsområdet. Regleringen bör i stället utformas så att den endast tar sikte på att reglera dataskyddsrättsliga frågor.
Förändringar som sker av myndighetens tekniska, organisatoriska eller rättsliga förutsättningar att behandla personuppgifter ska alltså inte få betydelse på det sättet att innehållet i dataskyddsregleringen behöver ändras, om det inte finns sakliga skäl för det. Sådana sakliga skäl kan vara att CSN får ett helt nytt uppdrag, eller att en särskilt känslig form av behandling behöver begränsas, och det inte är möjligt eller lämpligt av normtekniska skäl att införa en sådan begränsning i den materiella verksamhetsregleringen.
7.8. Endast det som behöver regleras bör regleras
Vår bedömning: CSN:s dataskyddsreglering bör som utgångs-
punkt endast innehålla bestämmelser som behövs för att åstadkomma ett adekvat integritetsskydd eller ett tydligt rättsligt stöd för CSN:s personuppgiftsbehandling.
Skälen för bedömningen
Som vi nämner flertalet gånger tidigare i detta kapitel ska EU:s dataskyddsförordning tillämpas som om den vore svensk lag. Förordningen innehåller redan en utförlig reglering. En utgångspunkt för våra förslag bör därför vara att CSN:s dataskyddsreglering endast ska omfatta bestämmelser som av någon anledning framstår som motiverade eller nödvändiga, trots att EU:s dataskyddsförordning ska tillämpas som svensk lag.
16 Jfr HFD 2021 ref. 10.
I syfte att anpassa tillämpningen av bestämmelserna i EU:s dataskyddsförordning är det tillåtet att i den nationella rätten bl.a. reglera de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.17
I vissa fall framstår det vidare som nödvändigt, och krävs dessutom enligt EU:s dataskyddsförordning, att särskilt reglera vissa förhållanden. Det gäller t.ex. de undantag från rätten att göra invändningar mot behandlingen enligt artikel 21.1 som är möjliga att göra enligt artikel 23, eller vid behandling av känsliga personuppgifter enligt artikel 9.2 g, då den nationella rätten ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. En myndighetsspecifik reglering kan också krävas om den rättsliga grunden för behandling i enstaka fall inte är tillräcklig för att uppfylla EU:s dataskyddsförordnings krav på proportionalitet, eller tydlighet, precision och förutsebarhet.18
Om en rättsregel hade gällt enligt överordnade normer, även utan motsvarande bestämmelse i myndighetsspecifik dataskyddsreglering, anser vi att det bör finnas starka skäl för att införa motsvarande bestämmelse också i den kompletterade dataskyddsregleringen. En dubbel-, eller i vissa fall trippelreglering, riskerar framför allt att skapa osäkerhet om vad som gäller i en viss fråga. Det gäller både vid CSN:s tillämpning och för enskilda. Möjligheten för en enskild att kunna förstå vilka dataskyddsregler som styr behandlingen av uppgifter om henne eller honom hos en myndighet är enligt vår mening en faktor som bör tas i beaktande vid utformningen av myndighetsspecifik dataskyddsreglering. Överskådlighet och begriplighet är viktiga komponenter för enskilda registrerade som vill göra gällande sina rättigheter enligt det dataskyddsrättsliga regelverket. En myndighetsspecifik bestämmelse som motsvarar vad som annars hade gällt enligt EU:s dataskyddsförordning riskerar att tolkas på ett annat sätt än motsvarade bestämmelse i förordningen både av tillämparen och den enskilda. En intern praxis kan vidare utvecklas på myndig-
17 Se artikel 6.3 i EU:s dataskyddsförordning. 18 Jfr skäl 41 till EU:s dataskyddsförordning.
hetsnivå avseende den kompletterande bestämmelsen eller så kan redan införandet av bestämmelsen ge upphov till en föreställning om att bestämmelsen är avgörande för att en viss åtgärd ska vara laglig eller tillåten.
Skäl som talar för att i kompletterande myndighetsspecifik reglering införa bestämmelser som motsvarar vad som redan gäller enligt EU:s dataskyddsförordning kan vara att det finns ett behov av tydlighet i frågor som är centrala i den allmänna dataskyddsregleringen. Sådana bestämmelser kan då ha en stor betydelse för enskildas möjlighet att sätta sig in i vad som gäller på olika områden, t.ex. i fråga om vem som är personuppgiftsansvarig för viss behandling, i vilka syften den personuppgiftsansvarige får behandla uppgifter, förutsättningarna för vidarebehandling av redan insamlade uppgifter och den längsta tid personuppgifter får behandlas. Bestämmelser kan även motiveras av behovet att tydliggöra den personuppgiftsansvariga myndighetens skyldigheter enligt EU:s dataskyddsförordning.
Som vi konstaterar i avsnitt 7.2 bör en ändamålsenlig dataskyddsreglering för CSN syfta till att balansera myndighetens behov av att behandla personuppgifter i sin verksamhet mot ett adekvat skydd för den personliga integriteten. Mot bakgrund av att EU:s dataskyddsförordning är den primära rättskällan avseende dataskyddsfrågor – som ska tillämpas direkt av myndigheten – bör dock enbart det som särskilt behöver regleras i det nyss nämnda syftet återfinnas i CSN:s dataskyddsreglering.
7.9. Enhetlighet över myndighetsgränser bör eftersträvas
Vår bedömning: Vid utformningen av CSN:s registerförfatt-
ningar bör överväganden i samband med ändringar eller införande av likartade myndigheters dataskyddsregleringar i närtid beaktas i syfte att eftersträva enhetlighet över myndighetsgränser.
Skälen för bedömningen
Det har under senare tid genomförts förändringar av flera myndigheters dataskyddsregleringar. Under 2024 trädde ny dataskyddsreglering för Försäkringskassan och Pensionsmyndigheten i kraft. En särskild dataskyddsreglering har också införts för den nya Utbetalningsmyndigheten. Det finns också förslag om ny reglering för Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling. Dessa myndigheter har liknande välfärdsuppdrag som CSN.
Det är vår uppfattning att överväganden i samband med dessa förändringar bör beaktas i våra överväganden och förslag. Med detta menar vi att bestämmelser som reglerar samma förhållande, t.ex. för vilka ändamål CSN får behandla personuppgifter, bör utformas likartat så länge det inte finns sakliga skäl att särreglera viss behandling. På så sätt kan både enskilda och tillämpare ges bättre möjligheter att överblicka och förstå hela det dataskyddsrättsliga regelverket. Vi bedömer även att en ökad enhetlighet i utformningen av myndighetsspecifik dataskyddsreglering kan minska risken för att bestämmelser på myndighetsnivå tolkas på ett annat sätt än i den generella dataskyddsregleringen. Genom en enhetlig utformning kan dessutom osäkerhet i fråga om huruvida en bestämmelses utformning medför att den har en annan innebörd än motsvarande bestämmelse i ett annat sammanhang undvikas. Det förefaller också troligt att praxisbildning i dataskyddsfrågor kan komma att underlättas av att bestämmelser i sektorsspecifik dataskyddsregleringen utformas likartat.
Vid utformningen av CSN:s registerförfattningar bör alltså tidigare överväganden av annan myndighetsspecifik dataskyddsreglering beaktas, eftersom vi menar att det finns ett värde i att eftersträva enhetlighet över myndighetsgränser. Att eftersträva enhetlighet bör dock givetvis komma i fråga bara i den utsträckning det är möjligt och lämpligt utifrån att regleringen ska utgöra ett adekvat skydd för den personliga integriteten och att den ska ge ett tydligt rättsligt stöd för CSN att utföra sina uppdrag.
8. Allmänna bestämmelser om personuppgiftsbehandling
8.1. Inledning
I detta kapitel redovisar vi våra bedömningar och förslag om vilka allmänna bestämmelser om personuppgiftsbehandling som vi anser ska införas i CSN:s nya registerförfattningar. Enligt våra direktiv finns det anledning att se över tillämpningsområdet för nuvarande studiestödsdatalag (2009:287) och bedöma behovet av att tydliggöra detta. Vi har också i uppdrag att analysera behovet av anpassningar av CSN:s registerförfattningar utifrån SDG-förordningen. Eftersom vi föreslår en ny reglering finns det enligt oss ett behov av att ta ställning till vissa ytterligare frågeställningar i sammanhanget.
Kapitlet innehåller en redogörelse av våra förslag att det ska införas bestämmelser i den nya studiestödsdatalagen om lagens syfte, tillämpningsområde och förhållande till annan reglering. Vi föreslår bl.a. ett utvidgat materiellt tillämpningsområde vilket innebär att studiestödsdatalagen ska gälla i all stödverksamhet hos CSN. Vi föreslår vidare att lagens tillämpningsområde inte ska omfatta behandling av personuppgifter i EU:s gemensamma informationssystem. Vi föreslår också en reglering av personuppgiftsansvar och enskildas rättigheter. Viss reglering föreslås införas i den nya studiestödsdatalagen, annan i den nya studiestödsdataförordningen.
I kapitlet presenterar vi även vissa bedömningar om reglering vi anser inte behövs i den nya regleringen. Vi gör bl.a. bedömningen att det inte särskilt behöver anges att behandling av personuppgifter i CSN:s statistikverksamhet och administrativa verksamhet inte ska omfattas av lagens tillämpningsområde. Samma bedömning gör vi gällande uppgifter om avlidna och juridiska personer. Vi anser också att det inte bör införas några bestämmelser om definitioner.
8.2. Lagens syfte
Vårt förslag: Syftet med den nya studiestödsdatalagen ska vara
att ge CSN möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Skälen för förslaget
I artikel 1.1 i EU:s dataskyddsförordning finns förordningens syfte, vilket är tudelat. Artikeln föreskriver att det i förordningen fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av personuppgifter.
Bestämmelser om en lags syfte finns i flera moderna registerförfattningar, t.ex. 1 § domstolsdatalagen (2015:728), 1 § utlänningsdatalagen (2016:27) och 1 § vägtrafikdatalagen (2019:369). I senare registerförfattningar har lagstiftaren dock valt att inte införa bestämmelser om lagarnas syfte, t.ex. lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter och lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. I förarbetena till lagen om Rättsmedicinalverkets behandling av personuppgifter framgår att regeringen ansåg att det inte fanns behov av en syftesbestämmelse eftersom syftet med regleringen redan framgår av 1 § brottsdatalagen (2018:1177).1 Någon motivering till varför regeringen ansåg att det inte behövdes en syftesbestämmelse i lagen om behandling av personuppgifter vid Utbetalningsmyndigheten framgår så vitt vi kan hitta inte av propositionen till den lagen, även om Utredningen om samordning av statliga utbetalningar från välfärdssystemen föreslog en sådan bestämmelse.2
Syftesbestämmelser saknar eget materiellt innehåll, men kan enligt vår mening ändå fylla en viktig funktion, eftersom en sådan bestämmelse ger vägledning i hur de materiella bestämmelserna i en författning ska tolkas. När det gäller sektorsspecifik dataskyddsreglering är syftet i regel tvådelat. Författningarna syftar dels till att möjliggöra en ändamålsenlig personuppgiftsbehandling vid en sär-
1 Se prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 29 och 30. 2 Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 345.
skild myndighet eller annat organ, dels till att skydda enskilda mot integritetsintrång, vilket också är en av utgångpunkterna för våra förslag, se avsnitt 7.2. En syftesbestämmelse kan på ett tydligt sätt klargöra detta.3
Nationell dataskyddsreglering som kompletterar EU:s dataskyddsförordning har givetvis att förhålla sig till samma syfte som återges i artikel 1.1 i förordningen. I dataskyddslagen finns inte någon syftesbestämmelse. Det går således givetvis att argumentera för att en sådan bestämmelse är överflödig i en myndighetsspecifik reglering som kompletterar förordningen. Särskilt i fråga om den del som gäller skydd för fysiska personer. Däremot är det vår uppfattning att den andra delen av syftet med en myndighetsspecifik reglering är just specifikt för den myndigheten. Syftet med en registerförfattning är alltså att ge en mer specifik reglering än vad som framgår av den generella dataskyddsregleringen för en särskild myndighet. Det är vår uppfattning att det tydligt bör framgå.
CSN:s verksamhet medför ett behov av i vissa fall omfattande behandling av personuppgifter, även känslig sådan. Behandlingen kan innebära risk för intrång i den personliga integriteten. Vid utformning av den nya studiestödsdatalagen måste en väl avvägd balans hittas mellan å ena sidan enskildas rätt till skydd för personuppgifter och å andra sidan samhällets rättmätiga krav på att CSN kan bedriva sin verksamhet på ett effektivt och välordnat sätt.4 Vårt förslag till en ny studiestödsdatalag syftar till att möjliggöra en ändamålsenlig personuppgiftsbehandling vid CSN. Ett av lagens syften är alltså att säkerställa att myndigheten har de rättsliga förutsättningarna för att kunna utföra nödvändig personuppgiftsbehandling inom ramen för sin verksamhet. Den nya lagen syftar även till att skydda fysiska personer mot att deras personliga integritet kränks vid CSN:s behandling av personuppgifter.
För att på ett tydligt sätt klargöra lagens tudelade syfte, som är mer specificerat än EU:s dataskyddsförordnings, anser vi att lagen ska innehålla en bestämmelse som anger syftet med lagen. Bestämmelsen ska formuleras som att syftet med lagen är att ge CSN möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och
3 Jfr prop. 2014/15:148, Domstolsdatalag, s. 29. 4 Jfr prop. 2015/16:65, Utlänningsdatalag, s. 38 och prop. 2018/19:33, Behandling av person-
uppgifter samt registrering och användning av fordon på vägtrafikområdet, s. 62.
skydda människor mot att deras personliga integritet kränks vid sådan behandling.
8.3. Lagens tillämpningsområde
8.3.1. Det materiella tillämpningsområdet
Vårt förslag: Den nya studiestödsdatalagen ska tillämpas vid
behandling av personuppgifter vid CSN i myndighetens stödverksamhet.
Vår bedömning: Regleringen i den nya studiestödsdatalagen
bör inte omfatta behandling av personuppgifter i myndighetens särskilda statistikverksamhet eller administrativa verksamhet. Det behövs ingen bestämmelse i den nya lagen, utöver bestämmelsen som anger lagens tillämpningsområde, som förtydligar detta.
Skälen för förslaget och bedömningen
Det materiella tillämpningsområdet behöver förtydligas
Av 1 § studiestödsdatalagen framgår att lagen gäller vid behandling av personuppgifter i CSN:s studiestödsverksamhet. I avsnitt 4.2.3 beskriver vi vilka olika stöd som ingår i den verksamheten. Det ingår även i CSN:s verksamhet att administrera andra stöd till enskilda som myndigheten enligt lag eller förordning ska hantera.5 För närvarande är det två stöd som vi bedömer inte är studiestöd som CSN hanterar, hemutrustnings- och körkortslån, se avsnitt 4.2.3. Inget av dessa stöd går längre att söka, men återbetalning av lån pågår fortfarande och beräknas pågå en lång tid framöver.
I förarbetena till studiestödsdatalagen framgår att det materiella tillämpningsområdet endast omfattar studiestödsverksamheten. Vid tiden för införandet av lagen var det endast hemutrustningslån som CSN i övrigt hanterade, vilket regeringen uttryckligen framförde faller utanför lagens tillämpningsområde. Anledningen till att regeringen ansåg att verksamheten inte behövde omfattas av lagen var att man bedömde att CSN:s behov av att behandla personuppgifter inom
5 Se 1 § förordningen (2017:1114) med instruktion för Centrala studiestödsnämnden.
ramen för den verksamheten var förhållandevis ringa samt att det fanns regler om dataskydd i 28 och 29 §§ förordningen (1990:1361) om lån till hemutrustning för flyktningar och andra utlänningar. CSN uppgav vid tiden att det inte fanns något behov av att ytterligare reglera behandlingen av personuppgifter i den aktuella verksamheten.6Bestämmelserna om behandling av personuppgifter i förordningen upphörde att gälla i början av 2020, två år innan förordningen helt upphörde att gälla.7
Inför att förordningen (2018:1118) om körkortslån skulle införas uttalades i promemorian Körkortslån (Ds 2017:35) att behandling av personuppgifter i sådan verksamhet hos CSN omfattas av studiestödsdatalagen. Utredningen ansåg att lånet har en tydlig karaktär av offentligt stöd och att den som deltar i undervisningen vid en trafikskola bör kunna anses bedriva egna studier.8 Även om det inte uttryckligen nämns i promemorian tolkar vi det som att utredningen ansåg att körkortslån omfattas av CSN:s studiestödsverksamhet, eftersom detta är det materiella tillämpningsområdet för gällande studiestödsdatalag. Samtidigt föreslog utredningen att tillämpningsområdet för 28 kap. 9 § OSL, som då reglerade sekretess för uppgifter i ärenden om studiestöd och hemutrustningslån, skulle utvidgas till att även omfatta ärenden om körkortslån.9 Vår uppfattning är att utredningen i det avseendet inte ansåg att hanteringen av körkortslån ingår i CSN:s studiestödsverksamhet, eller i vart fall inte att ett ärende om körkortslån är ett ärende om studiestöd. Regeringen uttalade sig inte särskilt om personuppgiftsbehandling i verksamheten för körkortslån skulle anses omfattas av studiestödsdatalagens tilllämpningsområde, men tillämpningsområdet för bestämmelsen i offentlighets- och sekretesslagen (2009:400) utvidgades på så sätt att det uttryckligen framgår att bestämmelsen även gäller ärenden om körkortslån.10
I och för sig förutsätter erhållande av körkort ett avläggande av både ett teoretiskt och ett praktiskt prov, vilket generellt sett förutsätter egna studier. Vår uppfattning är dock att sådana studier inte avser studier i traditionell bemärkelse. Det är därför svårt för oss att se att CSN:s hantering av körkortlån ingår i myndighetens studie-
6 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 33 och 34. 7 Se SFS 2019:1273 och SFS 2021:1260. 8 Se Ds 2017:35, Körkortslån, s. 26 och 27. 9 Se Ds 2017:35, Körkortslån, s. 19–26. 10 Jfr prop. 2017/18:161, En möjlighet till körkortslån, s. 11 och 12.
stödsverksamhet. Vi bedömer i stället att det är ett sådant annat stöd än studiestöd som CSN enligt lag eller förordning ska hantera. Det är också på det sättet CSN ser på körkortslån i dag.
Det som blir särskilt tydligt vid en genomgång av förarbetena till förordningen om körkortslån är att det kan uppstå problem med tolkningen av det materiella tillämpningsområdet för gällande studiestödsdatalag, något som enligt oss bör undanröjas genom att förtydliga tillämpningsområdet i den nya studiestödsdatalagen.
Det är vår uppfattning att det i fråga om behandling av personuppgifter inte bör göras någon skillnad på om CSN behandlar personuppgifter i sin studiestödsverksamhet eller sin verksamhet för andra stöd. I samtliga stödverksamheter behöver CSN behandla personuppgifter, även om omfattningen och uppgifternas karaktär kan variera. Vi vill också särskilt understryka att det i fråga om offentliga stöd alltid kan finnas en mer eller mindre hög risk för felaktiga utbetalningar och bidragsbrott. De bestämmelser som vi föreslår ska införas i den nya studiestödsdatalagen har i många delar till syfte att underlätta för CSN att förebygga, förhindra och upptäcka sådana felaktiga utbetalningar och brott. Lagen borde mot denna bakgrund omfatta all CSN:s stödverksamhet.
Det förefaller också naturligt att CSN:s dataskyddslag ska omfatta myndighetens kärnverksamhet, vilket enligt myndighetens instruktion är studiestöd och andra stöd som myndigheten ska hantera. Vi föreslår därför att den nya studiestödsdatalagen ska tillämpas vid behandling av personuppgifter vid CSN i myndighetens stödverksamhet. Med detta menas studiestödsverksamhet och annan stödverksamhet som myndigheten enligt lag eller annan författning ska administrera. Vi har övervägt om innebörden bör anges särskilt, då det kan finnas en poäng med att markera att studiestöd är myndighetens mest omfattande verksamhet, men att den också hanterar andra stöd. Vi anser dock att det lagtekniskt är mer fördelaktigt att referera till stödverksamhet.
Vårt förslag innebär att tillämpningsområdet blir tydligt kopplat till all den stödverksamhet CSN bedriver. Tillämpningsområdet blir också flexibelt över tid eftersom personuppgiftsbehandling inte behöver bli en fråga varje gång CSN får ett nytt stöd som inte är studiestöd att hantera.
I förarbetena till studiestödsdatalagen framgår att med studiestödsverksamhet avses ett antal olika verksamheter: beviljande av studiestöd, återkrav av felaktigt utbetalat studiestöd och återbetalning av studiestöd. Vidare anges att hantering som sker i anslutning till ärenden om beviljande, återkrav och återbetalning av studiestöd, oavsett om hanteringen av ärendet leder till att studiestöd t.ex. beviljas, avslås, återkrävs eller återbetalas. Det anges också i samma förarbeten att studiestödsdatalagen ska omfatta CSN:s studiestödsverksamhet i bred mening och att i vilka fall det är tillåtet för CSN att i den verksamheten behandla personuppgifter bestäms bl.a. av de tillåtna ändamålen för behandlingen.11
I avsnitt 9.3.2 gör vi bedömningen att den nya studiestödsdata inte bör innehålla lika detaljerade ändamålsbestämmelser som den nuvarande lagen. Det kommer därmed inte att vara lika detaljerat angivet i CSN:s dataskyddsregelring vad som omfattas av myndighetens studiestödsverksamhet. Vi bedömer dock att det inte är nödvändigt att ytterligare definiera vad som menas med begreppet. Vi har inte heller för avsikt att begreppet ska ha någon annan innebörd än det som redovisas i förarbetena till gällande studiestödsdatalag eller att inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt den nuvarande lagen. Vi gör också bedömningen att den nya studiestödsdatalagen på samma sätt ska omfatta CSN:s övriga stödverksamhet i bred mening.
Stödverksamhet i bred mening innebär enligt oss att alla arbetsuppgifter som CSN har och som inte i myndighetens processuella eller materiella verksamhetsreglering tydligt anges enbart ingå i någon särskild verksamhet hos myndigheten, se t.ex. nedan om den särskilda statistikverksamheten, omfattas av stödverksamheten. I stödverksamheten ingår t.ex. att motverka bidragsbrott och säkerställa att felaktiga utbetalningar inte görs samt andra uppgifter som regleras i myndighetens instruktion.12 Likaså ingår i stödverksamheten att upplysa andra aktörer om information myndigheten får i den verksamheten, om det finns en uppgiftsskyldighet se avsnitt 4.4.2. Alla åtgärder som har med stödverksamheten att göra ingår i denna, oavsett om åtgärden har en direkt koppling till ärendehantering, dvs. även faktiskt handlande ingår i stödverksamheten (jfr avsnitt 4.2.7).
11 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 33. 12 Jfr 1–5 §§ förordningen med instruktion för Centrala studiestödsnämnden.
Detta inkluderar t.ex. att vidta åtgärder för att utveckla och effektivisera verksamheten.13
CSN:s särskilda statistikverksamhet bör inte omfattas av den nya studiestödsdatalagens materiella tillämpningsområde
Med syftet att det ska finnas tillgång till underlag för allmän information, utredningsverksamhet och forskning har den officiella statistiken författningsreglerats genom lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. Lagen innehåller bestämmelser om syftet med och de kvalitetskriterier som gäller för den officiella statistiken. För respektive statistikområde finns det en statistikansvarig myndighet som regeringen utser. Som vi beskriver i avsnitt 4.2.5 är CSN statistikansvarig myndighet för studiestödsområdet. Lagen kompletterar EU:s dataskyddsförordning och vid dess införande uttalades att syftet var att av integritetsskäl reglera behandlingen av personuppgifter i de många personregister som fanns hos de statistikansvariga myndigheterna.14 Enligt 14 § lagen om den officiella statistiken får CSN såsom statistikansvarig myndighet behandla personuppgifter för att framställa statistik. Enligt 1 § tredje stycket samma lag får CSN även behandla personuppgifter för att framställa annan statistik än officiell sådan. Vad som avses med annan statistik är enligt oss inte helt klart, varför det finns anledning att försöka tydliggöra förhållandet mellan den nya studiestödsdatalagen och lagen om den officiella statistiken.
Av 2 a § andra stycket nuvarande studiestödsdatalag framgår att vid CSN:s behandling av personuppgifter för att framställa statistik ska lagen om den officiella statistiken tillämpas i stället för studiestödsdatalagen. Ordalydelsen i bestämmelsen tyder på att det inte bara är framtagande av officiell statistik som är undantagen studiestödsdatalagens tillämpningsområde. Denna tolkning stöds även av förarbetena till studiestödsdatalagen. Där framgår att studiestödsdatalagen inte omfattar någon behandling av personuppgifter för att framställa statistik, oavsett om det är offentlig statistik eller annan statistik.15 Dessa uttalanden tyder alltså på att även behandling
13 Jfr 3 och 6 §§myndighetsförordningen (2007:515). 14Prop. 1994/95:200, Lagen om vissa personregister för officiell statistik m.m., s. 17. 15 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 77.
av personuppgifter för myndighetsintern statistik, t.ex. statistik för att utveckla ärendehandläggningen, är undantagen studiestödsdatalagens tillämpningsområde och i stället omfattas av bestämmelserna i lagen om den officiella statistiken.
Liknande bestämmelser finns i 114 kap. socialförsäkringsbalken (SFB) som reglerar personuppgiftsbehandling på socialförsäkringsområdet. Av 114 kap. 4 § SFB framgår dock uttryckligen att det endast i fråga om behandling av personuppgifter inom ramen för den officiella statistiken finns särskilda bestämmelser i lagen om den officiella statistiken och i föreskrifter som har meddelats i anslutning till den lagen. I fråga om annan statistik än officiell statistik har regeringen i detta sammanhang uttalat att både 114 kap. SFB och lagen om den officiella statistiken är tillämpliga och att kraven på personuppgiftsbehandling bedöms vara lika omfattande i båda lagstiftningarna.16
Bestämmelserna i lagen om den officiella statistiken bör enligt oss läsas gemensamt med statistiksekretessen i 24 kap. 8 § OSL. I denna framgår att sekretess gäller, för vissa i bestämmelsen nämnda uppgifter, i sådan särskild verksamhet hos en myndighet som avser framställning av statistik. Med en särskild verksamhet avses att den är skild från annan verksamhet hos myndigheten. Utmärkande är att verksamheten är organiserad som en egen enhet eller liknande.17Den officiella statistikproduktionen, som regleras i lagen om den officiella statistiken och den tillhörande förordningen, utgör det centrala området för sådan särskild verksamhet som avses här.18Detta borde enligt oss innebära att med annan statistik i 1 § tredje stycket lagen om officiell statistik menas primärt sådan annan statistik än officiell som tas fram inom ramen för en särskild statistikverksamhet. CSN:s särskilda statistikverksamhet bör bestå av den statistik som myndigheten enligt författning eller särskilda regeringsuppdrag är skyldig att ta fram.19
Om CSN tar fram statistik internt är ändamålet ofta att effektivisera, utvärdera och utveckla kärnverksamheten. I sammanhanget bör nämnas att Lagrådet har uttalat att administrativ intern tillsyn, kontroll och uppföljning m.m. av verksamheten måste anses vara en
16 Se prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 23 och 24. 17 Se prop. 1979/80:2 del A, med förslag till sekretesslag m.m., s. 263. 18 Se Lenberg m.fl., Offentlighets- och sekretesslagen, (2024-06-19, JUNO), kommentaren till 24 kap. 8 §. 19 Jfr 6 § förordningen med instruktion för Centrala studiestödsnämnden.
integrerad del av själva verksamheten och kan inte ses som någon från denna fristående aktivitet.20 Framtagande av sådan statistik kan enligt oss alltså inte anses omfattas av CSN:s särskilda statistikverksamhet, utan bör omfattas av myndighetens kärnverksamhet, dvs. stödverksamheten.
Om begreppet annan statistik i lagen om den officiella statistiken i stället skulle tolkas så brett att det omfattar all statistik som en statistikansvarig myndighet tar fram, oavsett om det sker i den särskilda statistikverksamheten eller inte, kan både den lagen och den föreslagna studiestödsdatalagen vara tillämplig i fråga om behandling av personuppgifter på sådan statistik som tas fram utanför den särskilda statistikverksamheten. Då blir frågan vilken lag som bör tillämpas när regleringen skiljer sig åt.
I detta sammanhang bör det klargöras att lagen om den officiella statistiken endast reglerar behandling av personuppgifter vid en statistikansvarig myndighets framställning av statistik. Lagen är alltså inte tillämplig för andra ändamål som finns för behandlingen. Någon tvekan kring vilken lag som bör tillämpas i de fall personuppgiftsbehandlingen utförs för andra ändamål bör därför inte uppkomma.
I övrigt bör följande gälla. Lagen om den officiella statistiken utgör en generell reglering på så sätt att den reglerar samtliga statistikansvariga myndigheters behandling av personuppgifter vid sin statistikframställning utan att närmare gå in på de olika särdrag som finns inom respektive statistikområde. Regleringen av personuppgiftsbehandling i den lagen är också endast en del av en mer omfattande reglering av den officiella statistiken. Syftet med införandet av regleringen var att av integritetsskäl reglera behandlingen av personuppgifter i de många personregister som fanns hos de statistikansvariga myndigheterna.
En ny studiestödsdatalag kommer att reglera CSN:s behandling av personuppgifter i myndighetens stödverksamhet specifikt. Den föreslagna lagen bör därför anses innehålla specialbestämmelser i förhållande till lagen om den officiella statistiken. Mot bakgrund av detta är det vår bedömning att den föreslagna lagen gäller före lagen om den officiella statistiken i de delar lagarna reglerar samma sak när det är fråga om statistik som tas fram inom ramen för stödverksamheten, dvs. utanför ramen för den särskilda statistikverksamheten.
20 Se prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 66.
Det är i vart fall enligt oss uppenbart att lagen om den officiella statistiken ska tillämpas i stället för studiestödsdatalagen vid behandling av personuppgifter i CSN:s särskilda statistikverksamhet. Sådan särskild statistikverksamhet bör inte omfattas av den nya studiestödsdatalagens tillämpningsområde. Att det är på det viset framgår av den föreslagna bestämmelsen som begränsar det materiella tillämpningsområdet till stödverksamhet, se ovan. Mot bakgrund av detta anser vi att det inte behövs någon bestämmelse i den nya lagen som uttryckligen undantar särskild statistikverksamhet från tillämpningsområdet. Det behövs inte heller en förtydligande bestämmelse som hänvisar till lagen om den officiella statistiken.
Det finns inget behov av att i CSN:s registerförfattningar reglera personuppgiftsbehandling i myndighetens administrativa verksamhet
CSN utför viss behandling av personuppgifter i administrativ verksamhet, t.ex. hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer. Med personuppgiftsbehandling för sådana rent administrativa ändamål menas alltså behandling som inte har något samband med ett enskilt ärende eller annan sådan materiell verksamhet som vi beskriver tidigare i detta avsnitt. I dag innehåller studiestödsdatalagen ingen särreglering av sådan administrativ verksamhet. I stället var avsikten vid lagens införande att bara personuppgiftslagen (1998:204) skulle tillämpas på den administrativa delen av myndighetens verksamhet.21
Vi anser att det inte heller i dag finns någon anledning att låta den föreslagna lagen omfatta sådan behandling av personuppgifter som sker i myndighetens löpande administrativa verksamhet. Behandlingen kan i stället grundas direkt på EU:s dataskyddsförordning och dataskyddslagen.22
21 Jfr prop. 2008/09:96, Behandling av personuppgifter på studiestödsområdet, s. 33 och 34. 22 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 60 och 61 samt prop. 2022/23:34, Utbetalnings-
myndigheten, s. 120.
8.3.2. Automatiserad behandling och manuella register
Vårt förslag: Den nya studiestödsdatalagen ska endast tillämpas
på helt eller delvis automatiserad behandling av personuppgifter och personuppgifter som ingår i eller kommer att ingå i ett register.
Skälen för förslaget
När studiestödsdatalagen infördes gällde personuppgiftslagen, vilken omfattade behandling av personuppgifter som var helt eller delvis automatiserad. Lagen omfattade även annan behandling av personuppgifter, om uppgifterna ingick i eller var avsedda att ingå i en strukturerad samling av personuppgifter som var tillgängliga för sökning eller sammanställning enligt särskilda kriterier.23 I förarbetena till studiestödsdatalagen framgår att speciallagstiftningen skulle ha samma tillämpningsområde som personuppgiftslagen.24Därför framgår detta av 1 § nuvarande studiestödsdatalag.
I artikel 2.1 i EU:s dataskyddsförordning anges att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Register definieras i förordningen som en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.25
I artikel 2.2 i förordningen anges att den inte ska tillämpas vid viss behandling av personuppgifter, t.ex. sådan behandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Eftersom inget av de undantag som anges i artikeln är tillämpligt på CSN:s behandling av personuppgifter i den verksamhet som är aktuell här, omfattas behandlingen av EU:s dataskyddsförordnings tillämpningsområde. Förordningen hindrar dock inte att medlemsstaterna fritt bestämmer tillämpningsområdet för den nationella dataskyddsregleringen. Det innebär att den nationella sektorspecifika regleringen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än förordningen och t.ex. omfatta
23 Se 5 § personuppgiftslagen (1998:204). 24 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 34. 25 Se artikel 4.6 i EU:s dataskyddsförordning.
sådan manuell behandling av personuppgifter som inte omfattas av förordningen.
Vi anser dock att studiestödsdatalagen endast ska gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om personuppgifterna ingår eller kommer att ingå i ett register. Detta bör komma till uttryck i lagen. Förslaget innebär att lagens tillämpningsområde på ett tydligt sätt ansluter till bestämmelserna i EU:s dataskyddsförordning. Med begreppen i den föreslagna lydelsen avses detsamma som i EU:s dataskyddsförordning.
Bestämmelsen kommer genom vårt förslag att innehålla begreppet
register, i stället för en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Någon skillnad i sak är dock inte avsedd. Nu föreslagen formulering har även använts i mer moderna registerförfattningar.26
8.3.3. EU:s gemensamma informationssystem
Vårt förslag: Bestämmelserna i den nya studiestödsdatalagen ska
inte gälla vid behandling av personuppgifter i EU:s gemensamma informationssystem.
Vår bedömning: Det saknas anledning att vidare analysera
behovet av anpassningar i CSN:s registerförfattningar utifrån SDG-förordningen.
Skälen för förslaget och bedömningen
Den centrala frågeställningen i sammanhanget
Enligt våra direktiv ska vi analysera behovet av anpassningar av CSN:s registerförfattningar med anledning av bevisutbyte enligt SDGförordningen, se en beskrivning av innehållet i förordningen nedan. Den centrala frågeställningen i denna del är enligt oss i vilken utsträckning sektorsspecifik nationell reglering bör vara tillämplig i tekniska miljöer där även andra medlemsstaters behöriga myndigheter behandlar personuppgifter inom ramen för det administrativa
26 Se t.ex. 1 kap. 2 § andra stycket vägtrafikdatalagen (2019:369) och 1 kap. 2 § andra stycket lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten.
samarbetet inom EU. Det är enligt våra direktiv viktigt att den reglering vi föreslår inte skapar omotiverade hinder för detta samarbete.
Allmänt om SDG-förordningen
Den 2 oktober 2018 antog Europaparlamentet och rådet SDG-förordningen. Förordningen utgör en del av EU:s strategi för den inre marknaden och den fria rörligheten av människor, varor, tjänster och kapital. Med stöd av förordningen har en gemensam digital ingång inrättats i syfte att minska den administrativa bördan för privatpersoner och företag när de utövar sin rätt till fri rörlighet och utför ärenden eller bedriver verksamhet över gränserna. Ingången ska fungera som en central kontaktpunkt där länkar ger tillgång till webbsidor med information, förfaranden samt hjälp- och problemlösningstjänster som är publicerade på nationell nivå eller på EU-nivå.
Med förfarande avses en sekvens av handlingar som en användare måste utföra för att t.ex. erhålla ett beslut från en behörig myndighet.27 Ett förfarande är alltså vad som i dagligt tal ofta benämns digital tjänst eller e-tjänst. Förordningen skiljer på sådana förfaranden som omfattas av bilaga II till förordningen och andra förfaranden som har inrättats på nationell nivå och som omfattas av förordningens tillämpningsområde. De förfaranden som förtecknas i bilaga II ska, om de har inrättats i en medlemsstat, göras tillgängliga helt online.28 Ett av de förfaranden som omfattas av bilaga II är att ansöka om studiefinansiering för tertiär utbildning, t.ex. studiebidrag och studielån, från ett offentligt organ eller en offentlig institution. Detta innebär att CSN är behörig myndighet enligt förordningen.29
27 Se artikel 3.3 i SDG-förordningen. 28 Se artikel 6 i SDG-förordningen. 29 Jfr artikel 3.3 i SDG-förordningen.
Det tekniska systemet för automatiskt bevisutbyte
En del av den gemensamma digitala ingången utgörs av en möjlighet att lämna bevis online enligt den s.k. engångsprincipen.30 Med bevis avses dokument eller data, inbegripet text eller ljud, bildinspelningar eller audiovisuella inspelningar, oavsett vilket medium som används.31Engångsprincipen innebär att privatpersoner och företag inte ska behöva lämna samma data till myndigheter mer än en gång inom EU. Det innebär att en behörig myndighet, som i sin egen medlemsstat utfärdar elektroniska bevis inom ramen för ett förfarande, på samma sätt ska kunna utfärda sådana bevis till en behörig myndighet i en annan medlemsstat om den begär det.32 Det ska alltså vara möjligt att använda samma data i syfte att utföra gränsöverskridande onlineförfaranden som omfattar användare i andra länder.33 För att möjliggöra detta har ett särskilt tekniskt system införts i vilket behöriga myndigheter i alla medlemsstater ska kunna utbyta bevis. Den del av SDG-förordningen som avser det tekniska systemet har tillämpats från den 12 december 2023. Myndigheten för digital förvaltning (Digg), som är samordnande myndighet för SDG-förordningen i Sverige, har meddelat att Sverige bör kunna anslutas till systemet under 2025.34
Användningen av det tekniska systemet ska inte vara obligatoriskt för den enskilde (användaren) och ska endast tillåtas på användarens uttryckliga förfrågan, såvida inget annat föreskrivs i unionsrätt eller nationell rätt. Användaren ska tillåtas lämna in bevis på andra sätt än via det tekniska systemet.35 Närmare bestämmelser om utformningen av det tekniska systemet finns i den s.k. genomförandeförordningen.36 Förordningen innehåller bl.a. bestämmelser som syftar till att skydda personuppgifter i systemet, se nedan.
30 På engelska kallas principen the once-only principle. Det tekniska systemet benämns ibland i svenska texter med den engelska förkortningen OOTS – once-only technical system. 31 Se artikel 3.5 i SDG-förordningen. 32 Se artikel 14.2 i SDG-förordningen. 33 Se skäl 44 till SDG-förordningen. 34 Se Myndigheten för digital förvaltning (DIGG), SDG – en gemensam digital ingång till Europa, https://www.digg.se/styrning-och-samordning/sdg---en-gemensam-digital-ingang-tilleuropa (senast besökt 2024-12-10). 35 Se artikel 14.4 i SDG-förordningen. 36 Europeiska kommissionens genomförandeförordning (EU) 2022/1463 om fastställande av tekniska och operativa specifikationer för det tekniska systemet för gränsöverskridande automatiskt utbyte av bevis och tillämpning av engångsprincipen i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1724.
Den tänkta utformningen av systemet i Sverige
Den svenska delen av det tekniska systemet ska tas fram och förvaltas av Digg. Myndigheten utreder för närvarande hur systemet ska utformas och i dagsläget är, som vi nämner ovan, systemet inte i bruk. I en promemoria37 som tagits fram inom Regeringskansliet framkommer följande om hur systemet är tänkt att utformas.
Den svenska förvaltningsgemensamma infrastrukturen erbjuder i huvudsak två funktioner: en funktion för förmedling och förhandsgranskning vid utlämnande av bevis från svenska myndigheter och en funktion för hämtning och förmedling av bevis från utländska myndigheter till svenska behöriga myndigheter.
När en användare inleder ett förfarande – t.ex. lämnar in en ansökan – hos en myndighet i en annan medlemsstat och det krävs ett bevis, ska myndigheten på begäran av användaren skicka en förfrågan genom det tekniska systemet om att få ta del av beviset. Om det finns ett bevis som matchar förfrågan skickar det tekniska systemet förfrågan vidare till rätt myndighet i Sverige. Den myndighet som har beviset ska därefter tillhandahålla det i det tekniska systemet. Användaren får sedan möjlighet att förhandsgranska beviset på förmedlingsplattformen. Om användaren godkänner det överlämnas beviset till den begärande myndigheten. Det krävs att användaren identifierar sig två gånger – först i myndighetens förfarande och sedan innan beviset visas upp för förhandsgranskning.38
Under processen skapas olika handlingar: när användaren identifierar sig skapas ett identitetsintyg, och när detta har verifierats mot bevisförfrågan skapas ett åtkomstintyg som skickas till den bevisproducerande myndigheten. Inget av stegen i processen hanteras manuellt av Diggs personal, utan allt sker automatiskt.39
37 Fi 2023:C, Sekretess och dataskydd i det tekniska systemet enligt EU:s förordning om en
gemensam digital ingång.
38 Fi 2023:C, Sekretess och dataskydd i det tekniska systemet enligt EU:s förordning om en gemen-
sam digital ingång, s. 11 och 12.
39 Fi 2023:C, Sekretess och dataskydd i det tekniska systemet enligt EU:s förordning om en gemen-
sam digital ingång, s. 12.
SDG-förordningens och genomförandeförordningens reglering om dataskydd och personuppgiftsbehandling
Frågor om dataskydd genomsyrar regleringen av det tekniska systemet. Av skäl 42 till SDG-förordningen framgår följande:
I syfte att möjliggöra lagligt gränsöverskridande utbyte av bevis och information genom unionsomfattande tillämpning av engångsprincipen, bör denna förordning och engångsprincipen tillämpas i enlighet med alla tillämpliga regler för dataskydd, inbegripet principerna om uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet, nödvändighet, proportionalitet och ändamålsbegränsning. Genomförandet bör också ske i full överensstämmelse med principerna om inbyggd säkerhet och inbyggt integritetsskydd, samt med respekt för enskilda personers grundläggande rättigheter, inbegripet de som avser rättvisa och öppenhet.
I artikel 33 i SDG-förordningen anges att behandling av personuppgifter av behöriga myndigheter inom ramen för förordningen ska överensstämma med EU:s dataskyddsförordning. I skäl 43 till SDG-förordningen anges att medlemsstaterna bör säkerställa att användaren ges tydlig information om hur uppgifter som rör dem kommer att behandlas i enlighet med artikel 13 och 14 i EU:s dataskyddsförordning.
Även genomförandeförordningen innehåller – som vi nämner ovan – bestämmelser som syftar till att skydda den personliga integriteten. I den framgår att den bevisbegärande parten ska säkerställa samma skyddsnivå för personuppgifter enligt EU:s dataskyddsförordning som i en situation då användaren överlämnar eller laddar upp beviset utan att använda det tekniska engångssystemet.40 För varje bevisutbyte genom det tekniska systemet ska kontroller göras av att det begärda beviset kan matchas med användaren och att användaren har rätt att använda det bevis som begärts.41 Vidare ska funktionen med förhandsgranskning garantera att användarna alltid behåller kontrollen över sina personuppgifter.42 Systemet ska också innehålla it-säkerhetsgarantier för att förhindra att obehöriga personer får åtkomst.43
40 Se artikel 34.2 i genomförandeförordningen. 41 Se artikel 35.1 i genomförandeförordningen. 42 Se skäl 23 till genomförandeförordningen. 43 Se artikel 28 i och skäl 28 till genomförandeförordningen.
I artikel 33 i genomförandeförordningen anges att de behöriga myndigheterna ska agera som personuppgiftsansvariga enligt definitionen i artikel 4.7 i EU:s dataskyddsförordning när det gäller behandling av personuppgifter i bevis som utbyts genom det tekniska systemet och myndigheterna agerar i egenskap av bevisbegärande eller bevislämnande part.
CSN:s behandling av personuppgifter i det tekniska systemet
Det står klart att såväl bevislämnande som bevisbegärande myndigheter som använder det tekniska systemet kommer att behandla personuppgifter i den mening som avses i EU:s dataskyddsförordning. CSN har hittills identifierat bevis som myndigheten kan behöva begära, men för närvarande bedömer myndigheten att den kommer lämna bevis i få fall.
Det finns i sammanhanget anledning att analysera CSN:s personuppgiftsbehandling med anledning av SDG-förordningen utifrån regleringen om rättslig grund och känsliga personuppgifter i EU:s dataskyddsförordning. Vi beskriver denna reglering utförligt i avsnitt 3.3, men upprepar här vissa bestämmelser som är av vikt.
Den personuppgiftsbehandling som CSN kommer att utföra i det tekniska systemet är nödvändig för att myndigheten ska kunna uppfylla kraven enligt SDG-förordningen. Som vi beskriver tidigare i detta avsnitt är syftet med förordningen att främja den fria rörligheten, vilket enligt oss måste anses vara ett viktigt allmänt intresse. Personuppgiftsbehandlingen kommer alltså att vara nödvändig för att utföra en uppgift av allmänt intresse och det finns därmed rättslig grund för behandlingen enligt artikel 6.1 e i EU:s dataskyddsförordning. Som vi också konstaterar tidigare i detta avsnitt utgör bestämmelsen i artikel 14 i SDG-förordningen en uppgiftsskyldighet för de behöriga myndigheterna. Personuppgiftsbehandlingen kommer därför också vara nödvändig för att fullgöra en rättslig förpliktelse i enlighet med artikel 6.1 c i EU:s dataskyddsförordning. Den rättsliga grunden för CSN:s personuppgiftsbehandling i det tekniska systemet är mot denna bakgrund fastställd i enlighet med unionsrätten.44
44 Jfr artikel 6.3 i EU:s dataskyddsförordning.
CSN kan också komma att behandla känsliga personuppgifter enligt artikel 9.1 i EU:s dataskyddsförordning, t.ex. för att de åtminstone indirekt avslöjar etniskt ursprung, sexuell läggning eller liknande uppgifter. Av samma skäl som vi redovisar ovan vad gäller behandlingen av personuppgifter generellt är CSN:s behandling av känsliga personuppgifter i det tekniska systemet nödvändig med hänsyn till det viktiga allmänna intresset av att stärka den fria rörligheten genom att efterleva kraven i SDG-förordningen. Behandlingen är därmed nödvändig med hänsyn till ett viktigt allmänt intresse, förutsatt att behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.45
Studiestödsdatalagen bör inte vara tillämplig på personuppgiftsbehandling i den tekniska miljön där bevisutbyte enligt SDG-förordningen hanteras
Det är svårt att avgöra hur omfattande den gränsöverskridande verksamheten som CSN behöver bedriva med anledning av SDG-förordningen kommer att bli. Det är dock enligt vår uppfattning inte orimligt att dra slutsatsen att det kan innebära en betydande omfattning av personuppgiftsbehandling.
På det sätt vi föreslår att det materiella tillämpningsområdet ska utformas i studiestödsdatalagen är det vår uppfattning att den behandling av personuppgifter som CSN utför i den gemensamma digitala ingången i huvudsak kommer att omfattas av studiestödsdatalagen. Det skulle innebära att CSN behöver tillämpa den föreslagna lagen t.ex. avseende sökbegränsningar (se avsnitt 11.2), även vid behandling som sker i det gemensamma tekniska systemet. Eftersom vissa bestämmelser i den föreslagna studiestödsdatalagen går längre än bestämmelserna i EU:s dataskyddsförordning är vi av uppfattningen att det kan uppstå vissa problem för CSN inom ramen för detta EU-samarbete.
Regleringen om dataskydd och personuppgiftsbehandling i SDGförordningen och genomförandeförordningen är dessutom tydlig och innehåller garantier för att inga obehöriga intrång i den registrerades personliga integritet kommer att ske. Vi är även av uppfattningen att det finns starka skäl för att samtliga myndigheter som använder det tekniska systemet ska tillämpa samma reglering avse-
45 Jfr artikel 9.2 g i EU:s dataskyddsförordning och 3 kap. 3 § dataskyddslagen.
ende dataskydd och personuppgiftsbehandling. Detta för att undvika skillnader i personuppgiftsbehandlingen mellan myndigheter i olika medlemsstater. I den promemoria som tagits fram inom Regeringskansliet konstateras också att det saknas behov av nya bestämmelser med anledning av den personuppgiftsbehandlingen som kommer utföras av behöriga myndigheter till följd av införandet av det tekniska systemet.46
Mot denna bakgrund anser vi att det finns skäl att undanta behandling av personuppgifter i den gemensamma digitala ingången från tillämpningsområdet för studiestödsdatalagen. Syftet med en sådan reglering är att säkerställa att CSN kan delta i det EU-gemensamma samarbetet på ett ändamålsenligt sätt utan obefogade hinder i nationell rätt. Vi beskriver ytterligare vad detta innebär i det följande.
Studiestödsdatalagen ska inte vara tillämplig i någon teknisk miljö som används gemensamt inom EU
Vi anser att det finns skäl att överväga om undantaget från studiestödsdatalagens tillämpningsområde endast bör avse just det gemensamma informationssystem som nu är aktuellt enligt SDG-förordningen eller om bestämmelsen ska omfatta samtliga system som används gemensamt av medlemsstaterna inom EU för insamling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Visserligen är det bara den gemsamma digitala ingången som är aktuell för CSN i nuläget, men det är inte uteslutet att andra unionsgemensamma system kan tillkomma i framtiden.
Samma skäl som föreligger för att undanta det tekniska systemet som regleras i SDG-förordningen kan motivera att även andra EUgemensamma system bör undantas. Enligt våra direktiv ska vi dessutom skapa en flexibel dataskyddsreglering för CSN. Det ligger därför i linje med vårt uppdrag att föreslå en generell bestämmelse som undantar alla EU:s gemensamma informationssystem från studiestödsdatalagens tillämpningsområde, vilket vi gör.
Med behandling av personuppgifter i sådana gemensamma system avses sådan behandling av uppgifter som CSN eller andra medlemsstaters myndigheter lämnar eller har lämnat över till systemen
46 Se Fi 2023:C, Sekretess och dataskydd i det tekniska systemet enligt EU:s förordning om en
gemensam digital ingång, s. 24, 25 och 26.
och som sedan finns där. Undantaget avser alltså inte behandling av personuppgifter som utförs i CSN:s egna interna system som inte är förvaltade och utformade av EU-kommissionen, något annat EU-organ eller av EU-kommissionen och medlemsstaterna gemensamt och där CSN kan bestämma ändamålen och medlen för behandlingen. Med andra ord avser det system som inte förvaltas nationellt. Undantaget omfattar inte heller behandling av uppgifter som CSN hämtar in från de EU-gemensamma systemen i syfte att uppgifterna ska behandlas inom myndighetens egna verksamhetssystem i enlighet med EU-rättslig reglering. Så länge CSN behandlar uppgifterna och dessa inte tillgängliggörs i något av EU:s gemensamma informationssystem för behandling där är myndigheten som utgångspunkt ansvarig för behandlingen enligt bestämmelserna i den föreslagna studiestödsdatalagen. När uppgifterna övergår till ett EU-gemensamt informationssystem och behandlas i dessa gäller inte studiestödsdatalagen. Det kan dock fortfarande vara så att CSN anses personuppgiftsansvarig för behandlingen även i de unionsgemensamma informationssystemen enligt t.ex. bestämmelser i materiell EU-rättslig reglering. Det föreslagna undantaget är alltså inte nödvändigtvis knutet till om CSN är personuppgiftsansvarig eller inte för en viss behandling av personuppgifter. Det väsentliga för den nya studiestödsdatalagens tillämplighet är om uppgifterna behandlas i de EUgemensamma informationssystemen. Det kan också vara så att samma uppgifter, oavsett på vilken grund de är inhämtade, kan behandlas i de gemensamma informationssystemen och i det egna verksamhetssystemet samtidigt. Den nya studiestödsdatalagen kan alltså vara tillämplig på samma uppgifter som samlats in enbart för att överföras till ett EU-gemensamt informationssystem, så länge uppgifterna även behandlas i CSN:s egna verksamhetssystem.
Utöver det vi nu beskrivit om den föreslagna regleringens innebörd är det inte möjligt att på ett mer exakt sätt beskriva när CSN utför en specifik behandling i ett visst EU-gemensamt informationssystem på ett sätt som innebär att undantaget blir tillämpligt. Detta får i stället avgöras i den praktiska tillämpningen av bestämmelsen.
Vårt förslag innebär inte att det kommer saknas ett datarättsligt skydd för uppgifter som behandlas i EU:s gemensamma informationssystem. I första hand ska EU:s dataskyddsförordning och de materiella bestämmelser som reglerar det EU-gemensamma arbetet gälla för behandlingen. Vi anser slutligen att man bör kunna anta
att sådan behandling som myndigheter till följd av materiell EUrättslig reglering får eller ska utföra i EU:s gemensamma informationssystem i sig är reglerat på ett sätt som är förenligt med EU:s dataskyddsförordning, precis som SDG-förordningen.
Det saknas anledning till ytterligare analys om behovet av anpassningar av CSN:s registerförfattningar utifrån SDG-förordningen
Eftersom vi kommer fram till att studiestödsdatalagen inte ska vara tillämplig vid behandling av personuppgifter i EU:s gemensamma informationssystem, inklusive det tekniska system som regleras i SDG-förordningen, saknas det anledning för oss att ytterligare analysera behovet av anpassningar av CSN:s registerförfattningar utifrån SDG-förordningen.
8.3.4. Uppgifter om avlidna och juridiska personer
Vår bedömning: Regleringen i den nya studiestödsdatalagen bör
inte omfatta behandling av uppgifter om avlidna eller juridiska personer. Detta behöver inte anges särskilt i lagen.
Skälen för bedömningen
EU:s dataskyddsförordning och reglering i andra registerförfattningar
EU:s dataskyddsförordning och dataskyddslagen reglerar behandling av personuppgifter, dvs. uppgifter om fysiska personer som är i livet.47Medlemsstaterna får dock fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna och juridiska personer. Det finns alltså inget hinder mot att studiestödsdatalagen i tillämpliga delar även skulle omfatta uppgifter om sådana personer.
I dag finns det ingen särskild reglering om uppgifter om avlidna eller juridiska personer i studiestödsdatalagen, dvs. lagen ska inte tillämpas på sådana uppgifter. Det finns dock annan, mer modern, registerreglering vars tillämpningsområde omfattar uppgifter om avlidna, t.ex. 114 kap. socialförsäkringsbalken (som reglerar person-
47 Jfr skäl 14 och 27 till EU:s dataskyddsförordning.
uppgiftsbehandling vid Försäkringskassan och Pensionsmyndigheten), lagen om behandling av personuppgifter vid Utbetalningsmyndigheten, patientdatalagen och lagen om Rättsmedicinalverkets behandling av personuppgifter. Av förarbetena till Rättsmedicinalverkets registerförfattning framgår att det vid myndigheten förekommer uppgifter om avlidna i relativt stor utsträckning och att det ofta rör sig om uppgifter som är av särskilt känslig karaktär, t.ex. uppgifter om personer som utsatts för grov brottslighet. Det framfördes också att det kan förekomma uppgifter om enskildas psykiska och fysiska hälsa som det kan vara betydelsefullt för efterlevande att skydda. Regeringen anförde vidare att den omständligheten att lagen gäller även för uppgifter om avlidna bidrar till att upprätthålla den frid som bör tillkomma den avlidna personen.48Motsvarande skäl angavs i förarbetena till patientdatalagen.49 Även i förarbetena till regleringen i socialförsäkringsbalken motiverades det av den mängd uppgifter som är hänförliga till avlidna förekommer i myndigheternas verksamhet.
I lagen om behandling av personuppgifter vid Utbetalningsmyndigheten finns vissa bestämmelser som ska tillämpas på uppgifter om avlidna. I förarbetena till regleringen konstaterar regeringen att myndigheten kan komma att behandla sådana uppgifter. Regeringen ansåg också att även om behandlingen av uppgifter om avlidna inte omfattas av EU:s dataskyddsförordnings tillämpningsområde fanns det skäl att i viss utsträckning skydda behandlingen av sådana uppgifter i Utbildningsmyndighetens verksamhet.50 Däremot ansåg regeringen att det inte fanns några motsvarande skyddsskäl eller andra skäl att uppgifter om juridiska personer skulle omfattas av tillämpningsområdet.51
I fråga om uppgifter om juridiska personer finns det exempel på registerförfattningar inom brottsdatalagens tillämpningsområde som innehåller reglering om sådana uppgifter.52 Annan nyare dataskyddsreglering på EU:s dataskyddsförordnings område omfattar
48 Se prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 32. 49 Se prop. 2007/08:126, Patientdatalag m.m., s. 52. 50 Se prop. 2022/23:34, Utbildningsmyndigheten, s. 120. 51 Se prop. 2022/23:34, Utbildningsmyndigheten, s. 121 och jfr SOU 2020:35, Kontroll för ökad
tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 348 och 349.
52 Se t.ex. brottsdatalagen (2017:1177), lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
inte uppgifter om vare sig avlidna eller juridiska personer, se t.ex. 2 § domstolsdatalagen.53
Uppgifter om avlidna personer
Utifrån vad som framkommer i ovan nämnda förarbeten om reglering av uppgifter om avlidna personer kan vi dra slutsatsen att det är omfattningen eller karaktären av uppgifter om avlidna personer som skulle kunna motivera att studiestödsdatalagen omfattar behandling av sådana uppgifter. Behandlingen av uppgifter om avlidna personer hos CSN rör i huvudsak frågor om avskrivning av lån efter att en låntagare har avlidit, alltså i syfte att avsluta behandlingen. Sådana uppgifter behandlas i vart fall inte i lika stor omfattning hos CSN som hos t.ex. Utbetalningsmyndigheten. De uppgifter om avlidna som kan förekomma i CSN:s verksamhet är i regel inte heller i närheten av samma känsliga natur som t.ex. vid Rättsmedicinalverket, inom vården eller vid Försäkringskassan. Avlidna personer har inte heller samma behov av integritetsskydd som levande fysiska personer.54 Om uppgifter om avlidna personer inte omfattas av studiestödsdatalagens tillämpningsområde innebär det inte att uppgifterna helt kommer att sakna skydd eftersom sekretessreglering som omfattar uppgifter om enskildas personliga förhållanden även kan tillämpas på uppgifter om avlidna under vissa förutsättningar.
Högsta förvaltningsdomstolen har t.ex. i ett mål – där frågan var om sekretess gällde för vissa uppgifter i socialtjänstens journal om en avliden gentemot den avlidnes mamma – uttalat att det knappast kan anses att en avliden person lider men, men att sekretess bör kunna gälla om uppgiften kan anses kränka den frid som bör tillkomma den avlidne. Som exempel på sådana uppgifter tog domstolen upp integritetskänsliga uppgifter som det med fog kan antas att den avlidne inte velat skulle komma till någon annans kännedom ens efter hennes eller hans död.55
Utöver sekretessregleringen finns också andra generella regler som CSN ska förhålla sig till vid utförandet av sitt uppdrag även avseende uppgifter om avlidna personer, t.ex. i förvaltningslagen (2017:900).
53 Se Ds 2013:10, Domstolsdatalag, s. 51 och 52. 54 Se t.ex. prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av
fordon på vägtrafikområdet, s. 67.
55 Se RÅ 2007 ref. 16. Jfr även prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84 och 85.
Uppgifter om juridiska personer
I CSN:s verksamhet förekommer också uppgifter om juridiska personer, vanligtvis om lärosäten och trafikskolor. Till följd av att begreppet personuppgifter definieras brett i EU:s dataskyddsförordning utgör i vissa fall uppgifter om juridiska personer direkta eller indirekta personuppgifter som skyddas av den generella och sektorsspecifika dataskyddsregleringen. Det kan t.ex. handla om uppgifter om firmatecknare, firmanamn eller organisationsnummer som består av den enskilda näringsidkarens personnummer. Sådana uppgifter som skulle kunna utgöra direkta eller indirekta personuppgifter är redan skyddade av regleringen genom att de utgör personuppgifter. Vidare är det, som regeringen konstaterat vid ett flertal tillfällen, allmänt sett inte lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer.56 I det fall det finns ett indirekt skyddsbehov för uppgifter om juridiska personer, har detta sin grund i intresset av integritetsskydd för fysiska personer. Det skyddsbehov som finns för aktuella uppgifter vid CSN bör alltså anses vara tillgodosett genom regleringen i den föreslagna studiestödsdatalagen, EU:s dataskyddsförordning och dataskyddslagen.
Sammantagen bedömning
Utöver det vi redogör för ovan är det också vår uppfattning att det finns ett stort värde i att de uppgifter som ska omfattas av den nya studiestödsdatalagen i så hög grad som möjligt ansluter sig till vad som gäller enligt EU:s dataskyddsförordning, se avsnitt 7.3. Alla bestämmelser i den nya lagen kan inte heller tillämpas på uppgifter om avlidna eller juridiska personer, t.ex. bestämmelser om enskildas rättigheter. Mot denna bakgrund anser vi att det inte finns tillräckligt starka skäl som talar för att låta den nya studiestödsdatalagen omfatta behandling av uppgifter om avlidna eller juridiska personer. Det innebär självfallet inte att CSN måste behandla sådana uppgifter annorlunda än personuppgifter. Det utgör dessutom ingen skillnad från hur CSN får behandla uppgifter om avlidna och juridiska personer i dag.
56 Se t.ex. Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 113.
8.4. Lagens förhållande till annan reglering
Vårt förslag: Det ska införas en bestämmelse i den nya studie-
stödsdatalagen som föreskriver att lagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. Hänvisningen ska vara dynamisk.
Den nya studiestödsdatalagen ska även innehålla en bestämmelse som föreskriver att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt den nya lagen, om inte annat följer av den lagen eller föreskrifter som har meddelats i anslutning till den.
Skälen för förslaget
EU:s dataskyddsförordning är i alla delar bindande och direkt tillämplig i samtliga medlemsstater inom EU. Förordningen utgör den generella regleringen av personuppgiftsbehandling inom EU. Den ska alltså tillämpas av myndigheter och enskilda på samma sätt som om den vore lag antagen av Sveriges riksdag.
EU:s dataskyddsförordning gäller alltså oavsett om det i de föreslagna lagarna införs en bestämmelse som hänvisar till den eller inte. Vi anser dock att det i den nya studiestödsdatalagen bör införas en upplysningsbestämmelse som tydliggör att lagen innehåller kompletterande bestämmelser till EU:s dataskyddsförordning. Sådana bestämmelser förtydligar den nya lagens förhållande till förordningen och klargör att lagen inte kan tillämpas fristående, utan ska tillämpas tillsammans med EU:s dataskyddsförordning. En sådan bestämmelse finns i nuvarande studiestödsdatalag och vi anser att så ska vara fallet även i den nya lagen.
Vi föreslår att hänvisningen till EU:s dataskyddsförordning ska vara dynamisk, vilket innebär att hänvisningen avser förordningen i dess vid varje tidpunkt gällande lydelse. Enligt vår mening är denna hänvisningsteknik den mest lämpliga, eftersom lagen annars kan komma att behöva ändras vid varje eventuell ändring av EU:s dataskyddsförordning. Bestämmelsen bör därför utformas på motsvar-
ande sätt som i nuvarande studiestödsdatalag och som i andra sektorspecifika lagar som kompletterar EU:s dataskyddsförordning.57
I svensk rätt har det antagits generella kompletterande bestämmelser till EU:s dataskyddsförordning genom dataskyddslagen. Dataskyddslagens bestämmelser är subsidiära i förhållande till annan nationell dataskyddsreglering, dvs. eventuella specialbestämmelser i andra författningar om behandling av personuppgifter ska tillämpas före de allmänna bestämmelserna i dataskyddslagen. Detta följer direkt av dataskyddslagen.58 Det behövs därför egentligen inte någon materiell bestämmelse för att specialbestämmelser i den nya studiestödsdatalagen ska ges företräde framför de generella bestämmelserna i dataskyddslagen.
För att det, liksom i dag,59 ska vara tydligt hur den nya lagen förhåller sig till dataskyddslagen föreslår vi dock att den nya studiestödsdatalagen ska innehålla bestämmelser som tydliggör att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen ska gälla vid CSN:s behandling av personuppgifter, om inte annat följer av den nya lagen eller föreskrifter som har meddelats i anslutning till denna. Sådana tydliggörande bestämmelser är även vanligt förekommande i andra moderna registerförfattningar.60
8.5. Definitioner
Vår bedömning: Det bör inte införas några särskilda bestämmelser
om definitioner i den nya studiestödsdatalagen eller den nya studiestödsdataförordningen.
Skälen för bedömningen
I nuvarande studiestödsdatalag finns en bestämmelse i 2 a § andra stycket som anger att termer och uttryck i den lagen har samma betydelse som i EU:s dataskyddsförordning. Så vitt vi kan hitta
57 Se t.ex. 3 § domstolsdatalagen (2015:728) och 1 kap. 3 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. 58 Se 1 kap. 6 § dataskyddslagen. 59 Jfr prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet, s. 195. 60 Se t.ex. 4 § domstolsdatalagen, 5 § vägtrafikdatalagen och 1 kap. 3 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten.
finns det ingen särskild motivering till varför denna bestämmelse infördes när studiestödsdatalagen anpassades till EU:s dataskyddsförordning.61 I lydelsen innan anpassningen skedde fanns en hänvisning till definitioner i personuppgiftslagen. Troligen ansåg regeringen vid tidpunkten för anpassningen att den bestämmelsen behövde ersättas med en bestämmelse som i stället hänvisade till definitioner i förordningen.
Bestämmelsen i nuvarande studiestödsdatalag utgör endast ett klargörande och tillgodoser inte något egentligt behov. Samma bestämmelse finns dessutom i dataskyddslagen, som gäller om inte något annat föreskrivs i studiestödsdatalagen, se avsnitt 8.4. Det följer enligt oss redan av bestämmelserna som reglerar förhållandet mellan studiestödsdatalagen och EU:s dataskyddsförordning respektive dataskyddslagen att termer och uttryck i dessa författningar har samma betydelse vid tillämpningen av studiestödsdatalagen, även om det inte särskilt anges i den nya lagen. Liknande bestämmelser kan inte återfinnas i andra registerförfattningar som på senare tid har moderniserats.62 Mot denna bakgrund bedömer vi att det inte finns ett behov av att en liknande bestämmelse införs i den nya studiestödsdatalagen.
I nuvarande studiestödsdataförordning (2009:321) finns det inga definitionsbestämmelser. Det finns exempel på moderna registerförfattningar eller förslag till sådana som innehåller ett tydliggörande av att begreppsanvändningen i lagen och den tillhörande förordningen hänger samman med varandra och att de därmed ska tolkas och tillämpas på samma sätt.63 En sådan bestämmelse har dock enbart ett klargörande syfte och vi anser att det skulle vara att reglera något uppenbart. Mot denna bakgrund gör vi bedömningen att det inte heller behövs någon särskild bestämmelse om definitioner i studiestödsdataförordningen.
61 Jfr prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet, s. 193–198. 62 Jfr t.ex. domstolsdatalagen, vägtrafikdatalagen och lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. 63 Se förordningen (2023:463) om behandling av personuppgifter vid Utebetalningsmyndigheten och SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 367.
8.6. Personuppgiftsansvar
Vårt förslag: Det ska införas en bestämmelse i den nya studie-
stödsdatalagen som föreskriver att CSN är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen.
Vår bedömning: Det bör inte införas några särskilda bestämmelser
om personuppgiftsbiträden i den nya studiestödsdatalagen.
Skälen för förslaget och bedömningen
Personuppgiftsansvaret bör regleras även i den nya lagen
Begreppet personuppgiftsansvarig är centralt i EU:s dataskyddsförordning. Förordningen förutsätter att det finns en personuppgiftsansvarig för all personuppgiftsbehandling som sker. Personuppgiftsansvarig definieras som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan det däri föreskrivas vem som ska vara personuppgiftsansvarig.64
Den som är personuppgiftsansvarig för viss personuppgiftsbehandling har en rad skyldigheter som denne måste uppfylla enligt regleringen i EU:s dataskyddsförordning. Den personuppgiftsansvarige ska t.ex. ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i förordningen efterlevs,65 tillhandahålla information om personuppgiftsbehandling66och genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen.67
64 Se artikel 4.7 i EU:s dataskyddsförordning. 65 Se artikel 5.2 i EU:s dataskyddsförordning. 66 Se artikel 12–14 i EU:s dataskyddsförordning. 67 Se artikel 24 i EU:s dataskyddsförordning.
Registerförfattningar innehåller ofta en reglering av vem som är personuppgiftsansvarig. En sådan bestämmelse är, såvitt gäller myndigheter, av största vikt när det är fråga om en myndighet som är del av en större myndighetsstruktur, om det finns utrymme för tvekan kring vilken myndighet som har ansvaret för behandlingen. Regleringen kan dock vara berättigad även i andra fall, för att förenkla för rättstillämparen och undvika otydligheter.68
I dag finns det en bestämmelse om personuppgiftsansvar i studiestödsdatalagen. I lagens 3 § framgår att CSN är personuppgiftsansvarig för den behandling som myndigheten utför. För att det ska vara tydligt vem som är personuppgiftsansvarig bedömer vi att det ska regleras även i den nya studiestödsdatalagen. En sådan bestämmelse bör även tydliggöra att CSN är personuppgiftsansvarig för den behandling inom myndighetens verksamhet som omfattas av lagen, men som utförs av andra aktörer på uppdrag av myndigheten i egenskap av personuppgiftsbiträde.69 Vi föreslår därför att det av den nya studiestödsdatalagen ska framgå att CSN är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som meddelats i anslutning till lagen. Den nya utformningen har egentligen ingen annan betydelse än den nuvarande bestämmelsen, men vi anser att det blir tydligare att uttryckligen hänvisa till att det är personuppgiftsbehandling enligt lagen som åsyftas. För personuppgiftsbehandling som inte omfattas av lagens tillämpningsområde bestäms personuppgiftsansvaret enligt annan tillämplig reglering.
Det bör dock nämnas att det kan uppkomma situationer där CSN inte har faktiska möjligheter att påverka vare sig ändamålen eller medlen för behandlingen. Det skulle t.ex. kunna förekomma att ändamålen och medlen för en viss behandling bestäms i EU-rätten på ett sätt som innebär att myndigheten inte är personuppgiftsansvarig enligt definitionen i EU:s dataskyddsförordning. Den nuvarande regleringen kan dock innebära att myndigheten är personuppgiftsansvarig även för sådan behandling, om den behandlingen som utförs faller inom ramen för studiestödsdatalagens tillämpningsområde. Sådana situationer kan uppkomma även genom den föreslagna regleringen i den nya studiestödsdatalagen. Mot bakgrund av bl.a.
68 Se prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 34. 69 Frågan om personuppgiftsansvarets fördelning avgörs dock slutligt av rättstillämpningen, se prop. 2017/18:36, Ett mer effektivt informationsutbyte vid Nationellt centrum för terrorhot-
bedömning, s. 19 och prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 29.
detta föreslår vi att lagen inte ska vara tillämplig vid behandling av personuppgifter i EU:s gemensamma informationssystem, se avsnitt 8.3.3. Det innebär i sin tur att den föreslagna bestämmelsen om personuppgiftsansvar inte heller ska tillämpas vid sådan behandling. I de fall det uppkommer ytterligare situationer i vilka CSN inte kan anses vara personuppgiftsansvarig enligt definitionen av begreppet, men bestämmelserna i den nya lagen innebär att myndigheten ändå anses vara det, får lagstiftaren göra överväganden om även sådana ytterligare situationer ska undantas från tillämpningsområdet eller på annat sätt särregleras.
Det behövs inga särskilda bestämmelser om personuppgiftsbiträden
Enligt skäl 74 till EU:s dataskyddsförordning bär den personuppgiftsansvarige ansvaret för all behandling av personuppgifter som den utför eller som utförs på dennes vägnar. Ansvaret sträcker sig alltså till att även omfatta den personuppgiftsbehandling som ett personuppgiftsbiträde utför för den personuppgiftsansvarige.70 I EU:s dataskyddsförordning definieras personuppgiftsbiträde som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.71
Vid CSN kan det förekomma att personuppgiftsbiträden anlitas. Det kan handla om att myndigheten anlitar en extern part till vilken viss behandling av personuppgifter överlåts. I de fall CSN anlitar ett personuppgiftsbiträde ska ett s.k. personuppgiftsbiträdesavtal om personuppgiftsbiträdets behandling av personuppgifter för myndighetens räkning ingås.72 Ett personuppgiftsbiträde och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgiftsansvarige såvida inte skyldighet att utföra behandling följer av unionsrätten eller medlemsstaternas nationella rätt.73 Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger
70 Se prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 34. 71 Se artikel 4.8 i EU:s dataskyddsförordning. 72 Se artikel 28.3 i EU:s dataskyddsförordning. 73 Jfr artikel 29 i EU:s dataskyddsförordning.
tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i EU:s dataskyddsförordning och säkerställer att den registrerades rättigheter skyddas.74 Det finns även ytterligare bestämmelser om personuppgiftbiträden i förordningen.
Bestämmelserna i EU:s dataskyddsförordning om personuppgiftsbiträden reglerar på ett detaljerat sätt vad som gäller när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde. Vi bedömer att denna reglering är tillräcklig och att det därför inte finns något behov av att införa bestämmelser om personuppgiftsbiträden i den nya studiestödsdatalagen. Sådana bestämmelser finns inte heller i dag i lagen. Det bör dock i sammanhanget nämnas att vi är av uppfattningen att det inte finns något principiellt hinder mot att två offentligrättsliga organ ingår ett personuppgiftsbiträdesavtal.75
8.7. Enskildas rättigheter
Vårt förslag: Det ska i den nya studiestödsdatalagen införas en
bestämmelse som anger att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar inte gäller vid sådan behandling av personuppgifter som är tillåten enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till den lagen.
Skälen för förslaget
I artikel 21 i EU:s dataskyddsförordning regleras rätten att göra invändningar mot behandling av personuppgifter. Vid den behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning ska den registrerade enligt artikel 21.1 ha rätt att när som helst av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna om inte denne kan visa tvingande berättigade skäl för behandlingen som väger tyngre
74 Se artikel 28.1 i EU:s dataskyddsförordning. 75 Jfr artikel 4.8 i EU:s dataskyddsförordning och prop. 2014/15:148, Domstolsdatalag, s. 36.
än den registrerades intressen, fri- och rättigheter eller om det sker för fastställande, utövande eller försvar av rättsligt anspråk. Begränsningar i rätten att göra invändningar får endast göras under de förutsättningar som anges i artikel 23, eller i vissa situationer med stöd av artikel 89.2 och 3.
Enligt artikel 23 i EU:s dataskyddsförordning är det möjligt för medlemsstaterna att begränsa rätten att göra invändningar. Det krävs att begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och att det utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bl.a. viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intresse, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. Sådana lagstiftningsåtgärder ska enligt artikeln innehålla specifika bestämmelser när så är relevant, avseende bl.a. ändamålen med behandlingen, lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål.
Vid införandet av dataskyddslagen bedömde regeringen att det inte var lämpligt att inskränka rätten att göra invändningar mot myndigheters behandling av personuppgifter genom ett generellt undantag i den lagen. Sådana undantag skulle i stället övervägas på sektorsspecifik nivå.76
Många registerförfattningar innehåller begränsningar av rätten att göra invändningar,77 likaså den gällande studiestödsdatalagen. Enligt 5 § studiestödsdatalagen gäller artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar inte vid sådan behandling av personuppgifter som är tillåten enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till den lagen. Bestämmelsen i dess nuvarande lydelse infördes i samband med att lagen anpassades till EU:s dataskyddsförordning, men lagen innehöll även tidigare bestämmelser som begränsade enskildas rätt att göra invändningar.
Ett huvudsakligt skäl till att studiestödsdatalagen innehåller en sådan reglering är att regeringen ansåg det vara av stor betydelse att personuppgifter får behandlas i myndighetens verksamhet oberoende av den registrerades inställning. Vidare gjorde regeringen bedöm-
76 Se prop. 2017/18:105, Ny dataskyddslag, s. 105 och 106. 77 Se t.ex. 2 a § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 18 b § utlänningsdatalagen (2016:27) och 1 kap. 4 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten.
ningen att den personuppgiftsansvarige närmast undantagslöst skulle kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. Regeringen ansåg att under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för CSN att behandla personuppgifter skulle den registrerade inte ha någon rätt att motsätta sig sådan personuppgiftsbehandling. Begränsningarna ansågs vidare vara en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. Regeringen bedömde med dessa utgångspunkter att de bestämmelser som innebar att behandling av personuppgifter fick utföras även om den registrerade motsätter sig behandlingen var förenliga med EU:s dataskyddsförordning och därför kunde vara kvar även i fortsättningen.78 Motsvarande uttalanden har gjorts gällande liknande reglering i andra registerförfattningar.79
Enligt vår bedömning saknas det skäl att nu göra någon annan bedömning i dessa frågor. Även med beaktande av de förslag till förändringar av regleringen som vi lämnar kommer CSN:s behandling av personuppgifter fortsättningsvis att omgärdas av integritetsskyddande bestämmelser som minimerar riskerna för kränkningar av den registrerades fri- och rättigheter. Vi gör också bedömningen att de föreslagna ändamålsbestämmelserna är sådana specifika bestämmelser avseende ändamålen med behandlingen eller kategorierna av behandlingen som avses i artikel 23.2 i EU:s dataskyddsförordning, jfr avsnitt 9.4. Det har inte heller kommit fram något skäl för att göra en annan bedömning i fråga om att behandlingen är nödvändig för att myndigheten ska kunna utföra sitt uppdrag på ett korrekt, effektivt och rättssäkert sätt samt att myndighetens skäl för fortsatt behandling väger tyngre vid den intresseavvägning som ska göras. Detta gäller även om tillämpningsområdet nu uttryckligen har vidgats till att gälla även annan stödverksamhet än studiestöd, se avsnitt 8.3.1.
Mot denna bakgrund föreslår vi att det i studiestödsdatalagen ska införas en bestämmelse som föreskriver att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar inte ska gälla vid sådan behandling som är tillåten enligt den nya lagen eller enligt föreskrifter som har meddelats i anslutning till lagen.
78 Se t.ex. prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet, s. 189, 190 och 191. 79 Se t.ex. prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 45.
9. Tillåtna ändamål för personuppgiftsbehandling
9.1. Inledning
Enligt våra direktiv ska vi överväga och ta ställning till om CSN:s ändamålsreglering kan göras bredare formulerad och därmed mindre detaljerad samt om det i övrigt finns ett behov av en förändrad ändamålsreglering utifrån myndighetens arbetsuppgifter enligt myndighetens instruktion, andra författningar och regleringsbrev. Utöver detta ska vi analysera och bedöma lämpligheten av ändamålsbestämmelser som ger CSN utökade möjligheter att behandla personuppgifter för att göra dataanalyser och urval. Vi ska även analysera om det finns ett behov av ändamålsbestämmelser som innebär en utökad möjlighet för CSN att behandla personuppgifter vid informationsutbyte med andra myndigheter och aktörer. I detta kapitel presenterar vi våra överväganden i dessa frågor och våra förslag till ändamålsbestämmelser i den nya studiestödsdatalagen.
Innan vi går in på våra överväganden och förslag finns det anledning att redogöra för olika aspekter av ändamål med personuppgiftsbehandling och betydelsen av ändamålet med behandlingen utifrån den generella dataskyddsregleringen. Det finns också skäl att beskriva de överväganden som låg till grund för den ursprungliga utformningen av befintliga ändamålsbestämmelser i studiestödsdatalagen (2009:287) och vilka överväganden som ligger till grund för de ändringar som gjordes efter att EU:s dataskyddsförordning trädde i kraft. Efter detta presenterar vi våra bedömningar om att den nya studiestödsdatalagen bör innehålla en ändamålsreglering, att denna reglering bör vara mindre detaljerad än i dag, att CSN bör ges utökade möjligheter att behandla personuppgifter för att göra dataanalyser och urval respektive för att lämna och ta emot uppgifter från andra aktörer.
Avslutningsvis presenterar vi vårt förslag att det ska införas en bred primär ändamålsbestämmelse som kopplar till tillämpningsområdet för den nya studiestödsdatalagen. Vi föreslår också att det ska införas ett tydligt rättsligt stöd i form av en primär ändamålsbestämmelse som anger att CSN inom ramen för stödverksamheten får göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel. Slutligen presenterar vi våra förslag om att det ska införas en sekundär ändamålsbestämmelse som tillåter behandling genom uppgiftslämnande samt att finalitetsprincipen ska regleras i lagen.
9.2. Allmänt om tillåtna ändamål för behandling av personuppgifter
9.2.1. Den rättsliga grunden sätter ramarna för ändamålen
För att behandling av personuppgifter över huvud taget ska vara laglig enligt EU:s dataskyddsförordning krävs att den ryms inom någon av de rättsliga grunder för behandling som finns i artikel 6.1 i förordningen, se avsnitt 3.3. De rättsliga grunderna är i viss mån överlappande och flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.1
Behandling som grundar sig på en rättslig förpliktelse som den personuppgiftsansvarige har att utföra,2 eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning,3 måste fastställas i unionsrätten eller i en medlemsstats nationella rätt.4 Enligt EU:s dataskyddsförordning är det alltså lagstiftarens sak att genom reglering tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter.5 Den rättsliga grunden måste uppfylla förordningens krav på tydlighet, precision, förutsebarhet och proportionalitet.6 Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. Ett mer kännbart intrång, t.ex. behand-
1 Se prop. 2017/18:105, Ny dataskyddslag, s. 46. 2 Se artikel 6.1 c i EU:s dataskyddsförordning. 3 Se artikel 6.1 e i EU:s dataskyddsförordning. 4 Se artikel 6.3 i EU:s dataskyddsförordning. 5 Se skäl 47 till EU:s dataskyddsförordning. 6 Se artikel 6.3 andra stycket i och skäl 41 till EU:s dataskyddsförordning.
ling av känsliga personuppgifter, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget försvarbart.7
Kravet på att all behandling måste ha en rättslig grund innebär att den verksamhetsreglering som styr en myndighets arbetsuppgifter också styr för vilka ändamål myndigheten får behandla personuppgifter. Den rättsliga grund som myndigheter kan basera sin personuppgiftsbehandling på begränsar därmed även för vilka ändamål personuppgifter får behandlas. Det finns alltså en nära koppling mellan en myndighets verksamhetsreglering och de ändamål för behandling som kan bli aktuella. En tydlig verksamhetsreglering kan medföra att behovet av särskilda dataskyddsbestämmelser, för att avgränsa och förtydliga den rättsliga grunden, kan minska. En mer allmänt hållen verksamhetsreglering kan däremot kräva en mer preciserad reglering av personuppgiftsbehandlingen, genom t.ex. bestämmelser om tillåtna ändamål som en myndighet får behandla uppgifter i sin verksamhet.8
9.2.2. Ändamålets betydelse enligt EU:s dataskyddsförordning
Utöver rättslig grund ska all behandling av personuppgifter genomföras i enlighet med EU:s dataskyddsförordnings grundläggande principer, se avsnitt 3.3.2. Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål, vilket betyder att det alltid måste finnas minst ett ändamål med personuppgiftsbehandlingen. Ändamålet med behandlingen är avgörande för flera av de grundläggande principerna i EU:s dataskyddsförordning. Principen om ändamålsbegränsning innebär att uppgifter inte får vidarebehandlas för ändamål som är oförenliga med insamlingsändamålet.9 Den registrerade skyddas genom principen mot oväntad och integritetskränkande behandling av de personuppgifter som har samlats in. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.10
7 Se prop. 2017/18:105, Ny dataskyddslag, s. 51. 8 Jfr IMY, Vägledning för integritetsanalys i lagstiftningsarbete (IMY-2022-10835). 9 Se artikel 5.1 b i EU:s dataskyddsförordning. 10 Se skäl 39 till EU:s dataskyddsförordning.
Utifrån ändamålet avgörs vilka personuppgifter som får behandlas. Enligt principen om uppgiftsminimering ska de insamlade uppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen med behandlingen.11 Vidare innebär principen om riktighet bl.a. att alla rimliga åtgärder ska vidtas för att säkerställa att personuppgifter som är felaktiga, i förhållande till de ändamål för vilka de behandlas, raderas eller rättas utan dröjsmål.12 Enligt principen om lagringsminimering får personuppgifterna som huvudregel inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.13
Betydelsen av ändamålet med behandlingen av personuppgifter är dock inte begränsad till de grundläggande principerna. Den registrerade har bl.a. rätt att få information om ändamålet.14 Även lämplig säkerhetsnivå bestäms utifrån bl.a. behandlingens ändamål.15 Lagstiftning som begränsar tillämpningsområdet för de rättigheter och skyldigheter som följer av förordningen ska också innehålla specifika ändamålsbestämmelser när så är relevant.16 Utöver dessa exempel har ändamålet med behandlingen även betydelse för tillämpningen av flera andra bestämmelser i EU:s dataskyddsförordning.
9.2.3. Den personuppgiftsansvarige bestämmer ändamålen
Av definitionen av begreppet personuppgiftsansvarig i EU:s dataskyddsförordning framgår att det är den personuppgiftsansvarige som bestämmer ändamålen och medlen för behandlingen.17 Av artikel 5.2 framgår vidare att det är den personuppgiftsansvarige som ska ansvara för och kunna visa att de grundläggande principerna för behandlingen efterlevs, den s.k. principen om ansvarsskyldighet. Som utgångspunkt är det alltså den personuppgiftsansvarige, och inte lagstiftaren eller någon annan aktör, som ansvarar för att
11 Se artikel 5.1 c i EU:s dataskyddsförordning. 12 Se artikel 5.1 d i EU:s dataskyddsförordning. 13 Se artikel 5.1 e i EU:s dataskyddsförordning. 14 Se artikel 13.1 c, 14.1 c och 15.1 a i EU:s dataskyddsförordning. 15 Se artikel 31.1 i EU:s dataskyddsförordning. 16 Se artikel 23.2 a i EU:s dataskyddsförordning. 17 Se artikel 4.7 i EU:s dataskyddsförordning.
formulera särskilda och berättigade ändamål för behandlingen av personuppgifter i det enskilda fallet.
9.2.4. Ändamålsbestämmelser i registerförfattningar
Primära och sekundära ändamål samt finalitetsprincipen
I registerförfattningar finns det ofta en reglering av tillåtna ändamål för behandling av personuppgifter. Sådana bestämmelser kan fylla flera funktioner. Den viktigaste funktionen är att begränsa integritetsintrånget genom att ange den yttersta ram inom vilken personuppgifter får behandlas. Bestämmelser i renodlade registerförfattningar som anger och begränsar tillåtna ändamål har normalt ansetts vara nödvändiga för att säkerställa integritetsskyddet. Dessa definierar vilka uppgifter som får samlas in och hur uppgifterna därefter får behandlas. Ändamålsbestämmelser syftar till att garantera att en personuppgift endast behandlas om det är motiverat och nödvändigt, och tydliggör dessutom för enskilda vilken behandling av personuppgifter som får utföras. Sådana bestämmelser begränsar alltså myndigheters handlingsfrihet, vilket ger ett skydd för den enskildes personliga integritet.
Bestämmelser som avser ändamål för personuppgiftsbehandling som uppkommer i myndighetens egen verksamhet brukar benämnas primära ändamål, och speglar ofta myndighetens författningsreglerade uppdrag och arbetsuppgifter. Sekundära ändamål avser vanligtvis tillhandahållande av personuppgifter till externa mottagare, inte sällan andra myndigheter, i syfte att tillgodose dessa aktörers behov. Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels behandlas i myndigheters egen verksamhet, dels behandlas för att lämnas ut till andra.
De flesta registerförfattningar och annan kompletterande dataskyddsreglering innehåller i dag en uppdelning mellan primära och sekundära ändamål. Även nyare registerförfattningar, som tillkommit eller gjorts om, efter att EU:s dataskyddsförordning började tillämpas, innehåller en liknande uppdelning av ändamål.18 Det får alltså anses vara en generell utgångspunkt att sagda uppdelning görs i svensk dataskyddsreglering inom EU:s dataskyddsförordnings tillämpningsområde.
18 Se t.ex. lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten.
I svenska kompletterande registerförfattningar eller annan dataskyddsreglering motsvaras finalitetsprincipen i EU:s dataskyddsförordning ofta av en särskild bestämmelse i anslutning till övriga ändamålsbestämmelser. Om finalitetsprincipen inte uttryckligen anges i en kompletterande författning gäller den som utgångspunkt ändå, som en följd av EU:s dataskyddsförordnings direkta tillämplighet. Ändamålsbestämmelser kan dock i vissa fall vara uttömmande, dvs. bestämmelserna anger de enda ändamål för vilka personuppgifter får behandlas. Om ändamålsbestämmelserna t.ex. anger att uppgifter endast, eller bara, får behandlas för de angivna ändamålen är ingen vidarebehandling för andra ändamål tillåten. Det innebär alltså att finalitetsprincipen inte gäller i det sammanhanget och följaktligen inte tillåter någon ytterligare behandling av personuppgifter.
Utformningen av ändamålsbestämmelser i moderna registerförfattningar
Ändamålsbestämmelser kan utformas på olika sätt och vara mer eller mindre detaljerade. I vissa fall anger primära ändamålsbestämmelser endast att personuppgifter får behandlas för att myndigheten ska kunna utföra sina uppgifter i den verksamhet som avses i författningens tillämpningsområde. Ändamålsregelringen för Utbetalningsmyndigheten är exempelvis brett formulerad på det sättet.19 Ett annat exempel på en sådan bred primär ändamålsbestämmelse finns i Rättsmedicinalverkets registerförfattning. I den regleringen anges att myndigheten får behandla personuppgifter om det är nödvändigt för att utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten.20 Det finns också förslag på en liknande reglering för Skatteverket, Tullverket och Kronofogdemyndigheten.21
En modern dataskyddsreglering som fick behålla detaljerade ändamål är den för Försäkringskassan och Pensionsmyndigheten.22Att det inte infördes breda ändamålsbestämmelser för dessa myn-
19 Jfr 1 kap. 6 § första stycket lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. 20 Jfr 2 kap. 1 § lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter. 21 Se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogde-
myndigheten, s. 508.
22 Jfr 114 kap. 8 § socialförsäkringsbalken.
digheter motiverades dock bl.a. med att regeringen inte hade tillräckligt med underlag för en sådan förändring.23
För huvuddelen av nämnda myndigheter finns, eller finns förslag på, en sekundär ändamålsbestämmelse som anger att myndigheterna får behandla personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.24 För Försäkringskassan och Pensionsmyndigheten är denna reglering något mer detaljerad.25 För samtliga finns en reglering av finalitetsprincipen.26
Det finns också sektorsspecifik reglering som inte innehåller ändamålsbestämmelser alls. Exempelvis innehåller 26 a kap. skollagen (2010:800), som reglerar behandling av personuppgifter, ingen bestämmelse som begränsar eller anger för vilka ändamål personuppgifter får behandlas. Flera myndigheter saknar dessutom helt sektorsspecifik lagstiftning på dataskyddsområdet.
Särskilt om dataanalyser och urval
En av Utbetalningsmyndighetens reglerade arbetsuppgifter är att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen.27 Som vi nämner ovan har det i myndighetens dataskyddslag införts en bred ändamålsbestämmelse som anger att myndigheten får behandla personuppgifter om det är nödvändigt för att utföra myndighetens reglerade uppgifter, bl.a. att göra dataanalyser och urval.
Det finns också förslag på en annan variant av särskild dataskyddsreglering av dataanalyser och urval för Skatteverket, Tullverket och Kronofogdemyndigheten. I betänkandet Framtidens dataskydd vid
Skatteverket, Tullverket och Kronofogden föreslås nämligen att en
särskild primär ändamålsbestämmelse ska införas som anger att myndigheterna får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet som omfattas av tillämpningsområdet för de föreslagna registerförfattningarna. Syftet med bestämmelsen är
23 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 31, 32 och 33. 24 Jfr t.ex. 1 kap. 6 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. 25 Jfr 114 kap. 9 § socialförsäkringsbalken. 26 Se t.ex. 2 kap. 2 § lagen om Rättsmedicinalverkets behandling av personuppgifter. 27 Se 1 och 2 §§ förordningen (2023:461) med instruktion för Utbetalningsmyndigheten.
att ge myndigheterna ett tydligt rättsligt stöd för att använda dataanalyser och urval för kontroll. 28
9.2.5. Motiven till nuvarande ändamålsbestämmelser i studiestödsdatalagen
De ursprungliga ändamålen
Vi redogör i avsnitt 4.3.3 för de primära ändamål som gäller för CSN:s personuppgiftsbehandling i dag, vilka i princip har varit samma sedan införandet av myndighetens registerförfattningar i slutet av 00-talet.
När studiestödsdatalagen infördes gjorde regeringen bedömningen att ändamålen för personuppgiftsbehandlingen i studiestödsverksamheten skulle vara uttömmande reglerade i lagen. Regeringen ansåg att de skäl som tidigare hade motiverat förslag med ändamålsregleringar som inte varit uttömmande inte gjorde sig gällande med någon betydande styrka när det gällde studiestödsverksamhet. De förmåner som rymdes inom studiestödet bedömdes inte vara lika snabbt föränderliga som många av de förmåner som erbjöds inom t.ex. socialtjänstens administration. Detta innebar att CSN i sin studiestödsverksamhet inte fick behandla personuppgifter för några andra ändamål än de som angavs i lagen. Av förarbetena framgår också att detta ställningstagande innebar att finalitetsprincipen inte var tillämplig och att en behandling av personuppgifter som inte hade stöd i lagens ändamålsbestämmelser inte kunde tillåtas även om behandlingens syfte i och för sig kunde bedömas vara förenligt med de ändamål för vilka uppgifterna samlades in.29
I förarbetena konstaterade regeringen att de ändamål för vilka CSN behandlar personuppgifter för att utföra sina arbetsuppgifter som ankommer på myndigheten inom studiestödsverksamheten, skulle anges i studiestödsdatalagen som tillåtna ändamål.30
I fråga om ändamålet att handlägga ärenden förde regeringen fram att CSN behöver behandla en stor mängd personuppgifter för att kunna fullgöra sina arbetsuppgifter enligt studiestödslagen och andra författningar om studiestöd. Med handläggning avsåg regeringen
28 Se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogde-
myndigheten, s. 1095.
29 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 40. 30 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 41.
inte bara åtgärder som direkt syftar till att kunna fatta beslut i ett ärende, utan samtliga åtgärder i ärendet både före och efter beslut.31
Vidare konstaterade regeringen att det krävs en omfattande administration för att kunna handlägga ärenden i studiestödsverksamheten och att denna administration innefattar viss behandling av personuppgifter som inte på ett naturligt sätt kan sägas ingå i den direkta handläggningen av ärenden i studiestödsverksamheten. Som exempel på sådan behandling angavs förande av register över anmälda kontaktpersoner på olika läroanstalter som används för att underlätta handläggningen.32 Regeringen konstaterade också att CSN:s handläggning av ärenden avseende studiehjälp och beviljande av studiemedel utgör en masshantering där många beslut måste fattas och verkställas genom utbetalning vid ungefär samma tider varje år. Det konstaterades att CSN förbereder handläggningen genom att i förväg hämta in personuppgifter för alla 16-åringar och betalningsmottagare för allmänt eller förlängt barnbidrag samt för personer som antagits till någon utbildning som berättigar till studiemedel. Man noterade att denna förberedande handläggning alltså även omfattar 16-åringar som inte fortsätter studera respektive antagna som väljer att inte ansöka om studiemedel. Oavsett detta ansåg regeringen att CSN behöver utföra denna förberedande handläggning för att kunna handlägga ärenden för de 16-åringar som fortsätter studera respektive antagna studerande som ansöker om studiemedel samt betala ut studiehjälp och studiemedel i rimlig tid. Regeringen ansåg att det får anses särskilt integritetskänsligt att en myndighet behandlar personuppgifter om individer som inte alls berörs av de arbetsuppgifter som myndigheten är skyldig att utföra, samtidigt som det är rimligt och proportionerligt att så får ske för att den majoritet berörda personer som kommer att ha rätt till studiehjälp respektive ansöka om och beviljas studiemedel med rimliga resurser ska kunna få det på ett så lättadministrerat sätt som möjligt.33 I integritetsskyddande syfte infördes dock begränsningar i förhållande till detta ändamål, bl.a. i fråga om vilka personuppgifter som får behandlas.34 Vi avhandlar sådana begränsningar i kapitel 10.
31 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 41 och 42. 32 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 42. 33 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 42 och 43. 34 Jfr 3, 4 och 4 a §§studiestödsdataförordningen (2009:321).
Regeringen ansåg också att CSN hade ett behov av att behandla personuppgifter för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Det som avsågs var bara information till studiestödsberättigade, men i fråga om information om studiestödsförmåner konstaterade regeringen att det räcker med att det kan antas att informationsmottagaren i och för sig är berättigad till just den aktuella förmånen om de skulle börja studera.35
När studiestödsdatalagen skulle införas hade CSN också i uppdrag att inom ramen för den studiesociala verksamheten se till att studerande med studiestöd fick olika rabatt- och förmånskort. I praktiken var det inte CSN som distribuerade korten, men myndigheten försåg kortföretagen med personuppgifter. Regeringen ansåg att det var rimligt att det fanns ett ändamål för att CSN skulle kunna behandla personuppgifter för att ta fram och distribuera bevis som kunde användas för att styrka rätten till olika förmåner för studerande.36CSN lämnar fortsatt ut relevanta uppgifter om studerande till företag som ger ut rabattkort men utlämnandet av dessa uppgifter baseras enligt CSN på skyldighet enligt 2 kap. TF och uppgifterna får lämnas elektroniskt i enlighet med särskild reglering i 15 § studiestödsdataförordningen (2009:321).
Regeringen konstaterade också att det i studiestödsverksamheten kan förekomma att oegentligheter av skilda slag upptäcks och att det var rimligt att CSN skulle ha möjlighet att anmäla sådana oegentligheter, även om det inte föreligger någon skyldighet att göra det, dock endast om inte sekretess hindrade ett utlämnande. Som exempel tog regeringen upp att det kan röra sig om situationer när sökanden till en förmån i samband med ansökan lämnar felaktiga uppgifter om sina ekonomiska och personliga förhållanden på ett sätt som innebär att det finns en risk för att en förmån felaktigt betalas ut eller betalas ut med för högt belopp. Även oegentligheter inom myndigheten togs upp som ett exempel.37
Slutligen konstaterade regeringen att CSN skulle få behandla personuppgifter i den utsträckning myndigheten har en skyldighet enligt lag eller förordning att lämna ut uppgifter för annat än de tillåtna ändamålen. Med skyldighet att lämna ut uppgifter avsågs dels uppgiftsskyldighet enligt 14 kap. 1 § sekretesslagen (1980:100),
35 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 43. 36 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 43. 37 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 43 och 44.
motsvarande 10 kap. 15 § OSL, som innebär att sekretess inte hindrar att uppgift lämnas till riksdag och regering, dels andra författningsreglerade skyldigheter att lämna ut uppgifter.38 I samband med detta uttalade regeringen också att skyldigheten att lämna ut uppgifter förutsätter att sekretess inte hindrar ett utlämnande.39 Regeringen ansåg också att det var rimligt att CSN skulle få behandla personuppgifter för att samla vägledande avgöranden från den egna verksamheten och från överprövnings- och tillsynsinstanser, dock utan att direkt peka ut den registrerade.40
Ändamålen efter ikraftträdandet av EU:s dataskyddsförordning
I samband med den översyn som gjordes för att anpassa studiestödsdatalagen till EU:s dataskyddsförordning konstaterade regeringen att lagens bestämmelser om ändamål med behandlingen var förenliga med förordningen och borde behållas.41 Något ställningstagande kring den uttömmande ändamålsregleringen eller finalitetsprincipen gjordes inte i samband med översynen.
Några år senare gjordes ytterligare en översyn. Regeringen kunde då konstatera att sedan studiestödsdatalagen infördes hade en rad olika reformer genomförts inom studiestödsverksamheten och flera olika förmånstyper hade tillkommit. Det hade alltså, i motsats till det antagande som gjordes i förarbetena till studiestödsdatalagen, visats sig vara en föränderlig verksamhet.42 I syfte att ge CSN mer ändamålsenliga förutsättningar att utföra sin verksamhet ansåg regeringen att ändamålsbestämmelserna inte längre skulle vara uttömmande och att finalitetsprincipen skulle utgöra den yttersta ramen inom vilken personuppgifter får behandlas.43 Ett syfte med detta var att ge CSN möjlighet att kunna använda personuppgifter för att ta fram s.k. prediktiva analyser för att motverka felaktiga utbetalningar.44
I samma förarbeten uttalade regeringen att testverksamhet generellt sett är en sådan administrativ åtgärd som krävs för att CSN ska kunna utföra studiestödsverksamheten. Det ansågs därför inte
38 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 45. 39 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 45 och 80. 40 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 46. 41 Se prop. 2017/18:2018, Behandling av personuppgifter på utbildningsområdet, s. 188. 42 Se prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 10. 43 Se prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 21 och 22. 44 Se prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 22.
krävas något ytterligare författningsstöd, utöver myndighetens materiella verksamhetsreglering, i form av t.ex. en ny ändamålsbestämmelse för att CSN ska kunna behandla personuppgifter för att testa nya system.45
9.3. Behovet av en ny ändamålsreglering
9.3.1. Den nya studiestödsdatalagen bör innehålla bestämmelser om ändamål
Vår bedömning: Det finns ett behov av att införa ändamåls-
bestämmelser i den nya studiestödsdatalagen.
Skälen för bedömningen
Bestämmelser om rättslig grund i EU:s dataskyddsförordning innebär att CSN inte lagligen kan behandla personuppgifter för andra syften än att utföra de arbetsuppgifter och uppdrag som riksdagen eller regeringen ger myndigheten, eller som framgår av unionsrätten, se avsnitt 7.5. Utöver de begränsningar av när, hur och varför svenska myndigheter får behandla personuppgifter som framgår av den generella dataskyddsregleringen, finns det också annan reglering som begränsar CSN i detta avseende.
Legalitetsprincipen framgår av grundlagen genom 1 kap. 1 § RF, vilken anger att den offentliga makten utövas under lagarna. Principen innebär att myndigheters maktutövning i vidsträckt mening, även i den mån den förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Regeringen har uttalat att det inte borde förkomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller i beslut som har meddelats i enlighet med regeringsformens bestämmelser.46 Även enligt 5 § första stycket förvaltningslagen (2017:900) gäller att svenska myndigheter endast får vidta sådana åtgärder som har stöd i rättsordningen. Bestämmelsen i förvaltningslagen måste anses omfatta myndigheters personuppgifts-
45 Se prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 19, 20 och 21. 46 Se prop. 2017/18:105, Ny dataskyddslag, s. 49 och 50.
behandling och innebär i sammanhanget att endast personuppgiftsbehandling för ändamål som har stöd i rättsordningen är tillåten.
Myndigheters ledning har också enligt 3 § myndighetsförordningen (2007:515) ett ansvar för att verksamheten följer gällande rätt. Även den bestämmelsen måste anses omfatta myndigheters personuppgiftsbehandling och bör i sammanhanget innebära ett skydd dels mot personuppgiftsbehandling för godtyckliga ändamål, dels mot personuppgiftsbehandling som saknar rättslig grund i EU:s dataskyddsförordnings mening. Likaså bestämmelser om sekretess och tystnadsplikt i offentlighets- och sekretesslagen (2009:400) begränsar myndigheters möjlighet att behandla personuppgifter genom utlämnande eller överföring till en annan myndighet eller annan aktör.
Det finns alltså en möjlighet att argumentera för att den generella dataskyddsregleringen, tillsammans med övriga bestämmelser som begränsar CSN:s möjligheter att behandla personuppgifter, på ett tillfredsställande sätt redan ställer upp de begränsningar av för vilka ändamål myndigheten får behandla personuppgifter som krävs för att uppnå ett adekvat integritetsskydd. Utifrån det perspektivet går det att ifrågasätta om det finns något faktiskt behov av att i ytterligare sammanhang, dvs. i CSN:s registerförfattningar, reglera för vilka ändamål myndigheten får behandla personuppgifter.
Vi konstaterar dock redan i avsnitt 6.3 att i vart fall delar av CSN:s personuppgiftsbehandling omfattas av det grundlagsreglerade skyddet för den personliga integriteten i 2 kap. 6 § andra stycket RF. Utgångspunkten är därför att den reglering vi föreslår ska ges i lag. I samma avsnitt redogör vi även för vår bedömning att en behandling av personuppgifter vid CSN som utgör ett betydande intrång i det grundlagsreglerade skyddet för den personliga integriteten i vissa fall är nödvändig för att myndigheten ska kunna utföra sina samhällsviktiga uppgifter. En ändamålsbestämmelse i lag innebär att ramen för behandlingen i ett informationssystem med ett stort antal, och i vissa fall integritetskänsliga, uppgifter fastställs av riksdagen. Ändamålsbestämmelser är alltså de bestämmelser som ger lagstöd för sådan behandling som kan anses omfattas av grundlagsskyddet för den personliga integriteten. Mot denna bakgrund framstår det som nödvändigt att i den nya studiestödsdatalagen införa bestämmelser som tillåter CSN att behandla personuppgifter för vissa ändamål.
Även om EU:s dataskyddsförordning inte ställer upp något generellt krav på att tillåtna ändamål för myndigheters personuppgiftsbehandling ska anges i en särskild författning, finns det bestämmelser i förordningen som kräver viss reglering. Enligt artikel 21.1 har enskilda som utgångspunkt rätt att göra invändningar mot behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller om ett led i den personuppgiftsansvariges myndighetsutövning. I avsnitt 8.7 redogör vi dock för vårt förslag om att enskilda inte ska kunna motsätta sig behandling enligt nämnda artikel vid sådan behandling som är tillåten enligt den nya studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till den. I samma kapitel presenteras vår bedömning att begränsningen av enskildas rätt att göra invändningar är motiverad eftersom CSN:s verksamhet och uppgifter motsvarar viktiga mål av generellt allmänt intresse. En sådan inskränkning är enligt artikel 23.1 i EU:s dataskyddsförordning tillåten i nationell rätt i vissa fall, men den lagstiftningsåtgärden bör då innehålla specifika bestämmelser avseende ändamålen med behandlingen eller kategorierna av behandling. Så även mot denna bakgrund framstår det som nödvändigt att i den nya studiestödsdatalagen införa bestämmelser som anger för vilka ändamål personuppgifter får behandlas.
Kompletterande bestämmelser om för vilka ändamål en myndighet får behandla personuppgifter kan även i övrigt fylla en viktig funktion, trots att de på ett generellt plan inte kan anses lika betydelsefulla för integritetsskyddet som innan EU:s dataskyddsförordning började tillämpas. Som vi nämner i avsnitt 9.2.2 har regeringen tidigare bedömt att ändamålsbestämmelser anpassar tillämpningen av EU:s dataskyddsförordning och säkerställer en laglig och rättvis behandling av personuppgifter. Regeringen har också i andra lagstiftningsärenden uttalat att ändamålsbestämmelser bidrar till att behandlingen av personuppgifter sker på ett korrekt, lagligt och öppet sätt. Att ta bort ändamålsbestämmelser skulle enligt regeringen leda till både otydlighet och oförutsebarhet samt inte vara till nytta för vare sig myndigheterna eller de registrerade.47
Vår sammanfattade bedömning är således att den nya studiestödsdatalagen bör innehålla bestämmelser som anger för vilka ändamål personuppgifter får behandlas. Sådana bestämmelser är nödvändiga
47 Se prop. 2017/18: 112, Anpassningar av registerförfattningar på arbetsmarknadsområdet till
EU:s dataskyddsförordning, s. 53.
för att uppfylla regeringsformens krav på lagstöd för viss behandling och EU:s dataskyddsförordnings krav på angivna ändamål eller kategorier av behandling vid vissa begränsningar av enskildas rättigheter.
9.3.2. Det behövs en mindre detaljerad ändamålsreglering
Vår bedömning: Det finns ett behov av en mindre detaljerad
ändamålsreglering i den nya studiestödsdatalagen jämfört med nuvarande reglering, i syfte att säkerställa att reglerna är anpassade till den rättsliga och tekniska utvecklingen. Sådana mindre detaljerade bestämmelser behövs även för att möjliggöra att myndigheten kan utföra alla sina arbetsuppgifter inom stödverksamheten.
Skälen för bedömningen
Behovet av en mindre detaljerad ändamålsreglering
CSN:s uppfattning är att befintliga ändamålsbestämmelser i studiestödsdatalagen kan beskrivas som en övergripande sammanfattning av de materiella regler som styr CSN:s studiestödsverksamhet och anger vilka uppgifter myndigheten har i den verksamheten. Enligt CSN finns det anledning att ifrågasätta om det är ändamålsenligt eller nödvändigt att särskilt reglera personuppgiftsbehandling som sker för att utföra författningsreglerade uppgifter när behandlingen är nödvändig för att följa gällande rätt. Dagens ändamålsbestämmelser innebär enligt myndigheten ändå att den måste ange särskilda, uttryckligt angivna och berättigade ändamål för den personuppgiftsbehandling som ska utföras, samt härleda behandlingen till en materiell rättslig grund.
Om regeringen ger CSN nya uppgifter som inte ligger inom ramen för de redan angivna ändamålen krävs i många fall förändringar inte bara i den materiella regleringen, utan även i myndighetens registerförfattningar. Detta gör att regleringen inte är flexibel utifrån förändringar i stödverksamheten.
CSN anser att myndighetens dataskyddsreglering inte har hängt med varken den rättsliga eller tekniska utvecklingen. Det finns en ökad komplexitet i myndighetens verksamhet med större behov av att behandla personuppgifter utan direkt koppling till handläggning
av ärenden t.ex. vid utveckling och testning av digitala system, vid dataanalyser samt vid uppföljning. Detta innebär att dagens primära ändamålsbestämmelser inte alltid tillåter myndigheten att utföra alla de arbetsuppgifter som myndigheten enligt författning ska utföra. I stället måste myndigheten i många fall göra en bedömning av om den tänkta behandlingen är tillåten enligt finalitetsprincipen, vilket många gånger är osäkert och otillräckligt för att myndigheten ska kunna utföra sina reglerade uppgifter.
En mindre detaljerad ändamålsregling är ändamålsenlig
Som framgår av avsnitt 9.2.5 är ändamålsbestämmelserna i studiestödsdatalagen i stora drag oförändrade sedan tillkomsten. Ändamålsbestämmelserna utgör en central del av dagens registerförfattningar. Av förarbetena till bestämmelserna framgår att bestämmelser om tillåtna ändamål för behandling vid tidpunkten ansågs ha en stor betydelse för det integritetsskydd som registerförfattningarna avsåg att åstadkomma. Det är därför rimligt att vi ställer oss frågan om i vilken utsträckning de bestämmelser som har ansetts vara av stor betydelse för skyddet för den personliga integriteten över huvud taget bör förändras.
EU:s dataskyddsförordning utgör numera den primära rättskällan för CSN:s behandling av personuppgifter. Förordningen innebär i många avseenden en förändring i förhållande till personuppgiftslagen (1998:204) och ställer högre krav på den personuppgiftsansvarige. För att en myndighet över huvud taget ska ha rätt att behandla personuppgifter måste ett antal villkor enligt förordningen vara uppfyllda. Vad avser ändamålsbestämmelser i kompletterande dataskyddsreglering är det främst bestämmelserna om vilka rättsliga grunder för behandling som en myndighet kan åberopa som bör uppmärksammas. Utrymmet för en myndighet att behandla personuppgifter är nämligen genom EU-rätten mer begränsat i dag än när de befintliga ändamålsbestämmelserna tillkom, se avsnitt 7.3.
De befintliga bestämmelserna om tillåtna ändamål för personuppgiftsbehandling i CSN:s verksamhet utmärks dessutom av att de är utformade i syfte att omfatta samtliga arbetsuppgifter som ryms inom studiestödsdatalagens materiella tillämpningsområde, jfr avsnitt 9.2.5. Det rör sig alltså inte om ändamålsbestämmelser för
särskilda register eller avgränsade uppgiftssamlingar med särskilt känslig information som endast får behandlas för avgränsade ändamål. Ändamålsbestämmelserna avser i stället behandling av personuppgifter för samtliga ändamål, som även motsvarar CSN:s arbetsuppgifter på området. Den materiella och processuella regleringen av myndighetens arbetsuppgifter framgår av vanligtvis mycket utförliga och omfattande författningar i nationell rätt eller i unionsrätten, se kapitel 4. Mot bakgrund av detta anser vi att behovet av detaljerade ändamålsbestämmelser i syfte att skydda den personliga integriteten har minskat sedan studiestödsdatalagen trädde i kraft.
Vidare konstaterar vi i avsnitt 5.2.1 att CSN hade kommit förhållandevis långt med att digitalisera sin verksamhet, särskilt ärendehanteringen, när myndighetens registerförfattning trädde i kraft. Det har ändå hänt mycket på teknikfronten sedan dess. I dag behöver myndigheten t.ex. använda sig av nya tekniska metoder, bl.a. för att effektivt kunna motverka felaktiga utbetalningar och bidragsbrott, vilka inte är direkt kopplade till ärendehandläggning. Den tekniska utvecklingen kommer inte heller avstanna. Det är därför viktigt att ändamålsbestämmelser i myndighetens dataskyddsreglering inte sätter stopp för myndighetens möjligheter att effektivisera verksamheten på ett rättssäkert sätt. Det finns snarare ett behov av att de nya ändamålsbestämmelserna utformas på ett mindre detaljerat sätt än befintliga ändamålsbestämmelser, i syfte att säkerställa att reglerna är anpassade efter den rättsliga och tekniska utvecklingen och tillåter CSN att utföra sina författningsreglerade uppdrag.
9.3.3. CSN bör ges utökade möjligheter att göra dataanalyser och urval
Vår bedömning: Vid utformningen av ändamålsbestämmelser i
den nya studiestödsdatalagen bör hänsyn tas till att CSN bör ges utökade möjligheter att använda dataanalyser och urval som ett verktyg i stödverksamheten.
Skälen för bedömningen
Dagens ändamålsreglering begränsar myndighetens möjligheter att använda dataanalyser och urval
Som vi beskriver i avsnitt 4.2.7 använder CSN redan i dag dataanalyser och urval som ett verktyg för att identifiera ärenden om studiemedel för utlandsstudier med hög risk för att felaktiga utbetalningar har gjorts. Verktygen används alltså för en form av efterhandskontroll. Enligt nuvarande registerförfattningar är det dock otydligt i vilken omfattning myndigheten kan använda verktygen i stödverksamheten och detta beror särskilt på ändamålsbestämmelserna.
Bland de nuvarande primära ändamålen i studiestödsdatalagen finns ett som uttryckligen anger att behandling får ske om det behövs för handläggning av ärenden. I dagsläget bedömer CSN att tillämpningen av den urvalsmodell som myndigheten har tränat omfattas av detta primära ändamål. Bedömningen motiveras med att regeringen har uttalat att handläggning av ärenden inte bara avser åtgärder som direkt syftar till att kunna fatta beslut, utan samtliga åtgärder i ärendet både före och efter beslutet.48 Vi håller med CSN om att förarbetsuttalandena bör ge utrymme för en bred tolkning av begreppet handlägga ärenden och att tillämpningen av urvalsmodeller har ett nära samband med ärendehandläggningen. Vi har dock svårt att se att dataanalyser och urval kan användas på ett bredare plan med nuvarande primära ändamålsbestämmelser. Det skulle t.ex. troligen uppstå oklarheter om i vilken mån verktygen kan användas för att förebygga fel innan ett ärende finns. Detta eftersom det nuvarande ändamålet att förbereda handläggningen är väldigt begränsat, t.ex. i form av vilka uppgifter som får behandlas.49
Vidare framgår av nuvarande ändamålsreglering att CSN får behandla personuppgifter för att anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna. Bestämmelsen motiveras i förarbetena till studiestödsdatalagen med att CSN t.ex. ska kunna anmäla brott till Polismyndigheten eller Åklagarmyndigheten enligt bidragsbrottslagen (2007:612) samt kunna utbyta uppgifter med andra myndigheter som omfattas av lagen (2008:206) om underrättelseskyldighet
48 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 41 och 42. 49 Jfr t.ex. 3 § studiestödsdataförordningen.
vid felaktiga utbetalningar från välfärdssystemen.50 CSN bedömer att tillämpningen av urvalsmodellen kan ske i syfte att identifiera oegentligheter som myndigheten ska upplysa andra myndigheter om. I förhållande till förarbetsuttalandena bör användningen av dataanalyser och urval enligt vår mening vara möjlig även enligt detta ändamål, men även här anser vi att en förebyggande eller förhindrande användning är tveksam.
Att träna en urvalsmodell anser CSN inte har ett lika tydligt samband med ärendehandläggningen eller annat primärt ändamål. Som vi beskriver i avsnitt 4.2.7 tränas modellen utifrån historiska uppgifter i avslutade ärenden om rätt till studiemedel för utlandsstudier. Uppgifter som används vid utveckling av modellen har alltså som regel ingen koppling till de ärenden som modellen senare tillämpas på. Ändamålet ärendehandläggning kan därför enligt CSN inte tillämpas när modellen tränas. Detsamma anser myndigheten gäller för ändamålet att anmäla oegentligheter.
De nuvarande ändamålsbestämmelserna är ju dock inte uttömmande eftersom finalitetsprincipen gäller som en yttersta ram för vilka ändamål myndigheten får behandla personuppgifter. Finalitetsprincipen möjliggör vidarebehandling av personuppgifter under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in. CSN har gjort bedömningen att det ursprungliga ändamålet som aktuella uppgifter samlats in för bl.a. är att handlägga ärenden samt för att anmäla oegentligheter inom studiestödsverksamheten till andra offentligt organ. Inför att CSN skulle börja utveckla den urvalsmodell som vi beskriver i avsnitt 4.2.7 gjorde myndigheten bedömningen att det inte är självklart att en enskild studiestödstagare rimligen kan förvänta sig att de lämnande uppgifterna även kommer att behandlas för att utveckla en urvalsmodell. Vid införandet av finalitetsprincipen i studiestödsdatalagen uttalade dock regeringen att det inte ska föreligga några tveksamheter kring CSN:s möjligheter att behandla personuppgifter för att bl.a. genomföra prediktiva analyser och motverka felaktiga utbetalningar.51 CSN har därför bedömt att personuppgiftsbehandlingen för att utveckla urvalsmodeller inryms i finalitetsprincipen. Med anledning av tidigare förarbetsuttalanden finns det ingen anledning för oss att gå emot denna bedömning, men vi
50 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 43 och 44. 51 Se prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 22.
måste understryka att nuvarande ändamålsbestämmelser förutsätter extensiva tolkningar för att man ska kunna argumentera för att CSN enligt dessa får behandla personuppgifter genom att träna urvalsmodeller.
Sammantaget finns det alltså vissa tveksamheter kring hur CSN utifrån dagens reglering i myndighetens registerförfattningar får använda dataanalyser och urval som verktyg i stödverksamheten generellt. Regleringen ger i vart fall inget tydligt stöd för CSN att använda verktygen.
Effektiva kontrollåtgärder är viktigt ur ett brett perspektiv
Vårt uppdrag har huvudsakligen sin grund i att CSN på ett ändamålsenligt sätt ska kunna förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. I avsnitt 4.2.6 beskriver vi CSN:s kontrollarbete, där användning av dataanalyser och urval i dag ingår. Kontrollarbetet generellt är främst kopplat till åtgärder för att förebygga, förhindra och upptäcka felaktiga utbetalningar. Antalet upptäckta och uppskattade felaktiga utbetalningar från myndigheten uppgår som vi beskriver i avsnitt 5.3.3 till stora belopp. Förekomsten av felaktigheter, särskilt felaktiga utbetalningar, i CSN:s stödverksamhet kan leda till konsekvenser för både den enskilde och samhället i stort. Om statliga medel används på ett sätt som inte är avsett kan det i slutändan innebära att olika typer av stöd behöver avskaffas, vilket i sin tur kan påverka den enskildes möjligheter till t.ex. utbildning. Det är alltså ur ett samhällsperspektiv viktigt att CSN på ett effektivt sätt kan använda sig av dataanalyser och urval för kontroll för att förebygga, förhindra och upptäcka felaktiga utbetalningar. Det har i ett flertal olika sammanhang bedömts att kontroll är ett av de mest ändamålsenliga verktygen för att i vart fall motverka avsiktliga felaktiga utbetalningar, och att en väl avvägd och ändamålsenlig kontroll hos myndigheterna dessutom har en viktig brottsförebyggande funktion.52
52 Se SOU 2017:37, Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 122 och prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 36.
Dataanalyser och urval är ett effektivt verktyg med breda användningsområden i stödverksamheten
Myndigheter har vissa krav på sig som kan uppfattas vara sinsemellan svårförenliga. De har å ena sidan ett utredningsansvar (korrekta beslut), och å andra sidan ett lagstadgat krav på effektivitet i handläggningen. Detta kan t.ex. få konsekvenser för myndigheters arbete att förebygga, förhindra och upptäcka felaktigheter i verksamheten genom bl.a. kontroll då sådana åtgärder ibland får stå tillbaka i förhållande till kraven på effektiv handläggning. Särskilt när sådana kontrollåtgärder kan vara resurskrävande.53 Ju större möjligheter myndigheter har att rikta sina resurser rätt, dvs. till de fall som karaktäriseras av hög risk för felaktigheter, desto enklare låter sig de synbart motstridiga kraven på utredning och effektivitet förenas. CSN har i uppdrag att säkerställa att felaktiga utbetalningar inte görs och att motverka bidragsbrott. Myndigheten har också i uppdrag att kräva tillbaka pengar som har betalats ut felaktigt. För att utföra dessa uppdrag effektivt behöver myndigheten rikta sina insatser dit de gör störst nytta. Det handlar om både förebyggande och upptäckande åtgärder i syfte att minska risken för felaktiga beslut och utbetalningar.
Dataanalyser och urval har i ett flertal rapporter, betänkanden och propositioner ansetts kunna bidra till att effektivisera olika myndigheters kontroller genom att t.ex. underlätta arbetet med att identifiera felaktigheter.54 Regeringen har också nyligen uttalat att dataanalyser och urval är en naturlig del av myndigheters kontrollarbete.55
CSN uppger att myndigheten ser ett brett användningsområde för dataanalyser och urval i myndighetens stödverksamhet. Bättre förutsättningar för dataanalys ger CSN bättre möjligheter att med större träffsäkerhet förutse vilka ärenden som utgör riskärenden. CSN kan i sådana ärenden, vid sidan av fördjupad manuell kontroll,
53 Se SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 128.
54 Se t.ex. rapport från Riksrevisionen, Folkbokföringen – ett kvalitetsarbete i uppförsbacke, RiR 2017:23, s. 45, rapport från Inspektionen för socialförsäkringen, Profilering som urvalsmetod
för riktade kontroller – En granskning av träffsäkerheten, effektiviteten och rättssäkerheten i Försäkringskassans modeller för riskbaserade kontroller, ISF 2018:5, s. 119, SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 213, SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten, s. 1071 och prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 19 och 20.
55 Se prop. 2022/23:34, Utbetalningsmyndigheten, s. 46.
även vidta kommunikativa åtgärder för att förebygga och förhindra felaktiga utbetalningar och brott. Ett annat exempel är att om myndigheten ges utökade möjligheter att använda verktygen för att analysera olika brottsmodus förväntas också upptäcksmöjligheten för de analyserade brotten att öka.
Det är lämpligt att ge CSN goda förutsättningar att kunna göra dataanalyser och urval
Det är enligt vår uppfattning tydligt att CSN har ett behov av att använda dataanalyser och urval för att kunna bedriva resurseffektiva kontroller. Vi kan också konstatera att användningen av dataanalyser och urval är ett effektivt verktyg för sådana åtgärder i stödverksamheten. Vi anser därför att myndigheten bör ges goda förutsättningar att på ett adekvat sätt kunna behandla personuppgifter för att göra dataanalyser och urval för kontroll.
För att dataanalyser och urval faktiskt ska fungera effektivt krävs att det är möjligt att använda sådana verktyg även för kontroll som syftar till att förebygga och förhindra felaktigheter innan de uppstår i verksamheten. En sådan möjlighet kan även minska antalet kostsamma efterhandskontroller och domstolsprocesser. En förutsättning för att CSN ska kunna bedriva effektiva och rättssäkra kontroller är att det är möjligt att på ett adekvat sätt automatiserat behandla personuppgifter för kontrolländamål.56 Nuvarande reglering i CSN:s registerförfattningar kan, som vi konstaterar ovan, i vissa fall innebära att det i dag är oklart i vilken omfattning myndigheten får behandla personuppgifter för att använda dataanalyser och urval, särskilt för att förebygga och förhindra felaktigheter. En del i detta är det faktum att t.ex. utveckling, testning och utvärdering av analysmetoder och urvalsmodeller kräver att personuppgiftsbehandling utförs på ett sätt som ligger utanför ärendehandläggningen.
Vi menar att det är av vikt att CSN får ett tydligt stöd för att behandla personuppgifter för att göra dataanalyser och urval för i vart fall kontrolländamål. Ett tydligt stöd leder till utökade möjligheter att använda verktygen jämfört med i dag, vilket vi utifrån behovet att motverka felaktiga utbetalningar och bidragsbrott i välfärdssystemen och verktygens konstaterade effektivitet, bedömer
56 Jfr SOU 2017:37, Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 378.
är lämpligt eller till och med nödvändigt. Verktygen kan även ha andra användningsområden som inte uteslutande innebär kontrollåtgärder. Vi anser därför att det finns anledning att se över möjligheterna för CSN att använda dataanalyser och urval på ett brett plan.
Det är inte bara ändamålsregleringen i nuvarande registerförfattningar som begränsar CSN:s möjligheter att använda dataanalyser och urval, se avsnitt 5.4.3. Metoden hämmas också av andra delar av myndighetens dataskyddsreglering, särskilt som begränsar vilka personuppgifter myndigheten får behandla och den om sökbegränsningar. Vi återkommer till detta i kapitel 10 och 11.
9.3.4. CSN bör ges utökade möjligheter att behandla personuppgifter vid informationsutbyte med andra myndigheter och aktörer
Vår bedömning: Vid utformningen av ändamålsbestämmelser i
den nya studiestödsdatalagen bör hänsyn tas till att CSN bör ges utökade möjligheter att behandla personuppgifter vid informationsutbyte med andra myndigheter och aktörer.
Skälen för bedömningen
Som vi beskriver i avsnitt 5.4.4 får CSN enligt ett av de nuvarande sekundära ändamålen behandla personuppgifter genom att lämna ut uppgifter till den registrerade själv, till riksdagen och regeringen samt, i den utsträckning skyldighet för myndigheten att lämna uppgifter följer av lag eller förordning, till andra myndigheter eller organ.
Sedan studiestödsdatalagen började tillämpas, särskilt de senaste åren, har behovet av att lämna uppgifter mellan framför allt myndigheter stått i fokus i lagstiftningssammanhang. Det finns väldigt många olika bestämmelser som antingen reglerar en skyldighet eller en möj-
lighet att dela uppgifter mellan myndigheter. Flera av dessa skyldig-
heter eller möjligheter gäller trots att uppgiften omfattas av sekretess.57 Numera finns det också reglering som innebär att uppgifter ska lämnas på eget initiativ av den uppgiftslämnande myndigheten.
57 Se 10 kap. 28 § OSL.
I de fall det föreskrivs att CSN har en möjlighet att eller på eget initiativ ska lämna uppgifter är myndigheten i dag förhindrad att göra det enligt den sekundära ändamålsbestämmelsen i studiestödsdatalagen. Detta eftersom bestämmelsen kräver att det ska föreligga en skyldighet för myndigheten att lämna uppgiften. Den nuvarande bestämmelsen hindrar också CSN från att ta emot uppgifter, eftersom bestämmelsen anger att myndigheten får behandla personuppgifter genom att lämna ut uppgifter, men den säger ingenting om att ta emot uppgifter.
Ökad omfattning av organiserad brottslighet är en central anledning till det extensiva arbetet med att ta fram uppgiftsskyldigheter på senare tid. Andra avgörande motiv är att motverka felaktiga utbetalningar och välfärdsbrottslighet i bredare bemärkelse. Ett effektivt informationsutbyte kan leda till att myndigheter kan förebygga, förhindra eller upptäcka brottslighet. För välfärdsmyndigheterna, inklusive CSN, handlar det också om en möjlighet att kunna säkerställa att felaktiga utbetalningar inte görs. I de fall informationsutbyten möjliggjorts har lagstiftaren redan tagit ställning till att sådana utbyten är nödvändiga och lämpliga. Det är alltså viktigt att CSN inte hindras från att delta i detta arbete. Då måste dessa utbyten också möjliggöras enligt den reglering vi föreslår i den nya studiestödsdatalagen. Mot denna bakgrund finns det ett behov av att vid utformandet av de nya ändamålsbestämmelserna ta hänsyn till att CSN bör ges utökade möjligheter till informationsutbyte med andra myndigheter. CSN hindras även att delta i informationsutbytet mellan myndigheter genom bestämmelser om elektroniskt utlämnande i nuvarande registerförfattning. Detta återkommer vi till i avsnitt 11.4.
9.4. Primära ändamål
9.4.1. En ändamålsbestämmelse som har sin grund i behoven i verksamheten
Vårt förslag: I den nya studiestödsdatalagen ska det införas en
primär ändamålsbestämmelse som föreskriver att CSN ska få behandla personuppgifter om det är nödvändigt för att utföra myndighetens stödverksamhet.
Skälen för förslaget
En bred primär ändamålsbestämmelse som omfattar all nödvändig personuppgiftsbehandling i CSN:s stödverksamhet
Som vi konstaterar i avsnitt 9.2.2 har ändamålet med personuppgiftsbehandlingen en mycket stor betydelse enligt EU:s dataskyddsförordning. Det är mot det särskilda, uttryckligt angivna och berättigade ändamålet som ett flertal av de grundläggande principerna ska prövas och iakttas. Ändamålet med behandlingen avgör därmed bl.a. vilka uppgifter som får behandlas, hur länge de får behandlas och för vilka tillkommande ändamål de får vidarebehandlas.
Primära ändamål är sådana ändamål som avser en myndighets kärnverksamhet. I registerförfattningar förekommer primära ändamål med varierande detaljeringsgrad. I vissa registerförfattningar är ändamålen utförligt uppräknande medan de i andra är brett formulerade och snarast knutna till myndighetens generella uppdrag och tillämpningsområdet för registerförfattningen, se avsnitt 9.2.4. För att leva upp till kravet på särskilda, uttryckligt angivna och berättigade ändamål i EU:s dataskyddsförordning behöver myndigheter i det senare fallet normalt också formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet. En detaljerad uppräkning av de ändamål för vilka en myndighet får behandla personuppgifter är givetvis tydligare och mer förutsebar för såväl tillämpare som registrerade. Samtidigt ger vidare ändamålsbestämmelser ett större utrymme att faktiskt kunna behandla personuppgifter för alla de ändamål som myndighetens uppdrag förutsätter.
När ändamål regleras i en författning måste regleringen också ta höjd för att förändringar kan komma att ske i samhället och i den aktuella myndighetens verksamhet. En avvägning behöver därför göras där en myndighet ges nödvändiga förutsättningar att behandla personuppgifter i sin verksamhet, samtidigt som risken för obefogade intrång i den personliga integriteten så långt som möjligt begränsas. Det måste också understrykas att en registerförfattning inte styr en myndighets verksamhet, utan det gör den materiella och processuella regleringen på området jämte myndighetens instruktion.
Mot bakgrund av den rättsliga utvecklingen, främst EU:s dataskyddsförordnings begränsningar avseende den rättsliga grunden och krav på särskilda, uttryckligt angivna och berättigade ändamål
som är så utförligt angivna att en prövning av de grundläggande principerna är möjligt att göra, bör dagens ändamålsbestämmelser närmast kunna jämställas med rambestämmelser som pekar ut gränserna för tillåten behandling. Givet hur detaljerat ändamålet måste anges i det enskilda fallet för att kunna ligga till grund för en bedömning av en specifik behandlings förenlighet med de grundläggande principerna, framstår det dessutom som omöjligt att i en sektorsspecifik dataskyddsreglering ange samtliga särskilda ändamål som kan komma att aktualiseras inom en myndighets verksamhet. Sådana bestämmelser skulle komma att bli mycket omfattande och troligtvis behöva ändras regelbundet.
Ändamålsbestämmelser i dataskyddsreglering som är avsedda att omfatta en myndighets samtliga uppgifter bör enligt vår mening tolkas på så sätt att de pekar ut ramarna för den behandling som regleras i lagen eller förordningen. Liknande bedömningar har gjorts i flera andra lagstiftningsärenden om sektorsspecifika dataskyddsregleringar, se avsnitt 9.2.4. Den primära ändamålsbestämmelsen bör enligt vår mening således spegla ramarna för CSN:s behov av att behandla personuppgifter i sin stödverksamhet för att kunna ges förutsättningar att utföra sina uppdrag inom den verksamheten på ett ändamålsenligt sätt. Vi kan konstatera att de detaljerade ändamålsbestämmelser som i dag finns i studiestödsdatalagen inte tillåter myndigheten att göra det. Med hänsyn till CSN:s breda uppdrag anser vi att det varken är möjligt eller lämpligt att i lag utforma en detaljerad ändamålsbeskrivning för myndighetens personuppgiftsbehandling i stödverksamheten.
Ett alternativ är givetvis att i studiestödsdatalagen upprepa det som anges i CSN:s instruktion. Vi anser dock att det är ett mycket otympligt sätt att lagstifta; om instruktionen i framtiden ändras måste även studiestödsdatalagen ändras. Det är på så sätt bättre att ändamålsbestämmelsen anger att CSN får behandla personuppgifter för att utföra stödverksamhet.
CSN:s behandling av personuppgifter inom stödverksamhet faller under de rättsliga grunderna uppgift av allmänt intresse eller myndighetsutövning och till viss del även rättslig förpliktelse. Sådan behandling är tillåten endast om den är nödvändig, vilket vi anser behöver anges i den breda ändamålsbestämmelsen. En bedömning av om behandlingen är nödvändig måste göras inför varje behandling. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska
vara ofrånkomlig.58 I kravet på nödvändighet ligger att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom anonymiserade uppgifter.59
Ändamålsbestämmelsens räckvidd
Den primära ändamålsbestämmelse som vi föreslår är givetvis avsedd att omfatta samtliga de ändamål som anges i dagens primära ändamålsbestämmelser. Stödverksamheten handlar dock inte bara om ärendehandläggning, vilket dagens bestämmelser kan ge sken av. Bestämmelser om primära ändamål bör enligt vår uppfattning avse personuppgiftsbehandling som uppkommer i CSN:s stödverksamhet, dvs. oavsett om den har direkt eller indirekt koppling till ärendehandläggning eller inte. I huvudsak kommer behandlingen enligt den föreslagna breda ändamålsbestämmelsen givetvis att ha en koppling till ärendehanteringen, men i stödverksamheten finns också en masshantering av personuppgifter som inte har med ärenden att göra. Uppgifterna behandlas då genom s.k. faktiskt handlande, se avsnitt 4.2.7. Ett sådant handlande är en självklar del av myndighetens stödverksamhet och bör således omfattas av den primära ändamålsbestämmelsen. Sådan behandling ska inte behöva bedömas enligt t.ex. finalitetsprincipen. Ett exempel på sådan behandling är något som i dag regleras som ett sekundärt ändamål, nämligen myndighetens interna praxissamling. En sådan samling är en självklar del av CSN:s stödverksamhet och bör enligt oss kunna behandlas enligt primära ändamål. Att personuppgifterna ska avidentifieras i en sådan samling följer av EU:s dataskyddsförordning.60 Ett annat exempel är när CSN behöver ta emot uppgifter om personer, utan att veta om uppgifterna behövs. Myndigheten får naturligtvis ta emot sådana uppgifter och alltså behandla dem för att kontrollera om uppgifterna behövs i stödverksamheten. Om det däremot visar sig att myndigheten inte behöver uppgifterna i stödverksamheten ska de inte längre behandlas.61 Likaså är det självklart, liksom det är ett primärt ändamål i dag, att det i stödverksamheten ingår att anmäla oegentligheter som orsakas av utomstående till rättsvårdande myn-
58 Se prop. 2017/18 :105, Ny dataskyddslag, s. 189. 59 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 124. 60 Jfr artikel 5.1 c och e i EU:s dataskyddsförordning. 61 Jfr artikel 5.1 e i EU:s dataskyddsförordning.
digheter.62 I detta sammanhang bör även nämnas att det i stödverksamheten givetvis ingår att utföra kontroller av enskilda i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. CSN kan också använda olika tekniska verktyg för att bedriva stödverksamheten, så länge användningen av verktygen inte strider mot EU:s dataskyddsförordning eller sådana säkerhets- och skyddsåtgärder som vi föreslår ska regleras i de nya registerförfattningarna. Dock anser vi att det finns skäl att reglera personuppgiftsbehandling vid dataanalyser och urval som används för kontroller av enskilda, se avsnitt 9.4.2.
Även nya arbetsuppgifter som kan komma att aktualiseras för CSN, inom det materiella tillämpningsområdet, kommer som utgångspunkt att rymmas inom den föreslagna ändamålsbestämmelsen. I dag behöver lagstiftaren överväga om behandling för ett tillkommande ändamål ska tillåtas, och om det tillkommande ändamålet behöver regleras särskilt eller om det redan omfattas av befintlig reglering. Även med vårt förslag kommer lagstiftaren behöva göra vissa överväganden i samband med att nya materiella bestämmelser införs. De frågor som kan bli aktuella att ta ställning till kommer dock att vara om den tillkommande behandlingen ryms inom det materiella tillämpningsområdet och om detta behöver utökas för att den tillkommande behandlingen ska omfattas av registerförfattningarna.
Vi anser att en brett formulerad ändamålsbestämmelse som möjliggör för CSN att behandla personuppgifter i syfte att utföra sina författningsreglerade uppgifter, men hindrar den från sådan behandling som inte är hänförlig till utförandet av dessa uppgifter, måste anses uppfylla ett mål av allmänt intresse.63 Eftersom CSN genom den föreslagna bestämmelsen inte ges möjlighet till annan behandling än den som ändå hade varit tillåten med stöd av den generella dataskyddsregleringen måste bestämmelsen även anses vara proportionell mot det legitima mål som eftersträvas, dvs. att myndigheten ska kunna utföra de uppgifter som riksdag och regering ger den, eller som framgår av unionsrätten. En brett formulerad ändamålsbestämmelse innebär också att regleringen avseende för vilka syften CSN får behandla personuppgifter är både teknikneutral och flexibel.
62 Att anmäla egen personal ingår dock inte i stödverksamheten utan är del av den administrativa verksamheten. Sådan verksamhet omfattas inte i dag av studiestödsdatalagens tillämpningsområde och vi föreslår att samma sak ska gälla framgent, se avsnitt 8.3.1. 63 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 48, 50 och 51.
Den breda ändamålsbestämmelsen ska även omfatta tester och utveckling av tekniska system
Även sådana ändamål som i dag inte uttrycks särskilt men som utgör integrerade delar av CSN:s stödverksamhet ska rymmas inom den brett formulerade ändamålsbestämmelsen. I sammanhanget kan t.ex. nämnas att Lagrådet har uttryckt att planering, uppföljning och utvärdering av en verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet samt att det är så självklart att det inte behöver sägas uttryckligen.64 Även utveckling av nya digitala arbetssätt genom t.ex. tester utgör i dag en integrerad del av CSN:s verksamhet. Regeringen har tidigare i flera olika sammanhang uttalat att behandling av personuppgifter för teständamål är något som normalt inte brukar regleras i särskilda registerförfattningar, och att det måste anses vara en slags huvudprincip att testverksamhet inte behöver regleras som ett särskilt ändamål.65
I förarbetena till dataskyddslagen uppmärksammade regeringen att alla myndigheter vidtar en rad administrativa åtgärder66 som krävs för att myndigheten ska fungera. Krav på att myndigheter vidtar sådana administrativa åtgärder kunde enligt regeringen framgå direkt eller indirekt av författning eller beslut. Det förekommer dock även att myndigheter, för att fungera, behöver vidta administrativa åtgärder som varken direkt eller indirekt kan sägas följa av författning eller beslut. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion var därmed enligt regeringens uppfattning rättsligt grundad i EU:s dataskyddsförordnings mening. Det krävs alltså inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt. Däremot måste de administrativa åtgärderna vara nödvändiga för att myndigheten ska kunna
64 Se t.ex. prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 179 och prop. 2014/15:63, Åklagardatalag, s. 63. 65 Se prop. 2015/16:65, Utlänningsdatalag, s. 64 och prop. 2019/20:113, En mer ändamålsenlig
dataskyddsreglering för studiestödsverksamheten, s. 20. Jfr även regeringens uttalanden med inne-
börden att behandling för ändamålen uppföljning, utveckling och testning av analys- och urvalsmodeller inte regleras särskilt för Utbetalningsmyndigheten i prop. 2022/23:34,
Utbetalningsmyndigheten, s. 205.
66 Administrativa åtgärder ska inte blandas ihop med administrativ verksamhet. Sådan verksamhet omfattas inte av studiestödsdatalagens tillämpningsområde i dag och vi föreslår inte att det ska förändras i den nya studiestödsdatalagen, se avsnitt 8.3.1.
utföra sina uppgifter, vilka måste vara fastställda i enlighet med gällande rätt.67
Regeringen har sedan länge haft det uttalade målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter, vilket vi redogör närmare för i avsnitt 5.2.1. Regeringen har även uttalat att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt.68Vidare har regeringen uttalat att det i dagsläget mer eller mindre regelmässigt bör anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.69 Enligt myndighetsförordningen ska en myndighets ledning också se till att verksamheten bedrivs effektivt och att myndigheten hushållar med statens medel. Myndigheter har enligt myndighetsförordningen även en skyldighet att fortlöpande utveckla verksamheten.70
Att myndigheters olika författningsreglerade uppgifter också omfattar att utveckla effektiva och säkra digitala arbetssätt är enligt vår mening tydligt. Tester som avser utveckling av befintlig eller ny it-infrastruktur bör därför vara en sådan administrativ och integrerad uppgift som myndigheter behöver utföra för att kunna sköta sina verksamheter. Detta bör även gälla utveckling av AI, dvs. olika former av digitala system för bl.a. maskininlärning, se avsnitt 4.2.7. Olika AI-program utvecklas för närvarande i synnerligen hög takt och kan bidra till en mängd samhälleliga vinster, se nyss nämnda avsnitt. Som vi nämner i samma avsnitt kommer EU:s AI-förordning i olika delar att träda i kraft vid olika tidpunkter de kommande åren. AI och liknande tekniker har stora möjligheter att bidra till att myndigheter kan effektivisera sin verksamhet och förbättra sin service till enskilda. Metoden innebär även risker, både för enskilda och för olika samhällsinstitutioner. Det går dock inte att bortse från att utvecklingen och användandet av AI sannolikt inte går att helt styra på ett mer övergripande plan. I stället bör ett ändamålsenligt förhållningssätt till utvecklingen vara att myndigheter måste tillåtas förbereda sig på att kunna hantera kommande utveckling av AI. Eftersom användningen av AI i viss form i dag är tillgänglig för i princip
67 Se prop. 2017/18:105, Ny dataskyddslag, s. 60 och 61. 68 Se prop. 2017/18:105, Ny dataskyddslag, s. 87. 69 Se prop. 2017/18:105, Ny dataskyddslag, s. 47. 70 Se 3 och 6 §§myndighetsförordningen.
alla med en internetuppkoppling, bör sådan teknik anses utgöra ett digitalt verktyg bland andra som också myndigheter måste kunna använda sig av. CSN kommer dock att behöva anpassa sin användning av dessa tekniker till den nya AI-förordningen. Myndigheten måste även iaktta den generella dataskyddsregleringen vid utveckling och användande av AI, vilket bl.a. kan kräva att den personuppgiftsansvarige gör konsekvensbedömningar enligt artikel 35 i EU:s dataskyddsförordning. I vissa fall kan det också krävas ett förhandssamråd med IMY.71
Sådan behandling som syftar till att effektivisera verksamheten och göra den mer rättssäker, även i de fall den innefattar tester och utveckling av t.ex. AI-teknik, bör därmed anses ha ett sådant samband med CSN:s stödverksamhet i övrigt att någon särskild ändamålsbestämmelse inte behövs. Analyser, tester och utveckling av verksamheten omfattas alltså av den generella primära ändamålsbestämmelsen vi föreslår. Detta gäller enligt vår bedömning även för användningen av dataanalyser och urval. När dessa verktyg används för kontroll av enskilda eller annars kan leda till myndighetsutövning eller andra åtgärder som kan ha negativ inverkan på den enskilde (t.ex. beslut om återkrav eller anmälan om brott) anser vi dock att personuppgiftsbehandlingen i dagsläget behöver ett tydligare stöd i lag, vilket vi återkommer till i avsnitt 9.4.2.
Förslaget är proportionerligt och förenligt med EU:s dataskyddsförordning
För att uppfylla kraven i EU:s dataskyddsförordning behöver den nationella och unionsrättsliga reglering som utgör den rättsliga grunden för CSN:s personuppgiftsbehandling uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.72 Regleringen ska dessutom vara tydlig, precis och förutsägbar för personer som omfattas av den. Den behandling av personuppgifter som är nödvändig för att utföra CSN:s stödverksamhet förutsätter tillgång till en stor mängd personuppgifter. Kraven på tydlighet och förutsebarhet vid utformningen av den materiella och processuella regleringen av verksamheten är därför höga.
71 Se artikel 36 i EU:s dataskyddsförordning. 72 Se skäl 41 till och artikel 6.3 i EU:s dataskyddsförordning.
Den nya ändamålsregleringen ska täcka all den behandling som är nödvändig för att CSN ska kunna utföra sin stödverksamhet. Mot bakgrund av att CSN ska tillämpa EU:s dataskyddsförordning som om det vore en svensk författning bör ändamålsbestämmelserna enligt vår mening inte utformas på ett sätt som riskerar att ge intryck av att de har en självständig betydelse, utgör sådana särskilda ändamål som avses i artikel 5.1 b i EU:s dataskyddsförordning eller innebär en avvikelse från den allmänna dataskyddsregleringen. De villkor som måste vara uppfyllda för att personuppgiftsbehandling ska vara laglig framgår nämligen av EU:s dataskyddsförordning. Jämfört med dagens reglering innebär våra förslag att mindre detaljerade ändamålsbestämmelser ska sätta ramarna för i vilka syften personuppgifter får behandlas.
Dagens ändamålsbestämmelser kan alltså inte likställas med sådana särskilda, uttryckligt angivna och berättigade ändamål som ska finnas för varje behandling enligt EU:s dataskyddsförordning. Det innebär att CSN som personuppgiftsansvarig myndighet även i dag, i enlighet med principen om ansvarsskyldighet i artikel 5.2 behöver formulera de särskilda ändamålen med varje personuppgiftsbehandling och utifrån detta vidta de åtgärder som krävs avseende bl.a. säkerhet och uppgifts- och lagringsminimering. Den ändamålsreglering vi föreslår innebär alltså inte någon rättslig förändring i det avseendet.
Förslaget innebär inte heller att CSN får ytterligare uppgifter att utföra i sin stödverksamhet än vad som i dag framgår av den materiella verksamhetsregleringen. Annorlunda uttryck medför förslaget inte att några nya rättsliga grunder för personuppgiftsbehandlingen införs i svensk rätt.
Det förslagen innebär är att ramarna för tillåten personuppgiftsbehandling inom stödverksamheten uttrycks på ett mindre detaljerat sätt i lag än i dag. Dagens ändamålsbestämmelser begränsar myndighetens möjligheter till personuppgiftsbehandling som sker för andra ändamål än de som följer av den materiella och processuella regleringen av CSN:s arbetsuppgifter. Dessa ramar ställs dock redan upp enligt bestämmelserna i EU:s dataskyddsförordning som innebär att behandling endast får ske om den har rättslig grund. Vidare måste den rättsliga grunden för behandlingen uppfylla förordningens krav på bl.a. tydlighet, precision och förutsebarhet.73 Att ramarna
73 Se skäl 41 till och artikel 6.3 i EU:s dataskyddsförordning.
för den personuppgiftsbehandling som är tillåten enligt den nya studiestödsdatalagen uttrycks på ett mindre detaljerat sätt än i dag bör därmed inte medföra att förordningens krav inte är uppfyllda.
Att den brett formulerade ändamålsbestämmelsens räckvidd även omfattar t.ex. utvecklingen av nya och befintliga it-system genom bl.a. testning kan komma att innebära att personuppgifter behandlas i andra situationer än i dag. Den eventuella tillkommande behandlingen är dock ett resultat av den tekniska utvecklingen, och inte utformningen av de kompletterande primära ändamålsbestämmelserna. Redan i dag bör nämligen utveckling och testning av itsystem vara möjlig med stöd av de befintliga ändamålsbestämmelserna och finalitetsprincipen. Testning och utveckling av digitala arbetssätt är dessutom ett naturligt led i den effektivisering av verksamheten, med bibehållet integritetsskydd, som myndigheten måste eftersträva för att följa gällande rätt.
Mot det eventuella integritetsintrång en mindre detaljerad ändamålsreglering medför, t.ex. vid testning och utveckling av digitala arbetssätt, bör ställas CSN:s behov av att kunna bedriva en ändamålsenlig och effektiv verksamhet. Vi anser att myndigheten måste ges rättsliga förutsättningar att utnyttja de möjligheter som digitaliseringen ger för att utföra sin verksamhet, fatta materiellt korrekta beslut och i övrigt säkerställa att gällande rätt följs inom verksamheten. Väl utvecklade system för informationshantering inom den offentliga förvaltningen är enligt vår mening en förutsättning för att myndigheten både på kort och lång sikt ska kunna utföra sin verksamhet och möta de utmaningar som globaliseringen och den digitala utvecklingen i samhället medför. Det finns dock en risk för att en sådan utveckling hindras eller försenas om myndighetens dataskyddsreglering går utöver vad som är påkallat i syfte att säkerställa ett adekvat integritetsskydd.
De registrerades skydd för den personliga integriteten tillgodoses dessutom genom flera olika skyddsåtgärder. Den nya studiestödsdatalagen föreslås innehålla begränsningar av möjligheterna att behandla känsliga personuppgifter, begränsningar av tillgången till personuppgifter, begränsningar av den längsta tid uppgifter får behandlas och krav på olika rutiner. Tillsammans med det dataskyddsrättsliga regelverket i övrigt samt sekretessregleringen och den allmänna förvaltningsrättsliga regleringen medför den breda föreslagna primära ändamålsbestämmelsen enligt vår mening ett adekvat skydd
för den personliga integriteten samtidigt som myndigheten ges ett tydligt rättsligt stöd för personuppgiftsbehandling som är nödvändig i stödverksamheten.
9.4.2. En särskild primär ändamålsbestämmelse som ger CSN ett tydligt stöd för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i stödverksamheten
Vårt förslag: Det ska i den nya studiestödsdatalagen införas en
primär ändamålsbestämmelse som ger ett tydligt rättsligt stöd för CSN att, som ett led i stödverksamheten, behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel.
Skälen för förslaget
Dataanalyser och urval kan vara särskilt integritetskänsligt om det används för kontroll
Vid användning av dataanalyser och urval behöver CSN kunna analysera och utvärdera olika datamängder, däribland personuppgifter. För att myndigheten ska kunna använda dataanalyser och urval på ett effektivt sätt behöver myndigheten alltså kunna behandla personuppgifter på ett ändamålsenligt sätt. I avsnitt 9.3.3 presenterar vi vår bedömning att CSN bör ges utökade möjligheter att använda dataanalyser och urval bl.a. för kontroll av enskilda då det är motiverat av behovet att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
Som vi konstaterar i vår motivering till den breda ändamålsbestämmelsen vi föreslår, se avsnitt 9.4.1, ingår det i CSN:s stödverksamhet att utföra kontroller i verksamheten och att använda olika tekniska verktyg så länge användandet inte strider mot tillämplig dataskyddsreglering. Användningen av dataanalyser och urval har i andra lagstiftningsärenden om dataskydd särskilt diskuterats som ett verktyg för kontroll av enskilda. Det har flertalet gånger konstaterats att sådan användning av verktygen är en integritetskänslig
behandling.74 Ett argument för att behandlingen anses som känslig är att den innebär att väldigt många personuppgifter, även känsliga sådana, behöver behandlas genom sambearbetning. En sådan samkörning av personuppgifter kan innebära att uppgifterna tillsammans blir mer integritetskänsliga än varje enskild uppgift för sig. Oavsett vilken slutanvändning som är avsedd för urvalsträffarna bör behandlingen som sker vid dataanalyser och urval ur det perspektivet anses vara känslig.
Sådan behandling kan dock enligt vår uppfattning anses som särskilt känslig om analyserna och urvalen innebär att verktygen används för att kontrollera enskilda eller annars för att utöva myndighet eller vidta andra åtgärder som kan ha negativ inverkan på den enskilde. Det är alltså kombinationen av att många och känsliga personuppgifter samkörs och analyseras för att ta fram en urvalsmodell som ska användas för att kontrollera enskilda som kan göra behandlingen särskilt känslig.
Mot denna bakgrund anser vi att det finns skäl att överväga dels om det behövs ett tydligare rättsligt stöd för att CSN ska kunna använda verktygen för bl.a. kontroll på ett ändamålsenligt sätt, dels om ett möjliggörande av en sådan personuppgiftsbehandling bör omfattas av särskilda säkerhets- och skyddsåtgärder. I detta avsnitt besvarar vi den första frågan, medan vi återkommer till den andra i olika delar av kapitel 10–13.
Dataanalyser och urval för viss användning behöver lagstöd
Vi anser att behandling av personuppgifter för att göra dataanalyser och urval i sig kan innebära kartläggning av enskildas personliga förhållanden. När sådana verktyg används för att kontrollera enskilda eller annars för att utöva myndighet eller vidta andra åtgärder som kan ha negativ inverkan på den enskilde kan denna kartläggning anses utgöra ett sådant betydande intrång som avses i 2 kap. 6 § andra stycket RF. Behandlingar som innebär begränsningar i regeringsformens skydd för den personliga integriteten kan enligt 2 kap. 20 § första stycket 2 RF endast tillåtas genom bestämmelser i lag.
74 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 41 och SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 1107 och 1109.
För att säkerställa att CSN ges utökade, effektiva och ändamålsenliga möjligheter att använda verktygen för att bl.a. kontrollera enskilda anser vi att behandlingen behöver stöd i lag. Vi anser att det är möjligt, lämpligt och proportionerligt att införa ett sådant lagstöd, vilket vi motiverar mer utförligt senare i detta avsnitt. Denna bedömning innebär inte att varje form av dataanalyser och urval kräver lagstöd. Det är omständigheterna vid den enskilda användningen som avgör det. Däremot gör vi bedömningen att CSN, utifrån stödverksamhetens natur, i många fall kommer att samköra en stor mängd, och inte sällan känsliga, personuppgifter för att göra dataanalyser och urval samt använda urvalsträffarna för kontroll av enskilda.
Det står inte heller klart att den rättsliga grunden är tillräckligt tydlig för att använda dataanalyser och urval på vissa sätt
Vi kan redan inledningsvis konstatera att CSN, med anledning av det rättighetsskydd som finns i regeringsformen, i många fall kan behöva lagstöd för viss slutanvändning av dataanalyser och urval som bl.a. innebär kontroll av enskilda. Frågan är då om det finns rättslig grund enligt EU:s dataskyddsförordning för sådan användning av dataanalyser och urval.
För att en behandling av personuppgifter över huvud taget ska vara laglig krävs att något av villkoren i artikel 6.1 i EU:s dataskyddsförordning är tillämpligt. I avsnitt 3.3 redogör vi närmare för den generella dataskyddsregleringen och rättslig grund. Enligt artikel 6.1 e är behandling endast laglig om den är nödvändig för att utföra en uppgift av allmän intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Regeringen har uttalat att alla arbetsuppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse.75
De arbetsuppgifter som CSN utför till följd av myndighetens instruktion, regleringsbrev, specifika regeringsuppdrag, myndighetsförordningen och verksamhetsspecifik reglering, t.ex. studiestödslagen, är generellt uppgifter av allmänt intresse. 76 Det råder alltså inget tvivel om att CSN:s stödverksamhet utgör en uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning.
75 Se prop. 2017/18:105, Ny dataskyddslag, s. 56. 76 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 114.
I stödverksamhet ingår t.ex. att säkerställa att felaktiga utbetalningar inte görs och att motverka bidragsbrott samt att återkräva felaktigt utbetalda stöd, se avsnitt 4.2. CSN:s arbete med att göra dataanalyser och urval som används för att utföra en reglerad arbetsuppgift inom stödverksamheten bör alltså vara en uppgift av allmänt intresse. Behandling genom dataanalyser och urval bör även kunna bli aktuell med stöd av en rättslig förpliktelse, dvs. rättslig grund enligt artikel 6.1 c, eller som ett led i CSN:s myndighetsutövning.
Det unionsrättsliga begreppet nödvändigt utgör inte ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Kravet på att behandlingen ska vara nödvändig bör t.ex. inte hindra myndigheters utveckling av tekniska system i syfte att effektivisera sin verksamhet. I dagsläget bör det mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och med detta också behandla personuppgifter på automatiserad väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.77 I sammanhanget kan t.ex. nämnas att regeringen har uttalat att Försäkringskassan och Pensionsmyndigheten kan behöva behandla personuppgifter för att utföra kontroller med hjälp av dataanalyser och urval i syfte att säkerställa att felaktiga utbetalningar inte görs och för att motverka bidragsbrott.78 Det vore enligt oss orimligt om samma sak inte skulle gälla för CSN. Det ska också tilläggas att det kan vara nödvändigt för CSN att göra dataanalyser och urval även för att utföra andra reglerade arbetsuppgifter inom stödverksamheten.
De grunder för behandling som avses i artikel 6.1 c och e i EU:s dataskyddsförordning ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.79 Förordningen kräver inte att det ska finnas en lag för varje enskild behandling, utan det kan räcka med en lag som grund för flera behandlingar.80 Det krävs inte heller en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av den rättsliga grunden i artikel 6.1 c eller e. Det som
77 Se prop. 2017/18:105, Ny dataskyddslag, s. 46 och 47. 78 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 36 och 37. 79 Se artikel 6.3 första stycket i EU:s dataskyddsförordning. 80 Se skäl 45 till EU:s dataskyddsförordning.
måste ha stöd i rättsordningen är den rättsliga förpliktelsen, uppgiften av allmänt intresse eller rätten att utöva myndighet.81
Det finns för CSN:s stödverksamhet inget sådant uttryckligt stöd i den materiella verksamhetsregleringen för övergripande dataanalyser och urval som det gör för t.ex. Utbetalningsmyndigheten.82CSN har alltså inte någon uttalad arbetsuppgift att göra dataanalyser och urval. Det är enligt vår mening inte heller nödvändigt för att CSN ska kunna använda verktygen. För att en bestämmelse som reglerar CSN:s stödverksamhet ska kunna ligga till grund för att använda dataanalyser och urval måste bestämmelsen dock vara så pass tydlig och förutsebar att enskilda objektivt kan förvänta sig att åtgärden kan vara ett verktyg för att utföra uppgiften av allmänt intresse, myndighetsutövningen eller den rättsliga förpliktelsen. Den rättsliga grunden för CSN:s arbete med att t.ex. säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott eller återkräva felaktigt utbetalt stöd, finns fastställd i de författningar som styr myndighetens arbete. Frågan är om det är tillräckligt tydligt att myndigheten kan komma att göra dataanalyser och urval för att utföra olika uppgifter utan att det anges särskilt i den rättsliga grunden.
För ett visst antal år sedan skulle det förmodligen varit svårt att ens försöka motivera att enskilda objektivt skulle kunna förvänta sig att CSN använder dataanalyser och urval för kontroll för att t.ex. säkerställa att felaktiga utbetalningar inte görs. I och med den tekniska utvecklingen och digitaliseringen av den offentliga förvaltningen är situationen nu en annan. Alternativet till att på något sätt automatiserat bedriva kontroll av enskilda för att t.ex. säkerställa att felaktiga utbetalningar inte görs är att göra kontrollerna manuellt. Vi har svårt att föreställa oss att enskilda på ett objektivt sätt i dagens tekniska samhälle skulle kunna tänka sig att myndigheten utför denna uppgift på något annat sätt än automatiserat med olika tekniska verktyg, t.ex. dataanalyser och urval.
Ju känsligare behandling som avses, desto tydligare måste bestämmelsen som fastställer den rättliga grunden i unionsrätten eller den nationella rätten vara. Som vi konstaterar i inledningen av detta avsnitt anser vi att dataanalyser och urval generellt får anses som integritetskänslig behandling när många och känsliga personuppgifter sambearbetas och att detta i kombination med att verktygen används
81 Se prop. 2017/18:105, Ny dataskyddslag, s. 49. 82 Jfr lagen (2023:455) om Utbetalningsmyndighetens granskning av utbetalningar.
för att bl.a. kontrollera enskilda kan anses som särskilt känslig. Vi anser därför att den rättsliga grunden för sådan behandling behöver en tydligare reglering än när verktygen används i andra sammanhang.
Även om samma bedömning eventuellt inte kommer att göras i framtiden när dataanalyser och urval är ett ännu mer integrerat verktyg för de flesta myndigheter, anser vi att det i nuläget finns anledning att förtydliga att CSN får behandla personuppgifter för att göra dataanalyser och urval i vissa syften. Detta för att säkerställa att myndigheten har det stöd den behöver för att använda verktygen på ett effektivt och ändamålsenligt sätt i sin stödverksamhet. Bedömningen görs i förhållande till den stödverksamheten som CSN har i uppdrag att bedriva och med hänsyn till att myndigheten i många fall sannolikt kommer att använda dataanalyser och urval på ett sådant sätt att det utgör en särskilt integritetskänslig behandling.
Slutligen bör här också nämnas att CSN:s behandling genom dataanalyser och urval för kontroll inte sällan kommer baseras på den rättsliga grunden att myndigheten ska säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott.83 Detta uppdrag regleras i myndighetens instruktion, dvs. i en förordning. Att vi ovan gör bedömningen att det rättsliga stödet bör finnas i lag är ytterligare ett argument för förtydligande av den rättsliga grunden. Hur ett sådant förtydligande bör se ut återkommer vi till nedan.
Förtydligande av den rättsliga grunden bör göras i en primär ändamålsbestämmelse i den nya studiestödsdatalagen
Ett sätt att säkerställa det rättsliga stöd som CSN behöver och att förtydliga den rättsliga grunden är att införa nya eller ändrade bestämmelser i materiell verksamhetsreglering. Sådana bestämmelser skulle kunna ges innebörden att myndigheten får göra dataanalyser och urval för vissa angivna ändamål och införas i anslutning till regler om t.ex. återkrav i studiestödslagen. CSN administrerar dock många olika stöd som regleras i en mängd olika författningar, se avsnitt 4.2.3. Detta skulle alltså kräva väldigt många bestämmelser om dataanalyser och urval. Det skulle dessutom inte vara en flexibel lösning över tid eftersom lagstiftaren då skulle behöva överväga bestämmelser om dataanalyser och urval varje gång CSN får i uppgift
83 Se 4 § förordningen (2017:1114) med instruktion för Centrala studiestödsnämnden.
att administrera ett nytt stöd. Användning av verktygen är vidare inte någon ny befogenhet eller uppgift som utgör myndighetsutövning i sig och som av den anledningen bör regleras i myndighetens materiella författningar. Det är därför inte lämpligt att föra in nya eller förtydligande bestämmelser i CSN:s instruktion. En sådan lösning är inte heller lämplig med anledning av vår bedömning ovan om behovet av lagstöd för aktuell behandling.
Ytterligare en möjlighet är att reglera ett lagstöd för CSN:s dataanalyser och urval för vissa integritetskänsliga användningsområden i en helt ny författning. Lagen skulle kunna innehålla bestämmelser om när myndigheten får använda sådana verktyg och hur de får användas. En sådan typ av reglering skulle kunna ge tydliga ramar för myndighetens arbete med dataanalyser och urval. Personuppgiftsbehandlingen skulle, när verktygen används i stödverksamheten, då styras av den nya studiestödsdatalagen, EU:s dataskyddsförordning och dataskyddslagen. CSN:s materiella uppgifter skulle fortsatt hållas separerade från dataskyddsregleringen. Så har lagstiftaren valt att göra med Utbetalningsmyndigheten.84 Den myndigheten har dock som ett av sina huvudsakliga uppdrag att utföra just sådana dataanalyser och urval. För CSN handlar det snarare om att använda ett verktyg för att kunna utföra sin reglerade kärnverksamhet. Som vi nämner ovan avser vi inte att dataanalyser och urval ska regleras som en ny uppgift för myndigheten. En utökad möjlighet att använda verktygen kräver i stället framför allt ett tydligare rättsligt stöd för den personuppgiftsbehandling som är nödvändig att utföra eftersom denna i många fall kan innebära ett betydande ingrepp i enskildas personliga integritet.
Vi anser att det mest ändamålsenliga sättet att förtydliga att CSN får använda dataanalyser och urval för vissa integritetskänsliga användningsområden är att i den nya studiestödsdatalagen föra in en särskild primär ändamålsbestämmelse.
En fråga som uppkommer med anledning av denna lösning är om det ens är möjligt att i svensk rätt föra in en kompletterande reglering som här avses i en sektorsspecifik lag om dataskydd, och vad som i sådana fall kan regleras. Det är den rättsliga förpliktelsen, uppgiften av allmänt intresse eller myndighetsutövningen enligt artikel 6.1 c och e i EU:s dataskyddsförordning som ska fastställas i unionsrätten
84 Jfr lagen om Utbetalningsmyndighetens granskning av utbetalningar.
eller nationell rätt.85 En sådan reglering utgör då den rättsliga grunden för behandling. Enligt artikel 5.1 b i EU:s dataskyddsförordning får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det finns inget krav på att ändamålen ska vara fastställda i nationell författning, men det finns inte heller något som hindrar att detta görs. I artikel 6.3 andra stycket anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Det avser bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Utifrån detta och sett till hur artikel 6 är konstruerad utgår EU:s dataskyddsförordning till synes från att även sådana särskilda bestämmelser som är möjliga att införa ska regleras i den författning som ger stöd åt uppgiften av allmänt intresse eller myndighetsutövningen. Den systematik som finns i svensk rätt på området avseende myndigheters personuppgiftsbehandling är dock att bestämmelser om dataskydd tas in i särskilda registerförfattningar. Regeringen har även ansett att EU:s dataskyddsförordning ger utrymme för en sådan särskild reglering om personuppgiftsbehandling som finns i studiestödsdatalagen.86 Om sådana särskilda bestämmelser som avses i artikel 6.3 andra stycket i EU:s dataskyddsförordning tas in i studiestödsdatalagen i stället för i materiell rätt, bör det innebära att sådana bestämmelser därmed blir en del av den rättsliga grunden.
En risk med en sådan systematik är att – även om syftet med en kompletterande reglering är att göra den rättsliga grunden mer tydlig och precis – effekten blir den motsatta eftersom tillämparen måste beakta bestämmelser i olika författningar för att utföra vissa åtgärder. Detta är dock inte helt ovanligt. Den svenska lagstiftningstraditionen är sådan att liknande kompletterande bestämmelser om personuppgiftsbehandling brukar införas i sektorspecifika författningar om just behandling av personuppgifter.87 Vi bedömer också att det i detta fall är en bättre lösning att upprätthålla den svenska systematiken. Vidare är det framför allt just förutsättningarna för
85 Se artikel 6.3 första stycket i EU:s dataskyddsförordning. 86 Se prop. 2017/18:105, Ny dataskyddslag, s. 22. 87 Jfr t.ex. 1 kap. 6 § och 3 kap. 1–4 §§ lagen om behandling av personuppgifter vid Utbetalningsmyndigheten.
att behandla personuppgifter vid dataanalyser och urval som behöver förtydligas. Vi anser därför att det är lämpligt och möjligt att införa sådana kompletterande bestämmelser i den föreslagna studiestödsdatalagen för att tydliggöra och säkerställa att den personuppgiftsbehandling som CSN utför vid dataanalyser och urval för vissa känsliga användningsområden har det stöd som krävs i det enskilda fallet.
Bestämmelsens formulering
Grunden till vårt uppdrag generellt och särskilt i fråga om ändamålsbestämmelser är att möjliggöra för CSN att effektivt kunna förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. En ändamålsbestämmelse om dataanalyser och urval skulle alltså kunna utformas just som att CSN får göra dataanalyser och urval om det är nödvändigt för att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Vi anser dock att CSN inte ska vara begränsade till att använda verktygen endast i dessa syften för bl.a. kontroll av enskilda, eftersom det inte bara är felaktiga utbetalningar och bidragsbrott som är en risk i CSN:s stödverksamhet och som behöver motverkas effektivt med hjälp av dataanalyser och urval.
En annan variant är att uttryckligen endast ge stöd för det användningsområde som vi anser i de flesta fall behöver stöd i lag. En sådan bestämmelse skulle kunna ange att CSN får behandla personuppgifter om det är nödvändigt att göra dataanalyser och urval för att kontrollera enskilda. Vi anser dock att en sådan formulering skulle vara för bred eftersom CSN då skulle kunna ha rättsligt stöd för att använda verktygen för att kontrollera enskilda för i princip vilket syfte som helst, så länge det ryms inom myndighetens uppdrag.
Vi anser i stället att bestämmelsen bör få en formulering som ger en räckvidd någonstans mellan de nämnda alternativen. Samtidigt som myndigheten bör få möjlighet till en bredare tillämpning än att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott, bör regleringen formuleras på ett sätt som gör det möjligt att förutse när personuppgifter kan komma att behandlas för att göra dataanalyser och urval för bl.a. kontroll av enskilda.
Mot den bakgrunden föreslår vi att det i studiestödsdatalagen ska införas en bestämmelse som anger att CSN som ett led i stödverksamheten får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Bestämmelsen bör föras in som ett särskilt primärt ändamål i anslutning till den brett formulerade allmänna ändamålsbestämmelse vi föreslår (se avsnitt 9.4.1).
Bestämmelsens tillämpning och räckvidd
Den särskilda ändamålsbestämmelsen kommer gemensamt med finalitetsprincipen att utgöra den yttre ramen för tillåten behandling av personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. De grunder för behandlingen som framgår av materiell verksamhetsreglering motsvarar den yttre ramen för vilken behandling som lagligen får utföras vid sådana dataanalyser och urval, på samma sätt som vid den övriga personuppgiftsbehandling som myndigheten utför. Den särskilda ändamålsbestämmelsen bör omfatta all behandling som görs vid utförande av dataanalyser och urval för de angivna syftena inom ramen för studiestödsdatalagen. Vad som utgör behandling framgår av artikel 4.2 i EU:s dataskyddsförordning. Kravet på nödvändighet innebär inte att behandlingen måste vara ofrånkomlig för att den ska vara tillåten. Kravet innebär dock att personuppgifter inte får behandlas om ändamålet med behandlingen effektivt kan uppnås med andra medel, t.ex. genom att använda anonymiserade eller pseudonymiserade uppgifter. Inom ramen för bestämmelsen kommer behandling i form av inhämtning och fortsatt behandling av uppgifter i syfte att utgöra underlag för dataanalyser och urval att rymmas. Den omfattar även t.ex. uppföljning, utveckling och testning av analys- och urvalsmodeller.
Begreppet fel i bestämmelsen ska tolkas brett. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som är avsiktliga eller beror på mänskliga misstag. Begreppet är mer flexibelt än felaktiga utbetalningar och fungerar även om CSN skulle få nya eller förändrade arbetsuppgifter.
Det finns t.ex. förslag i andra lagstiftningsarbeten om att CSN ska få ett tydligare brottsförebyggande ansvar.88
Avsikten med formuleringen av bestämmelsen är att tydliggöra att CSN har stöd för den behandling av personuppgifter som är nödvändig vid myndighetens användning av dataanalyser och urval som bör anses som särskilt integritetskänslig. I formuleringen ligger att CSN får använda dataanalyser och urval för att kontrollera enskilda eller annars för att utöva myndighet eller vidta andra åtgärder som kan ha negativ inverkan på den enskilde om syftet med åtgärden är att förebygga, förhindra eller upptäcka fel i stödverksamheten. Angivandet av att aktuell personuppgiftsbehandling får ske för att förebygga
och förhindra fel gör det tydligt att verktygen inte enbart är möjliga
att använda för efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för felaktigheter, även redan innan det finns ett ärende. Förslaget innebär också att dataanalyser och urval som innefattar sambearbetning av en stor mängd eller integritetskänsliga personuppgifter inte kan användas för bl.a. kontroll av enskilda för andra syften än att just förebygga, förhindra och upptäcka fel. I sammanhanget kan vi dock konstatera att sådan användning sällan sker i något annat syfte.
Samtidigt innebär formuleringen att bestämmelsen inte bara ger stöd för den mest integritetskänsliga behandlingen. Som vi nämner ovan anser vi att det inte är lämpligt att begränsa lagstödet på det sättet på grund av att det skulle riskera en för bred användning av verktygen för kontroll m.m. Ytterligare en orsak till det är att det inte ska råda några tveksamheter kring att CSN även har stöd för andra användningsområden när syftet är att förebygga, förhindra och upptäcka fel. Som vi nämner ovan är begreppet fel avsett att vara brett. Dataanalyser och urval kan t.ex. användas för att identifiera ärenden där det finns hög risk för olika former av fel men där urvalsträffarna enbart ska användas till olika riktade informationsinsatser. Slutanvändningen är då alltså inte lika känslig som vid kontroll av enskilda, men anses ändå omfattas av ändamålsbestämmelsens tillämpningsområde då åtgärden syftar till att förebygga fel. Att slutresultatet är informationsinsatser kan enligt oss generellt sett anses som en åtgärd som syftar till att förebygga eller förhindra fel i stödverksamheten. Även analysmodeller som förutsäger vilka slags åtgärder som är mest lämpliga för att förebygga, förhindra eller upptäcka en viss typ av
88 Se SOU 2023:52, Ett stärkt och samlat skydd för välfärdssystemen, s. 281–293.
fel är ett potentiellt användningsområde. I detta kan det t.ex. ingå att analysera vilka åtgärder som krävs för att öka betalning av återkrav eller återbetalning av lån, eftersom det skulle förebygga att betalning inte sker alls eller med för lågt belopp.
Ett ytterligare exempel på användning som möjliggörs genom bestämmelsen är att verktygen används som ett automatiserat stöd för beslutsfattande. Verktygen skulle i så fall kunna presentera förslag på beslut och motivering till detta som en handläggare kan granska för att därefter fatta ett beslut. Ett sådant beslutstöd skulle kunna ha till syfte att förebygga och förhindra felaktiga beslut. Vi anser dock att bestämmelsen inte ger stöd för ett helt automatiserat beslutsfattande då vi menar att sådant användande behöver ett uttryckligt rättsligt stöd.89
Dessa exempel på användningsområden behöver alltså inte innebära kontroll av enskilda, myndighetsutövning eller andra åtgärder som kan ha negativ inverkan på den enskilde. Det kan såklart ifrågasättas om sådan mindre integritetskänslig användning av verktygen verkligen behöver regleras på detta sätt och dessutom med sådana säkerhets- och skyddsåtgärder som vi föreslår och redogör för i avsnitt 10.4 och 11.5. Vår bedömning är dock att förslaget är det mest lämpliga alternativet.
Om slutanvändningen i stället t.ex. endast syftar till att vara en ren serviceåtgärd för enskilda och inte på något sätt bidrar till att förebygga, förhindra eller upptäcka fel, omfattas inte behandlingen av den föreslagna ändamålsbestämmelsen. En sådan användning måste anses som mindre integritetskänslig, även om det är både många och känsliga personuppgifter som sambearbetas, och behöver därför enligt oss inte en lika tydlig rättslig grund eller lagstöd enligt 2 kap. 6 § RF. En sådan mindre integritetskänslig behandling omfattas i stället av den breda ändamålsbestämmelsen. Detta gäller, som vi nämner i avsnitt 9.4.1 även för användning som innebär generell utveckling av stödverksamheten. I dessa fall gäller inte heller våra förslag om särskilda säkerhets- och skyddsåtgärder som vi redogör för i avsnitt 10.4 och 11.5.
Sammanfattningsvis bedömer vi att den föreslagna särskilda ändamålsbestämmelsen, tillsammans med den materiella verksamhetsregleringen och de bestämmelser som föreslås i avsnitt 10.4 om vilka uppgifter som får behandlas, ger myndigheten ändamålsenliga förut-
89 Jfr skäl 71 och 72 till samt artikel 21 och 22 i EU:s dataskyddsförordning.
sättningar att använda dataanalyser och urval som verktyg för bl.a. effektiva kontroller. Förslaget innebär att dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel har ett tydligt rättsligt stöd. För behandling som omfattas av bestämmelsen ska också särskilda säkerhets- och skyddsåtgärder gälla, se avsnitt 10.4 och 11.5. Sker behandling genom dataanalyser och urval i stället för andra, mindre integritetskänsliga syften, kan den breda primära ändamålsbestämmelsen vi redogör för i avsnitt 9.4.1 i stället tillämpas.
Vi vill understryka att en särskild ändamålsbestämmelse om dataanalyser och urval naturligtvis inte fråntar CSN ansvaret att se till att personuppgiftsbehandlingen överensstämmer med EU:s dataskyddsförordning.90 Myndigheten kan trots en i författning särskild reglerad bestämmelse som anger den yttre ramen för behandlingen behöva fastställa särskilda, uttryckligt angivna och berättigade ändamål för den behandling som utförs vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Detta för att uppfylla kraven i artikel 5.1 b i EU:s dataskyddsförordning.
Förslaget är proportionerligt och förenligt med EU:s dataskyddsförordning
Vi bedömer att den reglering som vi föreslår tillsammans med den befintliga materiella verksamhetsregleringen är förenlig med kraven i EU:s dataskyddsförordning. Personuppgiftsbehandlingen som är nödvändig för att CSN ska kunna utföra sina arbetsuppgifter ryms inom den rättsliga grunden uppgift av allmänt intresse eller som ett led i myndighetsutövning.91 Grunden för behandlingen bedöms också vara fastställd i unionsrätten eller i den nationella rätten på det sätt som krävs enligt artikel 6.3 i EU:s dataskyddsförordning genom CSN:s materiella verksamhetsreglering och den reglering som vi föreslår. Vi bedömer även att den behandling av personuppgifter som kan komma att ske är proportionell i förhållande till de mål som eftersträvas. Det kommer alltså sammantaget att finnas rättslig grund för den personuppgiftsbehandling som förslaget medför.
Vi föreslår också flera bestämmelser i de nya lagarna som en följd av de krav som ställs i EU:s dataskyddsförordning. Det handlar om de grundläggande principerna i artikel 5 om bl.a. ändamålsbegräns-
90 Artikel 5.2 i EU:s dataskyddsförordning och prop. 2017/18:105, Ny dataskyddslag, s. 48. 91 Se artikel 6.1 e i EU:s dataskyddsförordning.
ning, uppgiftsminimering och lagringsminimering samt kraven på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen vid behandling av känsliga personuppgifter. Utöver detta föreslår vi ytterligare skyddsåtgärder särskilt i relation till dataanalyser och urval. Detta för att motverka riskerna för obefogade intrång i den personliga integriteten, se t.ex. avsnitt 11.5.
En förutsättning för att utöka CSN:s möjligheter att behandla personuppgifter för att göra dataanalyser och urval enligt vårt förslag är att förslaget bedöms vara proportionerlig vid en avvägning mellan myndighetens behov och enskildas personliga integritet. Nyttan med åtgärderna ska väga tyngre än intresset av skydd för den personliga integriteten.
Trots våra förslag kommer det att kvarstå vissa risker för integritetsintrång. När CSN behandlar personuppgifter för att göra dataanalyser och urval kan enskilda komma att kartläggas. Syftet med förslaget är huvudsakligen att CSN på ett effektivt och adekvat sätt ska kunna förebygga, förhindra och upptäcka fel i stödverksamheten med hjälp av dataanalyser och urval. Vi bedömer att dessa verktyg behövs i stödverksamheten för att myndigheten effektivt ska kunna rikta sina resurser där det finns högst risk för fel.
Förslagen förväntas kunna medföra stor nytta för stödverksamheten. Exempelvis förväntas förslagen kunna leda till ökade möjligheter att förhindra och upptäcka felaktigheter i ett tidigt skede, vilket kan leda till framför allt ekonomiska samhällsvinster, men även till att CSN ges bättre förutsättningar att motverka felaktiga utbetalningar och bidragsbrott eller annan välfärdsbrottslighet som riktas mot myndigheten. CSN är en myndighet som har en central och viktig roll i välfärdssystemen. För att uppnå syftet med förslaget är det enligt vår bedömning nödvändigt att myndigheten ges möjlighet att behandla personuppgifter som är av betydelse för att handlägga och kontrollera uppgifter i ärenden och i andra sammanhang inom stödverksamheten. Goda förutsättningar att kunna kontrollera uppgifter som enskilda och i vissa fall andra aktörer lämnar till myndigheten är en förutsättning för att den ska kunna förebygga, förhindra och upptäcka felaktigheter.
Möjligheten att använda analyser och urval bedöms vidare kunna minska risken för att personer som inte behöver kontrolleras ytterligare ändå blir utsatta för onödigt omfattande kontroller av CSN.
Den föreslagna regleringen anser vi även undanröjer de oklarheter som i dag finns avseende i vilken mån CSN får behandla personuppgifter för att göra dataanalyser och urval för bl.a. kontrolländamål, vilket enligt vår mening ökar regleringens förutsebarhet och ger myndigheten tydligare lagstöd för åtgärderna.
För det fall förslagen inte genomförs kan den nuvarande regleringen utgöra ett hinder för CSN:s digitala utveckling, däribland möjligheten att använda dataanalyser och urval i stödverksamheten. De oklarheter och andra begränsningar som finns i den reglering som gäller i dag bedöms i förlängningen begränsa myndighetens förutsättningar att fullgöra sina författningsreglerade uppgifter på ett korrekt, effektivt och rättssäkert sätt. Det kan t.ex. påverka myndighetens befintliga kontrollplan (se avsnitt 4.2.6) negativt. Vidare finns det risk för t.ex. felaktiga utbetalningar i större omfattning i takt med att oseriösa aktörer blir effektivare på att utnyttja välfärdssystemen på ett otillbörligt sätt, om inte CSN ges möjlighet att använda personuppgifter vid bruk av tekniska verktyg för kontroll.
Det kan i detta sammanhang nämnas att regeringen tidigare har godtagit inskränkningar i skyddet för den personliga integriteten för att myndigheter ska ges bättre förutsättningar att förebygga, förhindra och upptäcka felaktigheter genom användning av analys- och urvalsverktyg.92
Det är å ena sidan viktigt att skydda den personliga integriteten. Å andra sidan är det viktigt att säkerställa välfärdssystemens funktion, legitimitet och förtroendet för detta. Den personuppgiftsbehandling som kommer att vara nödvändig vid dataanalyser och urval kommer att omfattas av en särskild nationell reglering i lag som också innefattar ett flertal skyddsåtgärder. Vi föreslår också att de uppgifter om enskildas personliga och ekonomiska förhållanden som behandlas vid dataanalyser och urval ska omfattas av absolut sekretess, se avsnitt 13.3. Särskilda säkerhets- och skyddsåtgärder samt den föreslagna sekretessen utgör ett skydd som inte finns i dag när CSN behandlar personuppgifter för att göra dataanalyser och urval. Myndigheten måste också följa de krav som finns i annan reglering som syftar till att skydda enskildas personliga integritet, såsom EU:s dataskyddsförordning och dataskyddslagen.
92 Se prop. 2022/23:34, Utbetalningsmyndigheten, s. 161–167 och prop. 2022/23:41, Bättre
möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 37–
45. Jfr även prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 35–44.
Vid en avvägning mellan intresset av att upprätthålla skyddet för den personliga integriteten och det allmänintresse som ligger till grund för förslagen, anser vi att intrånget är motiverat och proportionerligt. Det är dock självklart alltid viktigt att CSN följer den tillämpliga dataskyddsregleringen vid all behandling av personuppgifter.
9.4.3. En upplysningsbestämmelse om regeringens restkompetens
Vårt förslag: De primära ändamålsbestämmelserna i den nya
studiestödsdatalagen ska kompletteras av en upplyssningsbestämmelse om regeringens möjlighet att med stöd av sin s.k. restkompetens meddela föreskrifter om ändamålen med behandlingen.
Skälen för förslaget
Vi beskriver normgivningsmakten i avsnitt 6.3. Regeringen kan i fråga om de primära ändamålsbestämmelsernas räckvidd komma att behöva ta ställning till om finalitetsprincipens tillämplighet ska begränsas avseende viss behandling, eller om behandlingen är av sådan karaktär att det är motiverat att införa andra särskilda ändamålsbegränsningar. Vissa uppgifter som kan komma att behandlas kan vidare bedömas inte vara lämpliga för behandling vid dataanalyser och urval. Det kan även uppkomma behov av att förtydliga de brett formulerade ändamålsbestämmelsernas räckvidd, utan att ett sådant förtydligande innebär en begränsning eller utvidgning. Regeringen kan med stöd av sin restkompetens enligt 8 kap. 7 § RF i förordning införa begränsningar eller förtydliganden som inte innebär en utvidgning avseende ändamålen för behandling av personuppgifter. Detta bör av tydlighetsskäl framgå av en bestämmelse i anslutning till de primära ändamålsbestämmelserna. Vi föreslår därför att det i den nya studiestödsdatalagen ska upplysas om att regeringen kan meddela föreskrifter om ändamålen med CSN:s personuppgiftsbehandling.
9.5. Sekundära ändamål
Vårt förslag: Det ska i den nya studiestödsdatalagen införas en
sekundär ändamålsbestämmelse som anger att CSN får behandla personuppgifter som behandlas enligt de primära ändamålsbestämmelserna för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning.
Skälen för förslaget
Den svenska regleringen av rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen ges företräde framför rätten till skydd för personuppgifter enligt EU:s dataskyddsförordning. Rätten att ta del av allmänna handlingar gäller dock endast i förhållande till enskilda och är inte tillämplig när myndigheter lämnar uppgifter mellan varandra. Utlämnande av personuppgifter genom överföring, spridning eller tillhandahållande på annat sätt utgör behandling av personuppgifter enligt EU:s dataskyddsförordning.93 När en myndighet lämnar personuppgifter till en annan myndighet omfattas denna behandling alltså av regleringen i EU:s dataskyddsförordning och kompletterande nationell dataskyddsreglering.
Finalitetsprincipen innebär att om en tilltänkt behandling av redan insamlade personuppgifter inte omfattas av de ursprungliga ändamålen måste det göras en bedömning av om ändamålet med den senare behandlingen är förenligt med de ursprungliga ändamålen. När det gäller frågan om uppgiftsutlämnande mellan myndigheter kan begränsas av finalitetsprincipen, har Högsta förvaltningsdomstolen uttalat att utöver sekretessprövningen ska den personuppgiftsansvariga myndigheten inte göra någon kontroll av förenligheten med finalitetsprincipen i samband med utlämnandet av uppgifter enligt den generella uppgiftsskyldigheten som regleras i 6 kap. 5 § OSL. Högsta förvaltningsdomstolen konstaterade att uppgiftsskyldigheten enligt bestämmelsen förutsätter att endast uppgifter som inte omfattas av sekretess lämnas, d.v.s. genom sekretessbestämmelser hindras myndigheter från att lämna ut bl.a. integritetskänsliga uppgifter till andra myndigheter och att lagstiftaren härigenom har tagit ställning till när ett utlämnande är oförenligt med det eller de ändamål för vilka uppgifterna sam-
93 Se artikel 4.2 i EU:s dataskyddsförordning.
lades in.94 Regeringen har senare uttalat att om det i lag eller förordning finns en sekretessbrytande bestämmelse som reglerar att en myndighet ska eller får lämna ut personuppgifter, t.ex. en uppgiftsskyldighet, innebär det att någon särskild prövning av om utlämnandet är förenligt med det ursprungliga ändamålet inte behöver ske.95
Att en viss uppgift omfattas av sekretess utgör alltså en form av skyddsåtgärd vid behandling av personuppgifter och det finns en tydlig samverkan mellan bestämmelserna i EU:s dataskyddsförordning och sekretessregleringen. Vid behandling i form av utlämnande av uppgifter har CSN att beakta 28 kap. 9 § OSL som reglerar sekretess i ärenden om studiestöd, körkortslån och hemutrustningslån (se även kapitel 13). Utöver detta primära skydd, skyddas uppgifterna även av sekretess enligt 21 kap. 7 § OSL. Denna bestämmelse innebär att sekretess gäller om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning eller dataskyddslagen.
Som vi redogör för i avsnitt 3.4 kan utlämnande dock komma att ske genom sekretessbrytande bestämmelser i lag eller förordning. Det kan t.ex. röra sig om en sådan uttrycklig uppgiftsskyldighet gentemot en annan myndighet som avses i 10 kap. 28 § OSL.
Syftet med uppdelningen av primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels behandlas i myndighetens egen verksamhet, dels behandlas för att lämnas ut till andra. Det främsta syftet med CSN:s registerförfattningar är att myndigheten ska kunna behandla personuppgifter på ett ändamålsenligt sätt inom sin stödverksamhet. Uppgiftslämnande mellan myndigheter har dock blivit alltmer relevant, särskilt i arbetet med att förebygga, förhindra och upptäcka felaktiga utbetalningar och brott mot välfärdsystemen. CSN omfattas av ett flertal regleringar som föreskriver att myndigheten är skyldig eller har möjlighet att lämna uppgifter till andra aktörer, se avsnitt 4.4.2, och det finns flera pågående lagstiftningsarbeten som kan komma att resultera i ytterligare sådana skyldigheter eller möjligheter. Den ändamålsreglering som finns i studiestödsdatalagen i dag begränsar CSN:s möjligheter att lämna ut uppgifter till andra aktörer om myndigheten inte har en skyldighet att göra så, se avsnitt 9.3.4. Vi redogör i samma avsnitt för vår bedömning
94 Se HFD 2021 ref. 10. 95 Se prop. 2023/24:85, En ny lag om uppgiftsskyldighet för att motverka felaktiga utbetalningar
från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet, s. 24.
om att myndighetens möjligheter till informationsutbyte bör utökas. Det är enligt oss därför av grundläggande betydelse att CSN ska kunna delta i ett sådant samarbete fullt ut och att våra förslag inte förhindrar detta.
Mot denna bakgrund är det vår uppfattning att en sekundär ändamålsbestämmelse ska införas i den nya studiestödsdatalagen som ger uttryckligt stöd för uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. En sådan bestämmelse gör det tydligt för de registrerade att personuppgifter kan behandlas även för utlämnande till andra. Med bestämmelsen avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter utlämnande. En sekundär ändamålsbestämmelse som förhåller sig till lag och förordning är också i linje med annan motsvarade reglering.96 Dessutom kräver grundlagsskyddet i 2 kap. 6 § andra stycket RF att det i lag regleras när uppgifter ska lämnas ut på grund av uppgiftsskyldighet som bryter den sekretess som gäller för uppgifterna.
CSN kan med stöd av EU:s dataskyddsförordning behandla personuppgifter för att lämna ut uppgifter enligt lag eller förordning, antingen med stöd av artikel 6.1 c (rättslig förpliktelse) eller med stöd av artikel 6.1 e (uppgift av allmänt intresse). Kravet på att den rättsliga grunden ska vara fastställd är uppfyllt genom att ändamålsbestämmelsen förutsätter att utlämnandet har stöd i bestämmelser som anger att uppgifter ska eller får lämnas ut.97 Syftet med behandlingen kan förutsättas framgå av bestämmelser om att uppgifter ska eller får lämnas ut, alternativt vara nödvändigt för utlämnande.98
En bestämmelse som fastställer en skyldighet eller tillåter ett utlämnande av personuppgifter utgör i allmänhet alltså en tydlig rättslig grund för behandling av personuppgifter. Den bestämmelse om sekundära ändamål som vi förslår innebär inte några utökade möjligheter för CSN att lämna ut personuppgifter i förhållande till vad som gäller i dag. Vid uppgiftsutlämnande är den viktigaste frågan ur ett integritetsperspektiv om uppgifterna över huvud taget ska lämnas ut. Den frågan aktualiseras redan när en bestämmelse som fastställer en skyldighet eller tillåter ett utlämnande införs. Det får förutsättas att det då görs en avvägning mellan intresset av att uppgiften lämnas
96 Se t.ex. 7 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten och 114 kap. 9 § socialförsäkringsbalken samt prop. 2023/24:29, En ny dataskyddsreglering på
socialförsäkringsområdet, s. 48.
97 Jfr artikel 6.3 första stycket i EU:s dataskyddsförordning. 98 Jfr artikel 6.3 andra stycket i EU:s dataskyddsförordning.
ut och intresset av att skydda enskildas personliga integritet. Den avvägningen säkerställer alltså att den rättsliga grunden uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas.99
En begränsning till personuppgifter som behandlas enligt de primära ändamålen innebär vidare att det inte kan bli aktuellt för CSN att samla in uppgifter i det enda syftet att senare lämna ut dem. Uppgifter som får lämnas ut med stöd av bestämmelsen måste alltså redan vara föremål för behandling i myndighetens egen verksamhet inom den ram som de primära ändamålsbestämmelserna ställer upp. Vid ett utlämnande blir den dataskyddsreglering som gäller hos mottagaren styrande för den fortsatta personuppgiftsbehandlingen.
Avslutningsvis vill vi i sammanhanget nämna att en sådan sekundär ändamålsbestämmelse som vi föreslår i detta avsnitt bör medföra att det inte föreligger något hinder mot tillämpningen av förslagen i betänkandet Ökat informationsutbyte mellan myndigheter – Behov
och föreslagna förändringar (SOU 2024:63).
9.6. Reglering av finalitetsprincipen
Vårt förslag: Det ska i den nya studiestödsdatalagen införas en
upplysningsbestämmelse om att personuppgifter som har samlats in för de primära ändamålen även får behandlas för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.
Skälen för förslaget
Utöver de primära och sekundära ändamål som pekar ut ramarna för den behandling som är tillåten, utgör finalitetsprincipen den yttersta gränsen för tillåten behandling enligt EU:s dataskyddsförordning. Principen, om regleras i artikel 5.1 b, utgör en av de grundläggande principerna för behandling av personuppgifter och medger att uppgifter behandlas för andra ändamål än insamlingsändamålen, under förutsättning att behandlingen inte är oförenlig med de ursprungliga ändamålen.
99 Jfr artikel 6.3 andra stycket i EU:s dataskyddsförordning.
Som vi nämner i avsnitt 9.3.1 var ändamålsregleringen i studiestödsdatalagen tidigare uttömmande. I dag är det i stället finalitetsprincipen som sätter gränsen för vad som är en tillåten behandling.
I EU:s dataskyddsförordning föreskrivs i artikel 6.4 hur prövningen av om en vidarebehandling är förenlig med insamlingsändamålet som utgångspunkt ska gå till. Vid prövningen ska bl.a. kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen beaktas. Det sammanhang inom vilket personuppgifterna har samlats in, personuppgifternas art, såsom uppgifternas känslighet, samt förekomsten av lämpliga skyddsåtgärder är också förhållanden som ska beaktas. Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i EU:s dataskyddsförordning anses inte vara oförenlig med de ursprungliga ändamålen som uppgifterna samlades in för (artikel 5.1 b).
Vi bedömer att finalitetsprincipen lämpligen även fortsättningsvis bör utgöra den yttersta ramen för personuppgiftsbehandling vid CSN. Finalitetsprincipen innebär i sig ett integritetsskydd eftersom den förbjuder ytterligare behandling av personuppgifter som är oförenlig med ursprungsändamålen. Finalitetsprincipen kan alltså inte tillämpas utan avvägningar som i praktiken innebär att de nya ändamålen kommer att behöva ligga mycket nära de ursprungliga ändamålen eller kunna ses som en förlängning av de ursprungliga ändamålen.100Finalitetsprincipens räckvidd kan t.ex. enligt vår bedömning inte ges en sådan vidsträckt tolkning att CSN skulle kunna behandla uppgifter som ett led i sin myndighetsutövning gentemot en enskild individ. Vid fråga om utlämnande av personuppgifter gäller bestämmelser om sekretess.
EU:s dataskyddsförordnings bestämmelser om finalitetsprincipen är direkt tillämpliga vid CSN:s behandling av personuppgifter. Det kan därför ifrågasättas om eller i vilken utsträckning det krävs en uttrycklig bestämmelse om finalitetsprincipen, eftersom den som utgångspunkt gäller även utan en bestämmelse i kompletterande reglering. Vi anser dock att det av tydlighetsskäl bör införas en bestämmelse som ger uttryck för finalitetsprincipen genom att ange att personuppgifter som behandlas för något av de i lagen angivna ändamålen även får behandlas för andra ändamål, under förutsätt-
100 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 50.
ning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Regeringen har också vid flera tillfällen bedömt att en sådan bestämmelse är påkallad av tydlighetskäl.101
101 Se t.ex prop. 2018/19:151, Behandling av personuppgifter vid Myndigheten för arbetsmiljö-
kunskap, s. 24 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 128.
10. Personuppgifter som får behandlas
10.1. Inledning
I dag finns det flera bestämmelser i CSN:s registerförfattningar som begränsar vilka personuppgifter som myndigheten får behandla i förhållande till dagens ändamålsreglering. Frågan är om en sådan reglering behövs även i förhållande till de ändamålsbestämmelser vi föreslår, se kapitel 9. I detta kapitel presenterar vi våra överväganden och förslag om detta.
I den första delen av detta kapitel avhandlar vi frågan om generella begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. Inledningsvis går vi igenom vilka utgångspunkter som finns ur ett dataskyddsperspektiv, hur begränsningar regleras i andra registerförfattningar och den reglering som gäller för CSN i dag. Därefter redogör vi för vår bedömning att vilka personuppgifter som CSN får behandla som utgångspunkt inte bör regleras.
I den andra delen går vi in på behandling av känsliga personuppgifter och uppgifter om lagöverträdelser. Även här presenterar vi inledningsvis vad som gäller enligt den generella dataskyddsregleringen. Efter detta redogör vi för vårt förslag att det i den nya studiestödsdatalagen ska införas en bestämmelse som tillåter CSN att behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Sedan presenterar vi vår bedömning att det inte finns skäl att begränsa eller på annat sätt särreglera CSN:s behandling av uppgifter om lagöverträdelser.
Avslutningsvis presenterar vi våra förslag om en särskild reglering om vilka personuppgifter som CSN ska få behandla för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i stödverksamheten.
10.2. Generella begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål
10.2.1. Utgångspunkter ur ett dataskyddsperspektiv
Vilka personuppgifter som får behandlas behöver inte regleras
Att det finns en rättslig grund för personuppgiftsbehandling som en myndighet kan stödja behandlingen på är en förutsättning för att över huvud taget få behandla personuppgifter, men den har också betydelse för vilka personuppgifter som får behandlas. Enligt EU:s dataskyddsförordning måste de rättsliga grunderna som en myndighet kan stödja personuppgiftsbehandlingen på vara fastställd i unionsrätten eller i nationell rätt.1 I förarbetena till dataskyddslagen klargjorde regeringen att det inte krävs en reglering av den personuppgiftsbehandling som ska ske med stöd av de rättsliga grunderna som kan aktualiseras för myndigheter. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelse, uppgiften av allmänt intresse eller rätten att utöva myndighet.2 Det finns alltså inte något generellt krav inom den generella dataskyddsregleringen på att i författning ange vilka uppgifter en myndighet får behandla.
EU:s dataskyddsförordning ställer dock upp vissa krav på den rättsliga grunden som kan medföra att en reglering av vilka personuppgifter som får behandlas ändå framstår som nödvändig. Av artikel 6.3 framgår nämligen att unionsrätten och den nationella rätten måste vara proportionell mot det legitima mål som eftersträvas och enligt skäl 41 bör den rättsliga grunden vara tydlig och precis och dess tillämpning vara förutsägbar för personer som omfattas av den. I dataskyddslagens förarbeten uttalade regeringen att skäl 41 är ett uttryck för legalitetsprincipen och därför inte utgör någon nyhet inom den svenska offentliga förvaltningen. Regeringen uttalade även att vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig, måste bedömas från fall till fall utifrån verksamhetens karaktär.3
1 Se artikel 6.3 i EU:s dataskyddsförordning. 2 Se prop. 2017/18:105, Ny dataskyddslag, s. 49. 3 Se prop. 2017/18:105, Ny dataskyddslag, s. 51.
Utöver de rättsliga grunderna utgör de grundläggande principerna i EU:s dataskyddsförordning kärnan i regelverket kring dataskydd. Vid överväganden kring vilka personuppgifter som ska få behandlas i myndigheters verksamhet är det särskilt principen om uppgiftsminimering som är aktuell.4 Enligt principen ska de personuppgifter som behandlas vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Det innebär att den personuppgiftsansvarige inte får behandla fler personuppgifter än vad som behövs för ändamålen. Personuppgifterna som behandlas behöver vara effektiva i förhållande till syftet med behandlingen och integritetsintrång ska i möjligaste mån minimeras. Kan ändamålet uppnås med andra uppgifter som inte innebär samma integritetsintrång ska dessa uppgifter väljas i stället.5 Det är inte tillåtet att samla in personuppgifter enbart utifrån ett obestämt framtida behov, för att uppgifterna kan komma till nytta i framtiden eller för att få fram information om förhållanden som saknar betydelse för en myndighets behov av att kunna utföra sin författningsreglerad verksamhet.
Ytterst är det den personuppgiftsansvarige som har ansvar för att säkerställa att inte fler personuppgifter än vad som behövs för att uppnå ändamålet behandlas. Detta eftersom det i regel är den personuppgiftsansvarige som bäst vet vilka personuppgifter som har betydelse för det syfte som ska uppnås. Vid omfattande behandling av integritetskänslig karaktär kan det ändå finnas anledning att närmare reglera en myndighets personuppgiftsbehandling i nationell rätt så att denna blir så begränsad som möjligt med hänsyn till ändamålet.
Hur begränsningar av vilka personuppgifter som får behandlas kan göras
I registerförfattningar är det vanligt att en begränsning av vilka personuppgifter som får behandlas sker genom tydligt reglerade och konkretiserade ändamål för myndighetens behandling; något som i sin tur innebär att en bredare personuppgiftsbehandling inte är möjlig. Det är den rättsliga grund som en myndighet kan basera sin personuppgiftsbehandling på som begränsar för vilka ändamål personuppgifter får behandlas. Eftersom ändamålen i sin tur avgör vilka personuppgifter som får behandlas innebär detta att det finns en nära koppling mellan
4 Se artikel 5.1 c i EU:s dataskyddsförordning. 5 Jfr skäl 39 till EU:s dataskyddsförordning.
den rättsliga grunden, ändamålen för behandlingen och de personuppgifter som en myndighet får behandla.
En begränsning av vilka personuppgifter som får behandlas kan dock göras genom att direkt i lag eller förordning ange de uppgifter som får behandlas. Många gånger kan det vara svårt att avgöra exakt vilka personuppgifter som bör kunna behandlas inom ramen för en myndighets verksamhet. Av den anledningen kan det vara tillräckligt att en precisering i författning av vilka personuppgifter som får behandlas tar sikte på kategorier eller typer av uppgifter. Ibland i lag kombinerat med en närmare detaljering i förordning.
I registerförfattningar har det funnits en trend av att reglera vilka personuppgifter som får behandlas endast när det sker i definierade uppgiftssamlingar eller register. Ett nyligt exempel är uppgiftssamlingen för Utbetalningsmyndighetens dataanalyser och urval, där alla uppgifter som andra aktörer lämnar till myndigheten samlas, begränsad till att få innehålla vissa personuppgifter.6 Motiven till en sådan reglering var att minska integritetsintrånget som behandlingen innebär eftersom det rör sig om en omfattande behandling med uppgifter från många olika aktörer.7 I en departementspromemoria som innehåller förslag om en lag om socialtjänstdataregister föreslås också att vilka kategorier av personuppgifter som får behandlas i registret ska regleras. Även i detta fall motiveras en sådan reglering av integritetshänsyn då det handlar om både omfattande och känslig personuppgiftsbehandling.8 Det är mindre vanligt att generellt begränsa vilka personuppgifter en myndighet får behandla i sin verksamhet. I flera pågående lagstiftningsärenden finns förslag som lämnar frågan i det närmaste oreglerad.9
6 Se 7 och 8 § förordningen (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten. 7 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 165. 8 Se ds 2024:13, Bättre förutsättningar för att utveckla en kunskapsbaserad socialtjänst, s. 156. 9 Se t.ex. SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 609.
10.2.2. Motiven till nuvarande begränsningar i studiestödsdataförordningen
Som vi beskriver i avsnitt 4.3.4 finns det i studiestödsdataförordningen (2009:321) begränsningar för vilka personuppgifter som CSN får behandla i förhållande till vissa av ändamålen som anges i nuvarande 4 § studiestödsdatalagen (2009:287). Begränsningarna gäller ändamålen att förbereda handläggning av ärenden om studiehjälp, studiemedel och omställningsstudiestöd samt att informera om studiestödsförmåner och studiesociala förmåner och framtagande och distribution av bevis om studiestöd för studier.
Den huvudsakliga anledningen till att dessa begränsningar infördes var att garantera enskilda integritetsskydd. Särskilt i fråga om förberedande handläggning då behandlingen kan röra personer som inte förekommer eller kommer att förekomma i ett ärende hos CSN.10
10.2.3. Vilka personuppgifter som får behandlas bör som utgångspunkt inte regleras särskilt i CSN:s nya dataskyddsförfattningar
Vår bedömning: Som utgångspunkt saknas det skäl att på ett
generellt plan införa bestämmelser i den nya studiestödsdatalagen eller studiestödsdataförordningen om vilka personuppgifter som CSN får behandla för att utföra sina uppgifter inom stödverksamheten.
Skälen för bedömningen
Svårt att förutsäga vilka personuppgifter som behöver behandlas, men behovet av ytterligare skydd kan inte uteslutas
Vi konstaterar bl.a. i avsnitt 4.2.8 att CSN har ett omfattande behov av att behandla personuppgifter i syfte att utföra sina olika uppdrag. Vilka personuppgifter som myndigheten behöver behandla varierar mycket och det är näst intill omöjligt att förutse vilka uppgifter som behöver behandlas i det enskilda fallet för att CSN ska kunna utföra sin författningsreglerade verksamhet på ett ändamålsenligt sätt.
10 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 42 och 43.
CSN kan t.ex. inte styra vilka uppgifter som enskilda kommer in med, men som till följd av den allmänna förvaltningsrättsliga samt verksamhetsspecifika regleringen behöver behandlas i myndighetens verksamhet. CSN uttrycker att regleringen som begränsar myndigheten i fråga om vilka personuppgifter som den får behandla hämmar verksamheten i fråga om flexibilitet och effektivitet. Vi konstaterar att en sådan begränsning även hindrar CSN från att utveckla verksamheten. Sedan studiestödsdatalagen trädde i kraft har den generella dataskyddsregleringens skydd för enskilda dessutom blivit starkare, jfr avsnitt 5.2.2.
Det finns utan tvekan ett starkt och berättigat behov för CSN att behandla personuppgifter i omfattande mängd och av varierande karaktär i syfte att utföra sina uppdrag. Vi har även föreslagit en ändamålsreglering som innebär att CSN endast får behandla personuppgifter om det är nödvändigt för att utföra sin stödverksamhet. Det går dock inte att utesluta att viss integritetskänslig behandling behöver ytterligare skydd, se avsnitt 10.4. Frågan vi behöver besvara nu är dock om det är ändamålsenligt att av integritetsskäl begränsa CSN:s behandling av personuppgifter genom att på ett generellt plan ange vilka personuppgifter som får behandlas.
CSN:s rättsliga grunder i den materiella verksamhetsregleringen är tydliga och precisa samt har en förutsebar tillämpning
Lagstiftningen som styr CSN:s stödverksamhet är mycket omfattande, se kapitel 4. Den är också i många fall mycket detaljerad avseende vilka förhållanden och uppgifter som har betydelse för en prövning eller vad som krävs för tillämpningen av en viss rättsregel. I detta sammanhang är det svårt att ge något annat än ett fåtal exempel, men följande är ett: av 13 a § studiestödslagen (1999:1395) framgår att utöver studiemedelsbelopp som följer av 11 § får studiebidrag lämnas i form av tilläggsbidrag till studerande som har vårdnad om barn. Sådant bidrag får lämnas till och med det kalenderhalvår barnet fyller 18 år. För varje barn kan högst ett tilläggsbidrag motsvarande bidragsbeloppet vid heltidsstudier lämnas. Av bestämmelsen, som utgör en rättslig grund för personuppgiftsbehandling i CSN:s studiestödsverksamhet, framgår tydligt vilka personuppgifter som kan förväntas behandlas vid tillämpning av bestämmelsen.
Det är vår bedömning att de rättsliga grunderna för behandling av personuppgifter vid CSN:s stödverksamhet inte kan sägas vara vagt formulerade eller knapphändiga. Något behov av att i författning precisera vilka personuppgifter som myndigheten får behandla för att utföra sina författningsreglerade uppdrag kan därför inte anses föreligga av det skälet.
CSN måste alltid begränsa behandlingen på andra sätt
En begränsning kan även vara motiverad för att den rättsliga grunden ska vara proportionerlig, särskilt om det rör omfattande behandling och sådan behandling som enskilda inte har rätt att motsätta sig. En sådan reglering borde även kunna påkallas av karaktären på uppgifterna och vad de ska användas till, t.ex. personuppgifter som är mycket integritetskänsliga eller skyddsvärda.
Som vi påpekar tidigare i detta avsnitt är regleringen av CSN:s verksamhet mycket omfattande. I regel anges, direkt eller indirekt, vilka förhållanden och uppgifter som ska ha betydelse för tillämpningen av respektive bestämmelse. I de fall där det redan av den materiella verksamhetsregleringen framgår vilka personuppgifter CSN får eller behöver behandla för att utföra sin verksamhet, eller vilka förhållanden som påverkar utfallet av en viss prövning, kan inte kravet på proportionalitet kräva att dessa uppgiftskategorier också anges i myndighetens registerförfattning.
Det finns dock delar av CSN:s olika uppdrag som inte har lika detaljerade rättsliga grunder och som därför kan anses mindre transparenta i fråga om vilka personuppgifter som är nödvändiga att behandla. De uppdrag som inte har lika detaljerade rättsliga grunder är oftast endast reglerade i CSN:s instruktion utan någon närmare reglering i den materiella rätten, t.ex. att CSN ska ge lättillgänglig och behovsanpassad information till berörda om de stöd som myndigheten administrerar.11 Det framstår inte som helt klart vilka personuppgifter CSN kan behöva behandla för att utföra uppdraget, vilket också troligtvis varierar i hög grad beroende på vilka trender myndigheten ser i behovet av information. Det finns också säkerligen fall då CSN behöver utföra mer integritetskänslig behandling med stöd av en mindre tydlig rättslig grund.
11 Se 2 § förordningen (2017:1114) med instruktion för Centrala studiestödsnämnden.
Trots att den rättsliga grunden kanske inte är väldigt tydlig, finns ändå principen om uppgiftsminimering som kräver att den personuppgiftsansvarige begränsar den mängd uppgifter som behandlas för ett visst ändamål till vad som är nödvändigt för att uppnå syftet med behandlingen. Detta avser både hur många personer och hur många uppgifter som träffas av behandlingen. Dessutom ska en längsta tid för behandlingen bestämmas utifrån ändamålet med behandlingen. Redan av bestämmelserna i EU:s dataskyddsförordning följer att CSN inte får samla in och senare behandla fler personuppgifter än vad som är nödvändigt för att utföra sin verksamhet enligt nationell rätt eller unionsrätten.
Vi föreslår andra integritetsskyddande åtgärder
Vi anser alltså att både utformningen av CSN:s rättsliga grunder, vårt förslag till ändamålsbestämmelser och principen om uppgiftsminimering utgör ett mycket starkt skydd vid behandling av personuppgifter inom det materiella tillämpningsområdet för den nya studiestödsdatalagen. Utöver detta föreslår vi en rad andra integritetsskyddande åtgärder, se kapitel 11. Den reglering vi föreslår i det kapitlet fokuserar i huvudsak på den mest integritetskänsliga behandlingen, vilket vi – utifrån de utgångspunkter vi bedömer ska gälla för en modern myndighetsspecifik dataskyddsreglering, se kapitel 7 – anser är det mest ändamålsenliga sättet att säkerställa ett adekvat integritetsskydd vid CSN:s behandling av personuppgifter.
Det är inte ändamålsenligt att generellt begränsa vilka uppgifter CSN får behandla i stödverksamheten
Sammanfattningsvis är vår bedömning att en reglering av vilka uppgifter som CSN ska få behandla i sin stödverksamhet som utgångspunkt inte är nödvändig för att den rättsliga grunden ska anses vara proportionell mot det legitima mål som eftersträvas. Det framstår inte heller som ett ändamålsenligt sätt att skydda enskilda mot att deras personliga integritet kränks vid behandling av personuppgifter i CSN:s stödverksamhet. Givet att det finns särskild reglering för känsliga personuppgifter och uppgifter om lagöverträdelser i EU:s dataskyddsförordning behandlas detta särskilt i avsnitt 10.3. Vi vill
också understryka att det heller inte på något sätt är uteslutet att reglera vilka personuppgifter som får behandlas för ett särskilt ändamål om det är lämpligt med hänsyn till hur känslig en särskild behandling är, se t.ex. våra förslag i avsnitt 10.4.
Regleringen av vilka uppgifter som får behandlas är inte heller nödvändig med hänsyn till grundlagsskyddet
I de fall myndigheters personuppgiftsbehandling utgör en begränsning av skyddet mot betydande intrång i den personliga integriteten har regeringen tidigare bedömt att ramarna för myndighetens personuppgiftsbehandling måste slås fast i lag, liksom att de bestämmelser som är av central betydelse för integritetsskyddet bör ges i lag. Mer detaljerade bestämmelser som kompletterar lagregleringen kan finnas i förordning och får inte medföra ett betydande intrång i den personliga integriteten, se avsnitt 6.3.
I nämnda avsnitt redogör vi för vår bedömning att en behandling av personuppgifter vid CSN som utgör ett intrång i det grundlagsreglerade skyddet för den personliga integriteten i vissa fall är nödvändig för att CSN ska kunna utföra sin samhällsviktiga verksamhet. Vi presenterar i avsnitt 9.4.1 vår bedömning att grundlagsskyddets krav på lagform tillgodoses genom de ändamålsbestämmelser vi föreslår. I avsnitt 9.4.2 redogör vi även för vårt förslag om en särskild lagreglerad ändamålsbestämmelse för dataanalyser och urval. En ändamålsbestämmelse i lag innebär att ramen för behandlingen av personuppgifter i ett informationssystem med ett stort antal, och i vissa fall integritetskänsliga, uppgifter fastställs av riksdagen. Ändamålsbestämmelserna är därmed de bestämmelser som ger lagstöd för sådan behandling som kan anses omfattas av grundlagsskyddet för den personliga integriteten. Mot den bakgrunden bedömer vi, som också framgår av de två nyss nämnda avsnitten, att det är nödvändigt att i den nya studiestödsdatalagen införa bestämmelser som tillåter CSN att behandla personuppgifter för vissa ändamål. Enligt vår bedömning kan dock inte grundlagsskyddet också anses kräva en reglering av vilka personuppgifter eller kategorier av personuppgifter som får behandlas inom CSN:s stödverksamhet.
10.3. Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser
10.3.1. Känsliga personuppgifter
Förbudet mot att behandla känsliga personuppgifter
Enligt artikel 9.1 i EU:s dataskyddsförordning är det som utgångspunkt förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, s.k. känsliga personuppgifter.12 De kategorier av personuppgifter som avses är till sin natur särskilt känsliga och ges därför ett särskilt skydd, eftersom behandlingen av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna.13
EU:s dataskyddsförordnings förbud enligt artikel 9.1 kompletteras av ett antal undantag som anges uttömmande i artikel 9.2 a–j. Några av undantagen är direkt tillämpliga medan andra kräver viss reglering i den nationella rätten för att känsliga personuppgifter ska få behandlas. Det finns inte utrymme för medlemsstaterna att föreskriva ytterligare undantag från förbudet. Det är dock tillåtet att behålla eller införa mer specifika bestämmelser i fråga om behandling som sker med stöd av de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning, vilka regleras i artikel 6.1 c och e, även när det gäller känsliga personuppgifter.14 Om en behandling av känsliga personuppgifter är tillåten enligt något av undantagen i 9.2 a–j får alla typer av känsliga personuppgifter behandlas så länge det är tillåtet enligt artikel 5 och 6. Det finns alltså inga begränsningar gällande vissa typer av känsliga personuppgifter enligt EU:s dataskyddsförordning. Det finns däremot inga hinder mot att reglera sådana begränsningar i nationell rätt.15 I dataskyddslagens tredje kapitel finns kompletterande bestämmelser om behandling av känsliga personuppgifter. I det följande går vi igenom några av de undantag från förbudet som är relevanta för CSN:s verksamhet.
12 Jfr 3 kap. 1 § dataskyddslagen. 13 Se skäl 51 till EU:s dataskyddsförordning. 14 Se artikel 6.2 i och skäl 10 till EU:s dataskyddsförordning. 15 Se artikel 6.2 och 6.3 i samt skäl 10 till EU:s dataskyddsförordning.
Undantag från förbudet att behandla känsliga personuppgifter – behandling med hänsyn till ett viktigt allmänt intresse
Undantag från förbudet mot att behandla känsliga personuppgifter gäller vid behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse.16 Detta undantag tillämpas huvudsakligen av myndigheter. Det är svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse.17 Viktiga allmänna intressen är enligt EU:s dataskyddsförordning t.ex. EU:s eller en medlemsstats viktiga ekonomiska och finansiella intressen, däribland folkhälsa och social trygghet. Även att en svensk myndighet kan bedriva den verksamhet som tydligt faller inom ramen för myndighetens befogenheter på ett korrekt, rättssäkert och effektivt sätt anses utgöra ett viktigt allmänt intresse.18 Detta innefattar även den behandling av känsliga personuppgifter som är nödvändig för att myndigheten ska kunna utföra sina författningsreglerade uppdrag.
Vid behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse krävs även att uppgifterna behandlas på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet och vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades intressen.
Regeringen har uttalat att kravet på att den nationella rätten ska stå i proportion till det eftersträvade syftet innebär att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av dem som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen. Regeringen har vidare bedömt att det kan ifrågasättas om tillägget i artikel 9.2 g innehåller ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behandling av personuppgifter i allmänt intresse.19 Utgångspunkten bör enligt regeringen vara att den författning som reglerar en myndighets verksamhet och uppdrag uppfyller kraven på proportionalitet i artikel 6.1 c och e.20
16 Se artikel 9.2 g i EU:s dataskyddsförordning. 17 Jfr artikel 6.1 e och 9.2 g i EU:s dataskyddsförordning. 18 Se prop. 2017/18:105, Ny dataskyddslag, s. 83. 19 Se prop. 2017/18:105, Ny dataskyddslag, s. 84. 20 Se prop. 2017/18:105, Ny dataskyddslag, s. 50.
Enligt vår bedömning bör artikel 9.2 g tolkas på så sätt att det är en myndighets författningsreglerade uppdrag, genom vilken myndighetens uppgifter och därmed det viktiga allmänna intresset regleras, som ska ligga till grund för behandlingen och vara proportionerlig. Som utgångspunkt ska denna också anses vara det i svensk rätt. Under förutsättning att en myndighet, vid behandling av personuppgifter för ett allmänt intresse, har rättslig grund för den behandling som är nödvändig att utföra, bör även kravet på förenlighet med det väsentliga innehållet i rätten till dataskydd kunna ses som uppfyllt. För att känsliga personuppgifter ska få behandlas enligt denna grund ställs vidare särskilda krav på skyddsåtgärder.
Kompletterande bestämmelser i svensk rätt
Allmänt om regleringen i 3 kap. 3 § dataskyddslagen
Enligt 3 kap. 3 § dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende, eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Bestämmelsen i dataskyddslagen kompletterar artikel 9.2 g i EU:s dataskyddsförordning.21 När bestämmelsen infördes i dataskyddslagen konstaterade regeringen att det inte kan tas för givet att det för all offentlig verksamhet redan finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i EU: dataskyddsförordning för att känsliga personuppgifter ska få behandlas. Regeringen bedömde därför att det behövdes särskilda bestämmelser i dataskyddslagen som är tillämpliga för alla myndigheter och som uppfyller kraven i artikel 9.2 g i EU:s dataskyddsförordning. Bestämmelsen i 3 kap. 3 § dataskyddslagen är avsedd att gälla för offentlig verksamhet där sektorspecifik reglering avseende behandling av känsliga personuppgifter saknas. Den ersätter dock inte artikel 6 eller artikel 9.2 g i EU:s dataskyddsförordning. Den rättsliga grunden för behandlingen måste sökas någon annanstans än i dataskyddslagen. Vidare kan de krav på lämpliga och särskilda åtgärder som ställs i artikel 9.2 g vara upp-
21 Se 1 kap. 1 § första stycket dataskyddslagen.
fyllda även genom andra bestämmelser. Behandling av känsliga personuppgifter kan alltså ske med stöd av artikel 9.2 g även i andra fall, under förutsättning att lämpliga och särskilda åtgärder fastställts.22
Behandling som krävs enligt lag
Enligt 3 kap. 3 § första stycket 1 dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. I förarbetena uttalas att viss behandling av känsliga personuppgifter är oundviklig i myndigheters verksamhet som en direkt följd av kraven i t.ex. offentlighets- och sekretesslagen (2009:400) och förvaltningslagen (2017:900). Det rör sig om bl.a. krav på diarieföring och skyldighet att ta emot e-post. Enligt regeringen är den grundlagsfästa rätten att ta del av allmänna handlingar ett viktigt allmänt intresse. Den nödvändiga behandling av personuppgifter som sker vid hanteringen av allmänna handlingar har rättslig grund i svensk rätt, framför allt i offentlighets- och sekretesslagen, arkivlagstiftningen och förvaltningslagen. Denna lagstiftning innehåller enligt regeringen lämpliga och särskilda åtgärder som skyddar enskildas integritet, t.ex. i form av sekretess, rätt till partsinsyn och föreskrifter om informationssäkerhet och gallring. Enligt regeringens bedömning kan därmed även känsliga personuppgifter behandlas då det är nödvändigt i dessa sammanhang, med stöd av artikel 9.2 g i EU:s dataskyddsförordning. För att det inte skulle råda något tvivel om att denna nödvändiga behandling var tillåten också efter ikraftträdandet av EU:s dataskyddsförordning ansåg regeringen att dataskyddslagen skulle innehålla en uttrycklig bestämmelse som tydliggör detta.23
Behandling som inte innebär ett otillbörligt intrång
Enligt 3 kap. 3 § första stycket 3 dataskyddslagen får myndigheter behandla känsliga personuppgifter i annat fall om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
22 Se prop. 2017/18:105, Ny dataskyddslag, s. 85 och 91. 23 Se prop. 2017/18:105, Ny dataskyddslag, s. 86.
Av förarbetena till bestämmelsen framgår att även inom ramen för myndigheters faktiska verksamhet, dvs. sådan verksamhet som inte utgör handläggning av ärenden, är behandling av känsliga personuppgifter ofta nödvändig med hänsyn till viktiga allmänna intressen. Det kan t.ex. röra sig om att myndigheten besvarar en fråga från en medborgare som via e-post uppgett känsliga personuppgifter. Mot bakgrund av vikten av att samhällets funktioner upprätthålls uttalade regeringen att dataskyddslagen på ett likartat sätt som personuppgiftslagen (1998:204) dittills hade gjort skulle ge myndigheter ett visst utrymme för behandling av känsliga personuppgifter även i den del av verksamheten som inte utgör ärendehantering. Utformningen av bestämmelsen i 3 kap. 3 § första stycket 3 är anpassad för att överensstämma med artikel 9.2 g i EU:s dataskyddsförordning. Bestämmelsen tar sikte på sådan behandling som inte omfattas av övriga bestämmelser i dataskyddslagen om behandling av känsliga personuppgifter för viktiga allmänna intressen.24
Vidare är bestämmelsen i dataskyddslagen utformad på ett sätt som säkerställer att det alltid finns lämpliga och särskilda åtgärder för den registrerade, på det sätt som krävs för att nödvändig behandling av känsliga personuppgifter ska vara tillåten enligt artikel 9.2 g. Regeringen konstaterade i förarbetena att det i svensk rätt redan finns en omfattande sekretessreglering, till skydd för enskildas ekonomiska och personliga förhållanden, som i många fall utgör en tillräcklig skyddsåtgärd. Dessutom infördes en särskild sökbegränsning.25 Regeringen bedömde dock att en särskild bestämmelse som reglerar möjligheten att behandla känsliga personuppgifter i myndigheters faktiska verksamhet borde innehålla ytterligare särskilda skyddsåtgärder. Bestämmelsen innehåller därför ett krav på att behandlingen inte får ske om den innebär ett otillbörligt intrång i de registrerades integritet. Detta krav motverkar enligt regeringen att känsliga personuppgifter behandlas slentrianmässigt i den löpande verksamheten, utan att annat författningsstöd finns. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. För att avgöra om intrånget är otillbörligt måste myndigheten göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen
24 Se prop. 2017/18:105, Ny dataskyddslag, s. 88 och 89. 25 Se 3 kap. 3 § andra stycket dataskyddslagen.
inte sker. Detta innebär inte att den personuppgiftsansvarige måste göra en bedömning i förhållande till varje berörd individ. Ju mindre tydligt myndighetens behov av att behandla uppgifterna är, desto större är dock sannolikheten för att de registrerades intresse typiskt sett väger tyngre och att intrånget därför bör betraktas som otillbörligt. Bestämmelsen kan t.ex. inte läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.26
10.3.2. Personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott
EU:s dataskyddsförordning innehåller särskilda bestämmelser till skydd för personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott. Anledningen är att uppgifter som rör lagöverträdelser också är av integritetskänslig karaktär och att behandling av sådana uppgifter anses vara särskilt riskfylld. Utöver de villkor som gäller vid all behandling av personuppgifter, bl.a. att det ska finnas en rättslig grund för behandlingen enligt artikel 6.1, gäller att sådana uppgifter endast får behandlas under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades fri- och rättigheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.27
Regeringen har uttalat att den del av artikel 10 som rör behandling av uppgifter under kontroll av en myndighet är direkt tillämplig och i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet.28 I linje med detta anges i 3 kap. 8 § dataskyddslagen att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Om en uppgift som rör lagöverträdelser även är en känslig personuppgift, gäller också de särskilda krav som finns för behandling av sådana uppgifter.
26 Se prop. 2017/18:105, Ny dataskyddslag, s. 89, 90, 194 och 195. 27 Se artikel 10 i EU:s dataskyddsförordning. 28 Se prop. 2017/18:105, Ny dataskyddslag, s. 99.
10.3.3. Bestämmelser i andra registerförfattningar
I andra myndighetsspecifika registerförfattningar finns olika typer av reglering av behandling av känsliga personuppgifter och uppgifter om lagöverträdelser, varav vissa inskränker möjligheten att behandla sådana uppgifter i förhållande till EU:s dataskyddsförordning och dataskyddslagen. Det är relativt vanligt förekommande att regleringen är utformad på ett sådant sätt att den uttryckligen tillåter en viss myndighet att behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. inom vissa angivna ramar. Det finns dock även bestämmelser som i stället anger vad som inte är tillåtet avseende behandling av sådana kategorier av uppgifter.
Flera av de registerförfattningar som innehåller bestämmelser om behandling av särskilda kategorier av personuppgifter har sitt ursprung i bestämmelser som tillkom under den tid då 1995 års dataskyddsdirektiv och personuppgiftslagen gällde. Sådana bestämmelser kan i sig även ha sitt ursprung från den tid då den tidigare datalagen (1973:289) gällde. Sedan EU:s dataskyddsförordning trädde i kraft har bestämmelserna setts över för att anpassas till denna. I många fall har det dock inte skett någon genomgripande materiell översyn av reglerna annat än att lagstiftaren sett till att de inte strider mot förordningen.
I vissa registerförfattningar, likt som i studiestödsdatalagen, se nästa avsnitt, anges att känsliga personuppgifter och uppgifter om lagöverträdelser får behandlas för vissa i lagen angivna ändamål.29Det finns också bestämmelser som anger att känsliga personuppgifter endast får behandlas för vissa i lag särskilt angivna ändamål under förutsättning att uppgifterna är absolut nödvändiga för syftet med behandlingen eller att sådan behandling får utföras i löpande text för vissa i lag angivna ändamål om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i viss verksamhet.30 Det förekommer vidare bestämmelser där det mer allmänt anges att känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.31 Ytterligare en typ av bestämmelse som förekom-
29 Se t.ex. 114 kap.11 och 12 §§socialförsäkringsbalken. 30 Se 14 § utlänningsdatalagen (2016:27). 31 Se 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.
mer anger att känsliga personuppgifter får behandlas endast om det är absolut nödvändigt för syftet med behandlingen.32
Annan reglering som kan återfinnas i registerförfattningar är en bestämmelse om att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personen utifrån sådana känsliga uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning.33 I lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten anges i 9 § att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. I ett par nu pågående lagstiftningsärenden finns liknande förslag till reglering.34 Vissa förslag innehåller dock även en uttrycklig hänvisning till bl.a. artikel 9.2 g i EU:s dataskyddsförordning.35
10.3.4. Motiven till nuvarande reglering i studiestödsdatalagen
Av 6 § studiestödsdatalagen framgår att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får med stöd av artikel 9.2 g behandlas av CSN för ändamål som avses i 4 § första stycket 1, 3 och 6 samt andra stycket och 4 a §, se avsnitt 4.3.4. För samma ändamål får även personuppgifter som avses i artikel 10, dvs. uppgifter om lagöverträdelser m.m., behandlas. Av 6 § tredje stycket framgår dock att för ändamål som avses i 4 a §, dvs. finalitetsprincipen, får sådana uppgifter endast behandlas om det är absolut nödvändigt för syftet med behandlingen.
Bestämmelserna har funnits i lagen sedan den först infördes. Den ändrades vid den översyn som gjordes när EU:s dataskyddsförordning skulle träda i kraft på så sätt att i bestämmelsen nämnda känsliga personuppgifter byttes ut mot hänvisningar till nämnda artiklar i EU:s dataskyddsförordning. Bestämmelsen om behandling med stöd av finalitetsprincipen infördes i samband med att den möjligheten infördes.
32 Se 5 § kriminalvårdsdatalagen (2018:1235). 33 Se 13 § domstolsdatalagen (2015:728). 34 Se t.ex. SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 679. 35 Se Ds 2023:10, En registerlag för Myndigheten för vård- och omsorgsanalys, s. 59–71 samt Ds 2023:13, En registerlag för Inspektionen för socialförsäkringen, s. 61–72.
I förarbetena till studiestödsdatalagen framgår att regeringen ansåg att bestämmelsen skulle utformas så att regleringen inte hindrar den nödvändiga handläggningen av ärenden i verksamheten.36
10.3.5. CSN ska få behandla känsliga personuppgifter
Vårt förslag: I den nya studiestödsdatalagen ska det införas en
bestämmelse som anger att CSN får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Skälen för förslaget
Nuvarande reglering i CSN:s registerförfattningar är mer begränsande än bestämmelserna i EU:s dataskyddsförordning
Dagens reglering i studiestödsdatalagen om behandling av känsliga personuppgifter är mer begränsande än bestämmelserna i EU:s dataskyddsförordning. Den grundläggande frågan vi behöver besvara i detta sammanhang är om det är ändamålsenligt eller om CSN:s möjlighet att behandla känsliga personuppgifter bör motsvara det som gäller enligt förordningen. Här behöver vi inledningsvis överväga vilka behov myndigheten har att behandla känsliga personuppgifter och om myndigheten har grund för denna behandling med utgångspunkt i den ändamålsreglering vi föreslår. Vid en utvidgning av myndighetens möjligheter att behandla känsliga personuppgifter behöver vi också besvara frågan om det är proportionerligt.
CSN har ett behov av att behandla känsliga personuppgifter
Att CSN har ett behov av att behandla känsliga personuppgifter kostanterades redan i förarbetena till studiestödsdatalagen.37 Detta bekräftades senare när lagen anpassades till EU:s dataskyddsförord-
36 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 49. 37 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 48.
ning38 och när möjligheten att behandla känsliga personuppgifter för vidarebehandling infördes.39 Det saknas mot denna bakgrund skäl för oss att göra en ny omfattande analys av om CSN har ett behov av att behandla känsliga personuppgifter, men vi vill ändå redogöra för det som CSN särskilt har pekat på.
CSN uppger att myndigheten har behov av att behandla uppgifter om hälsa eftersom uppgift om sjukdom har betydelse för handläggningen av ärenden om studiestöd. Uppgifter om hälsa behöver behandlas relativt ofta i ärenden om studiestöd.
Vidare har myndigheten behov av att behandla uppgifter om medborgarskap. Även om just den uppgiften i sig inte är klassad som känslig, kan den tillsammans med andra uppgifter som den enskilde lämnar innebära att uppgifterna sammantaget kan avslöja uppgifter om ras eller etniskt ursprung. Uppgifter om medborgarskap förekommer i varje ärende om studiestöd. I ärenden rörande utländska medborgare kan i vissa fall, ofta beroende på underlag som den studerande skickar in, även förekomma uppgifter som direkt avslöjar ras, etnicitet eller religiös tillhörighet.
CSN har också behov av att behandla uppgifter om bostadsort och tillämplig skattetabell för studerande som mottar skattepliktiga stöd.40 Genom att kombinera denna uppgift med uppgift om folkbokföringsadress är det möjligt att dra slutsatser om den sökandens tillhörighet till svenska kyrkan. Uppgifter om bostadsort och om vilken skattetabell som ska användas för en viss studerande behandlas i samtliga ärenden om skattepliktiga stöd.
CSN förklarar också att myndigheten behöver behandla känsliga personuppgifter i uppföljning av ärenden, i testverksamhet och för att utföra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
Det är enligt oss givet att CSN har ett stort behov av att behandla känsliga personuppgifter och att det är svårt för myndigheten att styra själv över vilka uppgifter som kommer in. Frågan är då om CSN har grund för den behandlingen utifrån de ändamålsbestämmelser vi föreslår.
38 Jfr prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet, s. 175. 39 Jfr prop. 2019/18:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksam-
heten, s. 27.
40 Omställningsstudiestöd och TUFF-ersättning.
CSN har grund för att behandla känsliga personuppgifter
Vi föreslår att ändamålsbestämmelserna i den nya studiestödsdatalagen ska ange att CSN ska kunna behandla personuppgifter om det är nödvändigt för att utföra stödverksamhet, se avsnitt 9.4.1. Regeringen har uttalat att det är ett viktigt allmänt intresse att myndigheter, även utanför området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag, på ett korrekt, rättssäkert och effektivt sätt.41 För CSN:s del innefattar detta den behandling av känsliga personuppgifter som är nödvändig för att myndigheten ska kunna utföra sitt uppdrag enligt materiell verksamhetsreglering och sin instruktion. Syftet med CSN:s behandling av personuppgifter är t.ex. att kunna avgöra om en person har rätt till stöd, upptäcka om stöd har betalats ut på felaktiga grunder, driva in skulder och analysera studerandes sociala och ekonomiska situation. Myndighetens arbetsuppgifter är avgörande för att varje medborgare ska ha möjlighet till god utbildning, vilket i förlängningen bidrar till ekonomisk tillväxt som kan trygga välfärden.42
När CSN behandlar känsliga personuppgifter för att det är nödvändigt för att utföra de uppgifter som ålagts myndigheten i författning rör det sig alltså om en sådan behandling som avses i artikel 9.2 g i EU:s dataskyddsförordning, dvs. en behandling som är av viktigt allmänt intresse och som har sin grund i en nationell rätt som både är proportionerlig och förenlig med det väsentliga innehållet i rätten till dataskydd.
I den nya studiestödsdatalagen kommer det att finnas bestämmelser som kompletterar EU:s dataskyddsförordnings bestämmelser om när behandling av personuppgifter kan tillåtas. Lagen kommer också att innehålla olika former av skyddsåtgärder som upprätthåller skyddet för den personliga integriteten vid den behandling av känsliga personuppgifter som CSN utför. Sammantaget bedömer vi därför att den behandling av känsliga personuppgifter som CSN behöver utföra uppfyller kraven i artikel 9.2 g.
Beroende på omständigheterna i det enskilda fallet av behandling är det inte uteslutet att CSN kan komma att behöva behandla känsliga personuppgifter även på grundval av andra direkt tillämpliga undantag
41 Se prop. 2017/18:105, Ny dataskyddslag, s. 83. 42 Jfr prop. 1999/2000:10, Ett reformerat studiestödssystem, s. 65.
som föreskrivs i artikel 9.2. Det finns i EU:s dataskyddsförordning ingenting som hindrar att flera undantag som tillåter behandling av känsliga personuppgifter är tillämpliga samtidigt.
Ett exempel är att det kan bli aktuellt för CSN att tillämpa undantaget i artikel 9.2 j i EU:s dataskyddsförordning, framför allt vid behandling som behövs för att följa regler om arkivering eller ta fram intern statistik. Att myndigheter ska arkivera handlingar följer av arkivlagstiftningen och att CSN behöver föra intern statistik följer av ansvaret att utveckla verksamheten. Som vi utvecklar ovan bedömer vi att en myndighets författningsreglerade uppdrag som utgångspunkt bör anses vara proportionerligt och förenligt med det väsentliga innehållet i rätten till dataskydd. I den nya studiestödsdatalagen ska det finnas bestämmelser som kompletterar EU:s dataskyddsförordning om när behandling kan tillåtas. Lagen ska också innehålla olika former av skyddsåtgärder som upprätthåller skyddet för den personliga integriteten vid den behandling av känsliga personuppgifter som CSN utför. Den behandling av känsliga personuppgifter som är nödvändig för CSN att utföra inom ramen för åtgärder hänförliga till arkiv och statistik bör därför uppfylla samtliga krav som ställs på den nationella rätten i artikel 9.2 j.
Det är inte ändamålsenligt att begränsa CSN:s behandling av känsliga personuppgifter utöver vad som gäller enligt EU:s dataskyddsförordning
Vi kan alltså konstatera att CSN har ett behov av och grund för att behandla känsliga personuppgifter. Behandlingen sker i dag med stöd av gällande studiestödsdatalag, vilken är begränsande i förhållande till EU:s dataskyddsförordning och dataskyddslagen. Frågan är då om detta är ändamålsenligt.
Personuppgiftslagen, som ursprungligen ligger till grund för nuvarande registerförfattningar för CSN, innehöll inte några uttryckliga bestämmelser som tillät behandling av känsliga personuppgifter för att täcka nödvändig behandling. När personuppgiftslagen gällde var det vanligt att sektorsspecifika registerförfattningar innehöll särskild reglering av myndigheters behandling av känsliga personuppgifter.43Troligtvis berodde detta till viss del på att artikel 8.4 i 1995 års dataskyddsdirektiv föreskrev att under förutsättning att lämpliga skydds-
43 Jfr SOU 2015:73, Personuppgiftsbehandling på utlännings- och medborgarskapsområdet, s. 291.
åtgärder finns och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella rätt eller genom beslut av tillsynsmyndigheten besluta om andra undantag för behandling av känsliga personuppgifter än de som förskrevs i nämnda artikel.
Till skillnad från 1995 års dataskyddsdirektiv och personuppgiftslagen innebär EU:s dataskyddsförordning att de föreskrivna undantagen från förbudet att behandla känsliga personuppgifter är direkt tillämpliga för de nationella myndigheterna, även om vissa undantag i sig kräver kompletterande nationell lagstiftning. CSN kan därmed stödja viss behandling av känsliga personuppgifter redan på grundval av EU:s dataskyddsförordnings bestämmelser under de förutsättningar som anges där.
Vi kan konstatera att regleringen i de nuvarande registerförfattningarna är mycket mer detaljerad och begränsande än EU:s dataskyddsförordning och dataskyddslagen. CSN kan enligt den nuvarande regleringen endast behandla känsliga personuppgifter gentemot vissa angivna ändamål, se avsnitt 10.3.4, vilket innebär att myndigheten inte kan behandla sådana uppgifter för andra ändamål. När det gäller vidarebehandling enligt finalitetsprincipen är CSN dessutom ytterst begränsad till absolut nödvändiga fall, vilka borde vara mycket få. Genom nuvarande reglering kan CSN hindras från att utföra vissa av de författningsreglerade uppgifter som åligger myndigheten. Exempelvis har myndigheten begränsade möjligheter att behandla känsliga personuppgifter i verksamhet som inte utgör ärendehandläggning. Sådan behandling kan dock behöva utföras för att myndigheten t.ex. ska kunna delta i olika nationella samverkansprojekt på det sätt som olika författningar eller regeringsbeslut kräver.
Den nuvarande regleringen kan också utgöra en begränsning av möjligheterna att behandla känsliga personuppgifter för ändamålen kontroll, uppföljning och planering av verksamheten, samt framställning av statistik (i stödverksamheten, jfr avsnitt 8.3.1) eller testverksamhet. Det hindrar också myndigheten att göra vissa urval av bl.a. ärenden eller personer för ytterligare kontroll. Dessa begränsningar kan ifrågasättas eftersom sådan verksamhet är en förutsättning för att CSN ska kunna bevaka effektiviteten och kvaliteten i verksamheten. Det är bl.a. av vikt för att upprätthålla en välfungerande ärendehandläggning, vilket i sin tur gagnar enskilda registrerade. Vi anser att det finns goda möjligheter att säkerställa ett tillräckligt integritetsskydd på andra sätt än att helt undanta vissa möjligheter
för CSN att över huvud taget behandla sådana uppgifter, t.ex. genom att reglera särskilda sökbegränsningar och tillgången till uppgifterna, se kapitel 11.
Sammantaget gör vi bedömningen att det inte finns skäl att genom särskilda bestämmelser ytterligare begränsa möjligheterna att behandla känsliga personuppgifter i förhållande till vad som gäller enligt den generella dataskyddsregleringen. En sådan begränsning skulle riskera att hindra CSN från att kunna utföra sina författningsreglerade uppgifter på ett ändamålsenligt sätt. Det är, som redan konstaterats, mycket svårt att förutse alla de situationer då myndigheten kan komma att ha ett legitimt behov av att behandla känsliga personuppgifter. Det är alltså vår uppfattning att dagens reglering inte är ändamålsenlig.
En särskild bestämmelse ska införas i den nya studiestödsdatalagen
Vi bedömer alltså att det inte är ändamålsenligt att CSN begränsas mer än vad EU:s dataskyddsförordning föreskriver. Frågan är då om behandling av känsliga personuppgifter i CSN:s stödverksamhet alls bör regleras i den nya studiestödsdatalagen och om den ska det, hur den regleringen bör se ut.
Undantaget i artikel 9.2 g i EU:s dataskyddsförordning är direkt tillämpliga i svensk rätt. Det finns därmed ingen skyldighet att reglera undantagen i nationell rätt. Medlemsstaterna har dock en möjlighet att införa mer specifika bestämmelser avseende känsliga personuppgifter.44
I dataskyddslagens tredje kapitel finns generella bestämmelser som möjliggör behandling av känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g, se avsnitt 10.3.2. Vår bedömning är dock att dataskyddslagen inte ger tillräckligt tydliga rättsliga förutsättningar för CSN:s behandling av personuppgifter. Myndighetens personuppgiftsbehandling, som även innefattar känsliga personuppgifter, kan innebära ett betydande intrång i enskildas personliga integritet. Detta motiverar en bestämmelse i den nya studiestödsdatalagen som tydliggör för CSN att en behandling av känsliga personuppgifter är tillåten. En sådan bestämmelse bidrar också till ökad transparens för den registrerade och allmänheten i övrigt. En bestämmelse som förtydligar att CSN får
44 Se artikel 6.2 och 6.3 i samt skäl 10 till EU:s dataskyddsförordning.
behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning om det är nödvändigt med hänsyn till ändamålet med behandlingen, bör därför införas i den nya lagen. Någon uttrycklig hänvisning till undantagen i artikel 9.2 anser vi inte behövs. Denna bedömning liknar den som regeringen gjort i andra lagstiftningsärenden.45
Att behandlingen måste vara nödvändig innebär att den alltid måste vara motiverad utifrån den rättsliga grunden och behövas för att CSN ska kunna utföra sina uppdrag på ett korrekt, rättssäkert och effektivt sätt.46 Detta förhindrar alltså att myndigheten behandlar uppgifterna utan att det finns en legitim grund för behandlingen. Så länge det finns ett legitimt behov för CSN att behandla uppgifterna borde dock inte EU:s dataskyddsförordning begränsa myndighetens behandling av känsliga personuppgifter. Genom den föreslagna studiestödsdatalagen kommer det att finnas andra reglerade säkerhetsåtgärder, såsom sökbegränsningar och begränsad tillgång till uppgifter, som tillsammans med den generella dataskyddsregleringen på ett tillräckligt sätt skyddar den personliga integriteten.
Förslaget är proportionerligt och förenligt med EU:s dataskyddsförordning
Vårt förslag innebär att CSN jämfört med dagens reglering ska få vidare möjligheter att behandla känsliga personuppgifter. En utökad möjlighet till behandling innebär en större risk för otillåten behandling, spridning av uppgifter och i vissa fall integritetsintrång genom kartläggning av enskildas personliga förhållanden.
CSN kommer genom våra förslag att få behandla känsliga personuppgifter under förutsättning att behandlingen sker i enlighet med EU:s dataskyddsförordning, dataskyddslagen och övriga bestämmelser i den föreslagna studiestödsdatalagen.
Den nuvarande regleringen infördes i syfte att skydda den personliga integriteten.47 Våra förslag och bedömningar kan visserligen sägas medföra att enskildas integritetsskydd blir mindre starkt i förhållande till vad som gäller i dag, eftersom känsliga personuppgifter
45 Se t.ex. prop. 2018/19:118, Reglering av mikrosimuleringsmodellen Fasit, s. 33 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 132. Jfr även SOU 2023:100, Framtidens data-
skydd vid Skatteverket, Tullverket och Kronofogden, s. 687.
46 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 83. 47 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 48 och 49.
kommer tillåtas att behandlas i flera situationer. Det kommer samtidigt också att ställas högre krav på CSN att avgöra vad som är en tillåten behandling.
Våra bedömningar innebär dock inte att CSN ges möjlighet att behandla känsliga personuppgifter utan att det finns en legitim grund för att göra det. En del av EU:s dataskyddsförordnings syfte är också att varken begränsa eller förbjuda det fria flödet av personuppgifter inom unionen.48 Mot den bakgrunden anser vi att det är ändamålsenligt och i linje med EU-rätten att låta motsvarande reglering om tillåten behandling av känsliga personuppgifter få större genomslag i CSN:s verksamhet, tillsammans med de föreslagna kompletterande bestämmelserna som ger stöd för behandlingen. Med anledning av den betydelse CSN har i att upprätthålla ett välfungerande välfärdssystem som enskilda har förtroende för, anser vi att det är av stor vikt att myndigheten inte hindras i arbetet med att bidra till ett väl fungerande samhälle eller bedriva sin verksamhet på ett korrekt, effektivt och rättssäkert sätt.
Det finns inte heller anledning att anse att våra förslag medför ett otillräckligt integritetsskydd för registrerade. Det är i grunden en direkt tillämplig EU-förordning samt en nationell lag avsedd att komplettera den förordningen på det sätt som EU-förordningen kräver som kommer att avgöra vilken behandling som är tillåten. En stor del av integritetsskyddet bör därutöver anses ligga i andra reglerade skyddsåtgärder, såsom bestämmelser om sekretess, sökbegränsningar och tillgången till uppgifter.49 I dag är även personuppgiftsansvaret samt de skyldigheter som följer av detta tydligt reglerade i EU:s dataskyddsförordning och det finns bestämmelser om sanktionsavgifter som kan bli tillämpliga vid felaktig behandling.50Det är även vår uppfattning att en dataskyddsreglering inte bör riskera att inskränka myndigheters möjlighet at utföra de uppdrag som bl.a. riskdag och regering har gett dem. CSN har också ett legitimt behov av att i sina verksamheter behandla känsliga personuppgifter på det sätt som är tillåtet enligt EU:s dataskyddsförordning.
När studiestödsdatalagen anpassades till EU:s dataskyddsförordning uttalade regeringen att regleringen som redan fanns uppfyller EU:s dataskyddsförordnings krav på lämpliga och särskilda åtgärder
48 Se artikel 1.3 i EU:s dataskyddsförordning. 49 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 88. 50 Se bl.a. artikel 4.7, artikel 24 och artikel 83 i EU:s dataskyddsförordning samt 2 kap. 2–7 §§ dataskyddslagen.
för att säkerställa den registrerades grundläggande rättigheter och intressen och att den därför skulle behållas.51 Vi menar dock att oavsett det förhållandet att våra förslag innebär att denna begränsande reglering inte längre kommer att finnas kvar, kommer regleringen att innehålla sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i EU:s dataskyddsförordning. Detta genom de särskilda skyddsåtgärder som vi föreslår samt befintliga och föreslagna sekretessbestämmelser, se kapitel 11 och 13.
Behandling av känsliga personuppgifter bör givetvis inte kunna ske slentrianmässigt.52 Tvärtom bör känsliga personuppgifter behandlas restriktivt och CSN behöver löpande göra bedömningar av om kraven är uppfyllda i enskilda fall av behandlingar. EU:s dataskyddsförordning ställer höga krav för sådan behandling och de grundläggande principerna för behandling samt de särskilda krav som gäller för behandling av känsliga personuppgifter måste följas. Behandling av ovidkommande uppgifter i myndighetens verksamhet är så klart inte tillåten. Därutöver måste CSN hålla en hög skyddsnivå för sådana typer av uppgifter genom att se till att det finns tillräckliga tekniska och organisatoriska säkerhetsåtgärder på plats.53 Våra övriga förslag som syftar till att stärka dataskyddet innebär också att ytterligare skyddsåtgärder måste vidtas. Samtliga skyddsåtgärder kommer vidare att gälla all behandling, oavsett vilken typ av uppgifter det rör.
Så som vi konstaterar tidigare i detta avsnitt anser vi att den behandling som CSN behöver utföra står i proportion till det eftersträvade syftet och att behandlingen uppfyller kraven i bl.a. artikel 9.2 g i EU:s dataskyddsförordning. Enligt vår bedömning finns det tillräckliga skäl att inte begränsa myndighetens behandling av känsliga personuppgifter i förhållande till EU:s dataskyddsförordning på det sätt som gäller i dag, trots att det innebär en utvidgning av myndighetens möjligheter att behandla känsliga personuppgifter. En särskild bestämmelse som tillåter nödvändig behandling av känsliga personuppgifter bör således stå i proportion till det intrång i registrerades personliga integritet som sådan behandling riskerar att medföra.
51 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 176. 52 Jfr prop. 2000/01:80, Ny socialtjänstlag m.m., s. 144. 53 Se artikel 24, 25 och 32 i EU:s dataskyddsförordning.
10.3.6. Behandling av personuppgifter om lagöverträdelser bör inte begränsas eller på annat sätt regleras särskilt
Vår bedömning: Den behandling av personuppgifter om fällande
domar i brottmål och lagöverträdelser som innefattar brott som CSN behöver utföra bör inte begränsas eller på annat sätt särregleras i den nya studiestödsdatalagen.
Skälen för bedömningen
Nuvarande reglering i CSN:s registerförfattningar är mer begränsande än bestämmelserna i EU:s dataskyddsförordning
Liksom för känsliga personuppgifter är dagens reglering i studiestödsdatalagen om behandling av lagöverträdelser mer begränsande än bestämmelserna i EU:s dataskyddsförordning. Vi behöver alltså besvara samma grundläggande fråga i förhållande till behandling av dessa uppgifter, dvs. om begränsningen är ändamålsenlig eller om CSN:s möjlighet att behandla uppgifter om lagöverträdelser bör motsvara det som gäller enligt förordningen. Inledningsvis beskriver vi myndighetens behov. Vid en utvidgning av myndighetens möjligheter att behandla uppgifter om lagöverträdelser behöver vi också besvara frågan om det är proportionerligt.
CSN har ett behov av att behandla uppgifter som rör lagöverträdelser
Liksom för känsliga personuppgifter konstaterades redan i förarbetena till studiestödsdatalagen att CSN har ett behov av att behandla personuppgifter om lagöverträdelser. Samma argumentation kring att myndigheten inte alltid kan kontrollera vilka uppgifter som kommer in till myndigheten fördes och samtliga uppgifter som då räknades upp i personuppgiftslagen fick därför behandlas för särskilt angivna ändamål.54 Det saknas därför även här skäl för oss att göra en ny omfattande analys av om CSN har ett behov av att behandla personuppgifter om lagöverträdelser, men vi vill ändå redogöra för det som myndigheten särskilt pekar på i frågan.
54 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 48 och 49.
CSN uppger att myndigheten har ett behov av att behandla personuppgifter om lagöverträdelser för att kunna handlägga stödärenden där den sökande är intagen på anstalt för kriminalvård eller där sådana uppgifter förekommer i ansökningar eller kommunikation med den enskilde. CSN har också behov av att behandla sådana uppgifter i ärenden om bidragsbrott och felaktiga utbetalningar. Därutöver behöver myndigheten behandla sådana uppgifter vid uppföljning av ärenden, i testverksamhet och för att utföra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
Det är enligt oss givet att CSN har ett behov av att behandla uppgifter om lagöverträdelser och att omfattningen av sådan behandling kan variera. Det är också svårt för myndigheten att styra själv över vilka uppgifter som kommer in.
Det är inte ändamålsenligt att begränsa eller på annat sätt särreglera CSN:s behandling av personuppgifter om lagöverträdelser
De nuvarande bestämmelserna om behandling av personuppgifter om lagöverträdelser i studiestödsdatalagen utgör alltså en begränsning av den generella dataskyddsregleringen i EU:s dataskyddsförordning och dataskyddslagen. CSN:s behov av att behandla sådana uppgifter varierar, men att ett behov finns är uppenbart. Det är också svårt för myndigheten att förutse vilka uppgifter som kommer in och därför är det svårt att i författning avgränsa all den behandling som CSN behöver kunna göra för skilda ändamål som ett led i utförandet av myndighetens författningsreglerade uppdrag.
Att CSN får behandla personuppgifter om lagöverträdelser följer redan av EU:s dataskyddsförordning och dataskyddslagen. Det krävs alltså inte en särskild bestämmelse om detta i studiestödsdatalagen för att göra en sådan behandling tillåten. På motsvarande sätt krävs inte heller några bestämmelser som begränsar behandlingen. Vi bedömer att den generella regleringen i sig är tillräcklig för att CSN ska tillåtas utföra den behandling som är nödvändig.
Mot bakgrund av uppgifternas integritetskänsliga karaktär och att behandlingen av uppgifterna ändå bör ses som särskilt riskfylld kan det trots det finnas anledning att begränsa möjligheterna till sådan behandling eller i övrigt förtydliga tillåtligheten av avsedd behandling. Detta skulle t.ex. kunna bli aktuellt om det finns anled-
ning att anta att kraven i EU:s dataskyddsförordning inte utgör ett tillräckligt skydd för denna kategori av uppgifter.
I förarbetena till studiestödsdatalagen nämns behandling av uppgifter om lagöverträdelser endast som behandling av känsliga personuppgifter.55 Motiven innehåller inte några tydliga skäl till att sådana uppgifter ansågs behöva begränsas i förhållande till 1995 års dataskyddsdirektiv och personuppgiftslagen som då gällde. De skäl som anfördes verkar i stället vara de samma som för känsliga personuppgifter, dvs. av integritetsskäl. Detta trots att det för uppgifter om lagöverträdelser inte heller då fanns några särskilda krav för att myndigheter skulle få behandla sådana uppgifter.56
I samband med att EU:s dataskyddsförordning skulle börja tillämpas uttalade regeringen att de nuvarande begränsningarna i dessa registerförfattningar infördes i syfte att skydda den personliga integriteten och att det inte fanns några skäl att upphäva de då gällande bestämmelserna med anledning av EU:s dataskyddsförordnings införande. Bestämmelserna kvarstod därmed med vissa redaktionella ändringar.57 EU:s dataskyddsförordning hindrar alltså i och för sig inte nationell lagstiftning som begränsar myndigheters behandling av uppgifter om lagöverträdelser.
Vi är dock av uppfattningen att den nationella regleringen i aktuellt hänseende bör utgå helt från EU:s dataskyddsförordnings bestämmelser. För det fall begränsningar av något skäl kan anses behövas, är det dessa som enligt vår mening bör kräva motivering. En motsatt utgångspunkt skulle riskera att hindra det fria flödet av personuppgifter inom EU, bl.a. genom att försvåra det samarbete CSN har, och i vissa fall är skyldiga att ha, med andra svenska myndigheter eller motsvarande myndigheter i andra medlemsstater inom EU. I bl.a. skäl 9 till EU:s dataskyddsförordning anges att skillnader i nivån på skyddet av fysiska personers fri- och rättigheter, särskilt rätten till skydd för personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter över hela unionen. Vidare anges att dessa skillnader därför bl.a. kan hindra myndigheterna att fullgöra skyldigheter inom unionsrätten.
55 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 48 och 49. 56 Se artikel 8 i 1995 års dataskyddsdirektiv och 21 § personuppgiftslagen (1998:204). 57 Se prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet, s. 187 och 188.
Vi anser att CSN:s behov av behandling av personuppgifter om lagöverträdelser talar för att det inte bör införas några ytterligare begränsningar i förhållande till EU:s dataskyddsförordning i den nya studiestödsdatalagen. Behandlingen krävs för att CSN på ett korrekt, effektivt och ändamålsenligt sätt ska kunna utföra sitt författningsreglerade uppdrag. Begränsningar av möjligheten att behandla uppgifter om lagöverträdelser skulle i vissa fall riskera att utgöra hinder mot sådan behandling som krävs enligt andra författningar. Vidare talar varken arten eller omfattningen av den aktuella personuppgiftsbehandlingen vid myndigheten för att särskilda begränsningar av integritetsskäl är befogade. Det säkerställs vidare ett starkt skydd för sådana uppgifter genom den generella dataskyddsregleringen och den föreslagna studiestödsdatalagen samt befintlig och föreslagen sekretessreglering. I de fall CSN har ett behov av att för egen del samla in och behandla personuppgifter om lagöverträdelser, till skillnad från när sådana uppgifter inkommer till myndigheten från t.ex. enskilda, är det hänförligt till myndighetens olika uppdrag där sådana typer av uppgifter i vissa fall behövs. Det står då redan klart för vilka ändamål och på vilket sätt sådana uppgifter får behandlas. I övriga fall är det inte möjligt för myndigheten att formulera något ändamål för vilket uppgifterna får behandlas. De grundläggande krav på behandlingen som anges i den nya lagen är därmed tillräckliga begränsningar för myndighetens möjlighet att behandla uppgifter om lagöverträdelser.
Vi anser sammantaget att det inte är ändamålsenligt att begränsa eller på annat sätt särreglera CSN:s behandling av personuppgifter om lagöverträdelser. Därmed behöver det inte längre finnas sektorspecifik reglering för sådan behandling.
Kort om administrativa sanktioner
CSN kan ha ett behov av att behandla uppgifter om olika former av s.k. administrativa sanktioner som påminner om, och i vissa fall motsvarar, straffrättsliga påföljder. Ett exempel på en sådan avgift är skattetillägg. Det finns förslag om att införa sanktionsavgifter på välfärdssystemens område.58 Enligt oss är det inte helt tydligt om
58 Se SOU 2022:37, Stärkt arbete med att bekämpa bidragsbrott – administrativt sanktions-
system och effektivare hantering av misstänkta brott, s. 360 och SOU 2023:52, Ett stärkt och samlat skydd av välfärdssystemen, s. 473.
sådana uppgifter anses omfattas av artikel 10 i EU:s dataskyddsförordning. Vi gör dock följande tolkning av rättsläget.
Viss ledning för frågan om artikel 10 alls omfattar personuppgifter som rör administrativa sanktioner finns i praxis från EU-domstolen. Domstolen har uttalat att lagöverträdelser som innefattar brott i artikel 10 uteslutande avser just brott. Enligt domstolen framgår det av förberedelsearbetet inför antagandet av EU:s dataskyddsförordning, då Europaparlamentets förslag att låta begreppet admi-
nistrativa sanktioner uttryckligen ingå i bestämmelsen inte antogs.
Mot den bakgrunden har EU-domstolen ansett att unionslagstiftaren avsåg att låta det utökade skyddet i artikel 10 vara begränsat till det straffrättsliga området. Ordalydelsen ska dock i regel ges en självständig och enhetlig tolkning inom hela EU.59
Utöver detta har regeringen vid införandet av Utbetalningsmyndigheten bedömt att en hänvisning till artikel 10 i en bestämmelse om sökförbud som utgår från syftet med en sökning inte begränsar myndighetens möjligheter att behandla uppgifter om administrativa sanktioner som kan anses utgöra en straffrättslig påföljd, t.ex. skattetillägg.60
Det vi redogör för ovan tyder enligt oss på att det nuvarande rättsläget är sådant att artikel 10 i EU:s dataskyddsförordning ska tolkas så att bestämmelsen inte anses omfatta personuppgifter som rör administrativa sanktioner. Mot denna bakgrund gör vi bedömningen att en avsaknad av sektorspecifik reglering avseende tillåten behandling av personuppgifter som rör lagöverträdelser inte kommer att begränsa CSN:s möjligheter att behandla uppgifter om sådana administrativa sanktioner. Inte heller i det fall rättsläget skulle tolkas på ett annat sätt, eller att ytterligare tydliggörande praxis i frågan kommer från EU-domstolen, anser vi att det kommer att finnas några hinder mot att myndigheten får behandla sådana uppgifter. Detta eftersom artikel 10 i EU:s dataskyddsförordning och 3 kap. 8 § dataskyddslagen innebär att det är tillåtet för myndigheter att behandla personuppgifter som avses i nämnda artikel.
59 Se EU-domstolens dom den 22 juni 2021 i mål C-439/19, B mot Latvijas Republikas Saeima, punkt 77,78 och 81. Jfr även IMY:s rättsliga ställningstagande (IMYRS 2021:1), innebörden
av begreppet ”personuppgifter som rör lagöverträdelser som innefattar brott” i artikel 10 i dataskyddsförordningen, s. 4.
60 Se prop. 2022/23:34, Utbetalningsmyndigheten, s. 134. Jfr även prop. 2017/18:105, Ny data-
skyddslag, s. 98 och 99.
Förslaget är proportionerligt och förenligt med EU:s dataskyddsförordning Vår bedömning innebär en utvidgning av CSN:s möjligheter att behandla uppgifter om lagöverträdelser i förhållande till vad som gäller i dag. De ändringar som skedde i den EU-rättsliga generella dataskyddsregleringen i fråga om vilka uppgifter artikel 10 i EU:s dataskyddsförordning omfattar kommer även få genomslag på CSN:s behandling. All behandling som omfattas av artikel 10 i EU:s dataskyddsförordning och 3 kap. 8 § dataskyddslagen kommer alltså att vara tillåten så länge övriga krav för behandling av personuppgifter är uppfyllda, oavsett på vilket sätt uppgifterna behandlas och oavsett om uppgifterna förekommer i ett ärende eller inte. CSN kommer också i högre utsträckning att få behandla uppgifter om lagöverträdelser i s.k. faktisk verksamhet. I likhet med det vi redogör för i avsnitt 10.3.5 om känsliga personuppgifter kommer uppgifter om lagöverträdelser därmed även att kunna behandlas för t.ex. kontroll, uppföljning, planering av en verksamhet, framställning av statistik eller testverksamhet och andra liknande interna behov så länge förutsättningarna för detta enligt t.ex. artiklarna 5 och 6 i EU:s dataskyddsförordning är uppfyllda. Detsamma gäller CSN:s möjligheter att behandla sådana uppgifter när urval görs av bl.a. ärenden för ytterligare kontroll. Som vi nämner tidigare i detta avsnitt infördes den nuvarande regleringen i syfte att skydda den personliga integriteten.61 En utökad möjlighet till behandling innebär en större risk för otillåten behandling, spridning av uppgifter och i vissa fall integritetsintrång genom kartläggning av enskildas personliga förhållanden.
Våra bedömningar innebär dock inte att CSN ges möjlighet att behandla uppgifter om lagöverträdelser utan att det finns en legitim grund för att göra det. Möjligheterna att behandla personuppgifter om lagöverträdelser kommer att vara begränsade till vad det författningsreglerade uppdraget kräver. Det är angeläget att myndigheten kan utföra sina uppdrag på ett korrekt, effektivt och rättssäkert sätt. Sådan behandling är nödvändig för att CSN ska kunna utföra sina författningsreglerade uppdrag, vilka utgör ett allmänt intresse. En annan ordning kan på ett obefogat sätt hindra myndigheten från att utföra vissa arbetsuppgifter som de tilldelas genom t.ex. uppdrag från regeringen eller i syfte att lämna information till andra myndigheter i enlighet med lag eller förordning.
61 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 47–50.
Behandlingen kommer vidare att omgärdas av flera säkerhetsåtgärder i de nya registerförfattningarna, dataskyddslagen samt EU:s dataskyddsförordning. Dessutom finns tillämpliga sekretessregler. Vi anser att sådana åtgärder säkerställer ett fullgott integritetsskydd. Något skäl att av den anledningen förbjuda behandling som annars hade varit tillåten enligt den generella dataskyddsregleringen finns därför inte. Artikel 10 i EU:s dataskyddsförordning kräver inte heller någon ytterligare nationell reglering av myndigheters behandling av uppgifter om lagöverträdelser.
Mot denna bakgrund och med särskilt beaktande av CSN:s behov anser vi att det i förhållande till den personliga integriteten är proportionerligt och motiverat att låta den generella dataskyddsregleringen gälla för CSN:s behandling av uppgifter om lagöverträdelser. Med andra ord bedömer vi att den nuvarande regleringen av behandling av uppgifter om lagöverträdelser kan utmönstras utan att det påverkar behandlingens proportionalitet.
10.4. Särskilt om dataanalyser och urval
10.4.1. Utgångspunkter för bedömningen av vilka uppgifter som behövs för dataanalyser och urval samt hur det kan regleras
I avsnitt 9.4.2 redogör vi för vårt förslag om att det i den nya studiestödsdatalagen ska införas en särskild primär ändamålsbestämmelse som innebär att CSN ges ett tydligt rättsligt stöd för att behandla personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i stödverksamheten. Anledningen till att vi bedömer att en sådan ändamålsbestämmelse behövs är för att användningen av sådana verktyg för bl.a. kontroll av enskilda, kan innebära kartläggning av enskildas personliga förhållanden på ett sätt som utgör ett sådant betydande intrång som avses i 2 kap. 6 § andra stycket RF. En annan anledning är att den rättsliga grunden för sådan integritetskänslig användning av verktygen utifrån dagens förhållanden, kan anses vara för otydlig för sådan integritetskänslig behandling. I avsnitt 10.2 redogör vi för vår bedömning att det som utgångspunkt inte bör regleras vilka personuppgifter CSN får behandla i förhållande till ett visst ändamål. Med anledning av behandlingens natur vid användningen av dataanalyser och urval, särskilt vid bl.a.
kontroll av enskilda, finns det dock enligt oss anledning att överväga om en sådan reglering ändå behövs i detta specifika sammanhang.
Det huvudsakliga syftet med att ge CSN utökade möjligheter att göra dataanalyser och urval är att effektivisera myndighetens kontrollåtgärder. Verktygen kan bidra till att myndigheten ges möjlighet att fördela resurserna till de delar av stödverksamheten där det finns störst risk för fel som kan påverka välfärdssystemen, och därmed samhället, negativt. En av de viktigaste förutsättningarna för träffsäkra urval är att CSN har tillgång till relevanta uppgifter att basera dataanalyser och urval på. Om myndigheten inte ges möjlighet att samla in och behandla adekvata uppgifter i den utsträckning som behövs kommer det att bli svårare att uppnå syftet med de förändringar vi anser är lämpliga. En allt för kringskuren möjlighet att behandla personuppgifter för att göra dataanalyser och urval kan i praktiken leda till att den regleringen styr vilka företeelser som myndigheten kan rikta sina kontroller mot, snarare än att kontroller kan riktas mot de områden där det faktiskt finns störst risk för fel eller brottslighet. För att CSN ska kunna utföra effektiva kontrollåtgärder behöver myndigheten få använda olika slags uppgifter för att göra dataanalyser och urval. Samtidigt måste intentionerna att effektivisera myndighetens kontrollåtgärder balanseras mot den befintliga regleringen om skydd för den personliga integriteten.
Utgångspunkten för överväganden om vilka uppgifter CSN bör få behandla är att uppgifterna ska vara nödvändiga för syftet att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel i stödverksamheten. Vi beskriver i avsnitt 10.2.1 de dataskyddsrättsliga utgångspunkterna för en reglering av vilka personuppgifter som får behandlas för ett visst ändamål.
Vi kan här påminna om att EU:s dataskyddsförordning innehåller reglering av vilka personuppgifter som en myndighet får behandla, bl.a. genom principen om ändamålsbegränsning. Principiellt sett behövs därför inte någon ytterligare reglering i nationell rätt. EU:s dataskyddsförordning hindrar dock inte att medlemsstaterna inför en sådan reglering. Om nationell rätt innehåller sådana bestämmelser utgör dessa särskilda bestämmelser som anpassar tillämpningen av EU:s dataskyddsförordning.62 Även sådana bestämmelser kan då anses bli en del av den rättsliga grunden för myndighetens behandling. I de fall en myndighets materiella verksamhetsreglering är allmänt
62 Se artikel 6.2 och 6.3 i EU:s dataskyddsförordning.
hållen och inte så tydlig kan det medföra att det finns ett behov av att införa särskilda dataskyddsbestämmelser för att uppfylla kraven på att den rättsliga grunden ska vara tillräckligt tydlig, precis, förutsebar och proportionerlig.63 Det behöver inte nödvändigtvis vara bestämmelser om vilka personuppgifter som behandlas, men sådana bestämmelser kan krävas i vissa fall.
10.4.2. Bestämmelser i andra registerförfattningar
I vissa registerförfattningar förekommer det att formen för behandling regleras särskilt för vissa verksamheter eller personuppgiftsbehandlingar, med benämningar som t.ex. register, uppgiftssamling, databas eller gemensamt tillgängliga uppgifter. Benämningarna kan också förekomma i kombination med varandra. Ett exempel på detta är att det i lagen om behandling av personuppgifter vid Utbetalningsmyndigheten anges att för att göra dataanalyser och urval, i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, ska det vid myndigheten finnas en uppgiftssamling, benämnd uppgiftssamlingen för dataanalyser och urval.64 Endast de personuppgifter som behövs för att göra dataanalyser och urval får behandlas i uppgiftssamlingen. Personuppgifterna som behandlas för att göra dataanalyser och urval får inte behandlas någon annanstans än i uppgiftssamlingen.65 Vilka kategorier av uppgifter som får behandlas i uppgiftssamlingen är också specifikt reglerat i 8 § förordningen (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten.
Även utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden övervägde att föreslå en liknande reglering.66 Utredningen föreslog dock i stället ett slopande av begreppet
databas samt en reglering som anger vilka uppgifter som myndig-
heterna får behandla för att göra dataanalyser och urval.67
63 Se artikel 6.3 i och skäl 41 till EU:s dataskyddsförordning. 64 Se 3 kap. 1 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. 65 Se 3 kap. 2 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. 66 Se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogdemyndig-
heten, s. 1122–1127.
67 Se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogdemyndig-
heten, s. 1107.
10.4.3. En särskild reglering av vilka personuppgifter som får behandlas för att göra dataanalyser och urval
Vårt förslag: Det ska i den nya studiestödsdatalagen föreskrivas
att för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, får de uppgifter behandlas som CSN förfogar över eller samlar in till följd av stödverksamheten. CSN ska även för ändamålet få behandla uppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Det ska i den nya studiestödsdatalagen finnas en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för aktuella dataanalyser och urval.
Vår bedömning: CSN kommer ha tillräckligt stöd för att behandla
känsliga personuppgifter och personuppgifter om lagöverträdelser vid dataanalyser och urval. Möjligheterna till sådan behandling bör inte begränsas ytterligare vid dataanalyser och urval i förhållande till den generella reglering vi föreslår i den nya lagen.
Skälen för förslaget och bedömningen
Behandlingens integritetskänsliga karaktär motiverar reglering om vilka uppgifter som får behandlas
För att göra dataanalyser och urval med stöd av den ändamålsbestämmelse som vi redogör för i avsnitt 9.4.2 kan CSN komma att behöva behandla stora mängder uppgifter om fysiska personer. Uppgifterna kommer i huvudsak direkt från stödverksamheten. Uppgifter som samlas in från andra myndigheter eller verksamheter kommer också att förekomma, bl.a. genom författningsreglerade uppgiftsskyldigheter. Vid dataanalyser och urval samkörs sådana uppgifter vilket kan innebära att de tillsammans blir mer integritetskänsliga än varje enskild uppgift var för sig. De urvalsträffar som CSN får fram genom analyserna kommer i vissa fall att leda till att enskilda ärenden eller subjekt väljs ut för ytterligare kontroller. Sådana åtgärder och efterföljande beslut kommer i många fall att innebära myndighetsutövning gentemot enskilda. Vi bedömer sammantaget att den behandling av
personuppgifter som sker när myndigheten använder dataanalyser och urval för att bl.a. kontrollera enskilda är sådan att det finns ett behov av en reglering om vilka personuppgifter som får behandlas. En sådan reglering skulle även bidra till att tillsammans med CSN:s materiella verksamhetsreglering och våra övriga förslag säkerställa att EU:s dataskyddsförordnings krav på att den rättsliga grunden ska vara tydlig, precis, förutsebar och proportionerlig uppfylls. Vi anser dock att det inte är möjligt att på förhand fastslå exakt vilka uppgifter som CSN behöver kunna behandla för att göra analyser och urval. Vår uppfattning är därför att en reglering av vilka uppgifter som myndigheten ges tillgång till behöver vara flexibel samtidigt som den bidrar till att upprätthålla ett skydd för den personliga integriteten.
Beskrivning av förslaget
En förutsättning för att CSN ska kunna uppnå hög träffsäkerhet vid dataanalyser och urval är att myndigheten får behandla relevanta uppgifter. CSN beskriver att en modells träffsäkerhet står i direkt relation till de uppgifter som modellen tränas på. Verkningsgraden ökar ju fler typer av uppgifter som CSN har tillgång till för att träna en modell för att därigenom utröna vilka typer av uppgifter som leder till bäst träffsäkerhet. Vilka dessa uppgifter är kan variera över tid.
Vi anser att det i den nya studiestödsdatalagen ska införas en bestämmelse som föreskriver att för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, får uppgifter som myndigheten förfogar över eller samlar in till följd av stödverksamheten behandlas. Vidare ska uppgifter som lämnas till CSN för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning få behandlas. Den föreslagna bestämmelsen är utformad utifrån bedömningar av vilka breda kategorier av uppgifter som vi anser att myndigheten har ett behov av att behandla för att göra dataanalyser och urval i enlighet med våra förslag.
Mot bakgrund av att behandling av personuppgifter vid dataanalyser och urval för bl.a. kontroll av enskilda, kan anses vara särskilt integritetskänslig anser vi att det är lämpligt att aktuell bestämmelse införs i lagform. Den föreslagna formuleringen är vidare så pass generell att bestämmelsen inte heller bör behöva justeras allt eftersom
myndigheten t.ex. ges nya uppdrag. En reglering i lagform bedöms därmed inte hindra regleringens flexibilitet.
Bestämmelsen formuleras brett för att undvika en alltför kringskuren tillgång till uppgifter. Regleringen tydliggör att CSN inte får behandla uppgifter som det inte finns stöd för att behandla till följd av myndighetens författningsreglerade uppdrag. Det är enligt vår mening inte i detaljeringsgraden som integritetsskyddet ligger, utan i de grundläggande principerna för behandling av personuppgifter, specifika skydds- och säkerhetsåtgärder samt sekretessreglering. Bestämmelsen gör det t.ex. inte möjligt för myndigheten att hämta in stora mängder personuppgifter från internet för att vissa uppgifter i en sådan mängd möjligen kan vara ”bra att ha” vid utvecklingen av en urvalsmodell. Bestämmelsen ger inte heller i sig en ny möjlighet att samla in personuppgifter.
Behandlingen för dataanalyser och urval kommer i många fall att innebära en behandling för andra ändamål än insamlingsändamålen. De föreslagna bestämmelserna tydliggör att CSN har möjlighet att vidarebehandla aktuella personuppgifter för att göra dataanalyser och urval. Den tillkommande behandlingen kommer genom våra förslag att grunda sig på nationell rätt. Bestämmelserna bedöms vara nödvändiga och proportionerliga i ett demokratiskt samhälle för att skydda ett mål av generellt allmänt intresse i form av viktiga ekonomiska eller finansiella intressen samt förebyggande och förhindrande av brott.68Även om det enligt skäl 50 till EU:s dataskyddsförordning inte krävs någon separat rättslig grund för vidarebehandlingen, kommer CSN att behöva säkerställa att behandlingen är förenlig med EU:s dataskyddsförordning.
Det förtjänar att påpekas att även om det inte finns något rättsligt hinder mot att använda en viss uppgiftskategori för dataanalyser och urval innebär inte detta att myndigheten alltid kan använda samtliga uppgifter för analyser och urval. Uppgifterna måste nämligen alltid bl.a. vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.69
68 Jfr artikel 6.4 och 23.1 i EU:s dataskyddsförordning. 69 Se artikel 5.1 c i EU:s dataskyddsförordning.
Närmare om uppgifter som CSN förfogar över eller samlar in till följd av stödverksamheten
Det som enligt vår mening bör styra vilka uppgifter som ska få användas för dataanalyser och urval är CSN:s behov utifrån myndighetens materiella uppdrag, såsom att säkerställa att felaktiga utbetalningar inte görs eller att återkräva felaktiga utbetalningar. Om myndigheten även vid dataanalyser och urval får använda samtliga personuppgifter som är relevanta för att de ska kunna utföra sina uppdrag, ges myndigheten enligt vår bedömning goda möjligheter att förebygga, förhindra och upptäcka fel i stödverksamheten genom att t.ex. utföra kontroller på ett effektivt, korrekt och rättssäkert sätt. Detta gagnar i längden även de registrerades fri- och rättigheter.
Vi anser att det närmast är en självklarhet att CSN ska få behandla de uppgifter som myndigheten har tillgång till som en följd av stödverksamheten även för dataanalyser och urval. Myndigheten behandlar redan en mängd personuppgifter i verksamheten till följd av de författningsreglerade uppdragen. Uppgifterna kan exempelvis ha samlats in från enskilda som har ett ärende hos myndigheten eller så kan uppgifter ha överlämnats från andra myndigheter. CSN bör generellt ges tillgång till sådana uppgifter som den har möjlighet att behandla inom ramen för ärendehandläggningen även för dataanalyser och urval. Det är just möjligheten för myndigheten att i de stora ärendeflödena kunna urskilja var resurserna och behovet av kontroller är som störst som analyser och urval bedöms kunna göra stor nytta. Uppgifter som CSN redan förfogar över bedöms mot denna bakgrund vara relevanta att använda för att göra övergripande analyser och urval i syfte att identifiera risker för fel eller brott, vilket i sin tur kan leda till en möjlighet att fördela resurser och utföra kontroller på ett mer effektivt sätt. Uppgifternas relevans är avhängig de materiella uppdragen som myndigheten har.
En typ av dataanalyser och urval kan t.ex. syfta till att CSN ska identifiera vilka inkomna ansökningar om studiestartsstöd som bör kontrolleras ytterligare, vilket är ett berättigat ändamål mot bakgrund av CSN:s uppdrag. I sådana fall måste de uppgifter som används för att identifiera risker och utveckla urvalsmodeller för ändamålen vara uppgifter av betydelse för myndighetens möjlighet att godkänna eller avslå ansökningar om studiestartsstöd. För att uppnå effektiva urval behövs bl.a. historiska uppgifter, som CSN förfogar över till
följd av sin stödverksamhet. Om uppgifter behöver samlas in för dataanalyser och urval behöver rättsligt stöd för detta finnas på samma sätt som vid all personuppgiftsbehandling. Under hela denna process kommer CSN att behöva tillämpa bestämmelserna i EU:s dataskyddsförordning, dataskyddslagen och den föreslagna studiestödsdatalagen, såväl vid den ursprungliga insamlingen av uppgifterna som vid den personuppgiftsbehandling som sker när verktygen används. Vi anser att detta garanterar ett fullgott skydd för att behandlingen inte utgör ett obefogat ingrepp i enskildas personliga integritet.
Att som alternativ specifikt ange vilka uppgifter eller typ av uppgifter som CSN får behandla för att göra dataanalyser och urval för de närmare ändamål som exemplifieras ovan tillför enligt vår mening inte något beaktansvärt till integritetsskyddet. Vilka närmare kategorier av uppgifter som är relevanta för ändamålen framgår i stället redan av den materiella verksamhetsregleringen, i exemplet framför allt lagen om studiestartsstöd, där förutsättningar för beviljande av sådant stöd är reglerad. En upprepning av dessa i dataskyddsförfattningar bidrar snarare endast till en mindre flexibel och icke ändamålsenlig reglering.
Med uppgifter som CSN samlar in till följd stödverksamhet avses sammanfattningsvis uppgifter som myndigheten har stöd för att samla in i den verksamheten till följd av utförandet av sina uppgifter i verksamheten. Insamlingen kan t.ex. ske i syfte att handlägga ärenden eller direkt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Det rör sig med andra ord om uppgifter som myndigheten ännu inte har samlat in och som de därför inte heller förfogar över till följd av t.ex. handläggning av ärenden.
Närmare om uppgifter som lämnas till CSN för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning
Utöver uppgifter som CSN redan förfogar över eller samlar in till följd av stödverksamheten finns stora mängder reglerade uppgiftsskyldigheter gentemot myndigheten. Vi anser att CSN även ska ges möjlighet att för dataanalyser och urval behandla uppgifter som lämnas av andra myndigheter till CSN i enlighet med sådana uppgiftsskyldigheter. Detta under förutsättning att den aktuella författningsreglerade uppgiftsskyldigheten tillåter utlämnande för sådana
ändamål, t.ex. kontroll av enskilda. Det handlar om uppgifter som CSN redan i dag har möjlighet att hämta in och behandla i sin stödverksamhet men som i vissa fall inte får behandlas för analys- och urvalsändamål till följd av de nuvarande registerförfattningarna eller i de fall det rättsliga stödet för sådan behandling är otydligt. Vi anser att nu nämnda uppgifter behövs för att CSN ska kunna göra effektiva dataanalyser och urval.
Bestämmelsen kommer alltså att omfatta uppgifter som t.ex. en annan myndighet lämnar i enlighet med en i lag eller förordning föreskriven uppgiftsskyldighet på begäran av CSN, uppgifter som lämnas till myndigheten med stöd av den s.k. generalklausulen i 10 kap. 27 § OSL, eller uppgifter som i övrigt lämnas till myndigheten med stöd av bestämmelser i lag eller förordning (se vidare nedan). Sådant uppgiftslämnande som sker på begäran av CSN kan visserligen möjligen redan sägas omfattas av den föreslagna regleringen om att personuppgifter som myndigheten samlar in till följd av sina verksamheter får behandlas för att göra dataanalyser och urval. För att det ska vara tydligt att uppgifter som lämnas till myndigheten i enlighet med lag eller förordning får behandlas för de aktuella analyserna och urvalen anser vi dock att det finns skäl att detta ska framgå uttryckligen i den nya studiestödsdatalagen. Bestämmelsen kommer också att täcka in situationer när andra myndigheter på eget initiativ lämnar uppgifter till CSN med stöd av t.ex. 10 kap. 27 § OSL, dvs. när CSN inte själv kan sägas samla in uppgifter. Det rör alltså även situationer då myndigheten varken förfogar över eller samlar in uppgifterna till följd av sin verksamhet.
En utökad möjlighet att samköra uppgifter från myndighetens egen verksamhet tillsammans med uppgifter från andra myndigheter för att göra dataanalyser och urval innebär enligt vår uppfattning en möjlighet att kartlägga enskilda på ett mer omfattande sätt än om uppgifterna behandlas i ett enskilt ärende. Den reglering som ska omgärda CSN:s dataanalyser och urval behöver därför utformas så att behandlingen blir proportionerlig. Bland annat finns i avsnitt 11.5 vissa förslag på säkerhets- och skyddsåtgärder och i avsnitten 13.3 och 13.4 förslag på sekretessbestämmelser. En utförlig proportionalitetsbedömning görs vidare i avsnitt 9.4.2.
CSN omfattas av en mängd bestämmelser om uppgiftsskyldigheter mellan myndigheter och andra aktörer, se avsnitt 4.4.2. Uppgiftsskyldigheterna är i sig utformade på ett sätt som är avsett att
balansera det integritetsintrång som uppgiftslämnandet medför i förhållande till CSN:s behov av att hämta in uppgifterna. En del uppgiftsskyldigheter kan innefatta personuppgifter som omfattas av sekretess hos den utlämnande myndigheten.70 I andra fall omfattar uppgiftsskyldigheten offentliga uppgifter. Utöver särskilda uppgiftsskyldigheter som bryter eventuell sekretess vid ett sådant utlämnande,71 finns även vissa generella sekretessbrytande bestämmelser i offentlighets- och sekretesslagen, som innebär att sekretess inte hindrar att uppgifter lämnas ut till andra myndigheter under de förutsättningar som anges i bestämmelserna.72
I särskilda bestämmelser om uppgiftsskyldighet kan det bl.a. anges att en aktör på begäran ska lämna uppgifter om huruvida en sökande uppfyller vissa villkor för stöd, dvs. syftet med uppgiftslämnandet är att CSN ska kunna kontrollera uppgifter som enskilda lämnat.73Bestämmelserna kan också vara begränsade till att uppgiften måste ha betydelse för tillämpningen av en särskild lag74 eller för ett ärende hos den mottagande myndigheten.75 I de två sistnämnda fallen kommer uppgifterna alltså inte att kunna inhämtas enbart i syfte att göra dataanalyser och urval. Om sådana uppgifter väl finns i stödverksamheten kommer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i EU:s dataskyddsförordning att kunna behandlas även för att göra dataanalyser och urval.
I 6 kap. 5 § OSL finns en generell informationsskyldighet myndigheter emellan då det i bestämmelsen föreskrivs att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Det kan t.ex. röra sig om uppgifter som myndigheten har möjlighet att hämta in från offentliga register såsom aktiebolagsregistret.76
70 Enligt 8 kap. 1 § OSL får en uppgift för vilken sekretess gäller som huvudregel inte röjas för enskilda eller andra myndigheter. Detsamma gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra, se 8 kap. 2 § OSL. 71 Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas ut till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning, se avsnitt 3.4.3. 72 Se bl.a. 10 kap. 2 § och 10 kap. 27 § OSL. 73 Se t.ex. 21 § första stycket förordningen (2017:532) om studiestartsstöd och 34 § förordningen (2022:857) om omställningsstudiestöd. 74 Se t.ex. 21 § andra stycket förordningen om studiestartsstöd och 32 § andra stycket förordningen om omställningsstudiestöd. 75 Se t.ex. 9 kap. 4 § förordningen (2017:819) om ersättning till deltagare i arbetsmarknadspolitiska insatser och 6 § förordningen (2001:588) om behandling av personuppgifter i Skatteverkets beskattningsverksamhet. 76 Se bl.a. 2 kap. 1 § aktiebolagsförordningen (2005:559).
Den reglering vi föreslår är tänkt att vara flexibel på så sätt att om det skulle komma fram att CSN regelmässigt har behov av ytterligare uppgifter från andra myndigheter eller aktörer för att göra dataanalyser och urval, behöver inte den nya studiestödsdatalagen eller förordningen ändras. Det kommer då i stället att vara tillräckligt att riksdag eller regering föreskriver en ny eller ändrad uppgiftsskyldighet som möjliggör att uppgifter hämtas in av CSN för att göra dataanalyser och urval.
Genom våra förslag kommer CSN sammanfattningsvis ha möjlighet att inhämta, och alltså behandla, uppgifter som får eller ska lämnas till myndigheten i enlighet med uppgiftsskyldigheter i lag eller förordning även för ändamålet att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel.
Särskilt om känsliga personuppgifter och uppgifter om lagöverträdelser
Vi redogör utförligt för den generella regleringen i EU:s dataskyddsförordning och dataskyddslagen om behandling av känsliga personuppgifter tidigare i detta kapitel, se avsnitt 10.3.1. Som framgår i avsnitt 10.3.5 behöver CSN behandla vissa kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser i stödverksamheten. Våra förslag i det nyss nämnda avsnittet innebär i korthet att det ska införas en särskild bestämmelse i den nya studiestödsdatalagen som föreskriver att myndigheten får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), om det är nödvändigt med hänsyn till ändamålet med behandlingen. Vidare gör vi bedömningen att den behandling av uppgifter om lagöverträdelser som CSN behöver utföra inte bör begränsas eller på annat sätt särregleras i den nya lagen. I avsnitt 11.2 redogör vi också för vårt förslag om att det ska införas särskilda sökbegränsningar som utgår från syftet med en sökning. De nya bestämmelserna om känsliga personuppgifter och sökbegränsningar kommer att vara tillämpliga även när CSN behandlar personuppgifter för att göra dataanalyser och urval.
CSN har ett behov av att behandla känsliga personuppgifter och uppgifter om lagöverträdelser för att utföra sina författningsreglerade uppdrag, t.ex. inom ärendehandläggningen. För att CSN ska kunna göra adekvata dataanalyser och urval i syfte att förebygga, förhindra
och upptäcka fel, bedömer vi att det är nödvändigt att myndigheten ges möjlighet att använda sådana kategorier av personuppgifter även när analyser och urval används. Om känsliga personuppgifter eller uppgifter om lagöverträdelser är nödvändiga att behandla för att utföra en viss uppgift, t.ex. för att CSN ska kunna fatta beslut om studiestöd under sjukdom, då omständigheten hälsa är av betydelse för saken, är det nämligen av betydelse för myndighetens förmåga att få fram träffsäkra urval. Vidare kan det av rättssäkerhetsskäl vara viktigt att CSN:s träning av en urvalsmodell baserad på maskininlärning (se avsnitt 4.2.7) sker med just den typ av data som sedan ska användas i skarpa fall för att minska risken för fel och rättsosäkerhet.77 När myndigheten tillåts behandla personuppgifter för dataanalyser och urval bör vidare riskerna för att urvalsmodeller ger falska positiva träffar vara så liten som möjligt. En del i detta är att det ska vara möjligt att använda samtliga de uppgifter som är nödvändiga för det specifika ändamålet, även i de fall det inkluderar känsliga personuppgifter. Om känsliga personuppgifter och uppgifter om lagöverträdelser inte tillåts behandlas för att göra dataanalyser och urval, kommer CSN inte att kunna använda sådana verktyg inom stödverksamheten där den materiella rätten innebär att den typen av uppgifter är relevanta att behandla för att myndigheten t.ex. ska kunna säkerställa att felaktiga betalningar inte görs.
Myndigheter får enligt artikel 10 i EU:s dataskyddsförordning och 3 kap. 8 § dataskyddslagen behandla uppgifter om lagöverträdelser utan att det finns något särskilt stöd för det i nationell rätt. Vi anser att i huvudsak samma skäl som vi i avsnitt 10.3.6 för fram för att det inte längre bör finnas någon från EU:s dataskyddsförordning avvikande reglering i den nya lagen som avser behandling av uppgifter om lagöverträdelser, även gör sig gällande i fråga om dataanalyser och urval.
När det gäller känsliga personuppgifter är EU:s dataskyddsförordnings krav på sådan behandling högre för myndigheter i förhållande till vad som gäller för uppgifter om lagöverträdelser. En första förutsättning för att CSN över huvud taget ska tillåtas behandla känsliga personuppgifter vid dataanalyser och urval är att behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse.78 CSN har ett ansvar för att stödverksamheten bedrivs på
77 Se SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 212. 78 Se artikel 9.2 g i EU:s dataskyddsförordning.
ett korrekt sätt. I myndighetens författningsreglerade uppdrag ingår att kunna utföra kontroller genom att bl.a. göra dataanalyser och urval. Det ingår även i myndighetens uppdrag enligt dess förordning med instruktion. Förslagen som vi redogör för i avsnitt 9.4.2 och i detta avsnitt innebär också att CSN ges tydligare rättsligt stöd och rättsliga ramar för arbetet med dataanalyser och urval för att bl.a. kontrollera enskilda. Det övergripande syftet med den tillåtna behandlingen är att förebygga, förhindra och upptäcka felaktigheter. CSN:s behandling av de känsliga personuppgifter som är nödvändiga för att utföra dessa uppgifter får enligt vår mening anses vara en behandling som är av viktigt allmänt intresse.
En andra förutsättning för att undantaget i artikel 9.2 g ska vara tillämpligt när CSN gör dataanalyser och urval är att behandlingen sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet. Vi bedömer att CSN har stöd för den behandling som är nödvändig på grundval av unionsrätten eller nationell rätt som finns fastställd i materiell verksamhetsreglering. Vi anser vidare att den föreslagna bestämmelsen i den nya lagen om tillåten behandling av känsliga personuppgifter kommer att ge tillräckligt rättsligt stöd för den behandling av känsliga personuppgifter som är nödvändig. Den materiella verksamhetsregleringen bedöms vara proportionerlig i förhållande till syftet. När det gäller behandlingen föreslår vi att ett flertal skyddsåtgärder införs i den nya lagen samt att det ska införas nya sekretessbestämmelser, som kommer att vara tillämpliga även på CSN:s arbete med dataanalyser och urval. Mot denna bakgrund bedömer vi sammantaget att den behandling av känsliga personuppgifter som är nödvändig vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel kommer att ha ett tillräckligt rättsligt stöd genom våra förslag till generell reglering.
Vi anser vidare att de ovan nämnda skälen för att ge CSN tillgång till att behandla känsliga personuppgifter även för att göra dataanalyser och urval är sådana att möjligheterna till behandlingen inte bör begränsas ytterligare i förhållande till den generella reglering vi föreslår. Det kan här framhållas att vår bedömning inte förtar det förhållandet att CSN:s behandling av känsliga personuppgifter vid dataanalyser och urval alltid bör ske med försiktighet och aldrig slentrianmässigt. Myndigheten måste alltid noga överväga om förutsättningarna för sådan behandling är uppfylld, t.ex. genom en tillämpning av principen
om uppgiftsminimering. CSN ges genom våra förslag inte heller möjlighet att behandla känsliga personuppgifter som saknar stöd för behandling i materiell verksamhetsreglering.
Det är inte nödvändigt eller lämpligt att ytterligare reglera vilka personuppgifter CSN får behandla för att göra dataanalyser och urval
Utbetalningsmyndigheten får, som vi nämner i avsnitt 10.4.2, bara behandla uppgifter för att göra dataanalyser och urval om uppgifterna finns i den s.k. uppgiftssamlingen för dataanalyser och urval. Till en sådan uppgiftssamling kan särskilda regler avseende en viss behandling av personuppgifter knytas, såsom bestämmelser som begränsar vilka uppgifter som berörs. Bestämmelsen för Utbetalningsmyndigheten infördes med motiveringen att det finns ett behov av en strukturerad samling av uppgifter som sätter gränser för vilka uppgifter som får användas. Även omfattningen och karaktären på de personuppgifter som kan komma att behandlas vid Utbetalningsmyndighetens dataanalyser och urval talade för denna lösning.79 Eftersom Utbetalningsmyndigheten och CSN delar uppdraget att motverka felaktiga utbetalningar och bidragsbrott finns det enligt oss anledning att bemöta varför vi väljer att föreslå en annan typ av reglering i fråga om vilka personuppgifter CSN ska få behandla för att göra dataanalyser och urval.
Regeringen anser att begreppet uppgiftssamling är ett teknikneutralt begrepp.80 Vi kan hålla med om detta eftersom begreppet inte reglerar hur uppgifterna tekniskt ska organiseras, men regleringen tyder ändå på att uppgifterna ska samlas strukturerat, nödvändigtvis med hjälp av någon teknik, även om det inte regleras vilken teknik. Av skäl 15 till EU:s dataskyddsförordning framgår uttryckligen att skyddet för fysiska personer bör vara teknikneutralt och inte beroende av den teknik som används för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås.
Det finns också avgörande skillnader mellan Utbetalningsmyndighetens och CSN:s verksamhet. Den förstnämnda har som ett huvudsakligt uppdrag att motverka felaktiga utbetalningar i välfärdssystemen i stort. CSN:s motsvarande uppdrag är begränsat till myndighetens stödverksamhet. Utbetalningsmyndighetens dataanalyser och urval innebär att uppgifter från i stort sett samtliga välfärdsmyndigheter
79 Se prop. 2022/23:34, Utbetalningsmyndigheten, s. 142 och 143. 80 Se prop. 2022/23:34, Utbetalningsmyndigheten, s. 143.
sambearbetas. Det rör sig alltså om en betydande mängd fler uppgifter än CSN behandlar eller sambearbetar.
En reglering av en särskild uppgiftssamling syftar ofta till att avgränsa vilka uppgifter som får sambearbetas samt knyta särskilda handlingsregler eller skyddsåtgärder till behandling av de uppgifter som ingår i samlingen. Vi anser att de särskilda skyddsåtgärder som vi föreslår i den nya studiestödsdatalagen generellt sett ska gälla för all den behandling som CSN utför i stödverksamheten. Reglerna ska alltså även gälla för den behandling som sker vid analyser och urval i syfte att förebygga, förhindra eller upptäcka fel, även om sådan behandling sker avgränsat från övrig stödverksamhet utan möjlighet till åtkomst för andra än ett fåtal tjänstemän. Denna bedömning gör vi mot bakgrund av att sådan behandling kan omfatta stora mängder personuppgifter. Vi anser generellt att det är möjligt att endast tala om behandling av personuppgifter i stället för t.ex. en uppgiftssamling. I de fall särskilda regler bör gälla för en viss typ av behandling, kan detta ändå specificeras genom att t.ex. ange vad behandlingen syftar till.
Att införa en särskild uppgiftssamling för analys och urval riskerar vidare att försvåra tolkningen av och systematiken i den nya studiestödsdatalagen i övrigt, och kan innebära att vissa skyddsregler inte gäller för behandlingen trots att det saknas skäl för det. Det kan också leda till att CSN måste lägga tid på att bedöma vilken behandling som får ske i eller utanför uppgiftssamlingen. EU:s dataskyddsförordning ställer inte heller några krav på särskilda skyddsåtgärder för behandling av personuppgifter som sambearbetas i en verksamhet. Det är i stället behandlingens art, omfattning, sammanhang och ändamål samt risker för fysiska personers fri- och rättigheter som kraven på säkerhet för behandlingen utgår ifrån.81
Sammanfattningsvis anser vi att alternativet att införa en reglering av t.ex. en uppgiftssamling för dataanalyser och urval i den nya studiestödsdatalagen skulle innebära en mindre flexibel reglering. En sådan reglering skulle enligt vår mening inte vara teknikneutral oavsett om syftet inte bygger på tekniska lösningar eftersom tankarna ändå förs till sådana avgränsningar. Vi menar alltså att det inte finns några bärande skäl för att rättsligt skilja på behandling av personuppgifter i en särskild uppgiftssamling för dataanalyser och urval i förhållande till annan behandling.
81 Se artikel 25 och 32 i EU:s dataskyddsförordning.
Vidare har vi även som alternativ till den reglering vi föreslår övervägt om det finns skäl att införa en mer detaljerad reglering som sätter gränser för vilka uppgifter som får användas för dataanalyser och urval utan att reglera en strukturerad samling av uppgifter. En sådan bestämmelse innehållandes en, i förhållande till vårt förslag, mer detaljerad lista över tillåtna uppgifter för behandling skulle kunna placeras i studiestödsdataförordningen och vara avsedd att närmare fånga och avgränsa behandlingen till de kategorier av uppgifter som vi bedömer att CSN behöver använda för att göra adekvata analyser och urval. Bestämmelsen skulle kunna vara utformad i likhet med hur nuvarande förordning reglerar vilka uppgifter som får behandlas för vissa ändamål, se avsnitt 10.2.2. I lagen skulle det samtidigt kunna finnas en bredare bestämmelse som ger uttryck för principen om uppgiftsminimering genom att tydliggöra att myndigheten för att göra dataanalyser och urval endast får behandla de personuppgifter som är nödvändiga för ändamålen med behandlingen. En sådan lagbestämmelsen kan också kompletteras med en upplysningsbestämmelse som tydliggör att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § RF kan meddela föreskrifter om vilka uppgifter som får behandlas.
En fördel med en sådan reglering är att det stärker skyddet för den personliga integriteten samt skapar en förutsebarhet för enskilda och CSN. Dataskyddsregleringen skulle då i sig ge en uppfattning om vilka av myndighetens egna uppgifter som samkörs med andra myndigheters uppgifter – samlat på ett ställe.
Enligt vår mening är det dock, som vi nämner ovan, inte möjligt att förutse vilka kategorier av uppgifter som CSN behöver behandla för att göra adekvata analyser och urval. En sådan reglering skulle riskera att leda till att uppgifter som myndigheten behöver kunna behandla för att göra analyser och urval faller utanför, även om kategorierna formuleras relativt brett. En reglering som i hög grad avgränsar vilka uppgifter som CSN ges tillgång till vid sådana analyser och urval riskerar därmed att styra inom vilken del av stödverksamheten myndigheten har störst möjlighet att förebygga, förhindra och upptäcka fel. Det är i sig inte önskvärt mot bakgrund av att medvetna, men även omedvetna, fel i verksamheten som kostar skattebetalarna pengar tenderar att variera i inriktning och upplägg över tid. Vidare sker relativt frekventa ändringar i myndighetens materiella verksamhetsreglering vilket innebär att vilka uppgifter som är relevanta att
behandla till viss del även förändras i takt med sådana ändringar. En konsekvens av en alltför detaljerad reglering kan därmed bli att myndighetens dataskyddsreglering kräver frekventa ändringar och snabbt kan anses vara föråldrad.
En detaljerad uppräkning gör sig vidare bättre vid reglering av rena myndighetsregister, som t.ex. belastningsregistret, som främst syftar till att ge vissa aktörer tillgång till specifik information. En sådan typ av reglering är dock inte ändamålsenlig när det gäller myndigheters möjligheter att handlägga ärenden och utföra kontroller i den egna verksamheten. Vi menar alltså att en reglering som pekar ut vilka kategorier av uppgifter som är tillåtna att behandla för dataanalyser och urval riskerar att i hög grad begränsa CSN:s möjligheter att på ett effektivt sätt göra relevanta urval. Om möjligheterna att behandla personuppgifter är för begränsad kommer det i praktiken leda till att förmågan att förebygga, förhindra och upptäcka fel blir beroende av det nationella rättsliga stödet för personuppgiftsbehandling i stället för att utgångspunkten ligger i myndighetens materiella uppdrag och verksamhetsreglering. CSN hade därmed i vissa fall behövt att först gå till studiestödsdatalagen för att hitta stöd för att utföra sitt uppdrag i stället för att gå till de författningar som faktiskt reglerar detta.
Det finns också en risk att en lista med uppgifter uppfattas som att alla uppgifter som där står angivna alltid är tillåtna att behandla för dataanalyser och urval. Det kan i sin tur leda till att CSN inte gör den proportionalitetsbedömning och andra avvägningar som måste ske inför och under behandlingen. Vidare finns en risk för fler falska positiva urvalsträffar om myndigheten inte ges möjlighet att använda relevant data, vilket kan vara svårt att fånga i en författningsreglering. Det kan innebära ett onödigt integritetsintrång om det leder till obehövliga kontroller för att avgöra om någon åtgärd ska vidtas. Vi ser med andra ord en risk för att en mer detaljerad reglering av vilka kategorier av uppgifter som ska få behandlas kommer utgöra ett förslag som inskränker snarare än utvidgar CSN:s möjligheter att göra dataanalyser och urval jämfört med i dag.
Sammantaget gör vi bedömningen att det inte bör införas någon detaljerad eller uttömmande reglering av vilka kategorier av uppgifter som CSN får behandla för att göra dataanalyser och urval.
En upplysning om regeringens restkompetens
Vi föreslår att det i bestämmelsen som reglerar vilka uppgifter CSN får behandla för att göra dataanalyser och urval tas in ett stycke som upplyser om regeringens restkompetens. Av denna ska framgå att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § RF kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval.
Bestämmelser om vilka slags uppgifter det kan vara fråga om att behandla i en särskilt reglerad databas eller uppgiftssamling för dataanalyser och urval har av regeringen och riksdagen i andra sammanhang bedömts kunna finnas i förordning.82
Regeringen kan alltså med stöd av restkompetensen i förordning föreskriva vilka uppgifter som får behandlas, eller inte får behandlas, för att göra dataanalyser och urval och på så vis begränsa tillgången till uppgifter. Det kan t.ex. tänkas bli aktuellt om CSN får ett nytt uppdrag som innebär att myndigheten ges möjlighet att samla in nya kategorier av uppgifter som regeringen bedömer inte bör få användas för att göra övergripande analyser och urval.
82 Se t.ex. prop. 2022/23:34, Utbetalningsmyndigheten, s. 143.
11. Särskilda bestämmelser om skydd för den personliga integriteten
11.1. Inledning
I EU:s dataskyddsförordning finns flera bestämmelser som tar sikte på skydds- och säkerhetsåtgärder. Sådana bestämmelser ska tillämpas vid all behandling av personuppgifter i syfte att skydda enskildas personliga integritet. Förordningen både tillåter, och i vissa fall kräver, kompletterande eller specificerande reglering i nationell rätt.
I detta kapitel redogör vi för våra förslag om vissa krav på skyddsåtgärder och andra särskilda bestämmelser för att balansera det integritetsintrång som behandling av personuppgifter i CSN:s stödverksamhet kan medföra. Vi inleder med att presentera vårt förslag till en bestämmelse som begränsar möjligheten att söka fram ett urval av personer grundat på känsliga personuppgifter. Därefter redovisar vi vårt förslag om att tillgången till personuppgifter internt inom CSN ska begränsas och sedan för vårt förslag om att elektroniskt utlämnande av personuppgifter ska få ske om det inte är olämpligt. Avslutningsvis presenterar vi några skyddsåtgärder som vi föreslår ska gälla när CSN ska behandla personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. I respektive del inleder vi med att redogöra för dataskyddsrättsliga utgångspunkter, reglering i andra registerförfattningar och motiven till det som gäller enligt CSN:s dataskyddsreglering i dag.
11.2. Sökbegränsningar
11.2.1. Utgångspunkter ur ett dataskyddsrättsligt perspektiv
EU:s dataskyddsförordning saknar särskilda bestämmelser om sökning eller användning av sökbegrepp. Det finns enligt förordningen inget krav på att det i nationell rätt ska föreskrivas förbud mot att använda känsliga personuppgifter eller uppgifter om lagöverträdelser vid sökning. Om behandlingen av känsliga personuppgifter grundar sig på artikel 9.2 g eller j, dvs. den är nödvändig av hänsyn till ett viktigt allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, krävs dock att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Vi beskriver detaljerat regleringen om hur känsliga personuppgifter får behandlas enligt EU:s dataskyddsförordning i avsnitt 10.3.1. I samma avsnitt beskriver vi regleringen i 3 kap. 3 § första stycket dataskyddslagen, som reglerar när känsliga personuppgifter får behandlas av myndigheter. Av bestämmelsens andra stycke framgår att vid behandling som sker enbart med stöd av bestämmelsens första stycke är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
I förarbetena till dataskyddslagen uttalas att en sökning som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Företeelsen ligger nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Med en sökbegränsning uppnås därmed ett skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna. Den befintliga bestämmelsen utformades mot bakgrund av en bestämmelse om sökbegränsning som föreslogs gälla enligt brottsdatalagen (2018:1177).1
1 Se prop. 2017/18:105, Ny dataskyddslag, s. 90, 91 och 195.
11.2.2. Bestämmelser i andra registerförfattningar
Vissa andra sektorsspecifika registerförfattningar innehåller bestämmelser om att det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter eller uppgifter om lagöverträdelser eller liknande formuleringar.2 Ofta finns då sådana bestämmelser tillsammans med undantag för situationer när sökförbudet inte gäller.3 Det finns också viss reglering som i stället uttömmande anger vilka sökbegrepp som får användas vid sökning efter uppgifter eller i samband med sammanställningar vilket därmed utesluter användning av känsliga personuppgifter som sökbegrepp.4 Utöver detta förekommer sökbegränsningar i registerförfattningar som anger att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Till förbudet kan då även undantag finnas.5 I nyare reglering eller pågående lagstiftningsärenden förekommer ofta olika former av sökförbud som utgår från syftet med en viss sökning snarare än att myndigheter förbjuds att använda vissa sökbegrepp.6
11.2.3. Nuvarande sökbegränsningar i CSN:s registerförfattningar och motiven till dessa
Enligt 8 § studiestödsdatalagen (2009:287) är det förbjudet för CSN att använda vissa sökbegrepp. Utöver känsliga personuppgifter och uppgifter om lagöverträdelser gäller förbudet även uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott samt uppgift om det allmänna helt eller till en väsentlig del bekostat en persons uppehälle. Vissa undantag finns reglerade i samma bestämmelse. Regleringen har i stort sett varit densamma sedan studiestödsdatalagen infördes.
2 Se t.ex. 14 § domstolsdatalagen (2015:728) och 14 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. 3 Se t.ex. 15 § domstolsdatalagen och 14 § lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. 4 Se 15 § förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. 5 Se t.ex. 17 § utlänningsdatalagen (2016:27) och 6 § kriminalvårdsdatalagen (2018:1235). 6 Se t.ex. 3 § lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter, 10 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten, Ds 2023:10,
En registerlag för Myndigheten för vård- och omsorgsanalys, s. 73–77 och SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 701.
Regeringen uttalade att med hänsyn till den stora mängden registrerade uppgifter och förekomsten av personuppgifter av ömtålig natur inom studiestödsverksamheten, fanns det goda skäl att av integritetsskyddshänsyn införa begränsningar i studiestödsdatalagen som innebär att vissa särskilt känsliga kategorier av uppgifter som CSN inte behöver använda som sökbegrepp i sin studiestödsverksamhet inte heller får användas för detta ändamål. Vidare uttalade regeringen att uppgifter om ekonomiska förhållanden ofta kan upplevas vara av ömtålig natur. Som huvudregel ansåg regeringen därför att det inte skulle vara möjligt för CSN att som sökbegrepp använda uppgifter som rör inkomst eller förmögenhet. Även information om anledningen till att en person gör ett studieavbrott och uppgift som avslöjar att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle ansåg regeringen kan inrymma mycket integritetskänsliga uppgifter och att det därför inte heller skulle vara möjligt för CSN att som sökbegrepp använda uppgifter om detta.7
Avsikten med att införa begränsningar av vilka sökbegrepp som får användas var enligt regeringen främst att förhindra att listor med flera personer som har en viss egenskap gemensam tas fram. Att den som väl hittat fram till ett visst ärende om studiestöd eller en viss befintlig handling söker inom ramen för det ärendet eller den handlingen efter olika uppgifter kan däremot utgöra en naturlig del av och förenkla handläggningen av ärendet. En sådan begränsad sökning ansåg regeringen inte heller kunna anses innebära några särskilda integritetsrisker. Regeringen ansåg därför att alla slags sökbegrepp skulle få användas vid sökning i ett visst ärende om studiestöd eller i en viss handling.8
Regeringen konstaterade vidare att CSN normalt sett inte behöver använda uppgifter som rör hälsa som sökbegrepp, men att myndigheten i sina handläggningsysten styr ärenden som avser avskrivning av studielån på grund av sjukdom till ett begränsat antal handläggare med särskild erfarenhet och behörighet. Dessa ärenden söks alltså fram för att kunna fördelas till rätt handläggare. Det ansågs därför rimligt att sökning på uppgifter som rör hälsa skulle vara tillåten för detta ändamål. Ytterligare undantag infördes för uppgift om inkomst och förmögenhet om det är nödvändigt för att ge behörig personal tillgång till ärenden i syfte att kunna genomföra kontroller av upp-
7 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 51 och 52. 8 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 53.
gifter som legat till grund för ett beslut i ett ärende. Detta med hänvisning till vikten av att i efterhand kunna kontrollera beslut om studiestöd.9
11.2.4. Vissa sökbegränsningar ska regleras i den nya studiestödsdatalagen
Vårt förslag: Det ska som huvudregel vara förbjudet att utföra
sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet ska dock inte omfatta sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i stödverksamheten.
Förbudet ska inte heller omfatta sökningar i en viss handling eller i ett visst ärende.
Skälen för förslaget
En bestämmelse för att begränsa risker för den personliga integriteten
Sökning är en form av behandling som omfattas av EU:s dataskyddsförordnings bestämmelser, i de fall en sökning innefattar personuppgifter. Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten. En bestämmelse om sökbegränsningar i en registerförfattning kan därför vara ett viktigt och ändamålsenligt sätt att begränsa dessa risker.10Regeringen har bedömt att det med en sökbegränsning uppnås ett skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna.11
Som skyddsåtgärd måste en bestämmelse om sökbegränsningar utformas på ett sådant sätt att den enskildes personliga integritet beaktas. Syftet med en sökbegränsning är dock inte att omöjliggöra sådana sökningar som behövs för att en myndighet ska kunna utföra sina arbetsuppgifter. En avvägning måste därför göras mellan å ena sidan intresset av effektivitet i CSN:s verksamhet, och å andra sidan
9 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 52. 10 Jfr t.ex. prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 48. 11 Se prop. 2017/18:105, Ny dataskyddslag, s. 90.
risken för integritetsintrång. Regler om begränsningar av tillåtna sökningar bör ta sikte på sådana sökningar som typiskt sett medför särskilda integritetsrisker.12 Förbud att göra sökningar som avslöjar och sammanställer känsliga personuppgifter kan kompletteras med undantag som bedöms som berättigade utifrån verksamhetens behov.
Moderna sökbegränsningar utgår från syftet med sökningen
Som vi nämner i avsnitt 11.2.2 har det i ett flertal lagstiftningsärenden på senare tid införts eller föreslagits bestämmelser om sökförbud som utgår från syftet med en sökning.13 En sådan utformning av en sökbegränsning innebär att det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det är med andra ord inte tillåtet att utföra sökningar som innebär en kartläggning av personer på grundval av uppgifter om t.ex. religiös åskådning. Om syftet med sökningen inte är att identifiera ett urval av personer grundat på känsliga personuppgifter är den däremot tillåten, även om känsliga personuppgifter används vid en sökning. En sådan bestämmelse om skyddsåtgärd är tillåten enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning.
Vissa sökbegränsningar för känsliga personuppgifter behövs
I avsnitt 10.3.5 redogör vi för CSN:s behov av att behandla känsliga personuppgifter för att kunna utföra sina arbetsuppgifter på ett ändamålsenligt sätt. Det rör sig främst om olika uppgifter om hälsa, men det kan också finnas ett behov av att i verksamheten behandla uppgifter som direkt eller indirekt kan avslöja andra känsliga personuppgifter, såsom religiös åskådning.
CSN administrerar stora mängder individorienterade ärenden i sin stödverksamhet. Myndighetens olika uppdrag inom stödverksamheten medför en omfattande behandling av personuppgifter och förutsätter en användning av olika sökbara variabler för urval. För att CSN ska kunna utföra sina olika uppdrag på ett effektivt sätt
12 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 66. 13 Se t.ex. 3 kap. 3 § dataskyddslagen, 2 kap. 3 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 1 kap. 10 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten samt SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och
Kronofogden, s. 701.
behöver myndigheten inom ramen för tillåtna ändamål göra sökningar som avslöjar känsliga personuppgifter. Behovet finns även för att ta fram urvalsträffar för kontroll i den mån sådana uppgifter är relevanta omständigheter för det som ska kontrolleras. Det kan t.ex. vara fråga om personuppgifter om hälsa som förekommer i ärenden om nedsättning av årsbelopp med hänsyn till synnerliga skäl, eftersom ett sådant skäl kan vara sjukdom.14 Ett annat exempel är ärenden om studiestöd under sjukdom där redan själva uppgiften om att en person beviljats sådant stöd innehåller en personuppgift om hälsa.15Ett förbud mot att utföra sökningar i syfte att få fram ett urval av sådana uppgifter skulle därmed kraftigt begränsa CSN:s möjligheter att utföra sina uppdrag på ett effektivt och rättssäkert sätt.
Vi anser däremot att CSN:s möjligheter att göra sökningar i syfte att få fram ett urval av personer grundat på andra typer av känsliga personuppgifter bör begränsas. Vi har inte identifierat att CSN skulle ha ett behov av att – för sina författningsreglerade uppdrag – utföra sådana sökningar på andra känsliga personuppgifter än hälsa. Det är enligt oss inte heller motiverat att kunna göra sådana sökningar utifrån myndighetens uppdrag.
Mot denna bakgrund bedömer vi att det i den nya studiestödsdatalagen bör införas en bestämmelse om sökbegränsningar för känsliga personuppgifter, som utgår från syftet med sökningen. Vi föreslår att det som utgångspunkt ska vara förbjudet för CSN att utföra sökningar grundat på känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning. Sökförbudet föreslås samtidigt kompletteras av ett undantag för uppgifter om hälsa, av hänsyn till de särskilda behov som gäller för CSN:s stödverksamhet. På så sätt tar man tillvara på den enskildes intresse av att begränsa behandlingen av känsliga personuppgifter i så stor utsträckning det är möjligt, samtidigt som myndighetens behov av att behandla personuppgifter för att utföra dess uppdrag tillgodoses.
Vi anser inte heller att de sökförbud vi nu föreslår ska omfatta sökningar i en viss handling eller i ett visst ärende. I likhet med vad som fördes fram i förarbetena till nuvarande reglering anser vi att det bl.a. av effektivitetsskäl inte framstår som befogat att förbjuda sökmöjligheterna i t.ex. ordbehandlingsprogram för att finna ett speciellt textavsnitt i ett enskilt textdokument eller för att förenkla handlägg-
14 Jfr 4 kap.12 och 13 §§studiestödslagen. 15 Jfr t.ex. 3 kap. 24 § studiestödslagen.
ningen av ett ärende.16 Vi kan inte finna att det finns integritetsskäl som skulle motivera ett sådant förbud. Regeringen har även i andra lagstiftningssammanhang konstaterat att sökningar bland en begränsad mängd uppgifter innebär mindre integritetsrisker än sökningar i större uppgiftsmängder.17
Det bör framhållas att en sökning på personuppgifter i sig utgör en behandling som måste uppfylla gällande krav för behandling av personuppgifter. För de känsliga personuppgifter som undantas från sökförbudet säkerställs integritetsskyddet genom de övriga skyddsbestämmelser som föreslås ingå i studiestödsdatalagen, genom den generella dataskyddsregleringen och genom uppgifternas sekretesskydd.
Det behövs inte införas sökbegränsningar för uppgifter som rör lagöverträdelser eller andra uppgifter
I avsnitt 10.3.6 redogör vi för CSN:s behov av att behandla uppgifter som rör lagöverträdelser. Uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott blir särskilt relevanta i ärendehandläggningen då en stödtagare på något sätt är frihetsberövad. Möjligheterna att behandla sådana uppgifter gör sig också påtaglig i samarbetet inom ramen för lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet.
När det gäller andra uppgifter som CSN i dag i huvudsak inte får basera sökningar på, t.ex. om inkomst eller förmögenhet, anser vi att det är helt uppenbart att CSN har ett behov av att behandla sådana uppgifter. Till exempel är en förutsättning för många av de stöd som myndigheten administrerar att den studerande inte har för hög inkomst. En av de vanligaste orsakerna till felaktiga utbetalningar av studiemedel är också att den studerande har haft för hög inkomst.
CSN har ett behov av att inom ramen för tillåtna ändamål kunna utföra sökningar på grundval av sådana uppgifter. Det är inte möjligt att på förhand i lag på ett tydligt sätt närmare avgränsa i vilka sammanhang det finns sådana behov. Det bör därför inte införas några sökbegränsningar i lagen för uppgifter som rör lagöverträdelser eller andra uppgifter som CSN i dag är förhindrad att basera sökningar
16 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 53. 17 Se t.ex. prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 50 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 134.
på. Trots att några sökbegränsningar inte föreslås säkerställs ett starkt skydd för sådana uppgifter genom befintlig generell dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder i övrigt som vi föreslår i den nya studiestödsdatalagen. Förslaget är därför motiverat och proportionerligt.
Något om sökbegränsningens förhållande till offentlighetsprincipen
I vilken utsträckning det är möjligt att effektivt begränsa användningen av integritetskänsliga sökbegrepp påverkas av offentlighetsprincipen. Handlingsoffentligheten enligt tryckfrihetsförordningen omfattar såväl fysiska och färdiga elektroniska handlingar som potentiella handlingar, dvs. elektroniska uppgifter som ännu inte har sammanställts men som kan sammanställas med hjälp av tillgänglig teknik och rutinbetonade åtgärder, t.ex. en sökning.18
Enligt en begränsningsregel i 2 kap. 7 § TF anses en sådan potentiell handling inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Syftet med denna regel är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är förhindrad att ta fram i sin verksamhet.19 Begränsningsregeln kan därmed ses som ett uttryck för likställighetsprincipen.
Dataskyddsbestämmelser i registerförfattningar som avser förbud mot att utföra vissa sökningar kan till följd av begränsningsregeln få betydelse för i vilken omfattning potentiella handlingar, såsom t.ex. sammanställningar som görs genom sökningar grundade på känsliga personuppgifter, utgör allmänna handlingar vid en myndighet. Regeringen har i nyare lagstiftningsärenden uttalat att bestämmelser om sökbegränsningar i sådan form som vi föreslår påverkar myndighetens möjligheter att sammanställa potentiella handlingar, och att en sådan sammanställning endast bör ses som en allmän handling om myndigheten får ta fram den för ett internt syfte i dess egen verksamhet.20Det är enligt vår mening dock inte helt klart hur det föreslagna
18 Se 2 kap. 6 § andra stycket TF. 19 Se prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 23. 20 Se prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 69 och prop. 2023/24:147, En registerlag för Myndigheten för vård- och omsorgsanalys, s. 55.
sökförbudet skulle anses förhålla sig till begränsningsregeln i rättstillämpningen.21
Oaktat hur rättstillämparen skulle se på frågan i förhållande till ett visst specifikt sökförbud kan det konstateras att i de fall en sammanställning anses förvarad hos CSN, och därmed utgör en allmän handling, kan sekretess hindra att uppgifterna i sammanställningen blir offentliga. Som vi redogör för i avsnitt 4.4.1 omfattas uppgifter om enskilds personliga eller ekonomiska förhållanden av sekretess i olika stödärenden hos CSN.22 Vi föreslår att sådan sekretess ska gälla i myndighetens stödverksamhet, och inte bara i ärenden, se avsnitt 13.2. Det gäller i och för sig presumtion för offentlighet enligt bestämmelsen, vilket vi inte föreslår någon ändring av. Vid sidan av den verksamhetsspecifika sekretessbestämmelsen finns även vissa allmänna bestämmelser om sekretess som kan bli tillämpliga oavsett i vilken verksamhet uppgifterna förekommer, t.ex. 21 kap. 5 och 7 §§ OSL. Inte sällan bör känsliga personuppgifter omfattas av sekretesskyddet i CSN:s verksamhetsspecifika bestämmelse, eller någon annan av de nämnda bestämmelserna.
11.3. Tillgången till personuppgifter inom myndigheten
11.3.1. Utgångspunkter ur ett dataskyddsrättsligt perspektiv
En fysisk person som utför arbete under den personuppgiftsansvariges överinseende, och som får tillgång till personuppgifter, får enligt artikel 29 i EU:s dataskyddsförordning endast behandla dessa på instruktion från den personuppgiftsansvarige. Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att personuppgifter inte behandlas utöver vad den personuppgiftsansvarige har gett instruktioner om.23 Den personuppgiftsansvarige har alltså ett ansvar för att anställda och andra uppdragstagare inte behandlar personuppgifter utöver vad den personuppgiftsansvarige har bedömt lämpligt.
Enligt EU:s dataskyddsförordning är utgångspunkten att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.24 Vilken spridning av person-
21 Jfr SOU 2023:100, Framtidens dataskydd – Vid Skatteverket, Tullverket och Kronofogden, s. 715 och prop. 2014/15:148, Domstolsdatalag, s. 53. 22 Se 28 kap. 9 § OSL. 23 Se artikel 32.4 i EU:s dataskyddsförordning. 24 Jfr artikel 5.1 f i EU:s dataskyddsförordning.
uppgifter som en viss behandling innebär har av naturliga skäl stor inverkan på integritetsriskerna med behandlingen. Om personuppgifter sprids ökar risken för att uppgifterna kommer att användas på ett sätt som innebär ett intrång i den registrerades personliga integritet.
11.3.2. Bestämmelser i andra registerförfattningar
Bestämmelser som begränsar tillgången till personuppgifter internt finns i andra, nyare, registerförfattningar, t.ex. i lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter och lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. I en sådan bestämmelse anges vanligtvis att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.25 För Utbetalningsmyndigheten anges också att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. I förordningen (2023:463) om personuppgiftsbehandling vid Utbetalningsmyndigheten ställs också krav på att den som tilldelas behörighet ska ha genomgått utbildning i behandling av personuppgifter eller har erfarenhet som gett motsvarande kunskaper. I förordningen anges också att myndigheten har ansvar för att det finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter samt för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.26 Den utredning som nyligen har föreslagit nya dataskyddslagar för Skatteverket, Tullverket och Kronofogden har föreslagit en liknande reglering, bortsett från kravet på utbildning eller erfarenhet.27
25 Se 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. 26 Se 3, 4 och 5 §§ förordningen (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten. 27 Se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 435.
11.3.3. Nuvarande reglering av tillgången till personuppgifter inom myndigheten i CSN:s registerförfattningar och motiven till denna
En särskild reglering som begränsar tillgången till personuppgifter finns redan i dag i 9 § studiestödsdatalagen.28 Enligt bestämmelsen ges regeringen eller den myndighet som regeringen bestämmer möjlighet att meddela föreskrifter om villkoren för elektronisk tillgång till personuppgifter för den som arbetar i CSN:s studiestödsverksamhet. Det anges vidare att sådan tillgång ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Bestämmelsen kompletteras av 7 § studiestödsdataförordningen (2009:321) där det finns en detaljerad bestämmelse om intern elektronisk tillgång till personuppgifter. Bestämmelsen föreskriver att direkt elektronisk tillgång till personuppgifter i ett ärende om studiestöd, som inte behövs för återbetalning eller återkrav av studiestöd, ska begränsas senast tre år efter utgången av det kalenderår då studiestöd senast beviljades eller ansökan om studiestöd avslogs. Vidare framgår av 7 § andra stycket att CSN får meddela föreskrifter om begränsning av intern elektronisk tillgång enligt första stycket. Av 8 § framgår att samma sak gäller i fråga om andra personuppgifter som inte omfattas av 7 §. CSN ska inför ett beslut om att meddela föreskrifter enligt nämnda bestämmelser samråda med IMY.29 Regleringen är i princip oförändrad sedan CSN:s registerförfattningar infördes.
Motiveringen till regleringen var att utredningen som föreslog CSN:s registerförfattningar hade pekat på vissa brister i hanteringen av den interna tillgången till personuppgifter hos myndigheten. Regeringen ansåg därför att det fanns skäl att i studiestödsdatalagen precisera vad som ska gälla i fråga om intern elektronisk tillgång till personuppgifter i CSN:s studiestödsverksamhet.30
28 Se 9 § studiestödsdatalagen (2009:287) och prop. 2008/09:96, Behandling av person-
uppgifter på studiestödsområdet, s. 53, 54 och 55.
29 Se 9 § studiestödsdataförordningen (2009:321). 30 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 54.
11.3.4. Tillgången till personuppgifter inom CSN ska regleras
Vårt förslag: Det ska införas en bestämmelse i den nya studie-
stödsdatalagen som föreskriver att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter samt att åtkomsten till personuppgifter ska kontrolleras regelbundet.
I den nya studiestödsdataförordningen ska det regleras att CSN ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Det ska även regleras att myndigheten ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Skälen för förslaget
En mindre detaljerad reglering jämfört med i dag
Begränsning av tillgången till personuppgifter är en viktig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen.31 Skyldigheten för personuppgiftsansvariga att på olika sätt begränsa tillgången till personuppgifter följer redan av EU:s dataskyddsförordning. Vi bedömer dock att det av integritetsskäl ska finnas bestämmelser i den nya studiestödsdatalagen som tydliggör att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Vi bedömer att den nuvarande regleringen är onödigt detaljerad vilket enligt oss kan leda till att hanteringen blir oflexibel. Vi vill i sammanhanget påpeka, mot bakgrund av den motivering som ligger till grund för dagens detaljerade reglering, se avsnitt 11.3.3, att det enligt oss inte är lämpligt att genom reglering i lag råda bukt på interna brister hos en myndighet. Vi ifrågasätter inte att det eventuellt fanns brister i CSN:s hantering vid införandet av bestämmelsen, men det är regeringens ansvar att leda de myndigheter den har under sig.
Det följer redan av EU:s dataskyddsförordning att det är upp till den personuppgiftsansvarige att begränsa tillgången till personuppgifter på ett sätt som innebär att dataskyddsregleringen efterlevs.
31 Jfr artikel 9.2 g i EU:s dataskyddsförordning.
Enligt den föreslagna bestämmelsen ska det i stället klargöras att CSN har ett ansvar för att vidta tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter.32 Av samma skäl finns det inget behov av att ge regeringen eller den myndighet regeringen bestämmer föreskriftsrätt i fråga om hur begränsning av åtkomst ska ske. Det finns inte heller anledning att i fortsättningen reglera att CSN ska samråda med IMY inför ett beslut om begränsningar. I EU:s dataskyddsförordning finns det en allmän bestämmelse om förhandssamråd vilken föreskriver att den personuppgiftsansvarige under vissa förutsättningar ska samråda med tillsynsmyndigheten.33 Liknande bestämmelser om samråd finns inte i varken nya och äldre registerförfattningar för andra myndigheter. Det finns enligt oss ingen anledning att särbehandla CSN i detta avseende. Däremot bör regeringen, inom ramen för sin restkompetens, meddela föreskrifter om krav på vissa rutiner, vilket vi återkommer till senare i detta avsnitt.
Innebörden av den föreslagna bestämmelsen är densamma som i 9 § första stycket andra ledet i gällande studiestödsdatalag, dvs. att det ska finnas ett berättigat behov av åtkomst till personuppgifter.34Den som är anställd vid CSN ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket
var och en inkluderar såväl tillsvidareanställd personal som t.ex. per-
soner med en tidsbegränsad anställning. Det ska finnas ett reellt behov eller så ska behovet kunna förutses i verksamheten. Det kan t.ex. innebära att en medarbetare vid CSN som arbetar med handläggning av vissa ärenden om studiestöd inte får tillgång till de uppgifter som de medarbetare som utför dataanalyser och urval får tillgång till. Det är dock tillräckligt att det finns ett potentiellt behov av åtkomst för att sådan ska medges. En medarbetare får alltså ha åtkomst till sådana uppgifter som det är tänkbart att hon eller han behöver utifrån sina arbetsuppgifter.
Vi anser också att det inte särskilt behöver nämnas i bestämmelsen att den gäller elektronisk tillgång till personuppgifter. Vilken typ av tillgång till personuppgifter som avses följer redan av det föreslagna tillämpningsområdet, dvs. att lagen endast gäller för automatiserad
32 Jfr artikel 32 i EU:s dataskyddsförordning. 33 Jfr artikel 36 i EU:s dataskyddsförordning. 34 Jfr prop. 2008/09:96, Behandling av personuppgifter på studiestödsområdet, s. 54 och 55.
behandling och behandling av personuppgifter i manuella register, se avsnitt 8.3.2.
Enligt 9 § andra stycket i gällande studiestödsdatalag ska CSN se till att tillgång till personuppgifter dokumenteras och kontrolleras. Vi föreslår att det ska införas en motsvarande bestämmelse i den nya lagen. Ett sådant krav i lag utgör en skyddsåtgärd i syfte att begränsa intrånget i enskildas personliga integritet. Det är även av vikt för att CSN ska kunna upptäcka och åtgärda obehörig åtkomst. Liknande reglering finns även i andra, modernare, registerförfattningar.35
Enligt vårt förslag ska kontroller genomföras systematiskt och återkommande och inte bara när myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det bör dock vara upp till myndigheten själv att närmare bestämma formerna för kontrollen.
Vi vill här också framhäva att förekomsten av bestämmelser om tillgång till personuppgifter i den nya studiestödsdatalagen inte innebär att myndigheten kan bortse från övriga krav på lämpliga säkerhetsåtgärder som föreskrivs i EU:s dataskyddsförordning.36 Ett exempel på ett sådant inbyggt dataskydd är loggning.
Krav på vissa rutiner i den nya studiestödsdataförordningen
Av integritetsskäl föreslår vi att det i studiestödsdataförordningen ska införas bestämmelser om krav på att CSN ska ha vissa rutiner för tillgång till personuppgifter. Det finns ett behov av detta trots att sådana krav på den personuppgiftsansvarige kan anses följa redan av EU:s dataskyddsförordning.37 Särskilda bestämmelser i förordning syftar till att tydliggöra att myndigheten har sådana skyldigheter. Vi gör bedömningen att sådana bestämmelser som föreslås införas i förordningen omfattas av regeringens restkompetens enligt 8 kap. 7 § RF.38 Motsvarande bestämmelser finns även i t.ex. 4 och 5 §§ förordningen om behandling av personuppgifter vid Utbetalningsmyndigheten.
35 Se t.ex. 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. 36 Se t.ex. artikel 25 i EU:s dataskyddsförordning. 37 Jfr t.ex. artikel 32 i EU:s dataskyddsförordning. 38 Jfr prop. 2021/22:272, Statens stöd till trossamfund samt demokrativillkor vid stöd till civil-
samhället, s. 148 och 149.
Vi föreslår att CSN ska ansvara för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Sådana rutiner kan t.ex. tas in i myndighetens arbetsordning eller beslutas om som separata rutiner. Det är enligt vår mening viktigt att CSN har sådana rutiner för att bl.a. förhindra att anställda tilldelas vidare behörighet till uppgifter än vad som behövs för utförandet av arbetsuppgifter eller att anställda som byter arbetsuppgifter har kvar vidare behörighet än vad som behövs med hänsyn till de nya arbetsuppgifterna.
Det finns enligt oss också ett behov av att det i förordningen föreskrivs att CSN ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter. Sådana rutiner kan t.ex. avse kontroll av vem som har läst, skapat, ändrat, raderat eller på annat sätt behandlat personuppgifter samt tidpunkten för åtgärden. Det är enligt vår bedömning av vikt att myndigheten har sådana rutiner för att se till att de i lag föreslagna kraven på tillgång till personuppgifter följs. Bestämmelsen innebär dock inte att det ställs upp några uttryckliga krav på att all personuppgiftsbehandling inom lagens tillämpningsområde ska loggas. Rutinerna ska däremot avse sådan regelbunden kontroll som ska utföras enligt de föreslagna lagbestämmelserna om tillgång till personuppgifter.
11.4. Elektroniskt utlämnande
11.4.1. Allmänt om elektroniskt utlämnande och dataskyddsrättsliga utgångspunkter
Informationsutbyten och informationsöverföringar i elektronisk form utgör en integrerad del av myndigheters verksamheter och samhället i stort. Detta innebär att merparten av utlämnanden i dag generellt sker elektroniskt i någon form. Formerna för elektroniskt utlämnande utvecklas ständigt i takt med teknikutvecklingen i övriga samhället och kan exempelvis ske genom e-post, USB-minne eller genom en direkt överföring från ett datorsystem till ett annat. Det är dock fortfarande vanligt att skilja mellan ett utlämnande genom direktåtkomst och andra elektroniska utlämnanden.
Utlämnande av personuppgifter utgör en behandling av personuppgifter enligt EU:s dataskyddsförordning.39 Det krävs därför att de grundläggande förutsättningarna för behandling är uppfyllda, däribland att det finns en rättslig grund för behandlingen enligt artikel 6.1. I fråga om informationsutbyte och utlämnande av uppgifter utgör den rättsliga grunden ofta nationella bestämmelser som tillåter eller kräver att uppgifter lämnas ut, se avsnitt 4.4.2 för en översikt av sådana regler som rör CSN:s verksamhet. Även om EU:s dataskyddsförordning tillåter en medlemsstat att i den nationella rätten begränsa myndigheters möjlighet att lämna ut personuppgifter elektroniskt40 finns det inga bestämmelser som särskilt reglerar formen eller tekniken för utlämnanden. Däremot ställer EU:s dataskyddsförordning krav på bl.a. uppgiftsminimering samt lämpliga tekniska och organisatoriska åtgärder.41
11.4.2. Olika former av elektroniskt utlämnande
Utlämnande genom direktåtkomst
Det finns inte någon legaldefinition av begreppet direktåtkomst, men innebörden är i princip att en aktör har åtkomst till en annan aktörs system för att kunna hämta ut uppgifter utan att någon särskild prövning görs i det enskilda fallet.42 Sådan åtkomst har traditionellt sett ansetts vara en särskilt integritetskänslig form av elektroniskt utlämnande eftersom det saknas möjlighet för den utlämnande myndigheten att begränsa eller stoppa utlämnandet vid varje söktillfälle. Det innebär dels att det föreligger en ökad risk för spridning av känsliga personuppgifter och integritetsintrång, dels att den myndighet som får direktåtkomst får teknisk tillgång till fler uppgifter än vad som är direkt nödvändigt, s.k. överskottsinformation. Med dagens tekniklösningar kan problemen undvikas eftersom det ofta är möjligt för den myndighet som tillhandahåller åtkomst till uppgifter att tekniskt begränsa den mottagande myndighetens tillgång till uppgifterna. Den tekniska skillnaden mellan direktåtkomst och andra elektroniska utlämnanden har även i andra hänseenden blivit allt mindre.
39 Jfr artikel 4.2 i EU:s dataskyddsförordning. 40 Jfr artikel 6.3 i EU:s dataskyddsförordning. 41 Se artikel 5.1 c samt 25 och 32 i EU:s dataskyddsförordning. 42 Jfr HFD 2015 ref. 61.
Trots att det numera kan vara svårt att dra en gräns mellan direktåtkomst och annat elektroniskt utlämnande finns det vissa rättsliga konsekvenser vid direktåtkomst som inte blir aktuella vid annan form av elektroniskt utlämnande. De allmänna handlingar som en myndighet får tillgång till genom direktåtkomsten, alltså även överskottsinformation, utgör allmänna handlingar även hos denna myndighet.43
Om sekretess gäller hos den utlämnande myndigheten för de uppgifter som ska lämnas ut krävs antingen att det finns ett undantag från sekretessen eller en sekretessbrytande bestämmelse för att en uppgift ska kunna lämnas ut. När ett utlämnande sker genom direktåtkomst kan det av tekniska skäl inte göras en sekretessprövning av utlämnande uppgifter i ett enskilt fall innan uppgifterna lämnas ut. Uppgifterna är i normalfallet att anse som utlämnade redan i och med att direktåtkomsten upprättas och är aktiv. Det spelar alltså ingen roll om den mottagande myndigheten rent faktiskt tar del av uppgifterna eller inte. För att uppgifterna ska kunna lämnas ut utan att utlämnandet föregås av en prövning i det enskilda fallet krävs därför en reglering med sekretessbrytande verkan. Möjligheten att över huvud taget utnyttja direktåtkomst för informationsöverföring mellan två myndigheter kan alltså begränsas redan av gällande bestämmelser om sekretess. I takt med teknikutvecklingen blir det, delvis av denna anledning, alltmer ovanligt med ren direktåtkomst.
Annat elektroniskt utlämnande
I nuvarande studiestödsdatalag används begreppet medium för auto-
matiserad behandling. Till skillnad från direktåtkomst avser begreppet
inte någon särskild form av elektronisk informationsöverföring. Det finns inte heller någon legaldefinition av begreppet. Vad som avses har dessutom varierat beroende på vilken informationsteknik som varit tillgänglig för tillfället. Ursprungligen avsågs en fysisk bärare av information som krävde någon form av automatiserad teknik för att avläsas eller avlyssnas. Ett mycket tidigt exempel är s.k. hålkort och hålremsor.44 Senare exempel är dvd-skivor och usbminnen. Redan vid införandet av CSN:s registerförfattning kunde utlämnande av information t.ex. ske genom e-post eller genom direkt
43 Jfr 2 kap. 6 § TF. 44 Se prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförord-
ningen m.m., s. 75.
överföring från ett digitalt informationshanteringssystem till ett annat.45 Begreppet motsvarar vad som brukar kallas annat elektroniskt utlämnande i mer moderna registerförfattningar, vilket karaktäriseras av att det inte utgör direktåtkomst. I det följande ger vi några exempel på tekniska lösningar som är vanliga vid informationsutbyte mellan myndigheter.
Så kallade batch-körningar utgör en form av annat elektroniskt utlämnande som ofta används mellan myndigheter. Stora informationsmängder, batcher, lämnas då över till den mottagande myndigheten med viss fördröjning. Ett annat sätt att beskriva förfarandet är att de uppgifter som ett reglerat uppgiftslämnande omfattar lämnas över i bulk, utan en prövning av behovet i det enskilda fallet hos den mottagande myndigheten. Den fördröjning som är inbyggd i systemet, jämfört med om utlämnandet hade skett genom direktåtkomst, anses innebära en möjlighet för utlämnaren att kontrollera vilken information som ska lämnas ut. Den faktiska sekretessprövningen sker dock i praktiken i samband med att den tekniska förbindelsen som möjliggör körningen upprättas mellan myndigheterna.46 Någon ytterligare prövning av uppgifterna i samband med det faktiska utlämnandet sker alltså inte vid batch-körningar, även om det är teoretiskt möjligt.
Ytterligare en modern variant av annat elektroniskt utlämnande är helt automatiserade fråga-svar-tjänster. En sådan tjänst karaktäriseras av att uppgiftslämnandet från en myndighet till en annan sker momentant. Liksom batch-körningar bygger en fråga-svar-tjänst på en i förväg genomförd sekretessprövning och automatiserade kontroller. Genom ett avgörande av Högsta förvaltningsdomstolen har det konstaterats att en sådan lösning inte utgör direktåtkomst.47
Vid annat elektroniskt utlämnande än direktåtkomst, är det den utlämnande myndigheten som rättsligt förfogar över prövningen av om och i så fall vilka uppgifter som ska lämnas ut till mottagaren. Utmärkande för sådant elektroniskt utlämnande är att mottagaren frågar efter uppgiften och utlämnaren prövar om utlämnandet får och ska genomföras. Den utlämnande myndighetens prövning sker bl.a. med beaktande av eventuella regler om sekretess och rättsliga begränsningar av möjligheten att lämna ut uppgifter elektroniskt.
45 Jfr prop. 2008/09:96, Behandling av personuppgifter på studiestödsområdet, s. 58. 46 Jfr SOU 2015:39, Myndighetsdatalag, s. 128. 47 Se HFD 2015 ref. 61.
Det finns som utgångspunkt en möjlighet för den utlämnande parten att neka eller stoppa utlämnandet i det enskilda fallet. Som påpekats ovan är denna möjlighet i dag i många fall enbart teoretisk, eftersom informationsutbytet är helt automatiserat och prövningarna har skett på förhand.
Till skillnad från direktåtkomst blir inte någon annan information än den som faktiskt lämnas över till den mottagande myndigheten allmän handling hos den mottagande myndigheten. Någon sådan överskottsinformation som finns vid direktåtkomst uppstår därför inte.
Däremot innefattar även vissa varianter av överlämnande på medium för automatiserad behandling av information som är överflödig i förhållande till den mottagande myndighetens behov. Ett omfattande informationsutbyte myndigheter emellan kan dessutom sägas alltid kräva viss överflödig personuppgiftsbehandling, oavsett om den sker elektroniskt eller inte. Den mottagande myndigheten kan t.ex. behöva skicka en fråga till den utlämnande myndigheten med angivande av personnummer för personer som är aktuella hos den mottagande myndigheten i ett sådant sammanhang att de eventuella sekretessbrytande bestämmelserna aktualiseras. I den situationen kan det förutsättas att samtliga personnummer behöver behandlas hos den myndighet som har en skyldighet att lämna ut uppgifter, i syfte att kontrollera om de förekommer hos den myndigheten eller inte. Behandlingen av alla de personnummer som inte är aktuella hos den utlämnande myndigheten kan då sägas vara överflödig i förhållande till skyldigheten att lämna ut uppgifter som den utlämnande myndigheten förfogar över. Att de behandlas i förfrågan avslöjar samtidigt att personerna är aktuella hos den mottagande myndigheten. Till skillnad från vid direktåtkomst krävs i dessa situationer en faktisk behandling av uppgifter som inte behövs, men den överflödiga behandlingen sker vid den utlämnande myndigheten.
Om en uppgift inte omfattas av någon specifik sekretessbestämmelse (eller om en sekretessbrytande bestämmelse är tillämplig) och den utlämnande myndigheten har rättsliga möjligheter att lämna ut uppgiften på medium för automatiserad behandling, kan ett sådant utlämnande som utgångspunkt genomföras. Det finns dock en särskild generell skyddsbestämmelse i 21 kap. 7 § OSL som kan medföra att ett utlämnande ändå inte är tillåtet. Om det kan antas att personuppgiften efter utlämnandet kommer att behandlas i strid med bl.a. EU:s dataskyddsförordning och dataskyddslagen, gäller nämligen
sekretess för uppgiften. Undersökningar om behandlingen efter utlämnandet får dock göras endast om det finns konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen, t.ex. massuttag eller selekterade uttag. Finns det inga sådana indikationer behöver inte någon bedömning enligt dataskyddsregleringen göras.48
11.4.3. Bestämmelser i andra registerförfattningar
Reglering av elektroniskt utlämnande finns i vissa andra registerförfattningar. I 12 § lagen om personuppgiftsbehandling vid Utbetalningsmyndigheten anges att personuppgifter får lämnas ut elektroniskt, dock inte genom direktåtkomst. En huvudsaklig anledning till denna utformning var att regeringen tyckte att annat elektroniskt utlämnande än genom direktåtkomst är tillräckligt och att direktåtkomst därför kunde förbjudas.49 I 9 § lagen om Rättsmedicinalverkets behandling av personuppgifter anges att den myndigheten får lämna ut uppgifter elektroniskt, om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst. En liknande reglering har föreslagits för Skatteverket, Tullverket och Kronofogdemyndigheten.50 Dock har utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden gjort bedömningen att dagens begränsningar av myndigheternas möjligheter att lämna ut uppgifter genom direktåtkomst inte bör ha någon motsvarighet i de nya dataskyddslagar som föreslås och att direktåtkomst i lagstiftningshänseende i stället bör likställas med övriga former av elektroniskt utlämnande, som kan vara mer eller mindre lämpliga utifrån omständigheterna i det enskilda fallet.51
48 Se prop. 2017/18:105, Ny dataskyddslag, s. 135 och 136. 49 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 141. 50 Se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 825. 51 Se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 799 och 800.
11.4.4. Nuvarande reglering om elektroniskt utlämnande i CSN:s registerförfattningar och motiven till denna
Sedan tillkomsten har CSN:s registerförfattning omfattat bestämmelser som reglerar formerna för tillåtligheten av elektroniskt uppgiftslämnande från myndigheten. Utlämnande på papper har dock inte reglerats särskilt. Den ursprungliga uppdelningen mellan olika former av elektroniskt utlämnande finns kvar än i dag. I regleringen används begrepp som direktåtkomst, utlämnande på medium för auto-
matiserad behandling och via elektronisk kommunikation.
I 10 § studiestödsdatalagen anges bl.a. att direktåtkomst och annat elektroniskt utlämnande av personuppgifter bara är tillåtet i den utsträckning som anges i lag eller förordning. CSN kan alltså inte lämna ut uppgifter elektroniskt om det inte finns en reglering som säger att myndigheten får göra det.
Möjligheter till direktåtkomst regleras bl.a. i 11 och 12 §§studiestödsdatalagen. Där anges att arbetslöshetskassorna under vissa förutsättningar får ha direktåtkomst. Även enskildas möjlighet till direktåtkomst regleras där. Möjligheter till elektroniskt utlämnande på annat sätt än genom direktåtkomst regleras bl.a. i 13 § studiestödsdatalagen. När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna även lämnas ut elektroniskt på annat sätt till mottagaren. CSN har dock i dag inga utlämnanden som sker genom direktåtkomst och planerar inte att använda sig av den typen av utlämnande i framtiden heller. Mot bakgrund av vissa förarbetsuttalanden bör här också förtydligas att åtkomst för enskilda till ”Mina sidor” inte utgör direktåtkomst utan en s.k. fråga-svar-tjänst.52Det är därför inte heller någon som har möjlighet att ta del av uppgifter elektroniskt på annat sätt än genom direktåtkomst med stöd av denna reglering.
Den aktuella bestämmelsen medger även att enstaka personuppgifter lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall. Denna begränsning innebär att ett mer omfattande eller systematiskt uppgiftsutlämnande förutsätter särskilt författningsstöd. Här avses situationer där personuppgifter i enskilda fall lämnas ut till mottagare som inte har direktåtkomst och där utlämnandet endast avser enstaka person-
52 Jfr prop. 2008/09:96, Behandling av personuppgifter på studiestödsområdet, s. 64.
uppgifter. Ett helt register eller delar av register kan alltså inte lämnas ut enligt denna reglering.53
Vidare finns särskilt författningsstöd för elektroniskt utlämnande av vissa särskilda personuppgifter i 15 § studiestödsdataförordningen. Av uppräkningen i bestämmelsen framgår att angivna uppgifter kan lämnas ut elektroniskt på annat sätt än genom direktåtkomst till ett antal angivna myndigheter och andra organ.
Av förarbetena till studiestödsdatalagen framgår att regeringen ansåg att elektroniskt utlämnande generellt kan medföra risker för otillbörliga integritetsintrång. Regeringen konstaterade redan då också att den tekniska utvecklingen har lett till att skillnaderna mellan direktåtkomst och annat uppgiftslämnande på automatiserad väg blivit så små att kan vara svårt att dra en gräns mellan direktåtkomst och andra former för utlämnande.54
11.4.5. Nuvarande reglering av elektroniskt utlämnande är inte ändamålsenlig
Vår bedömning: Nuvarande reglering i CSN:s registerförfatt-
ningar om elektroniskt utlämnande är inte ändamålsenlig.
Skälen för bedömningen
Nuvarande bestämmelser utgör hinder för digitaliseringens möjligheter
Användningen av digitala kommunikationssätt har ökat markant bland enskilda under de senaste 20 åren. Det framgår av Statistiska centralbyråns statistik över befolkningens internetanvändning. År 2003 använde hela 31 procent av befolkningen i åldern 16–74 år internet aldrig eller bara sällan.55 Det kan ställas mot att 85 procent av befolkningen i åldern 16–85 år hade legitimerat sig vid användning av internet genom Mobilt Bank-ID eller Bank-ID med kortläsare under en undersökt period år 2020. Endast 3 procent hade under samma period inte använt någon form av digital legitimering. Under 2021 hade 86 procent av befolkningen i åldern 16–85 år använt inter-
53 Se prop. 2008/09:96, Behandling av personuppgifter på studiestödsområdet, s. 65 och 86. 54 Se prop. 2008/09:96, Behandling av personuppgifter på studiestödsområdet, s. 57 och 58. 55 Statistiska centralbyrån (SCB), Privatpersoners användning av datorer och Internet 2009, s. 13.
net i stort sett varje dag. Över 60 procent av befolkningen i åldern 16–85 år hade under år 2022 fått myndighetspost via ett konto (t.ex. Mina meddelanden). En lika stor andel av befolkningen hade hämtat information på en myndighets hemsida, respektive fått tillgång till information som lagras om personen t.ex. om pension eller hälsa genom en myndighets hemsida.56 Att digital informationshantering ökar på bekostnad av den analoga motsvarigheten illustreras också av att antalet skickade brev sedan millennieskiftet har minskat med ungefär hälften, vilket fått till följd att vanlig post numera delas ut varannan dag.57
I flera sammanhang har på olika sätt påpekats att sektorsspecifik dataskyddsreglering ofta utgör ett hinder för myndigheter att använda digitaliseringens möjligheter, genom bestämmelser som i vissa fall kräver pappershantering och i praktiken innebär ett förbud mot elektroniskt utlämnande genom exempelvis e-post.58 Även CSN behöver i viss utsträckning kommunicera med enskilda i pappersform, som ett resultat av bestämmelser i myndighetens nuvarande dataskyddsregleringen, se avsnitt 5.4.4. Med hänsyn till hur stor del av Sveriges befolkning som i dag kommunicerar digitalt kan det framstå som främmande att kommunikation med en myndighet behöver eller måste ske via pappersbrev.
Nuvarande bestämmelser utgör hinder för informationsutbyte mellan myndigheter
Vi konstaterar i avsnitt 9.3.4 att regleringen om elektroniskt utlämnande i CSN:s nuvarande registerförfattning utgör ett problem för myndigheten, särskilt i förhållande till reglering om informationsutbyte mellan myndigheter. Problematiken med de begränsningar som den nuvarande regleringen innebär har tagits upp i flera olika lagstiftningssammanhang. I promemorian Utökat informations-
utbyte (Ds 2022:13) identifierades ett behov av att möjliggöra elek-
troniskt utlämnade mellan myndigheter. I promemorian lämnas därför
56 SCB, Befolkningens it-användning, https://www.scb.se/hitta-statistik/statistik-efteramne/levnadsforhallanden/levnadsforhallanden/befolkningens-it-anvandning/, (senast besökt 2024-12-10). 57 Postnords pressmeddelande Så fungerar varannandagsutdelning, https://www.postnord.se/om-oss/nyheter-press-och-artiklar/framtidens-post/sa-fungerarvarannandagsutdelning/, (senast besökt 2024-12-10). 58 Jfr bl.a. SOU 2015:39, Myndighetsdatalag, s. 148, SOU 2018:25, Juridik som stöd för förvalt-
ningens digitalisering, s. 71 och Ds 2022:13, Utökat informationsutbyte s. 59.
ett förslag om att CSN ska ges generella möjligheter att utbyta personuppgifter elektroniskt på annat sätt än genom direktåtkomst.59Promemorian bereds för närvarande inom Regeringskansliet. I betänkandet Ökat informationsflöde till brottsbekämpningen – en ny huvud-
regel (SOU 2023:69) konstaterades att det endast var CSN av de
21 myndigheter som utredningen undersökte som har begränsade möjligheter att lämna ut personuppgifter till andra myndigheter elektroniskt på annat sätt än genom direktåtkomst. Utredningen konstaterade också att den inte kunde identifiera några skäl till att just CSN omfattas av sådana begränsningar när andra myndigheter inte gör det. Utredningen ansåg att i de fall personuppgifter får eller ska lämnas ut bör myndigheterna ha liknande förutsättningar som andra myndigheter att kunna genomföra utlämnandet elektroniskt, i vart fall på annat sätt än genom direktåtkomst. Det föreslogs därför att det i 15 § studiestödsdataförordningen skulle införas en möjlighet för CSN att elektroniskt, på annat sätt än genom direktåtkomst, lämna ut uppgifter till vissa brottsbekämpande myndigheter.60 Betänkandet bereds för närvarande inom Regeringskansliet.
Begränsningarna är omotiverade
Redan mot bakgrund av att en stor del av befolkningen i dag regelbundet använder sig av digitala informationskanaler och legitimeringssätt framstår det enligt vår bedömning inte som motiverat att på ett generellt plan begränsa CSN:s möjligheter att lämna ut information till enskilda elektroniskt. Även samhällets generella övergång till digital informationshantering talar för detta och en manuell informationshantering kan i dag inte sägas vara ett realistiskt alternativ för vare sig myndigheter eller företag.61 Likaså talar de ovan nämnda utredningarnas slutsatser för att CSN:s reglering inte är ändamålsenlig i förhållande till informationsutbyte mellan myndigheter. Vi anser därför att nuvarande bestämmelser som i praktiken i vissa fall kräver kommunicering i pappersform inte är ändamålsenliga. Sådan reglering avviker dessutom från regeringens uttalade målsättning
59Ds 2022:13, Utökat informationsutbyte, s. 195–199. 60SOU 2023:69, Ökat informationsflöde till brottsbekämpningen – en ny huvudregel, s. 691 och 692. 61 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 47.
att digitalt ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakt med enskilda, se avsnitt 5.2.1.
Utgångspunkten bör i stället vara att det i dag är nödvändigt för CSN att använda tekniska hjälpmedel både vid handläggning av ärenden och vid informationsutbyte med andra myndigheter och enskilda. Det är därför viktigt att det finns goda rättsliga möjligheter för elektroniskt informationsutbyte från, och mellan, myndigheter.
Vad gäller direktåtkomst är regleringen i dag mycket begränsande även i förhållande till andra myndigheter. Sådant utlämnande tillåts enbart om det finns stöd för det i nuvarande registerlagar. Skillnaden mellan direktåtkomst och utlämnande i annan elektronisk form luckras dock upp mer och mer. Analysen av om det finns skäl att i fortsättningen upprätthålla en särreglering av utlämnande genom direktåtkomst bör utgå från de rättsliga och tekniska förhållanden som råder i dag, där den snabba tekniska utvecklingen är en viktig aspekt.
Sammanfattningsvis finns det enligt vår bedömning i dag flera omotiverade begränsningar eller hinder för CSN att lämna ut personuppgifter elektroniskt. Dagens reglering av CSN:s möjligheter att lämna ut uppgifter elektroniskt kan därför inte anses vara ändamålsenlig i förhållande till den tekniska och rättsliga utvecklingen.
11.4.6. Det bör inte göras skillnad på olika former av elektroniskt utlämnande
Vår bedömning: Vid en eventuell reglering i CSN:s nya register-
författningar av elektroniskt utlämnande bör olika former av sådant utlämnande regleras lika.
Skälen för bedömningen
Direktåtkomst betraktas som den mest integritetskänsliga formen av elektroniskt utlämnande. Av den anledningen finns det i regel bestämmelser som förbjuder eller särskilt anger när direktåtkomst får förekomma i registerförfattningar. En sådan reglering förutsätter dock att det fortfarande är motiverat utifrån ett integritetsperspektiv att göra en juridisk åtskillnad mellan direktåtkomst och annat elek-
troniskt utlämnande. På samma sätt som EU:s dataskyddsförordning inte reglerar formen eller tekniken för utlämnanden finns det inte heller någon bestämmelse med innebörden att sådan behandling som kan anses vara särskilt integritetskänslig ska regleras särskilt. När det gäller formen för behandling och val av teknisk lösning framhåller i stället förordningen att skyddet för den personliga integriteten ska vara teknikneutralt.62
Att skillnaden mellan direktåtkomst och annat elektroniskt utlämnande kommit att bli allt mindre är något som har lyfts i senare lagstiftningsförfaranden.63 Detta gäller särskilt i förhållande till sådana fråga-svarfunktioner som kännetecknas av att uppgiftslämnandet från en myndighet till en annan sker momentant och bygger på en i förväg genomförd sekretessprövning och automatiserade kontroller. Avgörande för att en sådan teknisk lösning inte ska betraktas som direktåtkomst är att ett utlämnande förutsätter att den utlämnande myndigheten reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut.64 Detta gäller även om reaktionen i sig är helt automatiserad och någon egentlig möjlighet för myndigheten att avbryta utlämnandet inte finns. Den juridiska gränsdragning som görs mellan direktåtkomst och annat elektroniskt utlämnande har därmed kopplats bort från frågan om integritetsskydd eftersom skillnaden från integritetssynpunkt mellan direktåtkomst och ett elektroniskt utlämnande som kännetecknas av att uppgiftslämnandet sker automatiserat, momentant och bygger på en i förväg genomförd sekretessprövning, i princip är obefintlig. En väl avvägd direktåtkomst behöver alltså inte innebära större risker än annan form av elektroniskt utlämnande.65
Mot bakgrund av EU:s dataskyddsförordnings målsättning om teknikneutralitet och den allt mindre skillnad som finns mellan direktåtkomst och annat elektroniskt utlämnande bedömer vi att det saknas anledning att reglera direktåtkomst särskilt i den nya studiestödsdatalagen. Detta framför allt då ren direktåtkomst blir allt ovanligare. I stället bör direktåtkomst betraktas som en av flera integritetskänsliga former av elektroniskt utlämnande som kan vara mer eller mindre lämpligt utifrån omständigheterna i det enskilda fallet. Någon legal åtskillnad bör därmed inte göras mellan elektroniskt utlämnande
62 Jfr skäl 15 till EU:s dataskyddsförordning. 63 Jfr t.ex. prop. 2021/22:177, Sammanhållen vård- och omsorgsdokumentation, s. 79. 64 Jfr HFD 2015 ref. 61 och HFD 2020 not. 16. 65 Jfr SOU 2015:39, Myndighetsdatalag, s. 151.
generellt och direktåtkomst specifikt. Vid ett reglerande av elektroniskt utlämnande bör olika former av ett sådant utlämnande alltså regleras lika.
11.4.7. Elektroniskt utlämnande av personuppgifter ska vara tillåtet om det inte är olämpligt
Vårt förslag: Det ska införas en bestämmelse i den nya studie-
stödsdatalagen som anger att elektroniskt utlämnande av personuppgifter ska vara tillåtet om det inte är olämpligt.
Det ska också införas en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § RF kan meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Skälen för förslaget
Elektroniskt utlämnande av personuppgifter bör som utgångspunkt vara tillåtet
EU:s dataskyddsförordning ställer, som vi nämner tidigare i detta kapitel, inte upp något generellt förbud mot att lämna ut uppgifter i en viss form. Trots det är det vanligt att elektroniskt utlämnande regleras särskilt i registerförfattningar.66 Detta har sin grund i att ett elektroniskt utlämnande av uppgifter traditionellt sett har ansetts medföra en större risk för otillbörliga integritetsintrång, eftersom det ger en större möjlighet att bearbeta och sprida information jämfört med ett utlämnande som sker i pappersform.67
CSN:s är i dag förhindrade att lämna ut personuppgifter elektroniskt om det inte särskilt tillåts enligt myndighetens dataskyddreglering. Huvudregeln för utlämnanden och informationsutbyten generellt i samhället är i stället elektronisk. Den tekniska utvecklingen innebär enligt vår mening att det måste ifrågasättas om det fortfarande är motiverat att särskilt reglera eller begränsa elektroniskt
66 Se bl.a. lagen om behandling av personuppgifter vid Utbetalningsmyndigheten, lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter och domstolsdatalagen. 67 Jfr t.ex. Ds 2017:41, En omarbetad domstolsdatalag – Anpassning till EU:s dataskyddsförordning, s. 214.
utlämnande i CSN:s registerförfattningar. I sammanhanget kan vi tillägga att det numera är mycket enkelt och billigt för en mottagare av uppgifter på papper att genom skanning överföra uppgifterna till elektroniskt format. I praktiken blir därför skillnaderna mellan ett utlämnande på papper och ett utlämnande i elektroniskt format små.68Teknikutvecklingen har dessutom medfört en rad integritetshöjande säkerhetsåtgärder vid elektroniskt utlämnande som på många sätt innebär att ett sådant utlämnande inte kan anses utgöra en högre risk för integritetsintrång än för utlämnande i pappersform. Exempel på detta är kryptering vid informationsöverföring och andra autentiserings- och auktorisationsprocesser för att säkerställa att ett utlämnande sker till behörig part. Vår bedömning är därför att det inte längre är korrekt att utgå från att integritetsrisker alltid är lägre vid analogt utlämnande än vid elektroniskt utlämnande. Vi anser därför att elektroniskt utlämnande av personuppgifter generellt bör vara tillåtet och så även ett elektroniskt utlämnande av personuppgifter i CSN:s stödverksamhet.
Elektroniskt utlämnande ska få ske om det inte är olämpligt
Vi bedömer alltså att elektroniskt utlämnande numera bör vara norm vid utlämnande av personuppgifter och att det även saknas skäl för att särreglera direktåtkomst eller någon annan form av elektroniskt utlämnande, se avsnitt 11.4.2. Att en juridisk åtskillnad inte längre görs mellan direktåtkomst och annat elektroniskt utlämnande innebär däremot inte att direktåtkomst – tillsammans med vissa andra former av elektroniskt utlämnande – inte fortfarande kan vara särskilt integritetskänsliga och därför kräver särskilda överväganden kring bl.a. sekretesskydd, behövliga säkerhetsåtgärder, begränsning av överskottsinformation och andra begränsningar av den mottagande myndighetens möjlighet att använda sig av de uppgifter som görs åtkomliga. För att upprätthålla ett adekvat skydd för den personliga integriteten vid utlämnande i elektronisk form är det viktigt att inte fler uppgifter än nödvändigt lämnas ut och att utlämnandet sker på ett sätt som säkerställer lämplig säkerhet för personuppgifterna. Dessa krav följer direkt av EU:s dataskyddsförordning och bör även utgöra
68 Jfr prop. 2014/15:148, Domstolsdatalag, s. 76.
en naturlig del i en myndighets verksamhet vid aktualisering av ett utlämnande.
Trots detta kan det finnas anledning att av integritetsskäl reglera elektroniskt utlämnande. För att uppnå en ändamålsenlig avvägning mellan möjligheten att generellt lämna ut personuppgifter genom elektroniskt utlämnande och de utökade risker som kan finnas med att överföra uppgifter i elektronisk form bör elektroniskt utlämnande inte vara tillåtet om det är olämpligt. En bestämmelse med denna innebörd bör därför införas i den föreslagna studiestödsdatalagen. Liknande bestämmelser har nyligen införts i andra registerförfattningar, se avsnitt 11.4.3.
Även om en myndighet alltid ska göra en lämplighetsbedömning av ett utlämnande av personuppgifter, oavsett om det framgår av en registerförfattning eller inte, bör regleringen vi föreslår betraktas som en integritetshöjande åtgärd i förhållande till avsaknaden av någon begränsande bestämmelse. Vid en jämförelse med dagens reglering utgör dock givetvis förslaget en utvidgad möjlighet att lämna ut personuppgifter elektroniskt.
Den föreslagna bestämmelsen ska självfallet inte tolkas som att CSN alltid måste använda sig av elektroniskt utlämnande. I sammanhanget tåls det även att upprepas att CSN, trots möjlighet enligt bl.a. 11 § nuvarande studiestödsdatalagen, inte lämnar ut uppgifter genom direktåtkomst i dag och inte heller avser att göra det framgent, se avsnitt 11.4.4. Däremot bör myndigheten inte vara rättsligt förhindrad att använda sig av elektroniska former för informationsöverföring under förutsättning att en noggrann avvägning mellan de skäl som talar för en sådan åtkomst och integritetsskäl som talar mot denna har genomförts – normalt på ett generellt plan – och bedömningen därmed har gjorts att den tekniska lösningen inte är olämplig. Bedömningen av om ett utlämnande är olämpligt ska ske genom en helhetsbedömning bl.a. med beaktande av bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna.
Olämplighetsbedömningen kommer troligtvis att huvudsakligen bli aktuell när det är stora mängder personuppgifter som är i fråga för utlämnande. Om det är känsliga personuppgifter som är aktuella för utlämnande kommer de inte sällan att omfattas av sekretess och därför inte kunna lämnas ut enligt den regleringen, vilket innebär att olämplighetsbedömningen inte behöver göras.
I fråga om utlämnande till andra myndigheter är det svårt att se en situation där elektroniskt utlämnande i sig skulle vara olämpligt. Viss form av elektroniskt utlämnande, t.ex. direktåtkomst, skulle dock kunna vara olämpligt i det enskilda fallet vid utlämnande till en annan myndighet.
Bedömningen av om det är olämpligt att över huvud taget lämna ut uppgifter elektroniskt kommer sannolikt i huvudsak i stället bli aktuell vid utlämnande till enskilda. Ett exempel på när ett elektroniskt utlämnande i sig skulle kunna vara olämpligt är om 21 kap. 7 § OSL aktualiseras men inte kan tillämpas i det enskilda fallet. Bestämmelsen anger att sekretess gäller för personuppgift om det kan antas att uppgiften efter utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning. Ett typexempel är att någon begär ut en väldigt stor mängd personuppgifter. Detta innebär i sig inte att det kan antas att uppgifterna kommer att behandlas i strid med EU:s dataskyddsförordning, men kan med mer information om t.ex. vem som begär ut uppgifterna tyda på det. Om CSN inte har tillräckligt med information för att komma fram till att sekretess gäller, men anser att situationen ändå är tveksam, skulle det enligt vår föreslagna bestämmelse kunna vara olämpligt att lämna ut uppgifterna elektroniskt, medan ett utlämnande i annan form är möjlig och ofta nödvändigt med anledning av offentlighetsprincipen.
Bestämmelsen föreslås dock i huvudsak för de situationer som lagstiftaren inte kan förutse. Det är därför svårt att ge tydliga exempel på när ett utlämnande kan vara olämpligt. Bestämmelsen är i stället en integritetshöjande åtgärd som ska kunna användas när det uppstår tveksamma situationer. Den närmare innebörden av vad som ska anses vara olämpligt respektive lämpligt elektroniskt utlämnande får också utvecklas genom CSN:s tillämpning. Ställningstagandena i sak måste därmed göras vid uppbyggnaden och inrättandet av nya system för informationsöverföring och med beaktande av EU:s dataskyddsförordnings krav och principer för behandling. Inför ett sådant arbete kommer det ofta att behöva göras både en behovsanalys och en konsekvensanalys enligt artikel 35 i EU:s dataskyddsförordning. Innebörden kan komma att utvecklas genom tillsynsarbete och i slutändan även genom domstolspraxis.
Förslaget är proportionerligt och förenligt med EU:s dataskyddsförordning
Som vi kort nämner ovan innebär förslaget i jämförelse med i dag en utvidgning för CSN att lämna ut uppgifter elektroniskt, även om bestämmelsen i den nya lagen får anses vara en integritetshöjande bestämmelse.
Vid alla former av utlämnande från en myndighet till en annan aktör finns det risk för att uppgifterna behandlas på ett annat sätt än som ursprungligen var avsikten, eller i ett sammanhang där de inte behövs. Det gäller oavsett om utlämnande sker med digitala hjälpmedel eller analogt. Genom våra förslag blir det upp till CSN att utvärdera och bedöma behovet, tillämpliga sekretessbrytande regler och integritetsriskerna, och därefter ta ställning till vilken teknisk lösning som ska användas vid ett utlämnande.
Myndigheten skulle då kunna komma att upprätta system för direktåtkomst, utan att lagstiftaren tagit ställning till om de konsekvenser som direktåtkomsten medför i det enskilda fallet är proportionerliga i förhållande till syftet med det aktuella informationsutbytet. Utan begränsningar av när direktåtkomst, eller elektroniskt utlämnande över lag, är tillåten skulle det därmed kunna ifrågasättas om kravet enligt artikel 6.3 sista stycket i EU:s dataskyddsförordning är uppfyllt, avseende att den rättsliga grunden för behandlingen ska vara proportionerlig mot det legitima mål som eftersträvas. EU:s dataskyddsförordning ställer nämligen krav på att det i den nationella rätten ska finnas lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen i vissa situationer.69 En begränsning av CSN:s möjligheter att lämna ut uppgifter genom elektroniskt utlämnande, särskilt direktåtkomst, skulle kunna anses vara en sådan åtgärd.
I frågan om proportionaliteten av den rättsliga grunden för CSN:s personuppgiftsbehandling vid elektroniskt utlämnande anser vi dock att de rättigheter för enskilda och skyldigheter för myndigheter som finns i den allmänna dataskyddsregleringen, det förvaltningsrättsliga regelverket i stort och i övrig reglering som styr CSN:s verksamhet också måste beaktas. EU:s dataskyddsförordning ska tillämpas av myndigheten som om den vore det en svensk författning. Det bör – som vi konstaterar ovan –inte vara möjligt för en myndighet att
69 Se t.ex. artikel 9.2 g och 14.5 c i EU:s dataskyddsförordning.
iaktta EU:s dataskyddsförordnings bestämmelser utan att ägna tillräcklig uppmärksamhet åt frågor om informationssäkerhet vid utlämnande genom direktåtkomst, eller på något annat elektroniskt sätt. En mottagande myndighet kan vidare inte följa förordningens bestämmelser utan att begränsa medarbetarnas möjlighet att behandla personuppgifter, vilket självfallet även gäller för sådana uppgifter som utgör överskottsinformation. Överskottsinformation är per definition sådan information som den mottagande myndigheten saknar legitim grund för att behandla i sin verksamhet.
En självklar utgångspunkt bör dessutom vara att svenska myndigheter iakttar gällande rätt i övrigt, även i situationer där formen för ett föreskrivet uppgiftslämnande övervägs. I gällande rätt finns i många fall redan ett skydd för den personliga integriteten, också avseende uppgifter som utgör överskottsinformation. Det rör sig om sekretessregler, bestämmelser i förvaltningslagen (2017:900), FL, – med bl.a. krav på legalitet, objektivitet och proportionalitet – liksom myndighetsförordningens (2007:515) krav på myndigheter att följa gällande rätt.
Utöver skyldigheten att lämna uppgifter har personuppgiftsansvariga myndigheter även att iaktta dessa bestämmelser i samband med informationsöverföringen. Trots det nyss sagda kan det hävdas att frånvaron av särskild reglering av när elektroniskt utlämnande är tillåtet ändå kan medföra en oacceptabelt hög risk för enskilda vars uppgifter behandlas, vilket av det skälet talar för en reglering. I avsnitt 3.3.2 beskriver vi förfarandet med konsekvensbedömningar och samråd med tillsynsmyndigheten vid behandlingar som sannolikt medför en hög risk för fysiska personers rättigheter och friheter. Enligt artikel 35.10 i EU:s dataskyddsförordning behöver dock ingen konsekvensbedömning genomföras om behandlingen enligt artikel 6.1 c eller e har en rättslig grund i nationell rätt, och den grunden reglerar den specifika behandlingsåtgärden och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av den rättsliga grunden. I EU:s dataskyddsförordning uppmärksammas att medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning i samband med antagandet av den nationella rätten som ligger till grund för utförandet av myndighetens uppgifter och som reglerar den aktuella specifika behandlingsåtgärden
eller serien av åtgärder.70 Sådana överväganden som hittills föregått bestämmelser som tillåter direktåtkomst förefaller motsvara i vart fall vissa beståndsdelar i en konsekvensbedömning enligt EU:s dataskyddsförordning, dvs. de risker som har identifierats och övervägts har bedömts som godtagbara.
EU:s dataskyddsförordning ställer dock inte upp något krav på att lagstiftaren ska ha genomfört en konsekvensbedömning i samband med införandet av den rättsliga grund som den särskilt riskfyllda behandlingen vilar på. Det enda som anges avseende denna fråga är att om så inte har skett behöver den personuppgiftsansvarige själv genomföra en sådan, och då eventuellt även förhandssamråda med tillsynsmyndigheten som har möjlighet att förbjuda behandlingen. EU:s dataskyddsförordning ställer därmed inte upp något krav på att en riskfylld behandling måste regleras särskilt. Att en rättslig grund enligt artikel 6.1 c eller e inte särskilt reglerar ett visst förfarande för behandling som kan innebära en hög integritetsrisk – om förordningens övriga bestämmelser inte iakttas – bör alltså inte i sig anses medföra att den rättsliga grunden framstår som oproportionerlig enligt artikel 6.3 i EU:s dataskyddsförordning. Behandlingen måste dock alltid uppfylla de grundläggande principerna för behandling och uppgifter måste behandlas på ett lagligt sätt.71
Att de överväganden som krävs för att bedöma om uppgifter kan lämnas ut elektroniskt eller vilken teknisk lösning som bör användas görs på myndighetsnivå bör enligt vår bedömning inte i sig medföra att den rättsliga grunden framstår som oproportionerlig. Behovsbedömningar och prövningar av detta slag får i stället anses vara en naturlig del i myndigheters verksamhet där utlämnandefrågor aktualiseras, oavsett formen för utlämnandet. Vi bedömer sammanfattningsvis att förslaget är proportionerligt och förenligt med EU:s dataskyddsförordning.
En upplysningsbestämmelse om rätten för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter
Det kan inte uteslutas att det kan uppstå ett behov av att meddela föreskrifter om CSN:s möjligheter att lämna ut personuppgifter elektroniskt. En konsekvens av vårt förslag är dock att direktåtkomst
70 Se skäl 93 till EU:s dataskyddsförordning. 71 Se skäl 39 till och artikel 5 i EU:s dataskyddsförordning.
eller andra former av elektroniskt utlämnande endast bör regleras i författning om sådan åtkomst behöver begränsas. Sådana bestämmelser kan meddelas i förordning med stöd av regeringens restkompetens. Det finns alltså utrymme för främst regeringen att meddela föreskrifter som begränsar myndighetens möjlighet att själva avgöra när det är lämpligt eller olämpligt att lämna ut personuppgifter elektroniskt. Av tydlighetsskäl bör en upplysningsbestämmelse som avser detta införas i den nya studiestödsdatalagen i anslutning till bestämmelsen om elektroniskt utlämnande av personuppgifter.
11.4.8. En bestämmelse om särskilda rutiner vid elektroniskt utlämnande
Vårt förslag: I den nya studiestödsdataförordningen ska det in-
föras en bestämmelse om att CSN ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Skälen för förslaget
Vi bedömer alltså att det inte finns skäl för att i författning skilja på olika typer av elektroniskt utlämnande. Det kan dock finnas anledning att i myndighetsspecifika rutiner närmare ange t.ex. vilka säkerhetsåtgärder olika system för informationsöverföring ska innehålla, olika tekniska lösningar som regelmässigt bör användas eller hur hanteringen på mottagarsidan generellt sett ska eller inte ska utformas.
Att på förhand förutse vilka närmare behov som – med anledning av den tekniska utvecklingen – kan uppstå vid elektroniskt utlämnande är mycket svårt. För att CSN:s hantering ska vara så flexibel som möjligt i förhållande till teknikutvecklingen bör myndigheten ges i uppgift att ta fram sådana rutiner. Det ska alltså vara CSN:s ansvar att se till att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Ett krav på framtagande av sådana rutiner säkerställer att CSN på förhand noggrant överväger genom vilka tekniska lösningar elektroniskt utlämnande får ske och att systemen för överföring utformas i enlighet med dataskyddsregleringen. På detta sätt utgör rutinerna en säkerhetsåtgärd som syftar till att minska riskerna för obefogat intrång i den personliga integriteten i samband med elektroniskt utlämnande. Genom kravet på att det finns rutiner kommer det att vara möjligt att i efterhand också följa upp att dessa följs. Vi bedömer att det är tillräckligt att krav på rutiner införs i studiestödsdataförordningen.
11.5. Särskilt om dataanalyser och urval
11.5.1. De generella skydds- och säkerhetsåtgärderna kommer att vara tillämpliga även vid dataanalyser och urval, men särskilda åtgärder bör införas
Vår bedömning: De generella skydds- och säkerhetsåtgärderna i
EU:s dataskyddsförordning, dataskyddslagen samt i förslaget till ny studiestödsdatalag med tillhörande förordning kommer att vara tillämpliga även vid behandling av personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel.
Vissa ytterligare bestämmelser om särskilda skydds- och säkerhetsåtgärder avseende dataanalyser och urval i nämnda syften bör införas i den föreslagna lagen respektive förordningen.
Skälen för bedömningen
Vi redogör i avsnitt 9.4.2 för vårt förslag att det i den nya studiestödsdatalagen ska införas en särskild primär ändamålsbestämmelse som ger stöd för att CSN får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i stödverksamheten. Som vi beskriver i nämnda avsnitt uppstår generellt vissa integritetsrisker när CSN behandlar personuppgifter vid dataanalyser och urval. Uppgifter som i sig inte är särskilt känsliga till sin art eller omfattning kan vid sambearbetning med andra uppgifter inom myndigheten eller från
andra myndigheter komma att få en betydligt mer integritetskänslig karaktär än när de behandlas inom t.ex. ett enskilt ärende. En sådan behandling kan dock vara särskilt integritetskänslig om dataanalyserna och urvalen är ämnade att användas för att bl.a. kontrollera enskilda. Det är framför allt sådan behandling som motiverar en särskild ändamålsreglering.
EU:s dataskyddsförordning och dataskyddslagen innehåller ett flertal bestämmelser om olika åtgärder som ska tillämpas vid all automatiserad behandling av personuppgifter i syfte att skydda fysiska personers personliga integritet. Det innebär att bestämmelser om bl.a. grundläggande principer för behandling, rättslig grund, personuppgiftsansvar, känsliga personuppgifter samt inbyggt dataskydd eller dataskydd som standard ska tillämpas av CSN även när myndigheten gör dataanalyser och urval, oavsett syftet med att använda verktygen. I artikel 32 i EU:s dataskyddsförordning finns bl.a. en skyldighet för den personuppgiftsansvarige att överväga pseudonymisering och kryptering av personuppgifter när det är lämpligt. Dataskyddslagens bestämmelser kommer att gälla för myndighetens personuppgiftsbehandling om inte annat följer av den föreslagna studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till denna.
Vi föreslår vidare att det ska införas vissa skydds- och säkerhetsåtgärder i den nya studiestödsdatalagen och förordningen. Det är bl.a. bestämmelser om sökbegränsningar, tillgång till personuppgifter, elektroniskt utlämnande av personuppgifter och längsta tid för behandling, se avsnitt 11.2–11.4 och 12.5. Den lagtekniska systematik som vi föreslår innebär att samtliga särskilt föreskrivna skydds- och säkerhetsåtgärder kommer att vara tillämpliga även vid behandling av personuppgifter vid dataanalyser och urval, oavsett syfte.
Med anledning av att behandlingen av personuppgifter vid dataanalyser och urval för att bl.a. kontrollera enskilda kan få en mer integritetskänslig karaktär än annan användning av verktygen, anser vi att det är nödvändigt att behandling som har stöd i den föreslagna särskilda ändamålsbestämmelsen om dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, omfattas av vissa särskilda skydds- och säkerhetsåtgärder. Sådana åtgärder syftar till att minska risken för onödiga integritetsintrång. Vid behandling av känsliga personuppgifter enligt artikel 9.2 g i EU:s dataskyddsförordning är det även ett krav att det ska finnas bestämmelser om lämpliga och
särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. CSN har redan i dag möjlighet att sammanställa personuppgifter i stödverksamheten. Den samlingen av information och i förekommande fall från andra myndigheter vid t.ex. utveckling av en urvalsmodell med hjälp av AI, kan dock komma att innebära särskilda risker. Det bör därför ställas höga krav på skydds- och säkerhetsåtgärder vid behandling av personuppgifter som sker vid dataanalyser och urval för att bl.a. kontrollera enskilda. I det följande redogör vi för våra förslag i denna del.
11.5.2. Dokumentationskrav
Vårt förslag: I den nya studiestödsdatalagen ska det införas en
bestämmelse som anger att innan personuppgifter behandlas för att göra dataanalyser och urval i syfte att förebygga, förhindra eller upptäcka fel, ska CSN dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Det ska i bestämmelsen också anges att sådan dokumentation ska uppdateras vid betydande förändringar av en pågående behandling.
Av bestämmelsen ska det även framgå att de metoder och sökbegrepp som används för att ta fram urval också ska dokumenteras.
Det ska också framgå av bestämmelsen att all dokumentation ska göras på ett sådant sätt att det är möjliggör kontroll i efterhand.
Vår bedömning: Proportionalitetsprincipen bör inte uttryckligen
regleras i studiestödsdatalagen avseende behandling av personuppgifter för att göra dataanalyser och urval.
Skälen för förslaget och bedömningen
Vissa allmänna principer av betydelse för krav på proportionalitet
I föregående avsnitt konstaterar vi att bl.a. de grundläggande principerna i artikel 5 i EU:s dataskyddsförordning, givetvis också gäller vid personuppgiftsbehandling som sker när CSN gör dataanalyser och urval, oavsett syftet med åtgärden. I artikel 5.2 i EU:s data-
skyddsförordning anges också att den personuppgiftsansvarige ska ansvara för och kunna visa att de grundläggande principerna efterlevs, vilket ofta brukar anses innefatta någon form av dokumentationskrav. EU:s dataskyddsförordning föreskriver också att den behandling som utförs ska vara proportionerlig i förhållande till behandlingens syfte.72
Utöver dataskyddsrättsliga principer finns vissa allmänna principer, varav vissa lagfästa, som myndigheter alltid måste iaktta när åtgärder vidtas. Exempelvis regleras legalitetsprincipen i 1 kap. 1 § tredje stycket RF där det anges att den offentliga makten utövas under lagarna. Vidare har legalitetsprincipen, objektivitetsprincipen och proportionalitetsprincipen lagfästs i förvaltningslagen.
Enligt 5 § första stycket FL får en myndighet endast vidta åtgärder som har stöd i rättsordningen (legalitetsprincipen). I bestämmelsens andra stycke föreskrivs att i sin verksamhet ska myndigheten vara saklig och opartisk (objektivitetsprincipen). Slutligen anges i tredje stycket att myndigheten får ingripa i ett enskilt intresse endast om åtgärden kan antas leda till det avsedda resultatet. Åtgärden får aldrig vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot (proportionalitetsprincipen). Dessa principer gäller för handläggning av ärenden och i annan förvaltningsverksamhet hos förvaltningsmyndigheter.73Dessa grundläggande principer gäller alltså även när CSN ska utföra dataanalyser och urval inom ramen för myndighetens uppdrag.
Studiestödsdatalagen bör inte reglera ett krav på en proportionalitetsbedömning
Såvitt vi känner till finns det inga myndighetsspecifika dataskyddslagar som innehåller en bestämmelse som uttryckligen lagfäster proportionalitetsprincipen.74 Någon sådan reglering har inte heller föreslagits eller införts i modern dataskyddsreglering för dataanalyser och urval.75Principen gäller dock vid all personuppgiftsbehandling som myndig-
72 Jfr skäl 4 till EU:s dataskyddsförordning. 73 Se 1 § förvaltningslagen (2017:900). 74Kamerabevakningslagen (2018:1200), som är en sektorsspecifik dataskyddsreglering, innehåller dock en anpassad proportionalitetsbedömning för kamerabevakning på plats dit allmänheten har tillträde. 75 Se t.ex. lagen om personuppgiftsbehandling vid Utbetalningsmyndigheten och SOU 2023:100,
Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 1157–1162.
heter utför, se inledningen av detta avsnitt. Vi anser – trots att dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel vanligtvis bör innebära en särskild risk för skyddet av enskildas personliga integritet – att principen inte ska regleras särskilt i den nya studiestödsdatalagen för sådan behandling. Även om en särskild bestämmelse om proportionalitetsprincipen i den nya lagen hade förstärkt vikten av att personuppgiftsbehandlingen alltid präglas av proportionalitet finns det skäl som talar emot ett sådant förslag. Eftersom en sådan uttrycklig bestämmelse hade utgjort just ett tydliggörande av vad som redan gäller, hade den inte på något sätt ersatt det faktum att CSN måste ta hänsyn till principen vid all personuppgiftsbehandling. En sådan bestämmelse hade alltså inte nödvändigtvis stärkt integritetsskyddet. Tvärtom riskerar en sådan bestämmelse att ge intrycket av att proportionalitetsprincipen främst ska tillämpas när CSN behandlar personuppgifter för att göra dataanalyser och urval i vissa syften, och inte vid all den övriga personuppgiftsbehandling som kommer att utföras med stöd av myndighetens nya dataskyddsreglering och den generella dataskyddsregleringen.
Att möjliggöra efterhandskontroller av behandlingen är av vikt för skyddet av den personliga integriteten
Genom dataanalyser och urval som får stöd i den särskilda ändamålsbestämmelse som vi föreslår i avsnitt 9.4.2 kommer uppgifter från CSN samt andra myndigheter att sambearbetas på ett sätt som kan innebära att uppgifternas karaktär blir mer integritetskänsliga än i de fall uppgifterna behandlas inom ramen för ett ärende. Detta särskilt eftersom urvalsträffar kan komma att användas av myndigheten för att vidta kontrollåtgärder mot enskilda. Dessa omständigheter innebär att det bör vara möjligt att i efterhand kontrollera vilka faktorer som låg till grund för användningen av analyserna och urvalen. Det är viktigt för att kunna garantera att CSN följer den generella och myndighetsspecifika dataskyddsregleringen vid sådan behandling. Det bidrar även till att göra det tydligt att myndigheten behöver göra noggranna överväganden innan personuppgifter behandlas för att göra dataanalyser och urval för sådana ändamål.
För skyddet av den personliga integriteten anser vi att det är av vikt att det i efterhand går att kontrollera CSN:s proportionalitetsbedömningar samt vilka metoder och sökbegrepp för urval som har
använts. Det ska genom dokumentationen gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, samt att uppgifterna används för tillåtna ändamål och inte behandlas under en längre tid än vad som behövs.76 Vi föreslår därför att det ska införas en särskild bestämmelse i den nya studiestödsdatalagen som innebär att innan personuppgifter behandlas för att göra dataanalyser och urval enligt den särskilda primära ändamålsbestämmelsen, ska myndighetens proportionalitetsbedömning samt de metoder och sökbegrepp som används för att ta fram urval dokumenteras på ett sådant sätt att det kan kontrolleras i efterhand. I bestämmelsen ska det också anges att dokumentationen ska uppdateras vid betydande förändringar. En sådan särskild skydds- och säkerhetsåtgärd har enligt oss en grundläggande betydelse för skyddet av enskildas personliga integritet och bör regleras i lag (jfr avsnitt 6.3).
Dokumentationens innehåll
Som vi redogör för ovan anser vi att den föreslagna studiestödsdatalagen inte bör innehålla något uttryckligt krav på att CSN ska göra en proportionalitetsbedömning inför personuppgiftsbehandling genom dataanalyser och urval med stöd av den särskilda ändamålsbestämmelsen. Detta hindrar inte, enligt vår mening, att lagen innehåller ett krav på dokumentation av myndighetens avvägning mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Att CSN vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår, som vi nämner ovan, redan av andra författningar, såsom förvaltningslagen och EU:s dataskyddsförordning. Den föreslagna bestämmelsen om krav på dokumentation ställer alltså inte upp några nya materiella krav på att en proportionalitetsbedömning ska göras, eftersom så är fallet redan i dag.
Vi föreslår även att de metoder som används för att ta fram urval ska dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand. Med metoder för att ta fram urval menas t.ex. urvalsmodeller som CSN tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel i stödverksamheten. Kravet är inte tänkt att
76 Se våra överväganden och förslag i avsnitt 9.4.2, 10.4, 12.5 och 12.8.
tolkas så att en urvalsmodell som bygger på t.ex. AI-teknik behöver förklaras i detalj. Det ska dock vara möjligt att i efterhand kunna kontrollera vilka metoder och tekniker som har använts vid utvecklingen av en sådan urvalsmodell. I detta kan det ingå att ange vilka typer av uppgifter som har använts för att träna och utforma modellen, vilket syfte den har, vilket resultat den gett i form av urvalsträffar samt andra liknande omständigheter.
Kravet på dokumentation av sökbegrepp syftar till att det i efterhand ska gå att kontrollera vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informationsmängd och hitta de poster eller uppgiftskonstellationer där begreppet förekommer. Sökbegrepp kan också användas för att välja bort information.77 Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer att användas som underlag för en viss dataanalys eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare. Kravet säkerställer att myndigheten inte gör sökningar som är otillåtna enligt de särskilda sökbegränsningar som vi föreslår, se avsnitt 11.2, eller att uppgifter som inte får behandlas ändå behandlas. Dokumentationskravet innebär inte att CSN måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art.
Sammanfattningsvis behöver CSN dokumentera bedömningen av vilka konsekvenser behandlingen kan få för skyddet av den personliga integriteten. I denna bedömning behöver CSN ta hänsyn till omständigheter såsom uppgifternas art och omfattning samt syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat. CSN:s bedömning av behandlingens proportionalitet och de omständigheter som ska dokumenteras ska gå att utläsa ur dokumentationen i efterhand. Det är inte möjligt att på förhand ange exakt vilka omständigheter som ska dokumenteras då det skiljer sig från fall till fall. Det viktiga är att det i efterhand går att kontrollera den gjorda avvägningen
77 Jfr prop. 2006/07:63, En anpassad försvarsunderrättelseverksamhet, s. 138 och SOU 2020:35,
Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 384.
mellan de olika intressena. Vi redogör dock nedan för ytterligare exempel på vad en proportionalitetsbedömning kan behöva innehålla.
Exempel på vad en proportionalitetsbedömning kan behöva innehålla
Vi anser alltså att kravet på dokumentation ska omfatta att redogöra för myndighetens proportionalitetsbedömning av behandlingen, dvs. avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Det finns med anledning av detta skäl för oss att exemplifiera vad en proportionalitetsbedömning av personuppgiftsbehandling vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel kan behöva innehålla.
Vid en proportionalitetsbedömning kan det vara fördelaktigt om CSN noggrant prövar samtliga skäl som talar för respektive mot att behandla personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Denna prövning kan enligt vår mening leda till att en åtgärd inte tillåts trots att de krav som den föreslagna studiestödsdatalagen och annan dataskyddsreglering ställer upp för att behandling av personuppgifter vid användning av sådana verktyg ska vara tillåten, är uppfyllda. Så skulle t.ex. kunna vara fallet om en mycket stor mängd personuppgifter, som även innehåller känsliga personuppgifter, behandlas vid dataanalyser för att göra ett urval som i slutändan endast förväntas kunna resultera i ett fåtal adekvata och relevanta urvalsträffar för att förhindra fel.
Vid bedömningen kan CSN också behöva säkerställa att användandet av dataanalyser och urval över huvud taget kan antas leda till det avsedda resultatet. Om det t.ex. finns en påtaglig risk för att behandlingen av vissa uppgifter helt saknar betydelse för det avsedda resultatet, eller att de kan leda till ett snedvridet eller diskriminerande resultat, kan detta vägas in i proportionalitetsbedömningen vilket kan resultera i att sådana uppgifter inte får behandlas. Myndigheten behöver ta hänsyn till proportionalitetsprincipen under hela den tid som uppgifterna används för dataanalyser och urval. Det kan tänkas uppstå situationer då behandlingen till en början bedömts vara proportionerlig, men där t.ex. utvecklingen och tillämpningen av en viss urvalsmodell måste avbrytas till följd av en tillämpning av proportionalitetsprincipen, trots att åtgärden fortsatt kan behövas för att effektivisera kontroll i ett visst avseende.
När CSN bedömer om personuppgifter ska behandlas för t.ex. kontroll av enskilda bör proportionalitetsprincipen vidare få betydelse när en planerad behandling innefattar känsliga personuppgifter eller en mycket omfattande mängd personuppgifter. Även syftet med de enskilda analyserna och urvalen bör spela in. Det resultat som myndigheten avser att uppnå med analyser och urval av sådan karaktär måste stå i rimligt förhållande till det bedömda integritetsintrånget.
Vid tillämpningen av proportionalitetsprincipen lär det även spela roll om de uppgifter som används har pseudonymiserats eller anonymiserats. Integritetsintrånget kan förväntas bli mindre genom sådana säkerhetsåtgärder. Det bör med andra ord alltid vägas in om andra åtgärder än att behandla personuppgifter avseende identifierbara fysiska personer kan användas för att uppnå samma resultat.
Det kan visserligen diskuteras i vilka situationer en proportionalitetsprövning kan tänkas leda till att personuppgifter inte får behandlas för att göra dataanalyser och urval i de fall övriga krav på bl.a. rättslig grund, uppgiftsminimering och särskilda skydds- och säkerhetsåtgärder är uppfyllda i enlighet med EU:s dataskyddsförordning och den föreslagna studiestödsdatalagen. Proportionalitetsprincipen är dock en redan befintlig grundläggande förvaltningsrättslig princip som CSN ska ta hänsyn till vid alla åtgärder som utförs i myndighetens förvaltningsverksamhet. Det är av förklarliga skäl svårt att på ett närmare sätt än vad vi gör ovan beskriva hur CSN kan gå till väga vid en proportionalitetsprövning av behandling för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, och i vilka fall den kan utmynna i att behandling inte får utföras. Det är inte heller meningen att denna redogörelse ska vara uttömmande, utan exemplifierande.
Dokumentationskravet behövs trots regleringen om konsekvensbedömning i EU:s dataskyddsförordning
Av artikel 35.1 i EU:s dataskyddsförordning framgår att den personuppgiftsansvarige ska göra en konsekvensbedömning avseende dataskydd om en typ av behandling, särskilt med användning av ny teknik, och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Om den personuppgiftsansvarige behöver utföra en
konsekvensbedömning enligt EU:s dataskyddsförordning ska denna innehålla åtminstone en systematisk beskrivning av den planerade behandlingen och behandlingens syften, en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena och en bedömning av riskerna för de registrerades rättigheter och friheter. Bedömningen ska också innehålla de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att EU:s dataskyddsförordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.78 Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, och om den rätten reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga, och om en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, gäller inte bestämmelserna om konsekvensbedömning i artikel 35.1–7, såvida inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.79
Redan av artikel 35 i EU:s dataskyddsförordning följer alltså att CSN behöver ta hänsyn till och bedöma behandlingens proportionalitet i förhållande till syftena. Det kan därför ifrågasättas om det behöver införas en särskild regel som avser ett krav på dokumentation av en liknande bedömning i den nya lagen. En konsekvensbedömning enligt artikel 35 behöver dock endast göras av myndigheten i vissa specifika situationer.80 Även om den behandling som myndigheten utför vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel sannolikt kräver en sådan bedömning, kan det inte uteslutas att det kommer finnas situationer då en mindre mängd uppgifter används på ett sätt som innebär att en konsekvensbedömning enligt EU:s dataskyddsförordning inte behöver göras. Vi bedömer därför att det finns skäl att införa det föreslagna kravet på dokumentation som en särskild skyddsåtgärd vid dataanalyser och urval.
78 Se artikel 35.7 i EU:s dataskyddsförordning. 79 Se artikel 35.10 i EU:s dataskyddsförordning. 80 Se artikel 35.4 i EU:s dataskyddsförordning och IMY:s förteckning enligt artikel 35.4 i dataskyddsförordningen (DI-2018-13200).
I de fall CSN är skyldig att göra en konsekvensbedömning enligt artikel 35 i EU:s dataskyddsförordning och därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndigheten samtidigt uppfyllt det föreslagna dokumentationskravet.
Fria former för dokumentation, men den ska göras innan en behandling inleds eller vid betydande förändringar
Vi anser att dokumentationen ska göras innan en behandling för att göra dataanalyser och urval inleds. Detta följer naturligt av att bedömningen som ska dokumenteras är avgörande för om behandlingen ens kan inledas. Dokumentationen ska också uppdateras vid betydande förändring av behandlingen. Med betydande förändring menas t.ex. att en helt ny teknik ska användas. Sker mindre förändringar i behandlingen bör detta inte föranleda att en ny proportionalitetsbedömning behövs och således inte heller att dokumentationen behöver uppdateras. Vi anser att det av tydlighetsskäl bör framgå av bestämmelsen när dokumentationen ska göras eller uppdateras.
Det är de särskilda och uttryckligt angivna ändamålen som avgränsar vilken behandling som en dokumentation ska omfatta. Exempelvis bör en dokumentation kunna omfatta bedömning av dataanalyser och urval för att upptäcka ärenden med hög risk för att den studerande har en för hög inkomst för att vara berättigad till studiemedel. Det bör dock i slutändan vara upp till CSN att avgränsa vad en viss behandling genom dataanalys och urval ska omfatta, och på så vis också hur dokumentationen ska utformas. Avseende formen för dokumentationen bör det också vara upp till myndigheten att avgöra denna mot bakgrund av vilka tekniska möjligheter som finns vid varje given tidpunkt.
Dokumentationen ska också ske på ett sådant sätt att det är möjligt att göra efterhandskontroller av de omständigheter som omfattas av kravet. Dokumentationskravet avser även att underlätta för tillsynsmyndighetens kontroll. Vi bedömer att den föreslagna utformningen av kravet på dokumentation innebär att de bedömningar och åtgärder som CSN har vidtagit för att få fram ett visst urval, vilket sedan kan komma att ligga till grund för kontroll av eller myndighetsutövning mot enskilda, möjliggör adekvat uppföljning av arbetet
med analyser och urval i efterhand. Detta stärker i sig skyddet för den personliga integriteten. Dokumentationskravet bedöms samtidigt inte vara utformat så att det medför att myndigheten behöver lägga allt för stora resurser på att uppfylla kravet i förhållande till vad som är rimligt med hänsyn till syftet med dokumentationen. Detta bl.a. då det kommer att vara upp till myndigheten att avgöra formen för dokumentationen.
11.5.3. Krav på särskilda rutiner
Vårt förslag: I den nya studiestödsdataförordningen ska det re-
gleras att CSN ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Skälen för förslaget
När det gäller det förslag om krav på dokumentation som vi redogör för i föregående avsnitt avseende metoder för att ta fram urval eller vilka sökbegrepp som använts, kan det finnas skäl att i myndighetsspecifika rutiner närmare ange t.ex. vilka sökbegrepp som regelmässigt får användas eller hur urvalsmodeller generellt sett ska eller inte ska utformas. Vi anser att det ska vara CSN:s uppgift att ta fram sådana rutiner. Detta då det är svårt att på förhand förutse vilka närmare behov som finns vid myndighetens arbete med dataanalyser och urval.
Ett krav på sådana rutiner säkerställer att CSN på förhand noggrant överväger vilka sökbegrepp som är tillåtna och som därmed bör användas vid dataanalyser och urval samt att urvalsmodeller utformas på ett sätt som är i enlighet med dataskyddsregleringen. På detta sätt utgör rutiner en begränsning för den behandling som får utföras, vilket syftar till att minska riskerna för obefogat intrång i den personliga integriteten. Genom att det enligt vårt förslag om ett dokumentationskrav kommer att vara möjligt att i efterhand följa upp vilka sökbegrepp och metoder för urval som har använts vid dataanalyser och urval, kommer det även vara möjligt att kontrollera att fastställda rutiner följs. Ett krav på att CSN ska ta fram rutiner
har inte lika stark betydelse för skyddet av den personliga integriteten som dokumentationskravet. Vi bedömer därför att det är tillräckligt att sådana krav på rutiner införs i förordning.81
81 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 147.
12. Bestämmelser om längsta tid för behandling
12.1. Inledning
Enligt våra direktiv finns det skäl att utreda om nuvarande bestämmelser i CSN:s registerförfattningar om bevarande och gallring är ändamålsenliga. Vi har också i uppdrag att överväga om det i stället för gallringsbestämmelser bör finnas bestämmelser med tydligare koppling till de tillåtna ändamålen för personuppgiftsbehandling eller om längsta tid som personuppgifter får behandlas. I detta kapitel redogör vi för våra bedömningar i dessa frågor samt vårt förslag om att det ska införas en bestämmelse om längsta tid för behandling i den nya studiestödsdatalagen. Vi presenterar också vår bedömning om att några yttre tidsgränser inte bör anges i författning, men föreslår ett bemyndigande i lag för regeringen att föreskriva sådana tidsgränser. Avslutningsvis redogör vi för vår bedömning att det inte behövs någon särskild reglering för dataanalyser och urval i detta avseende.
Inledningsvis redogör vi för förhållandet mellan arkiv- och dataskyddsregleringen och motiven till gällande gallringsbestämmelser i CSN:s registerförfattningar.
12.2. Arkivrättslig hänsyn, dataskydd och sekretess
12.2.1. Arkivrättslig reglering
En förutsättning för att handlingsoffentligheten, se avsnitt 3.4.2, ska kunna utnyttjas är att allmänna handlingar inte förstörs eller görs otillgängliga på annat sätt. I arkivlagen (1990:782) och arkiv-
förordningen (1991:446) finns bestämmelser om bevarande och gallring av uppgifter hos myndigheter och vissa andra organ. Utgångspunkten i arkivlagen är att allmänna handlingar ska bevaras men under vissa förutsättningar får gallras. Arkivlagens bestämmelser om gallring är subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde.1 Bestämmelser om gallring av personuppgifter i registerförfattningar är ett exempel på sådana avvikande bestämmelser.
Utöver arkivförordningen fylls arkivlagen ut med de myndighetsspecifika föreskrifter och beslut eller de generella föreskrifter som arkivmyndigheten utfärdar. Gallring hos statliga myndigheter sker med stöd av föreskrifter eller särskilda beslut av Riksarkivet.
Riksarkivets föreskrifter
Den statliga arkivmyndigheten
En statlig myndighet har inte behörighet att på egen hand avgöra vilka allmänna handlingar som ska gallras ur dess arkiv. Regeringen bestämmer enligt 8 § arkivlagen vilken arkivmyndighet som ska finnas för tillsynen över de statliga myndigheterna. Riksarkivet är den statliga arkivmyndighet som har särskilt ansvar för den statliga arkivverksamheten och för arkivvården. Genom arkivförordningen har Riksarkivet bemyndigande att föreskriva och besluta om gallring av allmänna handlingar hos statliga myndigheter. Statliga myndigheter får alltså gallra allmänna handlingar bara i enlighet med föreskrifter eller beslut av Riksarkivet eller enligt särskilda gallringsföreskrifter i lag eller förordning.2
Föreskrifter och beslut om bevarande och gallring meddelade av Riksarkivet finns publicerade dels i en generell föreskriftsserie som gäller samtliga statliga myndigheter, dels i en myndighetsspecifik föreskriftsserie.3
1 Se 10 § tredje stycket arkivlagen (1990:782). 2 Jfr 10 § tredje stycket arkivlagen och 14 § arkivförordningen (1991:446). 3 Se RA-FS respektive RA-MS.
RA-FS
Riksarkivets generella föreskrifter och allmänna råd publiceras i Riksarkivets författningssamling (RA-FS). Föreskrifterna ska i regel tillämpas av alla statliga myndigheter. Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter (RA-FS 1991:1)4omfattar allmänna regler för alla områden inom myndigheters arkivhantering. Bestämmelserna omfattar allt från avgränsning och organisation av arkiv till arkivredovisning och gallring samt framställning, förvaring, skydd och överlämnande av handlingar. Övriga föreskrifter i serien förtydligar och kompletterar de allmänna reglerna inom olika områden. De generella föreskrifterna om gallring omfattar till större delen handlingar inom myndigheters administrativa verksamhet, vilka oftast genomförs på liknande sätt och avsätter liknande handlingar. I vissa fall regleras även gallring i kärnverksamheter hos myndigheter med liknande uppdrag.5
RA-MS
Riksarkivet utfärdar även myndighetsspecifika föreskrifter och beslut (RA-MS) i fall där de generella föreskrifterna inte går att tillämpa, t.ex. för handlingar som tillkommer en specifik verksamhet. I de myndighetsspecifika föreskrifterna regleras bl.a. gallring, överlämnande, införlivande, utlån, bevarande samt undantag från de generella föreskrifterna. I de fall Riksarkivet fått bemyndigande att föreskriva om undantag från gallring som regleras i t.ex. en registerförfattning, dvs. att personuppgifter får bevaras för vissa ändamål i stället för att gallras, meddelas sådana bestämmelser i serien RA-MS.
Till skillnad från de generella gallringsföreskrifterna initierar i regel myndigheterna själva de myndighetsspecifika föreskrifterna om gallring och bevarande. Det går till så att myndigheten utreder och framställer om gallring eller bevarande till Riksarkivet som sedan bedömer och beslutar. Ett ärende kan resultera i att framställan beviljas och att Riksarkivet utfärdar föreskrifter eller beslut i form av en
4 Ändrade och omtryckta genom: RA-FS 1997:4, ändrade genom: RA-FS 2008:4, RA-FS 2012:1 och RA-FS 2018:2, ändrade och omtryckta genom: RA-FS 2019:2, ändrade genom: RA-FS 2021:4, RA-FS 2021:5, RA-FS 2022:4 och RA-FS 2024:1. 5 Riksarkivet, Riksarkivets vägledning Framställningar om myndighetsspecifika föreskrifter (RA-MS), version 1.2, s. 6.
RA-MS. I andra fall kan det resultera i att Riksarkivet beslutar att avslå eller avvisa framställan.6
12.2.2. Dataskyddsrättslig reglering
Principen om lagringsminimering
Det följer inte någon skyldighet att gallra personuppgifter i arkivrättslig mening enligt EU:s dataskyddsförordning. Förordningen reglerar alltså inte vad som ska bevaras eller gallras. Utgångspunkten enligt det dataskyddsrättliga regelverket är i stället principen om lagringsminimering, vilken framgår av artikel 5.1 e i EU:s dataskyddsförordning och är en av de grundläggande principerna för personuppgiftsbehandling, se avsnitt 3.3.2. Enligt bestämmelsen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I vissa fall måste den personuppgiftsansvariga myndigheten dock spara uppgifterna under en längre tid för behandling enligt insamlingsändamålet, t.ex. om det finns andra rättsliga förpliktelser som åligger myndigheten. Principen om lagringsminimering innebär att den personuppgiftsansvariga myndigheten måste se till att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum.7
Särskilda regler gäller om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Om personuppgifter behandlas enbart för dessa ändamål, får de lagras under längre perioder under förutsättning att lämpliga tekniska och organisatoriska åtgärder vidtas.8 Regeringen har uttalat att det står klart att den behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse.9
Medan utgångspunkten i det arkivrättsliga regelverket bygger på att allmänna handlingar, inklusive eventuella personuppgifter i dessa, ska bevaras, är alltså utgångspunkten i det dataskyddsrättsliga
6Riksarkivets vägledning Framställningar om myndighetsspecifika föreskrifter (RA-MS), version 1.2, s. 4. 7 Se skäl 39 till EU:s dataskyddsförordning. 8 Jfr artikel 5.1 e och 89.1 i EU:s dataskyddsförordning. 9 Se prop. 2017/18:105, Ny dataskyddslag, s. 110.
regelverket att uppgifter inte ska behandlas under längre tid än vad som behövs för ändamålet.
Gallring och längsta tid för behandling i nationell kompletterande reglering
Som en logisk följd av att EU:s dataskyddsförordning inte innehåller bestämmelser om bevarande och gallring gör inte heller dataskyddslagen det. Dataskyddslagen saknar även bestämmelser om längsta tid för behandling av personuppgifter. I 1 kap. 7 § anges dock att EU:s dataskyddsförordning inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Av 3 kap. 6 § dataskyddslagen framgår att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. I förarbetena till bestämmelsen framgår att med föreskrifter om arkiv avses bl.a. föreskrifter i arkivlagen och arkivförordningen samt i Riksarkivets och andra arkivmyndigheters föreskrifter.10
I 4 kap. 1 § första stycket dataskyddslagen anges att personuppgifter som behandlas enbart för arkivändamål av allmänt intresse får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Av paragrafens andra stycke framgår dock att det som sägs i första stycket inte hindrar myndigheter från att använda personuppgifter som finns i allmänna handlingar.
Det har sedan länge funnits bestämmelser om gallring i olika registerförfattningar. Redan då databaserade myndighetsregister började diskuteras i den allmänna debatten uppmärksammades att det var viktigt ur integritetssynpunkt att personregister gallrades. I förarbetena till lagen som gällde innan personuppgiftslagen (1998:204), datalagen (1973:289), lyftes bl.a. fram som en integritetsrisk att ofördelaktiga uppgifter om en persons förflutna i otillbörlig grad påverkar hennes eller hans möjligheter i framtiden.11 Integritetshänsyn motiverade även bestämmelsen i 10 § arkivlagen där det
10 Se prop. 2017/18, Ny dataskyddslag, s. 196 och 197. 11 Se prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförord-
ningen, m.m., s. 42 och 129.
framgår att myndigheter enbart ska tillämpa de generella bestämmelserna om det inte finns avvikande bestämmelser om gallring i annan lag eller förordning.12
I registerförfattningar avser begreppet inte att i arkivvårdande syfte helt eller delvis förstöra allmänna handlingar i enlighet med arkivlagens bestämmelser. Bestämmelser om gallring avser i stället att av integritetsskäl radera personuppgifter eller på annat sätt vidta åtgärder så att uppgifterna inte förekommer i ett visst sammanhang. I dataskyddssammanhang används med andra ord gallring inte som ett undantag från principen om att allmänna handlingar ska bevaras, utan som ett led i skyddet av den personliga integriteten. Gallring begränsas i det sammanhanget inte heller till att omfatta enbart allmänna handlingar. Utgångspunkten har i registerförfattningar varit den omvända i förhållande till arkivlagen, dvs. gallring är huvudregel och bevarande av personuppgifter ett undantag. I ett flertal registerförfattningar finns även bestämmelser om undantag från gallring.
Sedan ikraftträdandet av EU:s dataskyddsförordning har det skett en viss förändring i begreppsanvändningen på området. För att tydligt skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter har regeringen i flera lagstiftningsärenden uttryckt att begreppen bevarande och gallring i nya registerförfattningar enbart bör användas i den betydelse de har i arkivregleringen. I stället för gallring bör enligt regeringen begreppen längsta tid för behandling och upphörande av behandling användas, när bestämmelser tar sikte på skyddet för den personliga integriteten och ändamålen med behandlingen.13 Det måste samtidigt beaktas att bestämmelser om gallring och bestämmelser om längsta tid för behandling av personuppgifter inte fyller samma funktion och därmed inte är helt utbytbara. Att personuppgifter upphör att behandlas innebär inte nödvändigtvis att handlingarna gallras.14
12 Jfr prop. 1989/90:72, om arkiv m.m., s. 32 och SOU 2015:39, Myndighetsdatalag, s. 533. 13 Se bl.a. prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 120 och 121, prop. 2020/21:124, Transportstyrelsens olycksdatabas, s. 75 och 76 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 149 och 150. 14 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 80.
12.2.3. Sekretessreglering
Av betydelse från integritetssynpunkt vid frågor om bevarande och gallring av personuppgifter är hur länge eventuellt sekretesskydd för uppgifterna gäller. Sekretesstidens längd för uppgift i allmän handling varierar normalt beroende på vilket skyddsintresse som har föranlett sekretessen. När det gäller skyddet för enskildas personliga förhållanden är i dag den längsta tiden för sekretess sjuttio år. Den längre sekretesstiden har ofta motiverats med att sekretessen som utgångspunkt bör gälla under större delen av den enskildes livstid.15
Sekretess för uppgifter om enskildas personliga eller ekonomiska förhållanden i ärende om studiestöd, körkortslån och lån till hemutrustning gäller i högst 50 år (se även våra förslag i avsnitt 13.2).16
12.3. Befintlig reglering om bevarande och gallring i CSN:s registerförfattningar
12.3.1. Motiven till nuvarande bestämmelser
Vi redogör i avsnitt 4.3 för innehållet i nuvarande 16 § studiestödsdatalagen (2009:287) och 16 § studiestödsdataförordningen (2009:321) som reglerar gallring. Dessa bestämmelser är sådana som gäller i stället för regleringen i arkivlagen.17
Bestämmelsernas utgångspunkt är att personuppgifter ska gallras inom en viss föreskriven tid, men Riksarkivet har bemyndigande att i föreskrifter reglera undantag från huvudregeln, dvs. att uppgifterna ska bevaras.18 Även CSN har möjlighet att på eget initiativ besluta att personuppgifter ska bevaras i enskilda fall, dock längst till dess att uppgifterna inte längre bedöms nödvändiga för det ändamål för vilka de behandlas.19
I samband med att studiestödsdatalagen tillkom konstaterade regeringen att när personuppgifter behandlas automatiserat uppstår helt andra möjligheter att söka och sammanställa information än vid ett traditionellt pappersbaserat lagringsystem. Sådan behandling
15 Se bl.a. prop. 1979/80:2, med förslag till sekretesslag m.m., Del A s. 460, 493 och 494 och prop. 2020/21:15, Sekretess för uppgifter om statliga tjänstepensionsförmåner, s. 19. 16 Se 28 kap. 9 § OSL. 17 Jfr 10 § tredje stycket arkivlagen. 18 Se 16 § studiestödsdataförordningen (2009:321). 19 Se 16 § tredje stycket studiestödsdatalagen (2009:287).
ansåg regeringen ökar risken för integritetskränkningar. Med hänsyn till integritetsintresset ansåg regeringen därför att det var nödvändigt med gallringsbestämmelser för sådan behandling av personuppgifter. Regeringen ansåg vidare att det fanns ett behov av att gallringsbestämmelser i studiestödsdatalagen anger när personuppgifter ska gallras på ett preciserat sätt och att bestämmelsen så långt som möjligt skulle ange en specificerad tidsrymd inom vilken personuppgifter senast ska gallras.20 Detta resulterade alltså i den detaljerade gallringsbestämmelse som i dag finns i studiestödsdatalagen.
Gallringsbestämmelsen uppdaterades genom ändringarna av studiestödsdatalagen som trädde i kraft 2020. Tidigare framgick det av sista stycket i 16 § studiestödsdatalagen att CSN i enstaka fall fick besluta att personuppgifterna i ett ärende om studiestöd skulle bevaras på papper eller annat medium som inte är elektroniskt. Ändringen innebar endast att formen för bevarandet togs bort, vilket medför att CSN i de enskilda fall myndigheten bedömer att bevarande är nödvändigt inte behöver bevara personuppgifterna i pappersform eller på annat medium som inte är elektroniskt. Syftet med ändringen var att bestämmelsen skulle bli teknikneutral.21
12.3.2. Undantag från gallring
Riksarkivet får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för redovisningsändamål, vilka även får avvika från 16 § studiestödsdatalagen, dvs. undantag från huvudregeln att personuppgifter ska gallras. Sådana föreskrifter har meddelats genom RA-MS 2013:6, som sedan de tillkom ändrats vid ett flertal tillfällen.22
20 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 70. 21 Se prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksam-
heten, s. 30 och 31.
22 Se RA-MS 2013:30, RA-MS 2020:48 och RA-MS 2022:7.
12.4. Nuvarande bestämmelser är inte ändamålsenliga
Vår bedömning: Bestämmelser i nuvarande studiestödsdatalag
och studiestödsdataförordning om gallring och bevarande är inte ändamålsenliga.
Skälen för bedömningen
CSN:s uppfattning om regleringen och behovet av förändring
CSN:s uppfattning är att tillämpningen av befintlig reglering om gallring i myndighetens registerförfattningar kompliceras av att den är en sammanblandning av arkiv- och dataskyddsreglering. Enligt CSN är nuvarande bestämmelser i studiestödsdatalagen också så pass detaljerade att lagen i praktiken fungerar mycket oflexibelt. Enligt myndigheten behöver regleringen få en tydligare koppling till behovet av att behandla personuppgifter utifrån CSN:s uppdrag.
Ett exempel som myndigheten redovisar är att den i dag enligt huvudregeln kan behöva gallra personuppgifter i ett ärende där det har konstaterats en förhöjd risk för felaktiga utbetalningar, men som ännu inte hunnit kontrolleras manuellt. På grund av nuvarande reglering har CSN också svårt att följa upp och i efterhand dra lärdom av ärenden där brottslighet har konstaterats. Ett exempel på detta är att gallringsfristerna försvårar bevarande av konstaterade förfalskade handlingar, eftersom en sådan handling normalt helt skulle förlora sitt värde som bevis på en genomförd förfalskning om den avidentifieras.
CSN för också fram att det kan ta tid att hantera uppkomna behov av att bevara personuppgifterna längre än vad som står föreskrivet i 16 § studiestödsdatalagen. Myndigheten kan förvisso besluta att personuppgifterna får bevaras längre i enskilda fall, men kan inte på ett generellt plan undanta uppgifter från gallring. Ett sådant längre bevarande kan dessutom inte beslutas för att tillgodose behov i stödverksamheten.23 Då måste myndigheten i stället göra en framställan till Riksarkivet och invänta beslut. Den aktuella ordningen är enligt myndigheten ineffektiv och försvårar dess verksamhet.
23 Jfr 16 § tredje stycket studiestödsdatalagen.
Den tekniska utvecklingen
Den snabba tekniska utvecklingen medför att flera nya typer av handlingar måste hanteras, vilket i arkivrättsliga sammanhang har bedömts ställa andra slags krav på myndigheter än tidigare.24 Någon pappersakt som kan bevaras i arkiven enligt andra regler än registerförfattningens finns dessutom inte i en helt digital miljö.
Utvecklingen har fått till följd att Riksarkivet har meddelat ett flertal föreskrifter om undantag från gallringsbestämmelser, se avsnitt 12.3.2. I dag är gallringsbestämmelserna i många fall så genombrutna av föreskrivna undantag att det är svårt att få en överblick över vilka bestämmelser som faktiskt ska tillämpas. Att Riksarkivet skulle behöva justera gallringsfristerna för att tillgodose behov i CSN:s verksamhet förutsågs visserligen redan när gallringsregleringen infördes.25 Riksarkivet är dock en statlig arkivmyndighet och har det särskilda ansvaret för hela den statliga arkivverksamheten och för arkivvården i landet som framgår av arkivlagen, arkivförordningen och myndighetens instruktion.26 Riksarkivet saknar av naturliga skäl närmare insikt i CSN:s behov.
Riksarkivet har vidare inget uppdrag att övervaka dataskyddsregleringen inom CSN eller på annat sätt se över bestämmelser som motiveras av integritetshänsyn. Att den statliga arkivmyndigheten uppdras att justera tid för bevarande i förhållande till annars tvingande gallringsfrister införda av integritetshänsyn, i syfte att tillgodose myndighetens behov av att kunna fortsätta behandla uppgifter för vissa ändamål, är enligt vår mening inte ändamålsenligt. Riksarkivet kan inte heller tillgodose behov i stödverksamheten, utan endast behov hänförliga till arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, statistiska ändamål eller för redovisningsändamål.
Den tekniska utvecklingen har sammanfattningsvis medfört ett behov av nya överväganden i frågor om bevarande och gallring av handlingar inom myndighetens verksamhet. Utifrån detta perspektiv kan dagens gallringsbestämmelser inte anses vara ändamålsenliga.
24 Jfr SOU 2019:58, Härifrån till evigheten – en långsiktig arkivpolitik för förvaltning och
kulturarv, s. 268.
25 Se prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 73. 26 Jfr 1 § förordningen (2009:1593) med instruktion för Riksarkivet.
Den rättsliga utvecklingen
Gallring enligt det arkivrättsliga regelverket sker normalt av praktiska och ekonomiska skäl. Sådan gallring syftar till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde eller som bara utgör dubblering av informationsvärde som är tydligt begränsat i tiden. En riktigt utförd gallring bör få till resultat att myndigheters arkiv blir mer överskådliga och effektiva som informationskällor.27 När bestämmelser om gallring fördes in i CSN:s registerförfattningar var det i stället integritetshänsyn som motiverade bestämmelserna. Syftet med att införa bestämmelser om gallring var alltså framför allt att skydda den enskildes personliga integritet. Utgångspunkten var vidare att det omvända i förhållande till arkivlagen, dvs. gallring är huvudregel och bevarande av personuppgifter ett undantag.
Som vi konstaterar i avsnitt 5.5 innebär EU:s dataskyddsförordning en mer omfattande dataskyddsreglering än 1995 års dataskyddsdirektiv och personuppgiftslagen. I dag finns det högre krav på att myndigheter ska vidta åtgärder för att kunna säkerställa att personuppgifter inte behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, än när de befintliga gallringsbestämmelserna infördes. Enligt EU:s dataskyddsförordning måste myndigheter dessutom vidta åtgärder som säkerställer en lämplig säkerhet för de personuppgifter som får behandlas.28 Myndigheter måste också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.29Den skyldigheten gäller mängden insamlade personuppgifter, tiden för deras lagring och deras tillgänglighet. Den personuppgiftsansvarige bör enligt EU:s dataskyddsförordning också införa tidsfrister för radering för att säkerställa att personuppgifter inte sparas längre än nödvändigt.30
En tillämpning av principen om lagringsminimering och övriga bestämmelser i EU:s dataskyddsförordning bör rent allmänt medföra att behovet av gallringsbestämmelser i integritetsskyddande syfte minskar.
27 Se prop. 1989/90:72, om arkiv m.m., s. 40 och 41. 28 Se artikel 32 i EU:s dataskyddsförordning. 29 Se artikel 25.2 i EU:s dataskyddsförordning. 30 Se skäl 39 till EU:s dataskyddsförordning.
12.5. En generell bestämmelse om längsta tid för behandling ska införas i studiestödsdatalagen
Vårt förslag: I den nya studiestödsdatalagen ska det införas en
generell bestämmelse om att behandling av personuppgifter inte får pågå under längre tid än nödvändigt. Bestämmelsen ska endast begränsa behandling för ändamål inom lagens tillämpningsområde.
Vår bedömning: Det finns inget behov av att reglera en yttersta
tidsfrist för behandling.
Skälen för förslaget och bedömningen
Dataskyddsregler och arkivrättsliga regler bör hållas åtskilda
Det har sedan länge funnits bestämmelser om gallring av personuppgifter i flertalet olika registerförfattningar. Så som vi beskriver i avsnitt 12.3.1 var syftet med att införa sådana bestämmelser i CSN:s registerförfattningar att skydda den enskildes personliga integritet, vilket även har varit syftet med liknande bestämmelser i andra registerförfattningar.31 Det har dock nyligen bedömts att det är svårt att se gallringsregler som rena dataskyddsregler, då syftet inte alltid är att skydda enskildas personliga integritet.32 Vi håller med om denna bedömning.
Det har i flera olika sammanhang konstaterats att begreppen bevar-
ande och gallring uteslutande bör hänföra sig till den arkivrättsliga
regleringen. Det har konstaterats att det finns vissa fundamentala skillnader i innebörden av begreppsbildningen i den dataskyddsrättsliga och den arkivrättsliga regleringen. Till skillnad från arkivregleringen gäller regleringen för personuppgiftsbehandling inte enbart uppgifter i allmänna handlingar. Utgångspunkten i registerförfattningar är dessutom den omvända i förhållande till arkivlagen, dvs. att gallring är huvudregel och bevarande av personuppgifter är undantag.33
31 Jfr t.ex. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 116. 32 Jfr SOU 2022:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 872 och 873. 33 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 149 och SOU 2022:100, Framtidens
dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 873.
När samma begrepp används på ungefär samma sätt, men ändå med vissa grundläggande skillnader, är det enligt oss som upplagt för tolkningsproblem i tillämpningen av de olika regelverken. Mot denna bakgrund och med hänvisning till tidigare förarbetsuttalanden är det vår bedömning att bestämmelser som reglerar gallring och bevarande enbart bör förekomma i arkivrättsliga sammanhang. Vi menar att sådana bestämmelser inte bör tillämpas utifrån integritetshänsyn utan som en nödvändig del i att hantera arkivtillväxten och underlätta användningen av arkiven.34 När syftet är att skydda den personliga integriteten, och regleringen endast omfattar personuppgifter, bör i stället den yttersta gränsen för hur länge personuppgifter får behandlas anges. På så sätt säkerställs en tydlig skillnad mellan dataskydds- och arkivrättsliga regler, vilket också underlättar tillämpningen av de olika regelverken.
Dataskyddsbestämmelser i CSN:s registerförfattningar bör ansluta till terminologin i EU:s dataskyddsförordning
Som vi beskriver i avsnitt 12.2.2 ska personuppgifter enligt EU:s dataskyddsförordnings grundläggande princip om lagringsminimering inte behandlas om det inte längre är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Vi anser att den principen bör komma till uttryck i den nya studiestödsdatalagen och utgöra en huvudregel för personuppgiftsbehandling vid CSN. Begreppen längsta
tid för behandling och upphörande av behandling bör alltså användas
i stället för gallring, när bestämmelserna tar sikte på skyddet av den personliga integriteten och ändamålen med behandlingen. Vi föreslår därför att det ska införas en bestämmelse i den nya studiestödsdatalagen om att personuppgifter inte får behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
34 Jfr SOU 2019:58, Härifrån till evigheten – en långsiktig arkivpolitik för förvaltning och
kulturarv, s. 243.
En yttersta tidsfrist är inte nödvändig
Vår uppfattning är att en yttersta tidsfrist för behandling inte behöver anges i författning. Vi föreslår därför att bestämmelser som förtydligar principen om lagringsminimering ska formuleras så att de genomgående anger att det är ändamålet med behandlingen som avgör hur länge uppgifterna får behandlas. Den föreslagna bestämmelsen säkerställer den grundläggande principen om att endast uppgifter som behöver behandlas ska behandlas. När det inte längre finns något behov av att behandla personuppgifter ska de tas bort eller avidentifieras.
Bestämmelsen möjliggör samtidigt behandling under den tid som den är nödvändig för ändamålet, t.ex. för att följa en historisk utveckling av en viss företeelse. Det är framför allt verksamhetsskäl och myndighetssamverkan som bör vara styrande för bedömningen av om uppgifterna fortfarande behövs. Berättigade och motiverade behov av en längre tids behandling kan på så sätt tillgodoses utan dagens omständliga förfarande med fasta gallringsfrister, där en framställan först måste göras hos Riksarkivet, som efter utredning kan föreskriva om undantag från gallring, se avsnitt 12.2.4.
Den föreslagna bestämmelsen ger CSN vida ramar för bedömningen av vilka uppgifter som myndigheten får fortsätta behandla i kärnverksamheten. Det som avses i bestämmelsen är dock ändamålet i det enskilda fallet och behovet av att fortsätta behandla uppgifterna kommer därför att behöva prövas kontinuerligt. Uppgifterna kommer ofta att behandlas för flera olika ändamål, liksom i dag, och kan vara tillgängliga i olika verksamhetssystem. Det kan förekomma att behovet av att behandla personuppgifter upphör avseende behandling för ett ändamål, medan det kvarstår för ett annat. Personuppgifterna får då fortsätta att behandlas för det kvarstående ändamålet. Den föreslagna bestämmelsen medför alltså inget krav på att all behandling ska upphöra bara för att den behöver upphöra för ett av flera ändamål.
Bestämmelsen kräver dock att de uppgifter som inte längre behöver behandlas för ett visst ändamål också avslutas för det ändamålet, i enlighet med principen om lagringsminimering. I enlighet med ansvarsprincipen, som regleras i artikel 5.2 i EU:s dataskyddsförordning, ska CSN också kunna visa att bl.a. principen om lag-
ringsminimering efterlevs, t.ex. inför sitt dataskyddsombud eller tillsynsmyndigheten.
Förslaget är proportionerligt och förenligt med EU:s dataskyddsförordning
När Riksarkivet meddelar beslut eller föreskrifter om gallring i enlighet med arkivlagen är det rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov som är styrande. Det arkivrättsliga regelverket syftar alltså inte till att tillgodose intresset av integritetsskydd. Det arkivrättsliga regelverket gäller dessutom endast allmänna handlingar. De bestämmelser om gallring som finns i eller följer av arkivlagen innebär att gallring får ske, men föreskriver inte att gallring ska ske. Nuvarande bestämmelser om gallring i studiestödsdatalagen är motiverade av integritetshänsyn och tvingande för CSN, om inte Riksarkivet meddelat föreskrifter med innebörden att uppgifter och handlingar i stället ska bevaras eller undantas från gallring. Våra förslag innebär att det inte kommer att finnas någon tvingande gallringsbestämmelse och inte heller någon yttersta tidsgräns för behandling i den nya studiestödsdatalagen.
En bestämmelse av detta slag ställer höga krav på den personuppgiftsansvarige, dvs. CSN. I stället för att utgå från en tydlig yttersta tidsfrist kommer myndigheten löpande att behöva göra prövningar av om det är motiverat att personuppgifter behandlas. En längre tids behandling av en stor mängd personuppgifter innebär visserligen ett större integritetsintrång för den enskilde. Vi anser dock att det inte går att dra slutsatsen att behandling generellt kommer att utsträckas i tid i förhållande till de gallringsfrister som gäller i dag. Med fasta gallringsfrister finns alltid en risk att uppgifter finns tillgängliga i ett verksamhetssystem under hela den tid som anges i fristen, utan att myndigheten prövar om den fortsatta behandlingen är berättigad i förhållande till ändamålet. Den föreslagna bestämmelsen om längsta tid för behandling kommer därmed troligen att innebära att vissa uppgifter behandlas under en kortare tid än i dag, och vissa uppgifter under ungefär lika lång tid som i dag.
De beskrivna behoven tyder på att behandlingen inom myndigheten i vissa sammanhang kommer att pågå under en längre tid än vad som är tillåtet enligt dagens bestämmelser. Den längre behand-
lingen kommer dock troligtvis främst vara motiverad av att CSN ska kunna kontrollera ärenden där en förhöjd risk för felaktiga utbetalningar kan konstateras. Mot den bakgrunden bedömer vi att de eventuella ökade integritetsintrång som en längre tids behandling medför vägs upp av det starka motstående intresset av att upptäcka felaktiga utbetalningar i Sveriges välfärdssystem.
Genom den föreslagna regleringen ges myndigheten flexibla möjligheter att anpassa hur länge personuppgifter ska behandlas. Regleringen ges också en tydligare koppling till behovet av att behandla personuppgifter utifrån CSN:s uppdrag. På detta sätt kan CSN utföra sina reglerade arbetsuppgifter på ett mer ändamålsenligt sätt än i dag. Behovet av att effektivt kunna arbete med att motverka felaktiga utbetalningar och bidragsbrott tillgodoses också genom förslagen.
CSN har också en skyldighet enligt EU:s dataskyddsförordning att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast de uppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, vilket även gäller tiden för uppgifternas lagring.35 Det kan alltså komma att krävas att befintliga verksamhetssystem ändras i syfte att kunna tillgodose möjligheten till kontinuerliga bedömningar, snarare än en fast tidsram.
Våra förslag syftar till att anpassa regleringen av hur länge personuppgifter får behandlas i CSN:s kärnverksamhet till EU:s dataskyddsförordning och de tekniska förutsättningar för personuppgiftsbehandling som råder i dag. Mot det eventuella integritetsintrång förslaget medför bör ställas myndighetens behov av att kunna bedriva sin verksamhet på ett ändamålsenligt sätt och vårda sina arkiv i enlighet med arkivlagens bestämmelser. Förslagen möjliggör för CSN att i högre utsträckning än i dag behandla personuppgifter i den utsträckning det behövs för att utföra verksamheten. Genom att principen om lagringsminimering motsvaras av en bestämmelse i den nya studiestödsdatalagen tydliggörs att det är den materiella och processuella regleringen av myndighetens verksamhet som sätter ramarna för den personuppgiftsbehandling som myndigheten kan utföra. Förslaget ger ett tydligare och mer överskådligt regelverk som blir både enklare att tillämpa och mer tydligt för den registrerade. Den föreslagna regleringen kan också förväntas bidra till att CSN kan bedriva sin verksamhet på ett mer effektivt sätt,
35 Se artikel 25.2 i EU:s dataskyddsförordning.
inte minst uppdraget att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
Förslaget möjliggör också för CSN att i högre utsträckning än i dag vårda sina arkiv utan att Riksarkivet först måste ha meddelat föreskrifter eller beslut om undantag från tvingande gallringsbestämmelser. Det kan komma att innebära att fler uppgifter än i dag bevaras i myndighetens arkiv, vilket innebär att rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov kan tillgodoses i högre utsträckning än i dag.
Däremot innebär förslaget inte att CSN ges möjlighet att behandla personuppgifter i en större omfattning än vad som är motiverat för att myndigheten ska kunna utföra sina uppgifter enligt den nationella rätten och unionsrätten. Det möjliggör inte heller personuppgiftsbehandling som är mer omfattande än vad som behövs för att myndigheten ska kunna utföra sin verksamhet. Sådan personuppgiftsbehandling som myndigheten genomför i syfte att utföra sin verksamhet och följa gällande rätt står enligt vår mening i rimligt förhållande till det intrång i den personliga integriteten som behandlingen innebär.
Vår bedömning är därför att förslagen är proportionerliga mot det legitima mål som eftersträvas. Förslagen är också förenliga med EU:s dataskyddsförordning.
12.6. Det behövs inte en upplysningsbestämmelse om fortsatt behandling för arkivändamål m.fl.
Vår bedömning: Det finns inte skäl att i de nya registerförfatt-
ningarna införa en upplysningsbestämmelse om fortsatt behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Skälen för bedömningen
Som vi redogör för i avsnitt 12.2.2 får personuppgifter enligt principen om lagringsminimering lagras under längre perioder i den mån uppgifterna enbart behandlas för arkivändamål av allmänt intresse,
vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i EU:s dataskyddsförordning, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs genomförs för att säkerställa den registrerades fri- och rättigheter.
I avsnitt 9.6 redogör vi för vårt förslag att det ska införas en bestämmelse som motsvarar finalitetsprincipen i den nya studiestödsdatalagen. Enligt principen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska enligt finalitetsprincipen inte anses vara oförenlig med de ursprungliga ändamålen.36
Den föreslagna bestämmelsen om längsta tid för behandling som avgränsar behandlingen till den tid som behövs med hänsyn till ändamålet med behandlingen innebär därmed att det inte finns något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens bestämmelser. När personuppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål. Även om artikel 89.1 i EU:s dataskyddsförordning ställer upp krav på att behandlingen som sker enbart för arkivändamål ska vara förenad med tekniska och organisatoriska skyddsåtgärder finns det inget krav på att uppgifterna flyttas till ett annat system vid sådan behandling. Av 4 kap. 1 § andra stycket dataskyddslagen framgår även att det inte finns något hinder för myndigheter att behandla personuppgifter, som finns i allmänna handlingar vilka endast behandlas för arkivändamål av allmänt intresse, för något annat ändamål. Något hinder mot att en uppgift som bevaras endast för arkivändamål återförs till kärnverksamheten för vidarebehandling finns alltså inte, förutsatt att det nya ändamålet inte är oförenligt med det ändamål för vilket uppgiften ursprungligen samlades in. Även övriga krav enligt den generella dataskyddsregleringen, t.ex. uppgiftsminimering, måste vara uppfyllda. I en sådan situation behöver en personuppgiftsansvarig myndighet inte samla in uppgiften på nytt. Den nya behandlingen kräver inte heller någon annan rättslig grund än den med stöd av vilken den ursprungliga insamlingen medgavs.37
36 Se artikel 5.1 e i EU:s dataskyddsförordning. 37 Jfr skäl 50 till EU:s dataskyddsförordning.
Det är alltså endast förenligheten med insamlingsändamålet som myndigheten behöver bedöma.
Den fråga vi behöver besvara nu är alltså om den föreslagna bestämmelsen om längsta tid för behandling bör förenas med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får fortsätta behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. En sådan bestämmelse finns t.ex. i 4 kap. 4 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. I 12 § förordningen om behandling av personuppgifter vid Utbetalningsmyndigheten bemyndigas Riksarkivet att meddela föreskrifter om att vissa personuppgifter får fortsätta att behandlas för nämnda ändamål.
I 4 kap. 2 och 3 §§ lagen om behandling av personuppgifter vid Utbetalningsmyndigheten finns dock även särskilda bestämmelser som avser faktiska tidsfrister för behandling av de uppgifter som Riksarkivet bemyndigas meddela föreskrifter om. Vi föreslår inte att några sådana bestämmelser ska införas i CSN:s registerförfattningar. Tillåtligheten av vidarebehandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål är dessutom en direkt följd av finalitetsprincipen och principen om lagringsminimering. Att CSN har en skyldighet att bevara allmänna handlingar följer av arkivlagen. Likaså följer av arkivförordningen att gallring av allmänna handlingar endast får ske i enlighet med föreskrift eller beslut av Riksarkivet, se avsnitt 12.2.1. Mot den bakgrunden saknas det enligt vår bedömning skäl för att införa en särskild bestämmelse om att uppgifter får fortsätta behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
12.7. Föreskriftsrätt om yttersta tidsfrister för personuppgiftsbehandling ska möjliggöras
Vårt förslag: I den nya studiestödsdatalagen ska det införas en
upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får behandlas under en viss tid.
Vår bedömning: Det behövs inte en bestämmelse som bemyn-
digar CSN att meddela föreskrifter som preciserar den längsta tiden för behandling för olika ändamål.
Skälen för förslaget och bedömningen
Behovet av tidsfrister
Vi konstaterar i avsnitt 12.5 att CSN kommer att behöva ha ett proaktivt förhållningssätt till frågan om fortsatt behandling i syfte att leva upp till kraven i EU:s dataskyddsförordning. I det ingår att regelbundet överväga om fortsatt behandling kan motiveras i förhållande till ändamålet, eller ändamålen, med behandlingen i det enskilda fallet. Av skäl 39 till EU:s dataskyddsförordning framgår att den personuppgiftsansvarige bör införa tidsfrister för radering för att säkerställa att personuppgifter inte sparas längre än nödvändigt. Att CSN internt formulerar vissa mer specificerade tidsfrister för när behandling i verksamhetssystemen senast ska upphöra för olika ändamål har därmed stöd i EU:s dataskyddsförordning. CSN har dessutom ett dataskyddsombud vars roll är att kontrollera att förordningen följs inom organisationen genom att t.ex. utföra kontroller och informationsinsatser.
Det kan dock uppkomma situationer där den längsta tiden för behandling för ett visst ändamål kan behöva preciseras. En sådan precisering i lag, förordning eller andra föreskrifter, av när behandling för ett särskilt ändamål senast ska upphöra bör främst ses som en integritetshöjande åtgärd. Ett sådant behov skulle kunna uppkomma om behandling av särskilt känsliga personuppgifter motiveras av ny materiell reglering eller som en följd av den tekniska utvecklingen. Även om en yttersta tidsfrist för behandling främst är en
integritetshöjande åtgärd kan det inte uteslutas att också effektivitetsskäl talar för att införa ett formaliserat stöd för hur länge behandling för ett visst ändamål är behövlig. En sådan bestämmelse kan alltså också motiveras av en strävan att undvika att det på myndighetsnivå läggs alltför stora resurser på kontinuerliga överväganden om fortsatt behandling för ett särskilt ändamål är tillåten. Regeringen eller den myndighet som regeringen bestämmer kan då med stöd av 8 kap. 7 § RF, den s.k. restkompetensen, meddela föreskrifter om mer preciserade tidsfrister för behandling i vissa fall. Av tydlighetsskäl bör dock föreskriftsrätt framgå av lag. Vi föreslår därför att en upplysningsbestämmelse införs i den nya studiestödsdatalagen, i anslutning till bestämmelsen om längsta tid för behandling, om att regeringen eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.38
Utifrån det som kommit fram under utredningstiden kan vi inte identifiera något behov av att föreslå bestämmelser som närmare anger den längsta tiden som personuppgifter får behandlas vid CSN. Vi ser inte heller något behov av att CSN ska få ett bemyndigande att meddela föreskrifter om att personuppgifter som längst får behandlas under en viss tid.
Behov av gallringsbestämmelser kan uppkomma i framtiden
Den föreslagna generella bestämmelsen om längsta tid för behandling utgör inte en sådan bestämmelse i författning som gör att arkivlagen inte ska tillämpas enligt 10 § tredje stycket den lagen, dvs. avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning som gäller i stället för det arkivrättsliga regelverket. Arkivlagen gäller i stället parallellt med bestämmelsen om längsta tid för behandling. Den yttersta tidsgräns som regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om bör normalt inte heller utgöra bestämmelser om gallring. Det är i stället fråga om hur länge en viss kategori av personuppgifter får behandlas för ändamålet med behandlingen, och den arkivrättsliga frågan om samma uppgifter ska gallras eller bevaras bör normalt lösas genom det arkivrättsliga regelverket. Uppgifter som inte längre
38 Jfr 11 § förordningen om behandling av personuppgifter vid Utbetalningsmyndigheten.
får behandlas för ändamål i kärnverksamheten kan då fortsatt behandlas för arkivändamål.
Det kan dock inte uteslutas att det i framtiden åter kommer att vara motiverat att införa sådana bestämmelser som avses i 10 § tredje stycket arkivlagen. Ett sådant behov kan enligt vår bedömning komma att aktualiseras vid särskilt integritetskänslig behandling som motiveras av en ny materiell reglering eller av den tekniska utvecklingen. Eventuella sådana bestämmelser gäller då i stället för den generella bestämmelsen om längsta tid för behandling. Tillämpningen av en sådan bestämmelse besvarar därmed både frågan om den längsta tiden för behandling av personuppgifter, och frågan om handlingarna ska gallras eller bevaras.
12.8. Särskilt om dataanalyser och urval
Vår bedömning: Den generella bestämmelsen om att person-
uppgifter inte får behandlas under längre tid än nödvändigt med hänsyn till ändamålet med behandlingen bör gälla även för utförandet av dataanalyser och urval. Det bör inte införas någon yttersta tidsgräns för hur länge personuppgifter får behandlas för det ändamålet.
Skälen för bedömningen
Huvudregeln om längsta tid för behandling bör gälla även vid behandling för att göra dataanalyser och urval
I linje med våra överväganden och förslag i avsnitt 12.5 bör begreppen
bevarande och gallring givetvis inte heller användas avseende behand-
ling för att göra dataanalyser och urval. De eventuella föreskrifter om gallring av uppgifter i arkivrättslig mening som framöver eventuellt bedöms behövas i detta sammanhang får meddelas i enlighet med den arkivrättsliga regleringen.39
39 Se bl.a. 14 § arkivförordningen som föreskriver att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.
De dataanalyser och urval som CSN kommer att ges möjlighet att göra medför behov av att kunna behandla personuppgifter under varierande tidslängder. Insamling av uppgifter kan i vissa fall vara mycket omfattande. Efter insamling av underlaget kommer uppgifterna att sambearbetas, t.ex. genom olika former av automatiserade analyser eller vid utvecklingen och tillämpningen av en urvalsmodell. Olika uppgifter kommer att vara relevanta att analysera beroende på syftet med analyserna och urvalen i det enskilda fallet. Om uppgifterna inte är relevanta för ändamålet får de inte behandlas.40 Att behandla irrelevanta uppgifter skulle också ge ett mindre träffsäkert urval.
Behovet av att fortsatt behandla uppgifterna varierar. Det innebär att det är svårt att på förhand avgöra under hur lång tid det kan vara relevant att behandla uppgifter. De aktuella uppgifterna måste kunna behandlas under hela den tid som analyserna och urvalen genomförs. I annat fall riskerar syftet med åtgärderna att gå förlorat. När analyserna och urvalen avslutas är vår uppfattning att uppgifterna inte längre ska behandlas.41
Vi gör bedömningen att de föreslagna generella bestämmelserna om längsta tid för behandling av personuppgifter, vilka ger uttryck för principen om lagringsminimering, bör gälla som huvudregel även vid behandling för att göra dataanalyser och urval. Enligt vår mening är denna typ av reglering att föredra framför att införa en yttersta tidsgräns för behandlingen. En sådan generell bestämmelse säkerställer den grundläggande principen om att endast uppgifter som är nödvändiga att behandla ska behandlas. Bestämmelsen möjliggör samtidigt att CSN får behandla personuppgifter under den tid som behandling faktiskt är nödvändig, t.ex. för att vid dataanalyser och urval kunna analysera historiska företeelser i olika avseenden.42Sådan behandling får enligt vår mening anses omfattas av ändamålet. Det finns av integritetsskäl ändå anledning för oss att överväga om det i den nya studiestödsdatalagen bör införas en bestämmelse som innefattar en yttersta tidsgräns för behandling av personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel.
40 Jfr artikel 5.1 c i EU:s dataskyddsförordning. 41 Jfr artikel 5.1 e i EU:s dataskyddsförordning. 42 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 150.
Enligt vår mening skulle en sådan tidsgräns behöva sättas så att det görs en rimlig avvägning mellan CSN:s behov av behandling och skyddet för den personliga integriteten. Vår uppfattning är att en eventuell tidsgräns inte kan sättas alltför kort. Det skulle dock vara mycket svårt att närmare utreda vilka tidsfrister som bör gälla för olika typer av analys- och urvalsprojekt. Även om det är möjligt att ge exempel är det svårt att på förhand slå fast dels vilka typer av analyser som CSN kommer att göra, dels vilka uppgifter som kommer att användas på vilket sätt.
De hänsyn som måste tas vid bestämmandet av en yttersta tidsgräns kan vidare antingen komma att leda till att en del av syftet med CSN:s utökade möjligheter att göra dataanalyser och urval går förlorat, eller att vissa uppgifter behandlas under längre tid än vad som egentligen är nödvändigt för ändamålet. Detta mot bakgrund av hur svårt det är att förutse behovet. Eftersom en tidsgräns hade gällt just som en yttersta tidsgräns, vilket inte fråntar giltigheten av huvudregeln om att uppgifter inte får behandlas under längre tid än vad som behövs för ändamålet, anser vi att en sådan lagteknisk utformning inte nödvändigtvis stärker integritetsskyddet. Tvärtom riskerar det att leda till att uppgifter behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet genom att tidsgränsen kan ses som en möjlighet att göra så. Vi har inte heller funnit skäl att införa någon yttersta tidsgräns för behandling av vissa särskilda uppgifter, såsom t.ex. känsliga personuppgifter.
Mot denna bakgrund anser vi att det är att föredra att låta den generella bestämmelsen om längsta tid för behandling gälla även för behandling vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i stödverksamheten. Liknande resonemang har förts i andra lagstiftningsärenden. 43
Kompletterande bestämmelser om viss längsta tid för behandling kan införas i förordning eller myndighetsföreskrifter
Av artikel 6.3 i EU:s dataskyddsförordning framgår att den rättsliga grunden för behandling kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bl.a. avseende lagringstid. För personuppgifter som behandlas vid data-
43 Se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 1167–1172.
analyser och urval kan det uppkomma ett behov av att fastställa en viss tid som sätter en gräns för hur lång tid personuppgifter får behandlas. Så kan tänkas vara fallet särskilt för känsliga personuppgifter, uppgifter om lagöverträdelser eller för andra särskilda kategorier av uppgifter inom CSN:s stödverksamhet. Detsamma kan även gälla för uppgifter som behandlas vid dataanalyser och urval i vissa syften.
Även om vi inte ser ett behov av det just nu kommer föreskrifter om mer preciserade tidsfrister för behandling av uppgifter i vissa fall, med stöd av regeringens restkompetens, att kunna meddelas av regeringen eller den myndighet som regeringen bestämmer. I den generella bestämmelsen om längsta tid för behandling som föreslås kommer det även att finnas en upplysning om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § RF kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
13. Vissa frågor om offentlighet och sekretess
13.1. Inledning
Enligt våra direktiv ska vi utifrån våra förslag i fråga om CSN:s dataskyddsreglering analysera och bedöma om det finns behov av ändringar i offentlighets- och sekretesslagen (2009:400). I detta kapitel presenterar vi våra överväganden och förslag om sådana ändringar.
Inledningsvis redogör vi för vårt förslag om att bestämmelsen i 28 kap. 9 § OSL bör utvidgas till att inte bara avse uppgifter som förekommer i ärenden. Detta förslag är en följd av de förslag vi lämnar avseende den nya studiestödsdatalagens tillämpningsområde och ändamålsbestämmelser, se avsnitt 8.3.1 och 9.4.1. Efter detta presenterar vi två förslag som är relaterade till våra förslag om att ge CSN ett tydligare rättsligt stöd, och således utökade möjligheter, till att använda dataanalyser och urval, se avsnitt 9.3.3 och 9.4.2. Det ena förslaget innebär att uppgifter om enskilds personliga och ekonomiska förhållanden bör skyddas med absolut sekretess om de förekommer i samband med dataanalyser och urval i CSN:s stödverksamhet. Det andra förslaget rör uppgifter om metoder, modeller och riskfaktorer som vi föreslår ska omfattas av sekretess med ett rakt skaderekvisit med anledning av vissa allmänna intressen. I avsnitt 3.4 finns en genomgång av relevanta rättsliga ramar för förslag om bestämmelser om offentlighet och sekretess.
13.2. Sekretess till skydd för enskildas intressen i CSN:s stödverksamhet
Vårt förslag: Sekretess ska gälla hos CSN i stödverksamhet för
uppgift om en enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Motsvarande sekretess ska gälla i ärende om studiestöd även hos andra myndigheter.
Skälen för förslaget
Nuvarande ordning
Enligt 28 kap. 9 § OSL gäller sekretess för uppgift om enskildas personliga eller ekonomiska förhållanden i tre grupper av ärenden som hanteras av CSN: studiestöd, körkortslån och lån till hemutrustning för flyktingar och vissa andra utlänningar. Bestämmelsen innehåller ett s.k. rakt skaderekvisit som innebär att det finns en presumtion för offentlighet. Sekretessens räckvidd är i fråga om ärende om körkortslån och hemutrustningslån begränsad till att endast gälla för uppgift som finns hos CSN och gäller endast för uppgifter som hanteras i ärenden hos myndigheten. Det sistnämnda gäller även för studiestöd, men där är sekretessen inte begränsad till att gälla uppgift som finns hos CSN.
Sekretess fungerar som en skydds- och säkerhetsåtgärd i fråga om dataskydd
Regeringen har ansett att bestämmelser om sekretess utgör lämpliga och särskilda skyddsåtgärder i dataskyddsrättlig mening, eftersom sådana bestämmelser har utformats noggrant efter en avvägning mellan behovet av skydd för vissa uppgifter och intresset av insyn.1Vi föreslår en helt ny dataskyddsrättlig ändamålsreglering för CSN som innebär att myndigheten får behandla personuppgifter om det är nödvändigt för att utföra stödverksamhet. Till skillnad från i dag kommer alltså ändamålsregleringen inte att vara begränsad till i huvud-
1 Se prop. 2017/18:105, Ny dataskyddslag, s. 116. Jfr även prop. 2017/18:298, Behandling av
personuppgifter för forskningsändamål, s. 113 och 114.
sak ärendehandläggning. Vi anser därför att det finns skäl att överväga om en liknande ändring bör göras i fråga om sekretessbestämmelsen i 28 kap. 9 § OSL.
Som vi beskriver i avsnitt 8.3.1 och 9.3.2 består inte CSN:s stödverksamhet endast av ärendehantering, även om givetvis huvuddelen av verksamheten gör det. Myndigheters verksamhet är i dag generellt mer komplex än tidigare och utgångspunkten att uppgifter om enskilda normalt bara förekommer i ärenden är föråldrad. För att en myndighet i dag ska kunna fullgöra sitt uppdrag krävs att uppgifter behandlas i fler sammanhang utanför ärendet i ett handläggningssystem. Det handlar t.ex. om sammanhang för utveckling och test av funktionalitet, dataanalyser, uppföljning och planering. Vi har svårt att hitta exempel på någon del i stödverksamheten som ligger utanför ärendehanteringen, där det inte skulle finnas anledning att sekretess bör gälla för uppgifter om enskildas personliga eller ekonomiska förhållanden. Vi föreslår därför att sekretessens räckvidd ska utökas till att gälla i CSN:s stödverksamhet. Med stöd menas sådana stöd som myndigheten enligt lag eller annan författning ska administrera, i dag gäller det studiestöd, körkortslån eller hemutrustningslån. Stödverksamhet har samma breda innebörd som vi redogör för i avsnitt 8.3.1, dvs. både ärendehantering och faktiskt handlande.2
Som vi nämner ovan gäller sekretess i ärende om studiestöd enligt 28 kap. 9 § OSL inte bara hos CSN. En anledning till detta är att vissa sådana ärenden kan överklagas till Överklagandenämnden för studiestöd. Den nämnden har inte någon egen sekretessbestämmelse så som t.ex. domstolar har. Däremot gäller sekretess enligt bestämmelsen i ärende om körkortslån och hemutrustningslån endast hos CSN. Detta eftersom beslut i sådana ärenden överklagas till allmän förvaltningsdomstol som har egna sekretessbestämmelser för att skydda uppgifter om enskilds personliga och ekonomiska förhållanden. Vi avser inte att ändra på denna del av sekretessens räckvidd, utan föreslår att bestämmelsen ska ändras på så sätt att sekretess gäller i stödverksamhet hos CSN och i ärende om studiestöd även hos andra myndigheter.
Vi föreslår alltså endast att sekretessens räckvidd ska ändras på det sätt som vi nu beskrivit. Vilka uppgifter som ska omfattas av bestämmelsen och sekretessens styrka bör inte ändras.
2 Jfr 1 § förordningen (2017:1114) med instruktion för Centrala studiestödsnämnden.
13.3. Sekretess till skydd för enskildas intressen vid dataanalyser och urval
13.3.1. Uppgifter om enskildas personliga eller ekonomiska förhållanden ska omfattas av sekretess
Vårt förslag: Absolut sekretess ska gälla vid dataanalyser och ur-
val i CSN:s stödverksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Skälen för förslaget
Det finns ett behov av att skydda uppgifter om enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval
Vi redogör i avsnitt 9.4.2 för vårt förslag om att CSN ska ges ett tydligare rättsligt stöd för att behandla personuppgifter för att göra dataanalyser och urval bl.a. för användning som innebär kontroll av enskilda. I myndighetens stödverksamhet behandlas stora mängder uppgifter om enskildas personliga eller ekonomiska förhållanden. Dessa uppgifter kommer genom våra förslag att i högre utsträckning även kunna behandlas vid dataanalyser och urval. Det kan röra sig om mindre integritetskänsliga uppgifter så som namn, adress och andra kontaktuppgifter. Andra uppgifter kan vara mer integritetskänsliga, t.ex. uppgifter om hälsa, fällande domar i brottmål eller beviljade sjukförsäkringsförmåner. Även om vissa av de uppgifter som CSN behandlar är mindre känsliga kan de tillsammans och genom en användning av dataanalyser och urval komma att ge myndigheten möjlighet att skapa en mer omfattande bild av enskildas personliga eller ekonomiska förhållanden.
CSN kommer också vid dataanalyser och urval att kunna behandla uppgifter som har hämtats in från andra myndigheter. När handlingar med sådana uppgifter kommer in till myndigheten blir det allmänna handlingar om kriterierna för detta i tryckfrihetsförordningens andra kapitel är uppfyllda och det inte finns något tillämpligt undantag. Detsamma gäller handlingar med uppgifter om enskilda som kommer in från andra aktörer eller som är att anse som upprättade hos myndigheten.
De sambearbetningar av stora uppgiftsmängder som kommer att göras vid dataanalyser och urval innebär att integritetsintresset är påtagligt för uppgifterna. Vidare kan de sammanställningar som kan göras med hjälp av verktygen i vissa fall innebära betydande integritetsrisker om de skulle bli offentliga. Mot denna bakgrund anser vi att det är angeläget att det finns sekretessbestämmelser som säkerställer ett tillräckligt skydd för enskildas personliga och ekonomiska förhållanden.
Gällande sekretessbestämmelse är inte tillräcklig för att uppfylla skyddsbehovet
Som vi beskriver i avsnitt 13.2 gäller i dag svag sekretess, dvs. med ett rakt skaderekvisit och presumtion för offentlighet, för uppgifter om enskildas personliga och ekonomiska förhållanden i ärenden om studiestöd, körkortslån och hemutrustningslån. Vi föreslår, som vi redogör för i nämnda avsnitt, att bestämmelsen ska vidgas till att omfatta uppgifter som förekommer i CSN:s hela stödverksamhet, och inte bara i ärenden. Vi föreslår dock ingen förändring av sekretessens styrka.
Även om avsikten är att en stor del av uppgifterna i CSN:s verksamhet ska vara offentliga till följd av det starka insynsintresse som man har bedömt finnas, anser vi att det finns skäl att införa ett särskilt sekretesskydd för uppgifter om enskilda som behandlas vid dataanalyser och urval. Den information som kommer att behandlas för att göra dataanalyser och urval kommer från enskilda men även från andra myndigheter. Vid användningen av sådana verktyg kan myndigheten få en mer omfattande bild av enskildas förhållanden på ett sätt som innebär att uppgifterna tillsammans blir mer integritetskänsliga än de skulle vara var för sig. Mot denna bakgrund anser vi att sekretessen bör stärkas i förhållande till det sekretesskydd som gäller för uppgifter i CSN:s stödverksamhet i övrigt.
Vi beskriver i avsnitt 9.4.2 att CSN kommer kunna använda dataanalyser och urval även i andra syften än att förebygga, förhindra och upptäcka fel, så länge behandlingen i övrigt är förenlig med aktuell dataskyddsreglering. Vi anser att riskerna som motiverar det starka sekretesskyddet för enskildas intressen finns oavsett vilket syfte som användningen av verktygen har. Vi anser därför att sekretessen ska gälla oavsett syftet med dataanalyserna och urvalen.
Sammanfattningsvis anser vi att det bör införas en särskild sekretessbestämmelse för att skydda uppgifter om enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval i CSN:s stödverksamhet.
Sekretessen ska vara absolut
Offentlighetsprincipen är en av de grundläggande förvaltningsrättsliga principerna i svensk rätt och det finns ett generellt intresse för insyn i myndigheters verksamhet. Vid avvägning av vilken sekretessnivå som ska gälla till skydd för enskildas personliga eller ekonomiska förhållanden bör inte mer sekretess åstadkommas än vad som är nödvändigt för att skydda det intresse som har föranlett bestämmelsen.3 Bestämmelser om sekretess innehåller ofta skaderekvisit som anger sekretessens styrka. I vissa fall gäller absolut sekretess, vilket framgår genom att sekretessbestämmelsen saknar skaderekvisit. Sådan absolut sekretess gäller t.ex. inom CSN:s särskilda statistikverksamhet.4
Uppgifter som används vid CSN:s dataanalyser och urval kommer ofta att hämtas från myndighetens egen stödverksamhet, men de kan också hämtas in från andra myndigheter. De sistnämnda uppgifterna kan antingen vara offentliga eller omfattas av olika former av sekretess. Ett system med olika styrka på sekretessen, t.ex. med överföring av sekretess från respektive utlämnande myndighet, skulle vara svårt att hantera. Att vid CSN:s dataanalyser och urval hålla isär uppgifter med olika sekretesskydd bedöms inte vara genomförbart. Regeringen har nyligen gjort en liknande bedömning avseende Skatteverkets folkbokföringsverksamhet och Utbetalningsmyndighetens verksamhet.5
Dataanalyser och urval är tekniska verktyg genom vilka CSN på ett effektivt sätt kan sammanställa uppgifter om enskilda. I tryckfrihetsförordningen finns bestämmelser om när sådana sammanställningar – s.k. potentiella handlingar – anses vara förvarade hos en myndighet, vilket påverkar frågan om de är allmänna handlingar eller inte. Enligt 2 kap. 6 § TF anses en upptagning som endast med
3 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 78. 4 Se 24 kap. 8 § OSL. 5 Se prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 47 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 74.
tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. En sammanställning av uppgifter ur en upptagning för automatiserad behandling är däremot förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. Enligt 2 kap. 7 § TF anses dock en sammanställning inte förvarad hos myndigheten om den innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person.
Kriteriet avseende rutinbetonade åtgärder i 2 kap. 6 § TF, som alltså avser frågan om när potentiella handlingar ska anses förvarade hos en myndighet, innebär att en prövning ska göras som tar sikte på såväl nödvändiga arbetsinsatser och kostnader för en myndighet som de komplikationer i övrigt som en viss åtgärd kan föranleda.6Högsta förvaltningsdomstolen har ansett att en sammanställning av uppgifter ur en upptagning för automatiserad databehandling som kräver en arbetsinsats på 4–6 timmar inte är tillgänglig med rutinbetonade åtgärder.7
Det är svårt att på ett mer precist sätt göra uttalanden om vilka typer av sammanställningar som kan komma att anses vara förvarade hos CSN i samband med utförandet av dataanalyser och urval. Vi kan dock konstatera att den digitala teknik som finns i dag, och som kan förutses komma att utvecklas inom en snar framtid, med stor sannolikhet innebär att omfattande integritetskänsliga sammanställningar om enskilda kommer att kunna göras med rutinbetonade åtgärder.
Mot bakgrund av detta och med hänsyn till uppgifternas art anser vi att sekretesskyddet bör vara mycket starkt.8 Sekretessen bör därmed utformas antingen med ett omvänt skaderekvisit eller med absolut sekretess. Absolut sekretess föreskrivs – som vi nämner ovan – i ett fåtal sekretessbestämmelser. I förarbetena till statistiksekretessen i nuvarande 24 kap. 8 § OSL anförde regeringen att
6 Se prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 22. 7 Se HFD 2015 ref. 25. 8 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 74 och 75 och prop. 2022/23:41, Bättre
möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 47.
offentlighetsintresset i fråga om statistiskt primärmaterial är förhållandevis svagt medan integritetsintresset är påtagligt. Vidare angavs att Statistiska centralbyråns register visserligen kan innehålla uppgifter om den enskilde som var för sig är relativt harmlösa. En sammanställning av sådana uppgifter ansågs dock ofta vara integritetskänslig. Även praktiska skäl ansågs tala för en förhållandevis långtgående statistiksekretess då Statistiska centralbyrån samlar in uppgifter dels direkt från enskilda, dels från myndigheter hos vilka uppgifterna kan vara antingen offentliga eller sekretessbelagda.9
Regeringen har gjort motsvarande bedömningar avseende sekretess hos Utbetalningsmyndigheten samt i fråga om Skatteverkets folkbokföringsverksamhet vid dataanalyser och urval.10 Statistiska centralbyrån samlar in uppgifter från hela den statliga förvaltningen och om en stor del av landets befolkning. Detsamma kan sägas gälla för den verksamhet som Utbetalningsmyndigheten bedriver. Våra förslag innebär i och för sig inte att CSN kommer att behandla uppgifter på samma omfattande sätt som dessa två myndigheter. De föreslagna förbättrade möjligheterna att göra dataanalyser och urval innebär dock – som vi ovan konstaterar – att myndigheten sannolikt kan göra mer omfattande sammanställningar av uppgifter med rutinbetonade åtgärder och att fler uppgifter om enskilda behandlas i ett sammanhang i stället för i enskilda ärenden. CSN ges alltså utökade möjligheter att skapa en mer omfattande bild av en enskilds personliga och ekonomiska förhållanden.
Vidare är insynsintresset avseende uppgifter om enskildas personliga eller ekonomiska förhållanden som behandlas vid myndighetens dataanalyser och urval inte lika stort som när de förekommer i myndighetens ärendehantering eller beslut.11 Om sammanställningar, t.ex. en lista med urvalsträffar eller en lista över de uppgifter om enskilda som har behandlats vid en viss dataanalys, kan bli offentliga uppkommer dessutom stora risker för enskildas personliga integritet. Det kan antas att det av en stor del av befolkningen skulle upplevas som integritetskränkande att aktuella uppgifter skulle bli offentliga.12 Integritetsintresset är alltså påtagligt i detta
9 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 262 och 263. 10 Se prop. 2022/23:34, Utbetalningsmyndigheten, s. 74 och prop. 2022/23:41, Bättre möjlig-
heter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 47.
11 Jfr Bohlin, Alf (2015), Offentlighetsprincipen, nionde upplagan, s. 181. 12 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 256.
sammanhang och vi bedömer att det väger tyngre än behovet av den insyn som ett lägre sekretesskydd skulle ge.
Mot denna bakgrund finns det enligt vår mening skäl att införa en mycket stark sekretessbestämmelse även för uppgifter vid CSN:s dataanalyser och urval. Vi föreslår därför att absolut sekretess till skydd för enskildas personliga och ekonomiska förhållanden ska gälla vid CSN:s dataanalyser och urval, även om det finns ett visst insynsintresse. Myndigheten kan trots att absolut sekretess råder i allmänhet lämna ut s.k. avidentifierade uppgifter utan att risk för skada eller men uppkommer.13 Vidare tillgodoses insynsintresset genom att sekretess generellt sett inte gäller för beslut som fattas av CSN.14
Vårt förslag innebär att sekretesskyddet för enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval blir mer långtgående än vad som gäller i övrigt i CSN:s stödverksamhet. Av de skäl som vi redogör för ovan anser vi trots detta att det är befogat att införa absolut sekretess.
Närmare om den föreslagna sekretessens räckvidd i förhållande till befintlig sekretessreglering
Med begreppen dataanalyser och urval avses i detta sammanhang inte någon ny självständig verksamhetsgren inom CSN utan verktyg som används i CSN:s stödverksamhet. Verktygen får dessutom användas redan i dag. Formuleringen av den föreslagna sekretessbestämmelsen är avsedd att avgränsa sekretessen så att den gäller när myndigheten arbetar med dataanalyser och urval. I detta innefattas all den behandling som krävs för att utföra sådana dataanalyser och urval, såsom insamling, organisering, strukturering, lagring, bearbetning, framtagning, läsning, användning eller annan hantering av uppgifterna.
Förslaget till en ny sekretessbestämmelse har nära koppling till våra förslag om en särskild ändamålsbestämmelse för dataanalyser och urval i den nya studiestödsdatalagen. För att tydliggöra kopplingen har vi övervägt om det i sekretessbestämmelsen bör föreskrivas att sekretessen gäller vid dataanalyser och urval i verksamhet som pekas ut i studiestödsdatalagen. Vi anser dock att det är mer
13 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84. 14 Se 28 kap. 9 § OSL.
ändamålsenligt att direkt i bestämmelsen nämna att den gäller i CSN:s stödverksamhet. Som vi nämner ovan anser vi dessutom inte att räckvidden ska begränsas till dataanalyser och urval i vissa syften, utan sekretess ska gälla oavsett i vilket syfte analyserna och urvalen används.
Uppgifter som CSN behandlar för att göra dataanalyser och urval kan också samtidigt förekomma i enskilda ärenden. Det skulle kunna uppfattas som svårt att avgränsa de uppgifter som får behandlas för dataanalyser och urval och som därmed kommer att omfattas av sekretessbestämmelsens räckvidd. Med dataanalyser och urval avses dock här en särskild typ av behandling av personuppgifter som ofta sker avgränsat från övrig stödverksamhet, och som ofta utförs eller övervakas av en enskild medarbetare eller en begränsad grupp av medarbetare vid myndigheten. Denna typ av behandling ska även ske utan möjlighet till åtkomst för andra medarbetare som inte arbetar med sådana analyser och urval. I avsnitt 4.2.7 beskriver vi närmare vad som avses med dataanalyser och urval.
Den föreslagna sekretessbestämmelsen är alltså avsedd att gälla vid en sådan begränsad åtgärd, dvs. inte när en medarbetare handlägger ett enskilt ärende som ska avgöras genom någon form av beslut. Att handläggaren genom utförda dataanalyser och urval kan ha fått en indikation på att ett visst ärende t.ex. behöver kontrolleras närmare förändrar inte detta förhållande. Inte heller kommer andra processer som inom myndigheten kan beskrivas genom att använda ord som analyser eller urval att omfattas av sekretessbestämmelsen.
Det avgörande för om sekretessen i 28 kap. 9 § OSL är tillämplig är i vilket sammanhang som uppgifterna finns. Om en begäran om att få ut allmänna handlingar t.ex. avser handlingar i ett visst enskilt ärende ska den föreslagna sekretessbestämmelsen inte vara tillämplig eftersom uppgifterna i det sammanhanget inte är föremål för dataanalyser och urval. Om någon i stället begär ut handlingar eller uppgifter om enskildas personliga eller ekonomiska förhållanden som t.ex. har legat till grund för att vissa enskilda ärenden har valts ut för ytterligare kontroller, och urvalet har skett med hjälp av dataanalyser och urval, blir den föreslagna sekretessbestämmelsen tillämplig.
Det ska i sammanhanget nämnas att samma uppgifter samtidigt kan omfattas av olika sekretessbestämmelser beroende på var uppgifterna finns i verksamheten. En viss uppgift om en enskilds adress som är offentlig i ett ärende eller beslut om studiemedel kan alltså
samtidigt komma att omfattas av sekretess i samband med CSN:s dataanalyser och urval.
Detta innebär att konkurrens mellan sekretessbestämmelser kan uppkomma. I 7 kap. 3 § OSL finns en bestämmelse som reglerar detta. Där anges att om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i offentlighets- och sekretesslagen.
Vårt förslag är utformat så att bestämmelsen om sekretess vid dataanalyser och urval inte är tillämplig vid handläggning av ett ärende eftersom en enskild medarbetare vid CSN inte använder sådana verktyg i det sammanhanget. Skulle det trots allt uppkomma en situation då CSN behöver beakta fler än en sekretessregel, avgör enligt vår uppfattning bestämmelsen i 7 kap. 3 § OSL vilken av sekretessreglerna som ska tillämpas på en viss uppgift i det specifika sammanhanget.
Det ska också nämnas att de undantag från sekretess som finns i 28 kap. 9 § OSL, t.ex. avseende beslut i vissa ärenden, inte bedöms påverkas av vårt förslag till sekretessbestämmelse vid dataanalyser och urval. Om sådana beslut däremot förekommer vid dataanalyser och urval, kommer dessa att omfattas av sekretess i det sammanhanget.
Den absoluta sekretess vi föreslår ska gälla för uppgifter om enskildas personliga eller ekonomiska förhållanden vid CSN:s dataanalyser och urval kommer också att gälla i förhållande till enskilda och andra myndigheter.15 Ibland måste dock myndigheten lämna ut uppgifter till andra. Det finns därför särskilda sekretessbrytande bestämmelser i lag eller förordning. Som vi beskriver i avsnitt 3.4.3 finns det i 10 kap. OSL allmänna bestämmelser som bryter sekretess. Vidare finns i 12 kap. OSL bestämmelser om sekretess i förhållande till den enskilde, där huvudregeln är att sekretess till skydd för en enskild inte gäller i förhållande till den enskilda själv.16
Trots att den föreslagna sekretessbestämmelsen föreskriver absolut sekretess kommer det alltså att finnas vissa möjligheter för CSN att lämna ut sådana uppgifter till andra myndigheter samt till enskilda. Några behov av att föreslå ytterligare sekretessbrytande
15 Se 8 kap. 1 § OSL. 16 Se 12 kap. 1 § OSL.
bestämmelser för uppgifter som berörs av förslaget kan vi inte identifiera. Om möjligheten till sådana utlämnanden behövs i större utsträckning än vad som är tillåtet i dag, får sådana behov tillgodoses i ett annat sammanhang än inom ramen för denna utredning.
Ändringar i offentlighets- och sekretesslagen
Vi föreslår alltså att det ska införas en ny sekretessbestämmelse som innebär att absolut sekretess ska gälla för uppgift om enskilds personliga eller ekonomiska förhållanden vid dataanalyser och urval som utförs i CSN:s stödverksamhet. Vi anser att den nya bestämmelsen om sekretess bör föras in i anslutning till den redan befintliga bestämmelsen om sekretess till skydd för enskildas intressen i CSN:s stödverksamhet. Bestämmelsen bör därför återfinnas i en ny 28 kap. 9 a § OSL.
13.3.2. Sekretess ska gälla i högst 50 år
Vårt förslag: För uppgift om enskilds personliga eller ekonomiska
förhållanden i en allmän handling ska sekretessen hos CSN gälla i högst femtio år.
Skälen för förslaget
CSN kommer att behandla en stor mängd uppgifter om enskilda vid dataanalyser och urval som vi föreslår ska omfattas av absolut sekretess. Uppgifter om enskildas ekonomiska förhållanden hålls i allmänhet hemliga i maximalt 20 år.17 När det gäller uppgifter om enskildas personliga förhållanden förekommer sekretesstider upp till 70 år.18
För uppgift om enskildas personliga eller ekonomiska förhållanden gäller sekretess i ärende om studiestöd, körkortslån och hemutrustningslån i högst 50 år.19 Som vi redogör för i avsnitt 13.2
17 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 87. Se Bohlin, Alf (2015),
Offentlighetsprincipen, nionde upplagan, s. 182.
18 Se Bohlin, Alf (2015), Offentlighetsprincipen, nionde upplagan, s. 182. 19 Se 28 kap. 9 § OSL.
föreslår vi inte att detta ska ändras även om vi föreslår att sekretessen ska gälla för uppgifter i hela stödverksamheten och inte bara i ärenden. I förarbetena till den befintliga bestämmelsen anges följande om sekretesstidens längd.
De ärenden som avses i paragrafen rör huvudsakligen personliga förhållanden. I den mån ekonomiska förhållanden är ömtåliga beror det i regel på deras samband med personliga omständigheter. En för både ekonomiska och personliga förhållanden gemensam tidsgräns bör därför gälla för handlingssekretessen. Denna gräns bör vara densamma som beträffande personliga rörhållanden i allmänhet. De fall där röjande av rent ekonomiska förhållanden medför skada eller men för enskild under annat än kort tid torde bli sällsynta. Mot denna bakgrund har tidsgränsen gjorts enhetlig och satts till 50 år.20
Som en jämförelse gäller sekretess för uppgift om enskildas personliga förhållanden hos Försäkringskassan och Pensionsmyndigheten i högst 70 år.21 Dessa två myndigheter behandlar en stor mängd känsliga personuppgifter som rör enskilds personliga förhållanden, t.ex. uppgifter om sjukdomstillstånd. Det kommer inte att bli fråga för CSN att behandla sådana mängder känsliga personuppgifter vid dataanalyser och urval. En stor del av uppgifterna om enskilda som är aktuella för dataanalyser och urval gäller enskildas ekonomiska förhållanden. Det kommer dock också förekomma, i en inte betydelselös omfattning, uppgifter om t.ex. hälsotillstånd och lagöverträdelser. Uppgifterna kommer i huvudsak från myndighetens egen stödverksamhet och de uppgifter som hämtas in måste vara nödvändiga för att utföra denna. Mot denna bakgrund anser vid att sekretesstidens längd för uppgifter om enskilds ekonomiska och personliga förhållanden bör följa det som gäller för CSN:s verksamhet i övrigt, dvs. 50 år. Detta eftersom en stor del av uppgifterna kommer hämtas därifrån. Det finns alltså skäl att frångå grundprincipen för uppgifter om enskilds ekonomiska förhållanden. Samtidigt bör det tydliggöras att uppgifter som behandlas för att göra dataanalyser och urval inte bör bevaras när syftet med behandlingen är uppfyllt. Det är således osannolikt att uppgifter kommer att bevaras så länge som 50 år.
20 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 268. 21 Se 28 kap. 1 § OSL.
13.3.3. Tystnadsplikten ska ha företräde framför meddelarfriheten
Vårt förslag: Tystnadsplikten som följer av den nya sekretess-
bestämmelsen avseende uppgifter om enskildas personliga eller ekonomiska förhållanden ska ha företräde framför meddelarfriheten.
Skälen för förslaget
Meddelarfriheten regleras i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Rätten att meddela uppgifter till grundlagsskyddade medier för offentliggörande och publicering går i regel före den tystnadsplikt som sekretess innebär.22 Det betyder att det i vissa fall är möjligt att straffritt lämna ut normalt sekretessbelagda uppgifter för publicering i t.ex. tryckt skrift, radio eller tv.23 Meddelarfriheten har sin grund i att de vanliga sekretessbestämmelserna ger uttryck för ganska allmänna avvägningar mellan insyns- och sekretessintressena på de berörda områdena. Det innebär att önskemålet om insyn i ett särskilt fall kan vara starkare än det sekretessintresse som har föranlett den aktuella sekretessregeln. Det kan vidare förhålla sig så att en regel om skydd t.ex. för ett enskilt intresse ibland på ett olämpligt sätt hindrar insyn i en myndighets sätt att fullgöra sina uppgifter.
Offentlighetsprincipen skulle inte fullt ut förverkligas om de offentliga funktionärerna i sådana situationer var förhindrade att bidra med uppgifter till den allmänna debatten. Reglerna om meddelarfrihet är alltså avsedda att motverka sådana icke önskade resultat av sekretessregleringen.24 Bestämmelser om tystnadsplikt kan dock genom föreskrifter i offentlighets- och sekretesslagen ges företräde framför meddelarfriheten.25
Som grundprincip gäller att stor återhållsamhet alltid bör iakttas vid prövningen av om undantag från meddelarfriheten ska göras i ett särskilt fall. En avvägning ska göras mellan intresset av sekretess och intresset av offentlig insyn. I fråga om sekretessregler utan
22 Se 1 kap. 7 § TF och 1 kap.10 § YGL. 23 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 104. 24 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 104 och 105. 25 Se 7 kap. 22 § första stycket 3 TF och 5 kap. 4 § första stycket 3 YGL.
skaderekvisit kan det finnas större anledning att överväga undantag från meddelarfriheten än i andra fall. Det bör också beaktas om en uppgift har lämnats av en enskild i en förtroendesituation eller om uppgiften hänför sig till ett ärende om myndighetsutövning. I det förra fallet bör meddelarfrihet normalt vara utesluten. När det gäller uppgifter av det senare slaget bör däremot meddelarfrihet oftast föreligga.26
CSN hanterar uppgifter om enskildas personliga och ekonomiska förhållanden som inhämtas från den egna stödverksamheten samt från andra myndigheter. I huvudsak råder meddelarfrihet för sådana uppgifter i verksamheten.
Vi föreslår att absolut sekretess ska gälla för uppgifter om enskildas personliga och ekonomiska förhållanden i CSN:s stödverksamhet som avser dataanalyser och urval. Intresset av att offentliggöra uppgifter motiveras främst av behovet av insyn i och granskning av myndigheters verksamhet. Uppgifterna hänför sig dock inte till ett ärende som innefattar myndighetsutövning. Vidare kommer tjänstemän vid myndigheten inte att vara förhindrade att informera om missförhållanden vid dataanalyser och urval, t.ex. misstankar om att urval görs på grundval av etnicitet på ett sätt som inte är tillåtet.27 Det förhållandet att tystnadsplikten ges företräde framför meddelarfriheten hindrar endast myndighetens anställda från att lämna uppgifter om enskilda. Det innebär att en anställd inte skulle få lämna uppgifter om vilka enskilda som omfattas av en urvalsträff eller liknande.28Vi bedömer mot denna bakgrund att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen ska ha företräde framför meddelarfriheten.
26 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 111 och 112. 27 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 77 och SOU 2020:35, Kontroll för ökad
tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 401.
28 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 77.
13.4. Sekretess till skydd för vissa allmänna intressen vid dataanalyser och urval
Vårt förslag: Sekretess ska gälla för uppgift om metoder, modeller
och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i CSN:s stödverksamhet, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs.
Skälen för förslaget
Utan skydd kan syftet med åtgärden gå förlorad
I arbetet med dataanalyser och urval utformar CSN olika analyser, tar fram riskfaktorer och utvecklar urvalsmodeller i syfte att få fram ett urval av bl.a. ärenden som det kan finnas anledning att kontrollera närmare på grund av identifierade risker för fel. Om allmänheten ges fullständig insyn i detta riskerar det att leda till att t.ex. de riskfaktorer, metoder eller urvalsmodeller som identifierats och används kan komma att utnyttjas för att undvika ytterligare kontroll eller på ett sådant sätt att fel inte skulle fångas upp med hjälp av verktygen.29Det riskerar att leda till att syftet med CSN:s dataanalyser och urval – att förebygga, förhindra eller upptäcka fel i stödverksamheten – går förlorat. Mot denna bakgrund finns det enligt vår mening ett behov av att till viss del begränsa insynen i denna verksamhet.
Befintliga bestämmelser ger inte tillräckligt skydd
I offentlighets- och sekretesslagen finns vissa sekretessbestämmelser till skydd för allmänna intressen.30 I 17 kap. OSL regleras sekretess till skydd främst för myndigheters verksamhet för inspektion, kontroll eller annan tillsyn. Enligt 17 kap. 1 § OSL gäller sekretess för uppgift om planläggning eller andra förberedelser för sådan inspektion, revision eller annan granskning som en myndighet ska göra, om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjs. Regeringen har beträffande Utbetalningsmyndig-
29 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 80. 30 Se avdelning IV OSL.
heten uttalat att det genom 17 kap. 1 § OSL finns vissa möjligheter för myndigheter som använder sig av riskbaserade urvalsmodeller för kontroll att sekretessbelägga uppgifter om sådana urvalsmodeller. Eftersom den bestämmelsen tar sikte på förberedande åtgärder som vidtas av en myndighet som ska utföra en revision, inspektion eller granskning som främst kan leda till en åtgärd med direkt effekt för den granskade, har regeringen dock bedömt att den bestämmelsen inte är tillämplig på Utbetalningsmyndighetens verksamhet. Regeringen konstaterade således att det saknades en sekretessbestämmelse som ger ett starkt skydd för uppgifter om metoder, modeller och riskfaktorer hänförliga till myndigheters dataanalyser och urval.31Det har därefter införts en bestämmelse i 17 kap. 1 b § OSL som föreskriver att sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga utbetalningar, om det kan antas att det allmännas syfte med verksamheten motverkas om uppgiften röjs. Denna bestämmelse omfattas även CSN av, såvitt avser deras utbetalningar.
Regeringen har gjort en liknande bedömning i en proposition avseende dataanalyser och urval i Skatteverkets folkbokföringsverksamhet. I denna proposition har regeringen bedömt att bestämmelsen i 17 kap. 1 § OSL inte utgör ett tillräckligt skydd för det utvecklande arbetet med dataanalyser och urval som regeringen i samma proposition föreslog att Skatteverket skulle få bedriva inom folkbokföringsverksamheten.32 Det har därefter införts en sekretessbestämmelse i 17 kap. 1 a § OSL som gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten. Samma argument har använts för att motivera liknande bestämmelser för flera av Skatteverkets verksamheter samt för Tullverket och Kronofogdemyndigheten.33
Mot denna bakgrund står det enligt vår mening klart att sekretessbestämmelsen i 17 kap. 1 § OSL inte är tillräcklig för att skydda uppgifter om t.ex. metoder, modeller och riskfaktorer som hänför sig till CSN:s dataanalyser och urval.
31 Se prop. 2022/23:34, Utbetalningsmyndigheten, s. 80 och 81. 32 Se prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 51.
33 Se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 1244, 1245 och 1246.
Då är frågan om bestämmelsen som infördes i 17 kap. 1 b § OSL i samband med att Utbetalningsmyndigheten påbörjade sin verksamhet är tillräcklig för att skydda aktuella uppgifter för CSN:s dataanalyser och urval. Som vi beskriver i avsnitt 9.4.2 gör vi bedömningen att CSN:s dataanalyser och urval inte nödvändigtvis behöver syfta till att förebygga, förhindra och upptäcka felaktiga utbetalningar. I stället har vi ansett att CSN ska få göra sådana dataanalyser och urval för att brett kunna förebygga, förhindra och upptäcka fel i verksamheten. Även om syftet många gånger kommer vara att förebygga, förhindra och upptäcka just felaktiga utbetalningar anser vi att bestämmelsen inte har en tillräcklig räckvidd för att skydda uppgifter om t.ex. metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval på det sättet vi anser är nödvändigt.
Vi bedömer alltså sammantaget att varken 17 kap. 1 eller 1 b §§ OSL utgör ett tillräckligt skydd för aktuella uppgifter när CSN utför dataanalyser och urval. Vi har inte heller identifierat någon annan sekretessbestämmelse till skydd för myndighetens analyser och urval som skulle kunna vara tillämplig på uppgifterna.
En ny regel om sekretess
Vi anser alltså att det behövs en sekretessbestämmelse som innebär att CSN i vissa fall kan sekretessbelägga uppgifter som är hänförliga till myndighetens arbete med dataanalyser och urval. Vid utformningen av sekretessbestämmelsen bör förebilden vara motsvarande bestämmelse som finns i 17 kap. 1 a och 1 b §§ OSL. Sekretess bör därför gälla för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i CSN:s stödverksamhet, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs.
Uppgifter som bör omfattas av sekretess
Rätten att ta del av allmänna handlingar får begränsas endast om det krävs med hänsyn till de intressen som räknas upp i 2 kap. 2 § TF. Några av dessa intressen är myndigheters verksamhet för inspektion, kontroll eller annan tillsyn, intresset av att förebygga eller beivra
brott eller det allmännas ekonomiska intresse. Vi anser att det finns grund för att sekretessbelägga uppgifter om metoder, modeller och riskfaktorer som hänför sig till CSN:s dataanalyser och urval. Detta mot bakgrund av att sådana uppgifter behövs för myndighetens kontrollarbete inom stödverksamheten. Det finns en risk att uppgifterna utnyttjas av enskilda bl.a. i syfte att systematiskt möjliggöra fel i den verksamheten. Uppgifterna bör därför också kunna sekretessbeläggas med hänsyn till intresset att förebygga brott och det allmännas ekonomiska intresse.34
De uppgifter som kommer att omfattas av den nya sekretessbestämmelsen bör enligt vår mening vara densamma som avses i 17 kap. 1 a och b §§ OSL. Sekretessbestämmelserna bör alltså omfatta uppgifter om metoder, modeller och riskfaktorer.
En närmare beskrivning av vilka uppgifter om metoder, modeller och riskfaktorer som kommer att vara aktuella att sekretessbelägga är svårt att ge. Myndigheten kan t.ex. använda sig av metoder som innefattar jämförelser av olika ärenden, uppgifter eller företeelser för att identifiera riskfaktorer och lämpliga urval. CSN kommer vidare att kunna utveckla olika slags urvalsmodeller som kan bli aktuella att tillämpa i olika situationer och vid olika tidpunkter. Detta gör det svårt att förutse samtliga typer av urvalsmodeller som kommer att användas. De modeller som används utvecklas också utifrån riskindikatorer och förändras kontinuerligt för att de ska bli så träffsäkra som möjligt. Det kommer alltså vara upp till CSN att bedöma exakt vilka metoder, modeller och riskfaktorer som kan komma att sekretessbeläggas med den nya föreslagna sekretessbestämmelsen. Vad som kan sekretessbeläggas kan också förändras över tid.
Rakt skaderekvisit bör gälla
När det gäller behovet av en sekretessbestämmelse och styrkan i densamma, kan hänsyn inte enbart tas till sekretessintresset. Detta måste i varje sammanhang vägas mot intresset av insyn i CSN:s verksamhet.35 Sekretess bör enligt vår mening endast gälla för uppgifterna om det kan antas att det allmännas möjligheter att förebygga, för-
34 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 81 och prop. 2022/23:41, Bättre möjlig-
heter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 52.
35 Se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 75 och 76.
hindra och upptäcka fel motverkas om uppgiften röjs. Bestämmelsen föreslås alltså ha ett rakt skaderekvisit, vilket innebär presumtion för offentlighet. Mot bakgrund av uppgifternas karaktär kan det dock ofta antas att CSN:s möjligheter att förebygga, förhindra och upptäcka fel kommer att motverkas om uppgifterna blir offentliga. För det fall uppgifter om utveckling, testning eller utvärdering av en viss metod eller modell kan antas innebära att syftet med det allmännas arbete i dessa delar går förlorat skulle sådana uppgifter kunna omfattas av sekretess med stöd av den föreslagna sekretessbestämmelsen. Test- och träningsdata som används för att t.ex. träna upp en urvalsmodell innefattar ofta uppgifter om enskildas personliga eller ekonomiska förhållanden. Sådana uppgifter är avsedda att kunna omfattas av sekretess enligt det förslag vi redogör för i avsnitt 13.3.
Vi anser att ett rakt skaderekvisit i detta sammanhang säkerställer en rimlig balans mellan behovet av sekretess och intresset av insyn i myndighetens dataanalyser och urval. Samma skaderekvisit har även valts i andra sekretessbestämmelser som avser att skydda allmänna intressen i liknande verksamheter. Vid raka skaderekvisit är det avgörande om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös, ska den alltså normalt anses falla utanför sekretessen. Skulle uppgiften i stället vara av sådant slag att den lätt kan komma att missbrukas ska den i de flesta fall anses omfattas av sekretess.36 Sekretess kan därmed meddelas i den utsträckning det behövs, samtidigt som insynen i CSN:s verksamhet inte inskränks mer än nödvändigt
Alternativt skaderekvisit
I vissa fall har offentlighetsintresset ansetts väga så tungt att det krävt en högre grad av skada för att uppgiften ska kunna omfattas av sekretess, t.ex. genom uttryck som avsevärd skada eller allvarligt
men, s.k. kvalificerade skaderekvisit.37 En sådan bestämmelse finns
t.ex. i 17 kap. 2 § OSL där det anges att sekretess gäller för uppgift som hänför sig till pågående granskning för kontroll av skatt eller
36Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 80 och 81. 37 Jfr 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 80 och 82.
avgift till staten eller kommun eller av bidrag, lån, kreditgaranti eller annan förmån, om det med hänsyn till syftet med kontrollen är av synnerlig vikt att uppgiften inte röjs för den som kontrollen avser.
Vi har övervägt om offentlighetsintresset avseende CSN:s dataanalyser och urval kan sägas väga så tungt att ett sådant kvalificerat rakt skaderekvisit bör väljas i stället. Enligt vår mening riskerar dock en sådan bestämmelse att innebära att allmänheten ges insyn i myndighetens arbete med dataanalyser och urval till den grad att det kan utnyttjas för att på olika sätt undgå myndighetens kontroll på det sätt som vi anser är viktigt att motverka med en särskild sekretessbestämmelse. Vi anser alltså att det inte är lämpligt att föreslå ett kvalificerat rakt skaderekvisit.
Sekretessens räckvidd
I fråga om sekretessens räckvidd föreslår vi att bestämmelsen endast ska gälla för aktuella uppgifter som rör dataanalyser och urval för vissa nämnda syften. Till skillnad mot sekretessbestämmelsen som vi föreslår i avsnitt 13.3 anser vi att skyddsintresset är begränsat till sådana uppgifter som förekommer vid dataanalyser och urval i vissa specifika sammanhang. Vidare ska sekretessen i första hand gälla hos CSN i stödverksamheten. Bestämmelsen föreslås dock utformas så att den framöver kan utökas till att gälla även i andra verksamheter, se nedan.
Ändringar i offentlighets- och sekretesslagen
Vi föreslår alltså att det ska införas en bestämmelse i offentlighets- och sekretesslagen som innebär att sekretess gäller för metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga förhindra och upptäcka fel i CSN:s stödverksamhet, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs.
En liknande bestämmelse finns redan i 17 kap. 1 a § OSL. Skillnaden mellan vår föreslagna bestämmelse och den befintliga är att begreppet felaktiga uppgifter används i stället för fel. Vi anser att den nuvarande bestämmelsen bör byggas upp på ett sådant sätt att flera verksamheter kan läggas till i en lista. Egentligen har vi inte mandat
att inom ramen för vårt uppdrag föreslå förändringar i en sekretessbestämmelse som gäller i folkbokföringsverksamhet. I betänkandet
Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden
har det dock föreslagits att felaktiga uppgifter ska bytas ut till fel i bestämmelsen. Den utredningen bedömer att en sådan ändring inte skulle innebära någon skillnad i vad som avses med begreppet.38Utredningen har också föreslagit att bestämmelsen ska ändras på så sätt som vi nu också föreslår, dvs. att fler verksamheter kan läggas till i en lista. Eftersom vi måste utgå från gällande rätt föreslår vi att 17 kap. 1 a § ska ändras så att den omfattar dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel och analyserna och urvalen – utöver folkbokföringsverksamhet – rör CSN:s stödverksamhet. Liksom vi redogör för i avsnitt 8.3.1 anser vi att det är tillräckligt tydligt vad som menas med CSN:s stödverksamhet och att det inte kräver någon närmare definition. Ett alternativ är dock att hänvisa till verksamhet som enligt 2 § i den nya studiestödsdatalagen omfattas av den lagens tillämpningsområde. En sådan utformning har föreslagits för Skatteverket, Tullverket och Kronofogdemyndigheten.39
Sammanfattningsvis anser vi att den nya bestämmelsen avseende CSN:s stödverksamhet bör föras in i den bestämmelse som i dag reglerar sekretess vid dataanalyser och urval i folkbokföringsverksamheten, dvs. 17 kap. 1 a § OSL.
Alternativa lagstiftningstekniska lösningar
Ett möjligt alternativ hade varit att i stället införa en generellt utformad bestämmelse som innebär att sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval, oavsett i vilken verksamhet den än förekommer i. Bestämmelsen hade då kunnat vara utformad på samma sätt som 17 kap. 1 § OSL om förberedelser för inspektion, revision eller annan granskning. Det skulle kunna bidra till en enhetlighet i regleringen. En fördel med en sådan bestämmelse hade varit att den skulle kunna tillämpas hos CSN såväl som Skatteverket, Försäkringskassan eller Utbetalningsmyndigheten. Det hade då inte funnits något behov av
38 Jfr SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 1250. 39 Se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och Kronofogden, s. 1250 och 1251.
att införa nya sekretessbestämmelser i de fall det skulle behövas för fler verksamheter. Med vårt förslag och förslaget i betänkandet Fram-
tidens dataskydd vid Skatteverket, Tullverket och Kronofogden är det
redan fyra myndigheter som bedöms behöva en sådan sekretessbestämmelse. Vi bedömer dock att det inte ligger inom ramen för vårt uppdrag att föreslå en sådan generell sekretessbestämmelse.
Ytterligare ett alternativ som vi har övervägt är att föreslå en generell utformning av sekretessbestämmelsen i offentlighets- och sekretesslagen utan att peka ut vissa verksamheter och samtidigt ange att sekretessen i bestämmelsen omfattar de verksamheter som anges i förordning eller bilaga till förordning. Även en sådan lagteknisk lösning är fördelaktig nu när antalet verksamheter som bedöms behöva omfattas av sekretessbestämmelsen ökar. Av samma anledning som vi nämner ovan, dvs. att det inte kan anses ligga inom ramen för vårt uppdrag att föreslå sekretessbestämmelser som påverkar andra myndigheter än CSN, anser vi att det av tydlighetsskäl är att föredra att ange vilka verksamheter som omfattas av bestämmelsen direkt i lag.
14. Vissa frågor om uppgiftsskyldigheter
14.1. Inledning
Vårt uppdrag består till stor del av att föreslå förändringar av CSN:s dataskyddsreglering för att förbättra myndighetens förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Under utredningen har även vissa närliggande frågor om uppgiftsskyldighet diskuterats. De behov som CSN lyfter fram i det avseendet har uppmärksammats i och med myndighetens arbete med att utveckla ett interaktivt och enkelt ansökningsförfarande. Uppgiftsskyldigheter generellt har till syfte att förse myndigheter och andra aktörer med tillförlitlig information så att korrekta beslut kan fattas. Det finns enligt oss skäl att ta upp dessa frågor för att underlätta för CSN att i fortsättningen kunna samla in uppgifter i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott.
I detta kapitel redogör vi därför för vissa frågor om uppgiftsskyldighet och föreslår att några sådana skyldigheter som gäller för vissa aktörer gentemot CSN ska ändras på så sätt att uppgifterna kan lämnas oberoende av om ett ärende redan har initierats eller inte. Innan detta beskriver vi kort CSN:s utveckling av ett interaktivt och enklare ansökningsförfarande. Detta för att sätta våra förslag i det sammanhang i vilket behovet av ändringar väcktes.
14.2. Kort om utvecklingen av en interaktiv och enklare digital ansökningsprocess
14.2.1. Bakgrund
Som vi nämner i avsnitt 5.3.2 genomfördes under 2022 omfattningsstudier av felaktiga utbetalningar från välfärdssystemen. I den fördjupade lägesbeskrivningen som Ekonomistyrningsverket (ESV) presenterade i samband med detta uppskattades ungefär 90 procent av det totalt skattade beloppet för felaktiga utbetalningar från välfärdssystemen orsakas av att den enskilde lämnar felaktiga uppgifter som sedan ligger till grund för utbetalningarna. Av felen som bedöms ha orsakats av den sökande uppskattade ESV att cirka 56 procent avser felaktiga uppgifter vid ansökan om ersättning och cirka 44 procent underlåtenhet att anmäla ändrade förhållanden av betydelse under den tid som ersättning uppbärs.1 Regeringen uttalade i förarbetena till lagen (2024:307) om uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet, att ett utökat informationsutbyte med stöd av uppgiftsskyldigheten i den lagen som avser arbetet mot felaktiga utbetalningar från välfärdssystemen kan innebära att uppgifter som redan har lämnats till och kontrollerats av en myndighet eller annan offentlig aktör kan återanvändas när den enskilde ansöker om ersättning hos en annan aktör. Regeringen menade att när sådana uppgifter finns förifyllda i en digital ansökningsblankett kan det inte bara underlätta för sökanden utan även minska risken för att hon eller han lämnar felaktiga uppgifter eller utelämnar uppgifter.2
14.2.2. CSN:s arbete med att utveckla ansökningsprocessen
I det ansökningsförfarande som finns i dag är det den enskilde själv som lämnar uppgifter som CSN efter att ansökan har kommit in kontrollerar mot uppgifter som finns hos andra aktörer. Myndigheten har dock påbörjat ett arbete för att utveckla ett interaktivt ansökningsförfarande. Tanken med ett sådant förfarande är att CSN
1 Se Ekonomistyrningsverkets (ESV) rapport, Omfattningen av felaktiga utbetalningar från
välfärdssystemen, ESV 2023:22, s. 9.
2 Se prop. 2023/24:85, En ny lag om uppgiftsskyldighet för att motverka felaktiga utbetalningar
från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet, s. 74 och 75.
ska kunna presentera en rad uppgifter från andra aktörer redan i en ansökan om stöd. Den sökandes uppdrag blir då att verifiera dessa uppgifter i samband med att ansökan skickas in. Detta skulle innebära att myndigheten redan vid ansökningstillfället har tillgång till kvalitetssäkrade uppgifter. Myndigheten skulle då inte i efterhand behöva försäkra sig om att uppgiften i ansökan är korrekt och den sökande skulle inte behöva fundera närmare på vilka uppgifter som ska fyllas i. CSN anser att om myndigheten först efter att en ansökan har gjorts kontrollerar uppgifterna som lämnats ökar risken för att en sökande som har lämnat felaktiga uppgifter eller utelämnat uppgifter redan kan ha gjort sig skyldig till ett brott, t.ex. bidragsbrott eller osant intygande. Att hämta in och presentera uppgifter redan i ansökan innebär enligt CSN att möjligheterna att medvetet eller av förbiseende begå en brottslig handling minskar. Detta är alltså ett förebyggande arbete mot felaktiga utbetalningar och bidragsbrott.
Utöver de uppenbara fördelarna med att förebygga felaktiga utbetalningar och brott finns det enligt CSN också vissa administrativa fördelar med förfarandet. Till exempel borde det enligt myndigheten mer sällan uppstå behov av att kommunicera uppgifter som myndigheten kontrollerar med andra aktörer efter att en ansökan har kommit in. Kommuniceringsskyldigheten i förvaltningslagen (2017:900) borde anses uppfylld genom att uppgifterna presenteras i ansökningssessionen. Den tid som den sökande behöver vänta på ett beslut blir därigenom kortare och myndighetens administrativa kostnader kan minskas.
En annan fördel enligt CSN är att myndigheten mer effektivt och bättre kan leva upp till service- och vägledningsskyldigheten i förvaltningslagen. Myndigheten skulle nämligen direkt i ansökningsflödet kunna uppmärksamma den enskilde om eventuella brister i ansökan. Om den enskilde t.ex. bekräftar att de studieresultat som den studerandes skola rapporterat till CSN är korrekta, men förefaller vara otillräckliga, kan myndigheten direkt uppmärksamma om detta. CSN kan då lämna kompletterande anvisningar till den studerande, t.ex. genom att påpeka att det går att hänvisa till och styrka skäl för ett otillräckligt studieresultat och samtidigt ge den sökande möjlighet att ange sådana skäl och bifoga handlingar som styrker dem. Även om vägledningsskyldigheten bara kan uppstå och uppfyllas av myndigheten först efter att en ansökan har lämnats in finns en vinst i att fler studerande sannolikt kommer att redovisa
skäl och bifoga underlag med sin ansökan som innebär att den kommer att kunna prövas direkt, utan vidare utredningsåtgärder.
CSN har under arbetet identifierat tre rättsliga hinder mot att myndigheten ska kunna hämta in uppgifter redan när den studerande är i en ansökningssession. För det första är CSN:s bedömning att myndigheten enligt nuvarande studiestödsdatalag (2009:287) som utgångspunkt inte får behandla personuppgifter innan det finns ett studiestödsärende, dvs. efter att en ansökan har lämnats in och ett ärende har initierats. För det andra gör CSN bedömningen att uppgifter som skulle hämtas in innan det finns ett ärende troligtvis inte skyddas av sekretess enligt 28 kap. 9 § OSL eftersom den bestämmelsen enbart reglerar sekretess för uppgifter i ärende om studiestöd sam körkorts- och hemutrustningslån, dvs. efter att ärende har inletts genom att en ansökan har lämnats in till CSN. Det sista hindret som CSN har uppmärksammat är de bestämmelser som reglerar skyldigheter för att andra att lämna uppgifter till CSN som har avgränsats på ett sätt som innebär att skyldigheten träder in först då det finns ett ärende hos CSN.
CSN har med anledning av detta haft svårt att gå vidare med en lösning på ansökningsförfarandet som skulle kunna fungera i praktiken. De begränsningar som hänför sig till nuvarande studiestödsdatalag och offentlighets- och sekretesslagen (2009:400) kommer genom våra förslag till ny dataskyddsreglering för CSN och ändring i 28 kap. 9 § OSL att undanröjas, se nästa avsnitt. Även om CSN ser vissa möjligheter att använda lagen om uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet för att läka det sistnämnda hindret finns det enligt myndigheten skäl att också möjliggöra ett utlämnande i det avsedda syftet genom andra redan reglerade uppgiftsskyldigheter.
14.3. Vissa uppgiftsskyldigheter ska ändras för att möjliggöra ett tidigare utlämnande
Vårt förslag: Försäkringskassans skyldighet att enligt 9 kap. 4 §
förordningen (2017:819) om ersättning till deltagare i arbetsmarknadspolitiska insatser lämna uppgifter till CSN ska gälla uppgifter som har betydelse för tillämpningen av studiestödslagen (1999:1395), eller lagen (2017:527) om studiestartsstöd eller föreskrifter som har meddelats i anslutning till dessa lagar.
Skyldigheten för läroanstalter enligt 6 kap. 10 § studiestödsförordningen (2000:655) och enligt 24 § förordningen (2017:532) om studiestartsstöd samt för läroanstalter och andra utbildningsanordnare enligt 38 § förordningen (2022:857) om omställningsstudiestöd att lämna uppgifter om studerande till CSN ska gälla uppgifter som har betydelse för tillämpningen av bestämmelser i 3 kap. studiestödslagen, lagen om studiestartsstöd respektive lagen (2022:856) om omställningsstudiestöd eller föreskrifter som har meddelats i anslutning till dessa lagbestämmelser.
Skatteverkets skyldighet att enligt 6 § förordningen (2001:588) om behandling av personuppgifter i Skatteverkets beskattningsverksamhet lämna uppgifter till CSN ska gälla om uppgiften har betydelse för tillämpningen av
1. studiestödslagen,
2. lagen om studiestartsstöd,
3. lagen om omställningsstudiestöd,
4. föreskrifter om återbetalning av hemutrustningslån enligt
förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar,
5. föreskrifter om återbetalning av körkortslån enligt förord-
ningen (2018:1118) om körkortslån, eller
6. föreskrifter som har meddelats i anslutning till dessa lagar
eller förordningar.
Skälen för förslaget
Våra förslag i övrigt utgår från att CSN utöver ärendehantering även utför andra arbetsuppgifter
Redan i dag kan CSN behandla personuppgifter för att förbereda handläggningen av ett ärende. Denna möjlighet är dock ytterst begränsad, se avsnitt 5.4. Våra förslag om ändamålsbestämmelser i den nya studiestödsdatalagen, som är kopplade till stödverksamheten i stället för ärendehantering samt om att vilka uppgifter som får behandlas som utgångspunkt inte ska regleras, öppnar upp för att CSN kan behandla personuppgifter redan innan ett ärende finns. Givetvis krävs att behandlingen även i övrigt sker i enlighet med gällande dataskyddsreglering, men möjligheten ges med våra förslag. Även vårt förslag till ändringen av sekretessbestämmelsen i 28 kap. 9 § OSL öppnar upp för nya möjligheter att kunna behandla personuppgifter innan ett ärende faktiskt har påbörjats och att uppgifterna då är skyddade.
För att CSN ska kunna komma vidare i utvecklingen av det ansökningsförfarandet som vi beskriver i avsnitt 14.2 behöver dock vissa uppgiftsskyldigheter gentemot myndigheten ses över. Vi anser att CSN visserligen, som de själva konstaterar, i viss utsträckning skulle kunna använda lagen om uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet för ett rutinmässigt utlämnande innan ett ärende har initierats. Dock omfattar den lagen inte alla aktörer som CSN har behov av att inhämta uppgifter ifrån. Det finns därutöver anledning att generellt se över sådana uppgiftsskyldigheter som är begränsade till att kunna aktualiseras i förhållande till ett ärende.
Behovet av uppgifter
Ett antal av de bestämmelser som i dag reglerar en skyldighet att lämna uppgifter till CSN är tillämpliga under förutsättning att uppgifterna har betydelse i ett ärende hos CSN eller att uppgifterna avser studerande som har ansökt om eller beviljats studiestöd. Som vi beskriver i t.ex. avsnitt 8.3.1 är CSN:s verksamhet inte isolerat till ärendehantering. Till exempel kan CSN ha ett behov av att redan i det skede den sökande befinner sig i en digital ansökanssession kunna
hämta in uppgifter från andra aktörer. Det kräver enligt vår uppfattning att det finns en skyldighet att lämna uppgifter till CSN även om det ännu inte finns en ansökan eller ett ärende. Nuvarande bestämmelser som reglerar andras skyldigheter att lämna uppgifter till CSN behöver därför ses över och vid behov justeras. Skyldigheten att lämna uppgifter bör samtidigt fortsatt begränsas till sådana fall då CSN behöver uppgifterna. Vi har identifierat fem uppgiftsskyldigheter som behöver ändras så att uppgifterna kan hämtas in före ett ärende har initierats, dvs. vid en tidigare tidpunkt än i dag.
Bestämmelser om skyldighet att lämna uppgifter till CSN bör inte gälla för alla uppgifter som behövs i CSN:s stödverksamhet
En möjlig lösning är att avgränsa aktuella uppgiftsskyldigheter till att avse uppgifter som behövs i CSN:s stödverksamhet. Detta skulle dock enligt oss öppna för en bredare skyldighet att lämna uppgifter än som ursprungligen avsetts. I dag regleras i olika författningar ofta att en aktör är skyldig att lämna uppgifter till CSN om uppgiften behövs i ett ärende eller om uppgiften har betydelse för tillämpningen av en viss lag. Det finns alltså ofta en tydlig koppling mellan skyldigheten att lämna en uppgift och CSN:s administration av en viss typ av stöd. Om skyldigheten skulle gälla om uppgiften behövs i CSN:s stödverksamhet öppnas däremot upp för väldigt många användningsområden.
Lagtekniskt skulle en skyldighet för andra aktörer att lämna uppgifter om de behövs i CSN:s stödverksamhet också kunna skapa vissa problem. Uppgiftsskyldigheter för andra aktörer behandlas i dag normalt separat, i olika regelverk för olika typer av stöd. CSN har t.ex. behov av i princip samma uppgifter från Försäkringskassan i fråga om omställningsstudiestöd, studiehjälp, studiemedel och studiestartsstöd. Skyldigheter för Försäkringskassan att lämna uppgifter regleras trots detta i olika regelverk, beroende på vilken form av stöd det rör sig om. I förordningen om omställningsstudiestöd behandlas t.ex. skyldigheten att lämna uppgifter om de behövs för tillämpningen av lagen om omställningsstudiestöd eller föreskrifter som har meddelats med stöd av lagen, i studiestödsförordningen behandlas skyldigheten att lämna uppgifter om de behövs för tillämpningen av studiestödslagen eller föreskrifter som har meddelats med stöd av lagen etc. En generell skrivning om skyldighet för Försäk-
ringskassan att lämna uppgifter om dessa behövs i CSN:s stödverksamhet skulle innebära att det endast finns behov av att reglera skyldigheten i ett regelverk.
Sammantaget skulle ett sådant förslag kräva mer omfattande ändringar på både lag- och förordningsnivå. Det finns också en risk för att en sådan förändring även skulle kunna leda till att kopplingen mellan materiella regler för en form av stöd och de bestämmelser som säkerställer CSN:s informationsförsörjning för att administrera stödet blir mindre tydlig. Vi anser i vart fall att det inte är lämpligt att inom ramen för denna utredning utforma generella bestämmelser som reglerar en skyldighet för andra att lämna uppgifter till CSN på ett sådant sätt att skyldigheten ska gälla om uppgiften i fråga behövs i CSN:s stödverksamhet.
Bestämmelser om skyldighet att lämna uppgifter till CSN bör som utgångspunkt gälla för uppgifter som har betydelse för CSN:s tillämpning av en viss författning
Vi kan konstatera att en del av de bestämmelser som reglerar andras skyldighet att lämna uppgifter till CSN har avgränsats till att gälla om uppgiften har betydelse för myndighetens tillämpning av lag eller av föreskrifter som har meddelats i anslutning till en sådan lag. Ofta preciseras också vilken lag och ibland vilka delar av en lag som avses.3 En sådan utformning innebär enligt vår bedömning inget krav på att ett ärende också redan måste ha inletts hos CSN. Det bör t.ex. vara möjligt för CSN att med stöd i en sådan bestämmelse redan i det skede den studerande befinner sig i en digital ansökanssession, och innan något ärende har inletts hos CSN, hämta in uppgifter från en annan aktör. En sådan avgränsning säkerställer dessutom att skyldigheten att lämna uppgifter alltjämt begränsas till sådana fall då uppgiften behövs för att bedöma rätten till studiestöd. Vi bedömer därför att bestämmelser om skyldighet för andra att lämna uppgifter till CSN som utgångspunkt bör utformas på ett sätt som innebär att uppgifter ska lämnas om uppgifterna har betydelse för CSN:s tillämpning av lag eller av föreskrifter som har meddelats i anslutning till en sådan lag.
3 Se t.ex. när det gäller uppgiftsskyldighet för Försvarsmakten 34 § förordningen (2022:857) om omställningsstudiestöd, för Försäkringskassan 22 § förordningen (2017:532) om studiestartsstöd och för Migrationsverket 6 kap. 13 a § studiestödsförordningen (2000:655).
Vissa bestämmelser om uppgiftsskyldighet bör justeras
För att möjliggöra informationsinhämtning redan innan ett ärende har initierats har CSN till utredningen framfört behov av ändringar i vissa av de bestämmelser som avser skyldigheter för Försäkringskassan, läroanstalter och andra utbildningsanordnare samt Skatteverket att lämna uppgifter till CSN. Vi föreslår i det följande justeringar i dessa bestämmelser enligt principen att det ska finnas en skyldighet att lämna uppgifter till CSN om uppgifterna har betydelse för CSN:s tillämpning av lag eller av föreskrifter som har meddelats i anslutning till en sådan lag.
Försäkringskassan
I 9 kap. 4 § förordningen om ersättning till deltagare i arbetsmarknadspolitiska insatser regleras att Försäkringskassan till CSN ska lämna de uppgifter som har betydelse för ett ärende hos nämnden om studiestöd enligt studiestödslagen och studiestartsstöd enligt lagen om studiestartsstöd. Vi föreslår att skyldigheten i stället ska gälla uppgifter som har betydelse för tillämpningen av studiestödslagen, eller lagen om studiestartsstöd eller föreskrifter som har meddelats i anslutning till dessa lagar.
Läroanstalter och andra utbildningsanordnare
Läroanstalter ska enligt 6 kap. 10 § studiestödsförordningen och 24 § förordningen om studiestartsstöd för en studerande som har ansökt om eller beviljats studiemedel respektive studiestartsstöd, om CSN eller Överklagandenämnden för studiestöd begär det, lämna vissa uppgifter om den studerandes studier. Samma skyldighet åligger enligt 38 § förordningen om omställningsstudiestöd läroanstalter och andra utbildningsanordnare för uppgifter om studerande som har ansökt om eller beviljats omställningsstudiestöd. Vi menar att skyldigheten bör gälla för uppgifter om studerande, oavsett om de har ansökt om eller beviljats den aktuella formen av studiestöd. Vi föreslår därför att skyldigheten i stället ska gälla om uppgiften har betydelse för tillämpningen av bestämmelser i 3 kap. studiestödslagen, lagen om studiestartsstöd respektive lagen om omställningsstudiestöd eller
föreskrifter som har meddelats i anslutning till dessa lagbestämmelser.
Skatteverket
Skatteverket ska enligt 6 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet på begäran av CSN lämna vissa uppgifter till nämnden i den mån det behövs för kontroll av ansökningar eller ärenden om studiestöd eller gällande återbetalning av lån som nämnden administrerar. Vi anser att skyldigheten bör gälla oavsett om det finns en ansökan eller ett ärende hos CSN. Skyldigheten bör gälla om uppgiften har betydelse för tillämpningen av studiestödslagen, lagen om studiestartsstöd, lagen om omställningsstudiestöd, föreskrifter om återbetalning av hemutrustningslån enligt förordningen om lån till hemutrustning för flyktingar och vissa andra utlänningar, föreskrifter om återbetalning av körkortslån enligt förordningen om körkortslån, eller föreskrifter som har meddelats i anslutning till dessa lagar eller förordningsbestämmelser. Att vi föreslår att det ska anges att uppgifterna ska
ha betydelse för tillämpningen har egentligen ingen annan innebörd
än om det skulle anges att uppgifterna behövs för tillämningen. Ändringen är endast redaktionell för att skapa en enhetlighet med liknande uppgiftsskyldigheter.
Intresseavvägning och personuppgiftsbehandling hos de utlämnande aktörerna
Våra förslag i detta avsnitt påverkar andra myndigheter än CSN. Vi bedömer dock att ändringarna inte innebär en utvidgning av uppgiftsskyldigheten utan endast att CSN får begära in uppgifter – som redan nu får begäras in – vid en tidigare tidpunkt. Det är alltså inte några nya uppgifter som berörda myndigheter ska lämna. Med anledning av detta anser vi att konsekvenserna för myndigheterna som berörs av uppgiftsskyldigheten är minimala. Att ställa detta mot nyttan som förslagen innebär, dvs. att CSN i ett tidigt stadie kan arbeta effektivt för att förebygga och förhindra felaktiga utbetalningar och brott anser vi innebär att förslaget är motiverat och proportionerligt. Förslagen innebär inte heller någon ändring av
personuppgiftsbehandlingen hos de utlämnande aktörerna. Dessa kommer fortsatt att ha ett tydligt rättsligt stöd för den personuppgiftsbehandling som uppgiftsskyldigheten medför. Uppgiftsskyldigheten är också fortsatt en nödvändig och proportionerlig åtgärd i förhållande till syftet med uppgiftsinsamlingen.
Vissa risker med ett interaktivt ansökningsförfarande
Regeringen har konstaterat att det finns vissa risker med informationsutbyten mellan bl.a. myndigheter eftersom det kan leda till att felaktiga eller inaktuella uppgifter sprids och läggs till grund för andra aktörers beslut i större utsträckning än i dag. 4 Det är givetvis viktigt att såväl utlämnande som mottagande aktör beaktar dessa risker och överväger om det finns behov av åtgärder för att hantera risken. I sammanhanget vill vi dock understryka att vi genom våra överväganden varken tar ställning till om det över huvud taget är lämpligt att införa ett sådant ansökningsförfarande som CSN vill utveckla eller hur ett sådant förfarande bör utvecklas. Det är frågor som myndigheten behöver ta ställning till självständigt. Utvecklandet av ansökningsförfarandet var det som väckte behovet av att ändra vissa uppgiftsskyldigheter och är ett exempel på hur CSN kan behandla uppgifterna i syfte att förebygga och förhindra felaktiga utbetalningar och brott. Det är behovet av att behandla uppgifter i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar och brott som är den huvudsakliga anledningen till våra förslag.
4 Se prop. 2023/24:85, En ny lag om uppgiftsskyldighet för att motverka felaktiga utbetalningar
från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet, s. 75.
15. Ikraftträdande- och övergångsbestämmelser
Vårt förslag: De nya författningarna och övriga författnings-
förslag ska träda i kraft den 1 juli 2026.
Samtidigt som de nya författningarna träder i kraft ska studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321) upphävas.
Vår bedömning: Det finns inget behov av övergångsbestämmelser.
Skälen för förslaget och bedömningen
Ikraftträdande
Den nya regleringen bör träda i kraft så snart som möjligt i syfte att snabbt ge CSN de förutsättningar myndigheten behöver för att på ett effektivt och rättssäkert sätt bedriva sin stödverksamhet generellt och i synnerhet att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Vi bedömer dock att, i huvudsak CSN men även andra berörda myndigheter, såsom Riksarkivet, kommer att behöva viss tid att förbereda sig. CSN kommer bl.a. att behöva göra en översyn av befintliga rutiner och införa nya. Vidare kommer nya gallringsregler att behövas i myndighetsspecifika föreskrifter från Riksarkivet.
Med hänsyn till detta och sedvanlig tid som behövs för remissförfarande, fortsatt beredning inom Regeringskansliet och behandling i riksdagen bör den av oss föreslagna regleringen kunna träda i kraft som tidigast den 1 juli 2026. Vid samma tidpunkt ska nuvarande studiestödsdatalag och studiestödsdataförordning upphöra att gälla.
Eventuella svårigheter med bestämmelsen om längsta tid för behandling
I avsnitt 12.5 redogör vi för vårt förslag att bestämmelser om gallring och bevarande som finns i nuvarande studiestödsdatalag och studiestödsdataförordning inte ska få någon motsvarighet i de nya författningarna. Huvudprincipen enligt arkivlagen (1990:782) är att allmänna handlingar ska bevaras. Gallring får dock ske enligt föreskrifter eller beslut som meddelas av Riksarkivet med stöd av arkivförordningen (1991:446). Vårt förslag innebär att det kommer att vara dessa föreskrifter eller beslut som ska tillämpas vid gallring. En konsekvens av vårt förslag är alltså att det i många fall helt kommer att saknas tillämpliga bestämmelser i författning som tillåter gallring. Se även avsnitt 16.4.
För att syftena med CSN:s arkiv ska värnas krävs det följaktligen en ny värdering av vilken information som ska bevaras, och bestämmelser som tillåter att handlingar som saknar bevarandevärde gallras. Till skillnad från Riksarkivets generella gallringsföreskrifter är det dock myndigheter själva som initierar myndighetsspecifika föreskrifter om gallring. Myndigheten utreder och framställer önskemål om gallring till Riksarkivet som sedan prövar och beslutar. Vårt förslag kommer alltså att ställa stora krav på CSN att utreda behov av föreskrifter som tillåter gallring. Det krävs en ny värdering av samtliga informationsslag som myndigheten hanterar inom den nya lagens tillämpningsområden, och inte bara avseende personuppgifter. Det kan antas att den omställning som vi föreslår kommer att väcka flera komplexa frågor som måste ges tillräcklig tid att utreda.
CSN för också fram följande. Befintlig bestämmelse om gallring i 16 § studiestödsdatalagen är detaljerad och funktionaliteten för gallring i myndighetens tekniska system är utformad helt utifrån förutsättningarna i bestämmelsen och i den föreskrift om bevarande som Riksarkivet beslutat om med stöd av registerförfattningarna (RA-MS 2013:6). Den föreslagna bestämmelsen om längsta tid för behandling förutsätter enligt myndigheten dels funktionalitet för att säkerställa att personuppgifter inte behandlas i stödverksamheten under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, dels att allmänna handlingar bedöms i enlighet med arkivlagen där bevarande är huvudregel och gallring endast får ske med stöd av föreskrifter från Riksarkivet. Befintlig
systemlösning för gallring och bevarande kan enligt myndigheten inte ligga till grund för en långsiktig ändamålsenlig funktionalitet för att omhänderta de krav som följer av den föreslagna bestämmelsen om längsta tid för behandling och av arkivregelverket. CSN bedömer att en sådan funktionalitet förutsätter att myndigheten upprättar ett e-arkiv till vilket handlingar från stödverksamheten förs för bevarande respektive gallring i enlighet med en föreskrift om gallring. Myndigheten bedömer att dessa förändringar kan vara på plats först den 1 juli 2028. Fram till dess anser CSN att 16 § nuvarande studiestödsdatalag, med en justering av hänvisningen till nuvarande ändamålsbestämmelse till den nya, bör gälla fram till dess i stället för den föreslagna bestämmelsen om längsta tid för behandling.
Det behövs inte någon särskild ikraftträdande- eller övergångsbestämmelse för längsta tid för behandling
När bestämmelserna om längsta tid för behandling börjar tillämpas ska behandling av uppgifter som inte längre är nödvändiga för ändamålet med behandlingen i stödverksamheten upphöra. Som vi redogör för i avsnitt 12.6 innebär det att uppgifterna kan fortsätta behandlas för arkivändamål. Vi ifrågasätter inte myndighetens framförda behov, men anser att problemen som uppstår under en övergångsperiod bör kunna lösas på ett mer ändamålsenligt sätt än genom särskilda ikraftträdande- eller övergångsbestämmelser.
Under tiden som myndigheten utreder gallringsbehovet samt utvecklar nya systemfunktionaliteter och ett eventuellt e-arkiv bör Riksarkivet, på begäran av CSN, kunna utfärda en form av övergångsföreskrift som motsvarar de gallringsregler som gäller enligt 16 § nuvarande studiestödsdatalag. Det skulle innebära att de nuvarande funktionaliteterna skulle kunna behållas under den tid det tar att utveckla nya sådana. Det finns då givetvis en risk för att vissa uppgifter behandlas längre, eller för den delen kortare, än vad som är nödvändigt i förhållande till ändamålen. Det är dock en risk som vi anser är proportionerlig under en övergångsperiod. Vi bedömer att det varken finns integritets- eller rättssäkerhetsskäl som motiverar att den äldre bestämmelsen bör gälla under en sådan period. Den nya bestämmelsen om längsta tid för behandling ska därför gälla direkt.
Det saknas behov av övergångsbestämmelser i övrigt
Det finns inte heller något behov av andra övergångsbestämmelser. Vi föreslår därför inte några sådana.
16. Konsekvenser
16.1. Inledning
Vi analyserar kontinuerligt i betänkandet konsekvenserna av våra förslag. Särskilt i fråga om konsekvenser för den personliga integriteten. I detta kapitel redovisar vi en samlad bedömning om vilka konsekvenser våra förslag i kapitel 8–14 förväntas medföra. Konsekvenserna redovisas i enlighet med kommittéförordningen (1998:1474) och förordningen (2007:1244) om konsekvensutredning vid regelgivning samt utifrån vad regeringen särskilt angett i våra direktiv.
16.2. Utgångspunkter för konsekvensbedömning
I 14 § kommittéförordningen anges att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller regioner, ska kommittén föreslå en finansiering. Av 15 § kommittéförordningen framgår att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, ska konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.
Om ett betänkande innehåller förslag till nya eller ändrade regler ska, enligt 15 a § kommittéförordningen, förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen om konsekvensutredning vid regelgivning. Enligt 16 § kommittéförordningen anger regeringen närmare i utredningsuppdraget vilka konsekvensbeskrivningar som ska finnas i ett betänkande.
Enligt våra direktiv ska vi analysera vilka konsekvenser de förslag vi lämnar har för den personliga integriteten. Om förslagen kan förväntas leda till kostnadsökningar för det offentliga ska vi föreslå hur dessa ska finansieras.
16.3. Konsekvenser för den personliga integriteten
Vår bedömning: Förslagen innebär sammantaget risker för in-
trång i enskildas personliga integritet. Vid en avvägning mellan behovet av den personuppgiftsbehandling som möjliggörs genom förslagen och rätten till skydd för den personliga integriteten utgör förslagen en motiverad och proportionerlig inskränkning i skyddet.
Förslagen är vidare förenliga med EU:s dataskyddsförordning och annan övergripande reglering till skydd för den personliga integriteten.
Skälen för bedömningen
Utgångspunkter för bedömningen av förslagens påverkan på den personliga integriteten
Vi ska enligt våra direktiv särskilt analysera vilka konsekvenser de förslag som vi lämnar har för den personliga integriteten. Som vi konstaterar i avsnitt 3.2.1 finns det ingen entydig definition av begreppet personlig integritet. Regeringen har i andra sammanhang uttryckt att kränkningar av den personliga integriteten möjligen kan sägas utgöra intrång i den fredade sfär som den enskilde bör
vara tillförsäkrad och där oönskade intrång bör kunna avvisas.1I samband med att bestämmelsen i 2 kap. 6 § andra stycket RF infördes i sin nuvarande lydelse har regeringen även uttryckt att det är en rimlig utgångspunkt för behovet av ett utökat skydd för den personliga integriteten att utgå från den enskildes intresse av att skydda information om sina personliga förhållanden.2 Vi redogör i avsnitt 3.2 utförligt för bestämmelser om skydd för den personliga integriteten. Inför vår konsekvensbedömning bör följande kort nämnas.
Bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter finns i EU:s dataskyddsförordning. Utöver detta finns det ytterligare reglering som syftar till att skydda enskildas personliga integritet i regeringsformen och i olika internationella rättsakter. Rätten till skydd från betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket RF är inte absolut, utan kan inskränkas genom lag i den mån det är godtagbart i ett demokratiskt samhälle.
Behandling av personuppgifter berör också rätten till respekt för privatlivet enligt artikel 8.1 i Europakonventionen. Enligt denna artikel har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. En myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter.3 Enligt 2 kap. 19 § RF får inte lag eller annan föreskrift meddelas i strid med Sveriges åtaganden på grund av Europakonventionen.
I artiklarna 3, 7 och 8 i EU:s rättighetsstadga slås det fast att var och en har rätt till fysisk och mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen, men att bestämmelsen inte hindrar unionsrätten från att tillförsäkra ett mer långtgående
1 Se prop. 2005/06:173, Översyn av personuppgiftslagen, s. 15 och prop. 2009/10:80, En refor-
merad grundlag, s. 175.
2 Se prop. 2009/10:80, En reformerad grundlag, s. 175. 3 Se artikel 8.2 i Europakonventionen.
skydd. Varje begränsning i utövandet av de fri- och rättigheter som erkänns i stadgan ska vara föreskriven i lag och förenlig med det väsentliga innehållet i de fri- och rättigheter som erkänns i stadgan. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter.4
Sedan 1 januari 2020 gäller barnkonventionen som lag i Sverige. All lagstiftning som berör barn ska utformas i överenstämmelse med barnkonventionens bestämmelser.5 För svenskt vidkommande räknas enligt artikel 1 varje människa under 18 år som barn. Av artikel 3 följer att vid alla åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ, ska i första hand det beaktas som bedöms vara barnets bästa. Vid en bedömning av vad som är barnets bästa ingår att ta hänsyn till samtliga grundläggande principer och barnkonventionen i sin helhet. Genom artikel 16 fastslås vidare att inget barn får utsättas för godtyckliga ingripanden i sitt privatliv. Ett barns privatliv skyddas även genom artikel 8 i Europakonventionen och artikel 7 i EU:s rättighetsstadga. Rätten till skydd för privatliv är dock inte absolut utan får inskränkas.6 Utöver skyddet i barnkonventionen är barn också angivna som särskilt skyddsvärda subjekt enligt EU:s dataskyddsförordning.
Vi redogör i avsnitt 6.3 för vår bedömning att CSN:s behandling av personuppgifter i vart fall i vissa delar innebär ett betydande intrång i den personliga integriteten. Behandlingen omfattas därför av regeringsformens skydd mot sådant betydande intrång. Vi har också bedömt att kriterierna för när skyddet får begränsas är uppfyllda. I detta ligger också att begränsningen svarar mot sådana intressen som räknas upp i artikel 8.2 i Europakonventionen (landets ekonomiska välstånd och förebyggande av oordning eller brott).
4 Se artikel 52.1 i EU:s rättighetsstadga. 5 Se prop. 2017/18:186, Inkorporering av FN:s konvention om barnets rättigheter, s. 94. 6 Jfr artikel 8.2 i Europakonventionen och artikel 52.1 i EU:s rättighetsstadga.
En samlad bedömning av samtliga förslag
CSN har redan nu möjlighet att behandla personuppgifter inom ramen för sin stödverksamhet i enlighet med nuvarande registerförfattning och den generella dataskyddsregleringen. Våra förslag innebär inte att myndigheten ges utökade eller nya materiella arbetsuppgifter. Däremot innebär våra förslag en viss utvidgning av myndighetens möjligheter att behandla personuppgifter. En utvidgad personuppgiftsbehandling innebär en högre risk för intrång, likväl betydande sådant, i enskildas personliga integritet. Mot integritetsintrånget ska ställas CSN:s behov av att kunna bedriva en effektiv och ändamålsenlig verksamhet. CSN måste ges tillräckliga möjligheter att behandla personuppgifter och använda digitala verktyg vid sådan behandling för att utföra sina uppgifter, fatta materiellt korrekta beslut och upprätthålla en effektiv kontroll för att förebygga, förhindra och upptäcka fel i verksamheten. Det är också viktigt att CSN ges möjlighet att utveckla välfungerande system för informationshantering samt e-tjänster och andra it-lösningar som bidrar till att öka effektiviteten, tillgängligheten och servicen till allmänheten. Genom våra förslag om en ny studiestödsdatalag med tillhörande förordning möjliggörs en ändamålsenlig personuppgiftsbehandling vid myndigheten, samtidigt som det säkerställs att kraven enligt EU:s dataskyddsförordning efterlevs.
De krav på skydd för enskildas personliga integritet som finns kommer att tillgodoses genom flera olika säkerhets- och skyddsåtgärder som vi föreslår ska regleras i lag och förordning. Den föreslagna regleringen i den nya studiestödsdatalagen innehåller förutom ändamålsbestämmelser, som ställer upp ramarna för tillåten behandling, en reglering av behandling av känsliga personuppgifter, sökbegränsningar, särskilda bestämmelser om vilka uppgifter som får behandlas vid dataanalyser och urval och dokumentationskrav vid sådan behandling, bestämmelser om tillgång till personuppgifter, under vilka förutsättningar personuppgifter får lämnas ut elektroniskt och bestämmelser om längsta tid för behandling av personuppgifter. I den tillhörande förordningen föreslås särskilda bestämmelser om rutiner vid dataanalyser och urval samt elektroniskt utlämnande av personuppgifter.
Utöver den dataskyddsrättsliga regleringen till skydd för den personliga integriteten föreslår vi också en ändrad sekretessbestämmelse till skydd för uppgifter om enskilda i CSN:s stödverksamhet, som utvidgar skyddet till att gälla i hela myndighetens stödverksamhet och inte bara i ärenden. Vi föreslår också sekretessbestämmelser till skydd för uppgifter om enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval. Dessutom ställer EU:s dataskyddsförordning krav på bl.a. lämpliga tekniska och organisatoriska åtgärder för att säkerställa en tillräckligt hög säkerhetsnivå. Den föreslagna regleringen i en ny myndighetsspecifik dataskyddsreglering tillsammans med det dataskyddsrättsliga regelverket i övrigt samt föreslagen sekretessreglering utgör enligt vår bedömning ett tillfredsställande skydd för den personliga integriteten.
Även med de skyddsåtgärder vi föreslår kommer CSN:s personuppgiftsbehandling i vissa fall medföra en sådan inskränkning i skyddet för den personliga integriteten som regleras i regeringsformen och Europakonventionen samt andra internationella rättsakter. Vid en avvägning mellan det allmänintresse som finns av att CSN ska kunna utföra sina uppgifter på ett ändamålsenligt sätt genom den personuppgiftsbehandling som möjliggörs av våra förslag och intresset av att upprätthålla skyddet för den personliga integriteten anser vi att inskränkningen är motiverad och proportionerlig. Vi anser inte att det finns anledning att göra en annan bedömning med beaktande av barnets bästa enligt barnkonventionen. Förslagen bedöms även vara förenliga med kraven på proportionalitet enligt EU:s dataskyddsförordning.
Bedömningar i andra delar av betänkandet
I kapitel 8–14 utvecklar vi på ett mer detaljerat sätt våra bedömningar av effekterna på den personliga integriteten i anslutning till respektive förslag. De förslag som innebär en utökning av CSN:s möjligheter att behandla personuppgifter jämfört med dagens reglering har i huvudsak bedömts utifrån en avvägning mellan myndighetens behov av att behandla personuppgifter och skyddet för den personliga integriteten. Dessa avvägningar upprepas inte här. Vi hänvisar i stället till nämnda kapitel för en utförlig beskrivning av konsekvenserna för den personliga integriteten i förhållande till respektive förslag.
16.4. Ekonomiska och andra konsekvenser för CSN och andra myndigheter
Vår bedömning: Förslagen förväntas inte leda till några sådana
kostnadsökningar för det allmänna som avses i kommittéförordningen.
Skälen för bedömningen
En mer flexibel, modern och ändamålsenlig reglering som innebär både ett adekvat integritetsskydd och möjlighet till ökad effektivitet
Våra förslag innebär inte att CSN får några egentliga nya eller ändrade uppgifter att utföra enligt myndighetens materiella verksamhetsreglering. Förslagen är i stället tänkta att förenkla för lagstiftaren och för CSN, som ska tillämpa regleringen vid sidan av det generella dataskyddsrättsliga regelverket. Förslagen innebär en förenkling genom att göra den myndighetsspecifika kompletterande regleringen tydligare, mer enhetlig och i högre grad anpassad till EU:s dataskyddsförordning. På detta sätt förväntas CSN:s effektivitet att öka genom att myndigheten ges bättre förutsättningar att utföra sina uppgifter med tekniska hjälpmedel.
CSN har hittills behandlat personuppgifter inom studiestöds verksamheten och i fråga om körkortslån med stöd av den generella dataskyddsregleringen och den nuvarande studiestödsdatalagen (2009:287). Avseende hemutrustningslånen har CSN behandlat personuppgifter endast med stöd av den generella dataskyddsregleringen. Regleringen i den nuvarande registerförfattningen är detaljerad men otydlig och begränsar CSN i sitt arbete med att utföra sina reglerade arbetsuppgifter. Vårt förslag till en ny studiestödsdatalag med tillhörande förordning innebär ett tydligare och mer enhetligt rättsligt stöd för CSN:s personuppgiftsbehandling i myndighetens stödverksamhet. Med anledning av att tillämpningsområdet omfattar CSN:s samtliga stöd och att den nya breda ändamålsbestämmelsen hänvisar till tillämpningsområdet för lagen, blir den nya regleringen också mer flexibel för eventuella framtida ändringar av materiell reglering som styr CSN:s arbete. Förslagen ger myndigheten bättre förutsättningar att utföra sitt uppdrag på ett effektivt och ändamåls-
enligt sätt samtidigt som skyddsåtgärder och andra åtgärder värnar om den personliga integriteten. Våra förslag är utformade utifrån att den myndighetsspecifika dataskyddsregleringen ska komplettera EU:s dataskyddsförordning, men inte utgöra en dubbelreglering eller försvåra digitala arbetssätt utöver vad som krävs för att åstadkomma ett adekvat integritetsskydd.
CSN kommer mot bakgrund av detta att få möjlighet att i högre utsträckning koncentrera sina överväganden i fråga om tillåtligheten av en personuppgiftsbehandling till det som är motiverat med hänsyn till den materiella verksamhetsregleringen och bestämmelserna i EU:s dataskyddsförordning, i stället för en omodern regleringsmodell som utgår från väsentligen andra rättsliga och tekniska förutsättningar för informationshantering. Tydlighet och enhetlighet kommer att bidra till att tillämpningen blir både enklare och effektivare. Det kommer även att innebära att enskilda ges större möjligheter att förstå regleringen och därmed enklare kan tillvarata sina rättigheter. En ökad enhetlighet mellan myndigheters olika registerförfattningar, lägre detaljeringsgrad och mindre dubbelreglering kommer också att underlätta för CSN:s samverkan med andra aktörer.
Våra förslag möjliggör även användningen av nya tekniska lösningar för informationshantering eftersom den så långt vi anser vara möjligt är teknikneutral. Detta innebär, till skillnad från dagens reglering, att CSN på ett effektivt sätt kan delta i den digitala utvecklingen och inte låsas till teknik som redan är eller riskerar att snabbt bli utdaterad. Med den teknikneutrala och ändamålsenliga regleringen vi förslår ges CSN möjlighet att hålla jämna steg med samhällets utveckling i övrigt. CSN kan också på ett mer ändamålsenligt sätt använda teknikens fördelar och delta i digitaliseringen av den offentliga förvaltningen. En konsekvens av detta blir också att ärendehantering, service till enskilda och informationsutbyte kan ske på ett mer ändamålsenligt, säkert och effektivt sätt än i dag. Förslagen är inte utformade på ett sätt som förändrar CSN:s organisation, tekniska system eller i övrigt ålägger myndigheten nya arbetssätt. Ett fullt möjliggörande av den personuppgiftsbehandling som föreslagen reglering tillåter kan samtidigt komma att kräva vissa anpassningar och merarbete. Våra förslag kan därför medföra en ökad arbetsbörda på kort sikt, men effektiviseringar av myndighetens arbete på lång sikt. Vi bedömer därför att våra förslag inte direkt leder till några ökade kostnader. För att implementera regler-
ingen kan dock indirekta kostnader uppstå. I det följande redogör vi för vår bedömning av dessa kostnader.
Nya it-system och utbildningsinsatser
Våra generella förslag innebär inte några krav på att CSN ska införa eller utveckla nya it-system eller ändra sitt arbetssätt. Vi bedömer därför att några kostnader för sådana åtgärder inte behöver beräknas.
Ny reglering kan medföra ett behov av utbildning. Den föreslagna regleringen kommer, i likhet med i dag, att komplettera den generella dataskyddsregleringen i EU:s dataskyddsförordning och dataskyddslagen. Det kan noteras att utbildningsinsatser är nödvändiga redan i dag till följd av den gällande dataskyddsregleringen. Våra förslag innebär alltså endast en viss ökning av planerade utbildningsinsatser. Med anledning av detta bedömer vi att behovet av utbildning till följd av våra förslag inte kommer att vara beaktansvärt stort i förhållande till vad som krävs redan i dag. Det bör därför röra sig om begränsade kostnader för CSN och de bör rymmas inom befintliga ekonomiska ramar.
Krav på rutiner och dokumentation
Våra förslag innebär att CSN ansvarar för att ta fram vissa rutiner. Vi föreslår också att det ska införas ett särskilt dokumentationskrav vid dataanalyser och urval. Detta ger upphov till att myndigheten måste göra nödvändiga uppdateringar av befintliga rutiner och andra styrande och stödjande dokument. Myndighetens register över personuppgiftsbehandling behöver troligen också uppdateras. Eventuellt behövs också informationsinsatser. Våra förslag förväntas dock på sikt innebära en effektivare verksamhet och minskade kostnader. Att ta fram nya myndighetsföreskrifter och styrande dokument samt genomföra informationsinsatser som kan komma att krävas till följd av en ny och ändrad reglering får enligt vår bedömning anses ingå i myndighetens ordinarie uppgifter. Detsamma bör gälla i fråga om CSN:s behov av att uppdatera befintliga register över behandling som myndigheten för i enlighet med EU:s dataskyddsförordning. Mot denna bakgrund bedömer vi att eventuella kostnader som uppstår bör täckas av CSN:s befintliga anslag.
Gallring och längsta tid för behandling av personuppgifter – konsekvenser för CSN och Riksarkivet
Den föreslagna regleringen om att bestämmelsen om gallring ersätts av en bestämmelse om längsta tid för behandling av personuppgifter ställer högre krav på CSN eftersom myndigheten löpande kommer behöva göra prövningar av om det är motiverat att personuppgifter behandlas. Den förändrade regleringen ställer inte några direkta krav på att myndigheten i stället måste göra framställningar om gallringsföreskrifter eller beslut till Riksarkivet. Enligt arkivlagen (1990:782) gäller dock att myndigheters arkiv ska bevaras, hållas ordnande och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen och forskningens behov.7
För att CSN ska kunna uppfylla arkivlagens krav kommer myndigheten att behöva göra framställningar om gallringsföreskrifter eller beslut till Riksarkivet, eftersom alla allmänna handlingar annars ska bevaras. Våra förslag kommer sannolikt initialt att innebära en ökad arbetsinsats för både CSN och Riksarkivet när gallringsregler i stället behöver införas i myndighetsspecifika föreskrifter (RA-MS). Detta kommer troligen att innebära kostnader för Riksarkivet att utreda och utfärda föreskrifterna, främst i form av handläggningstider under en period. Detta bör dock ställas i relation till att det är en engångsföreteelse med stort värde på längre sikt.
Vi gör bedömningen att våra förslag i dessa delar kommer att leda till indirekta kostnader för Riksarkivet och CSN fram till dess att nya myndighetsspecifika föreskrifter eller beslut om gallring finns på plats. Det är dock inte fråga om kostnader som är en direkt konsekvens av våra förslag eftersom de följer av den redan befintliga arkivrättsliga regleringen. Det är också tillfälliga kostnader under en kortare period. CSN behöver även i dag göra framställningar till Riksarkivet, men då avseende behovet av undantag från de lagreglerade gallringsfristerna. Vi bedömer att de kostnadsmässiga konsekvenserna för CSN i denna del får anses ingå i myndighetens ordinarie uppgifter och bör täckas av CSN:s befintliga anslag. Detsamma gäller framtagandet av eventuella nya myndighetsföreskrifter.
7 Se 3 § tredje stycket arkivlagen (1990:782).
CSN:s bedömning är att den nya regleringen även kommer att innebära ett behov av att göra avancerade tekniska anpassningar i myndighetens olika tekniska system och att ett e-arkiv kommer att behöva upprättas, se en närmare beskrivning i kapitel 15. Myndigheten uppskattar att utvecklingen av systemen, inklusive ett e-arkiv, sammanlagt kommer att kosta 71 200 000 kronor fördelat på 18 130 000 kronor året före ikraftträdandet av den nya studiestödsdatalagen och 14 150 000 kronor för det år ikraftträdandet sker. Därefter uppskattar myndigheten en kostnad om cirka 13 000 000 kronor årligen.
Detta är alltså ändringar av befintliga it-system som CSN själv bedömer vara lämpliga att genomföra. Vi ifrågasätter inte myndighetens bedömning av behovet, men vi anser att behovet inte är en direkt följd av våra förslag. Särskilt får frågan om e-arkiv anses vara föranledd av den tekniska utvecklingen i stort och inte övergången från en gallringsbestämmelse till en bestämmelse om längsta tid för behandling i dataskyddssammanhang. Vi anser därför att det framförda behovet rör sådana kostnader som inte behöver beräknas i detta sammanhang.
Dataanalyser och urval
Förslaget om att CSN ska ges ett tydligt rättsligt stöd – och därmed utökade möjligheter – att göra dataanalyser och urval syftar i huvudsak till att myndigheten ska ges bättre möjligheter att koncentrera utförandet av sina kontrollåtgärder till där det finns hög risk för fel i stödverksamheten. Förslaget förväntas medföra en effektivare och mer kontrollerad och säker utveckling av verktygen när användningsområdet är t.ex. kontroll av enskilda. Den nya regleringen bör ge en tydlighet om att ny teknik får och kan användas för dataanalyser och urval för sådan användning. Med ny teknik kan mer avancerade och omfattande urval göras när det bedöms vara proportionerligt. Med bättre möjligheter för ändamålsenlig hantering av uppgifter ökar förutsättningarna att använda resurser på ett bättre sätt och åtgärder kan i högre grad riktas mot de aktörer där risken för fel är störst. När CSN:s urval med stöd av den nya regleringen blir mer träffsäker förväntas det leda till besparingar genom att myndigheten i mindre utsträckning lägger resurser på slumpmässiga kontroller.
Besparingar förväntas också då myndigheten genom förslagen bör kunna arbeta mer proaktivt och förebygga och förhindra att felaktiga utbetalningar ens sker, samt snabbt upptäcka en felaktig utbetalning om den sker och vidta åtgärder för att pengarna betalas tillbaka. CSN bör genom förslagen också få bättre möjlighet att koncentrera verksamheten på att åtgärda de fel som orsakar störst problem i verksamheten och som kostar samhället mest, se även avsnitt 16.5. Därigenom kan förslagen också förväntas leda till minskad brottslighet som har ett samband med myndighetens verksamhet, t.ex. bidragsbrott eller osann försäkran. Förslagen kan alltså även antas ha en påverkan på brott, t.ex. en brottsförebyggande effekt, se även avsnitt 16.6.
Elektroniskt utlämnande
Förslaget om att elektroniskt utlämnande ska få ske om det inte är olämpligt bör ge CSN mycket bättre möjligheter att arbeta effektivt och koncentrera resurser. Utöver att regleringen över huvud taget möjliggör elektroniskt utlämnande i större utsträckning, förväntas den också leda till att myndigheten ges bättre möjlighet att genom ny teknik åstadkomma ett säkert, ändamålsenligt och effektivt informationsutbyte både med andra myndigheter och enskilda. CSN ges därmed rättsliga möjligheter att utveckla sin digitala service till enskilda. En följdeffekt av detta kan vara att det blir enklare för enskilda att komma i kontakt med CSN, att skaffa eller lämna relevant information och utföra övriga ärenden vid myndigheten. En sådan utveckling kan möjliggöra besparingar både inom myndigheten och inom den privata sfären. Att CSN i vissa fall inte längre kommer att vara hänvisade till att kommunicera med enskilda via vanlig post kommer att innebära besparingar avseende material och porto. Det kommer också att vara enklare för myndigheten att bedöma om mottagaren har tagit del av de uppgifter som lämnats ut, eftersom elektroniska tjänster för informationsöverföring kan förenas med ett läskvitto. Förslaget ger sammanfattningsvis CSN bättre förutsättningar att ge medborgare och andra aktörer god service digitalt. Även informationsutbyte med bl.a. andra myndigheter kommer sannolikt att effektiviseras. Myndigheter ska kunna utgå från att en annan myndighet som ingår i t.ex. en samverkan följer de regler och upp-
fyller de krav som gäller för den verksamheten. Om personuppgifter får lämnas ut till en annan myndighet saknas det därför skäl att från ett integritetsskyddsperspektiv begränsa i vilken utsträckning eller på vilket sätt det kan ske i elektronisk form. Det kommer alltså att stå CSN fritt att utifrån den generella dataskyddsregleringen samt de processuella och materiella regelverk som styr myndighetens stödverksamhet avgöra på vilket sätt personuppgifter lämpligen bör utbytas.
Nya sekretessbestämmelser
Våra förslag om nya och ändrade sekretessbestämmelser kan komma att medföra att CSN behöver ta ställning till och fatta fler beslut om utlämnande av allmänna handlingar. Om myndigheten fattar fler beslut kan det i sin tur leda till fler avslagsbeslut som kan överklagas till de allmänna förvaltningsdomstolarna. I vilken omfattning detta kommer att öka beror till viss del på vilken utsträckning myndigheten behandlar aktuella uppgifter. Vi gör sammantaget bedömningen att frågor om utlämnande inte kommer att vara aktuellt i någon större utsträckning som kan leda till några märkbara kostnader. Förslagen bör därför inte påverka CSN eller domstolarna i någon utsträckning som inte är möjlig att hantera inom befintliga ekonomiska ramar.
Uppgiftsskyldighet för Försäkringskassan, Skatteverket och läroanstalter
Våra förslag om en ändrad uppgiftsskyldighet för Försäkringskassan, Skatteverket och läroanstalter innebär enligt oss ingen utvidgning av uppgiftsskyldigheten utan endast att CSN får begära in uppgifter – som myndigheten redan nu får begära in – vid en tidigare tidpunkt. Detta bör inte leda till några ekonomiska konsekvenser för de berörda myndigheterna.
Sammanfattande bedömning av ekonomiska konsekvenser för det allmänna
Sammanfattningsvis är det vår bedömning att förslagen initialt kommer att medföra vissa indirekta kostnader, främst till följd av förändrade regler om gallring och nya regler om längsta tid för behandling samt på grund av att det krävs vissa utbildningsinsatser och framtagande av styrande dokument hos CSN. Dessa kostnader bedömer vi inte vara större än att de kan täckas av myndighetens ordinarie anslag, eller är kostnader som vi i detta sammanhang inte ska beräkna. På längre sikt gör vi dessutom bedömningen att våra förslag som helhet bör medföra besparingar för myndigheten och minskade felaktiga betalningar till följd av att stödverksamheten vid ärendehantering och kontroll kan bedrivas mer effektivt.
Vi bedömer alltså att våra förslag inte har några direkta beaktansvärda negativa ekonomiska konsekvenser för CSN eller andra statliga myndigheter, kommuner, regioner eller andra. Förslagen förväntas alltså inte leda till några sådana kostnadsökningar för det allmänna som avses i kommittéförordningen.
16.5. Särskilt om långsiktiga konsekvenser för de offentliga finanserna och samhällsekonomin
Vår bedömning: Förslagen förväntas långsiktigt leda till positiva
konsekvenser för de offentliga finanserna och samhällsekonomin.
Skälen för bedömningen
Vi bedömer att våra förslag som helhet förväntas leda till att CSN kan arbeta mer effektivt med att förebygga, förhindra och upptäcka felaktiga utbetalningar. Inte minst gäller detta förslagen om utökade möjligheter att använda dataanalyser och urval för att bl.a. kontrollera enskilda samt utökade möjligheter till informationsutbyte mellan myndigheter och andra aktörer. Att ett sådant effektivt arbete möjliggörs kan antas leda till betydande minskningar av omfattningen av felaktiga utbetalningar och brott mot välfärdsystemen.
Felaktiga utbetalningar omfattar allt från mindre, oavsiktliga fel till systematisk brottslighet. Som vi redogör för i avsnitt 5.3.3 uppskattades CSN:s felaktiga utbetalningar inom studiemedel under 2021 motsvara cirka 1 miljard kronor. Upptäckta felaktiga utbetalningar för samma stöd under 2023 beräknades till 321 miljoner kronor. Även om uppskattningen bör tolkas med viss försiktighet uppgår de felaktiga utbetalningarna sannolikt till ett betydande belopp. Utifrån dagens förutsättningar för CSN att förebygga, förhindra och upptäcka sådana felaktiga utbetalningar kan beloppet antas vara mycket högre än det som motsvarar upptäckta felaktiga utbetalningar 2023. Sett i ett större perspektiv, där de felaktiga utbetalningarna från välfärdsystemen totalt uppskattades till 15–20 miljarder kronor 2021, är CSN:s del förhållandevis liten. Även en liten påverkan innebär dock en stor effekt på statens budget.8 Genom att våra förslag möjliggör ett effektivt samarbete genom informationsdelning mellan CSN och andra välfärdsmyndigheter, kan förslagen långsiktigt förväntas leda till en mycket stor positiv påverkan totalt sett. Utöver detta kan CSN också delta i utvecklingen av tekniska verktyg för att förebygga, förhindra och upptäcka felaktiga utbetalningar och brott mot välfärdssystemen. Ju fler myndigheter som kan delta i ett sådant arbete, desto större potential finns för att utveckla effektiva arbetssätt som genom samverkan kan gynna hela den offentliga förvaltningen. Vi bedömer alltså att våra förslag långsiktigt kan leda till mycket positiva ekonomiska konsekvenser för de offentliga finanserna.
Felaktiga utbetalningar och brott mot välfärdssystemen, t.ex. bidragsbrott, medför att skattemedel inte används till de ändamål som medlen är avsedda för. Dessutom behöver resurser läggas på att utreda brotten. Detta leder till en ineffektiv fördelning av offentliga medel och riskerar även att skada förtroendet för välfärdssystemen. Om CSN inte lyckas minska antalet felaktiga utbetalningar finns det en risk för att detta i förlängningen leder till att olika stöd måste dras in. En sådan effekt skulle kunna påverka möjligheten till utbildning, vilket i längden ger mycket negativa effekter för både den enskilde och samhället i stort. Genom att våra förslag förväntas leda till förbättrade förutsättningar för CSN att förebygga, förhindra och
8 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 169 och prop. 2023/24:85, En ny lag om
uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet, s. 73.
upptäcka felaktiga utbetalningar och bidragsbrott, kan våra förslag i stället förväntas bidra till att upprätthålla tilliten till välfärdssystemen. Minskade felaktiga utbetalningar bör även i förlängningen innebära att statens utgifter för utbetalningar av stöd som CSN hanterar kan bli lägre än vad de annars skulle ha blivit. På det sättet kan medel också frigöras för finansiering av andra samhällsekonomiska motiverade statliga åtgärder och bidra till en positiv påverkan på samhällsekonomin.
16.6. Övriga konsekvenser enligt kommittéförordningen
Vår bedömning: Förslagen förväntas få viss betydelse för brotts-
ligheten och det brottsförebyggande arbetet. I övrigt medför förslagen inga ytterligare konsekvenser som bör redovisas särskilt.
Skälen för bedömningen
Ett av syftena med samtliga våra förslag är att ge CSN goda förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott. Vi har valt att gå ett steg längre genom våra förslag i de delar som rör dataanalyser och urval då syftet med dessa är att åstadkomma en reglering som förhindrar fel i en bredare bemärkelse i stödverksamheten. Förslagen ger bl.a. myndigheten möjligheter att bedriva mer effektiv kontroll. Om fel eller risker för fel kan identifieras i ett tidigt skede kan det leda till att CSN ges bättre möjligheter att förebygga, förhindra och upptäcka framför allt bidragsbrottslighet men även annan relaterad brottslighet, såsom urkundsförfalskning eller osann försäkran. Sammantaget bedömer vi att våra förslag kan förväntas bidra till en minskad brottslighet inom välfärdsystemen och bidra till att det brottsförebyggande arbetet inom dessa områden förstärks. Förslagen kan alltså bidra till att myndigheten ges bättre förutsättningar för en mer effektiv samverkan med brottsbekämpande verksamheter och myndigheter. I övrigt bedömer vi att den nya reglering vi föreslår inte kan antas få några negativa effekter på myndighetens möjligheter att motverka och upptäcka brottslighet.
Vi bedömer i övrigt att förslagen inte innebär några sådana konsekvenser som bör redovisas särskilt enligt kommittéförordningen.
17. Författningskommentar
17.1. Förslaget till studiestödsdatalag
Genom förslaget upphävs studiestödsdatalagen (2009:287) och ersätts av en ny lag med samma namn. Innehållet i den nya lagen motsvarar i vissa delar innehållet i den nuvarande lagen. I förhållande till den nu gällande lagen har den nya lagen i högre grad anpassats till EU:s dataskyddsförordning. Det innebär att nya paragrafer har tillkommit och att andra inte har någon motsvarighet i nuvarande lag. Den nya lagen är renodlad så att den enbart omfattar dataskyddsrättsliga bestämmelser, vilket innebär att det inte finns några bestämmelser om gallring. Den nya lagen innehåller inte heller någon särreglering av uppgiftslämnande genom direktåtkomst. I jämförelse med den nu gällande lagen har nya rubriker tillkommit, medan andra har utgått. I den nya lagen finns också nya bestämmelser om CSN:s behandling av personuppgifter vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel samt bestämmelser om den längsta tid som personuppgifter får behandlas. Överväganden om att upphäva nuvarande lag och ersätta den med en ny finns i avsnitt 6.3.
Lagens syfte
1 § Syftet med denna lag är att ge Centrala studiestödsnämnden möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen anges det övergripande syftet med studiestödsdatalagen. Bestämmelsen har inte någon motsvarighet i nuvarande studiestödsdatalag. Överväganden finns i avsnitt 8.2.
Bestämmelsen tydliggör lagens tvådelade syfte, dvs. dels att ge CSN möjlighet att inom stödverksamheten (den verksamhet som omfattas av lagens tillämpningsområde, se 2 §) behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Centrala studiestödsnämndens stödverksamhet.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
I paragrafen anges lagens tillämpningsområde. Övervägandena finns i avsnitt 8.3.1 och 8.3.2.
Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter. Det motsvarar 1 § första stycket nuvarande studiestödsdatalag.
I artikel 4.1 och 4.2. i EU:s dataskyddsförordning finns definitioner av begreppen personuppgifter och behandling. Av definitionen av begreppet personuppgifter samt skäl 14 och 27 till EU:s dataskyddsförordning följer att behandling av uppgifter som rör avlidna eller juridiska personer inte omfattas av förordningens bestämmelser. Eftersom inget annat anges i studiestödsdatalagen gäller detsamma för den.
Lagen är tillämplig vid behandling av personuppgifter i CSN:s stödverksamhet. Med stöd avses dels studiestöd, dels andra stöd till enskilda som enligt lag eller förordning ska hanteras av myndigheten.1Detta skiljer sig från nuvarande studiestödsdatalag vars tillämpningsområde endast omfattar studiestödsverksamhet. Med stödverksamhet avses alla arbetsuppgifter som CSN har och som i myndighetens processuella eller materiella reglering inte tydligt anges enbart ingå i någon annan särskild verksamhet hos myndigheten, t.ex. statistikverksamhet.
Lagens tillämpningsområde omfattar inte behandling av personuppgifter i administrativ verksamhet såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer. Inte heller omfattas myndighetens personuppgiftsbehandling i den sär-
1 Jfr 1 § förordningen (2017:1114) med instruktion för Centrala studiestödsnämnden.
skilda statistikverksamheten. Detta följer av att sådan verksamhet inte är stödverksamhet. Det anges alltså inte uttryckligen som undantag från lagens tillämpningsområde. Undantag som uttryckligen behöver anges framgår av 3 §, se nedan.
I paragrafens andra stycke, som i sak delvis motsvarar 1 § andra stycket nuvarande studiestödsdatalag, begränsas lagens tillämpningsområde till en viss typ av behandling av personuppgifter.2 Lagen gäller endast då behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i EU:s dataskyddsförordning och bör tolkas på samma sätt som den bestämmelsen. En definition av begreppet register finns i artikel 4.6 i EU:s dataskyddsförordning.
3 § Bestämmelserna i denna lag gäller inte vid Centrala studiestödsnämndens behandling av personuppgifter i EU:s gemensamma informationssystem.
I paragrafen, som inte har någon motsvarighet i nuvarande studiestödsdatalag, föreskrivs ett undantag från lagens tillämpningsområde i fråga om behandling av personuppgifter som CSN utför i EU:s gemensamma informationssystem. Övervägandena finns i avsnitt 8.3.3.
Med EU:s gemensamma informationssystem avses system som används gemensamt av medlemsstaterna inom EU för insamling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Med behandling av uppgifter i EU-gemensamma informationssystem avses sådan behandling som CSN utför i systemen av t.ex. uppgifter som myndigheten eller andra medlemsstaters myndigheter lämnar eller har lämnat över till informationssystemen och som sedan finns i dessa.
Undantaget avser alltså inte behandling av uppgifter som enbart utförs i CSN:s egna interna system som inte är förvaltade och utformade av EU-kommissionen, något annat EU-organ eller av EUkommissionen och medlemsstaterna gemensamt, där myndigheten kan bestämma ändamålen och medlen för behandlingen. Undantaget omfattar inte heller behandling av uppgifter som CSN hämtar in från de EU-gemensamma informationssystemen i syfte att de ska
2 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 34.
behandlas inom myndighetens egna verksamhetssystem i enlighet med EU-rättslig reglering. När uppgifterna däremot övergår till sådana EU-gemensamma informationssystem och behandlas i dessa gäller inte lagen. Det kan dock fortfarande vara så att CSN anses personuppgiftsansvarig för behandlingen även i de EU-gemensamma informationssystemen enligt t.ex. bestämmelser i materiell EU-rättslig reglering. Undantaget är alltså inte nödvändigtvis knutet till personuppgiftsansvaret. Det väsentliga för lagens tillämplighet är om uppgifterna behandlas i de EU-gemensamma informationssystemen.
Det kan också vara så att samma uppgifter, oavsett på vilken grund de är inhämtade, kan behandlas i EU-gemensamma informationssystem och i de egna verksamhetssystemen samtidigt. Lagen kan alltså vara tillämplig på samma uppgifter som egentligen samlats in enbart för att överföras till ett EU-gemensamt informationssystem, så länge uppgifterna även behandlas i myndighetens egna verksamhetssystem.
För behandling av personuppgifter som inte omfattas av lagen kommer i första hand EU:s dataskyddsförordning och de materiella bestämmelser som reglerar det EU-gemensamma arbetet i stället att gälla för behandlingen.
Förhållandet till annan reglering
4 §
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen anges lagens förhållande till annan reglering. Övervägandena finns i avsnitt 8.4.
Första stycket, som motsvarar 2 § nuvarande studiestödsdatalag,
upplyser om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning.3
Andra stycket, som motsvarar 2 a § i nuvarande studiestödsdatalag,
tydliggör lagens förhållande till dataskyddslagen.4
Personuppgiftsansvar
5 §
Centrala studiestödsnämnden är personuppgiftsansvarig för den
behandling av personuppgifter som myndigheten utför enligt denna lag
och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som i sak motsvarar 3 § nuvarande studiestödsdatalag, regleras att CSN är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen.5 Övervägandena finns i avsnitt 8.6.
En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i EU:s dataskyddsförordning. Att CSN är personuppgiftsansvarig innebär att myndigheten har en rad skyldigheter som måste uppfyllas enligt regleringen i EU:s dataskyddsförordning. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i förordningen efterlevs (artikel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artikel 12–14) samt genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning (artikel 24).
Ändamål
6 §
Centrala studiestödsnämnden får behandla personuppgifter om det
är nödvändigt för att utföra stödverksamhet.
Som ett led i den verksamheten får Centrala studiestödsnämnden behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel.
3 Jfr prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet, s. 195. 4 Jfr prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet, s. 195. 5 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 38.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
I paragrafen, som delvis motsvarar 4 § första stycket nuvarande studiestödsdatalag, anges för vilka primära ändamål CSN får behandla personuppgifter enligt lagen. Övervägandena finns i avsnitt 9.4.
Av första stycket framgår att en förutsättning för att CSN ska få behandla personuppgifter är att det är nödvändigt för att utföra stödverksamhet. Stödverksamhet har samma innebörd som enligt 2 §, se kommentaren till den paragrafen. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara ofrånkomlig. Till skillnad från 4 § första stycket nuvarande studiestödsdatalag anges inte några detaljerade ändamål. Ändamålet omfattar samtliga de ändamål som anges i den nuvarande bestämmelsen. Som exempel på sådan behandling kan nämnas att handlägga ärenden, administrera handläggningen, förbereda handläggningen och fatta beslut samt informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Även behandling som är nödvändig för t.ex. tillsyn, kontroll, uppföljning och planering av verksamheten och för utveckling av nya digitala arbetssätt såsom testning av befintlig eller ny IT-struktur omfattas av ändamålet.
Av andra stycket, som inte har någon motsvarighet i nuvarande studiestödsdatalag, framgår att CSN, som ett led i stödverksamheten, får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Ändamålet omfattar behandling genom dataanalyser och urval för att kontrollera enskilda eller annars för att utöva myndighet eller vidta andra åtgärder som kan ha negativ inverkan på den enskilde. Däremot omfattas inte användning som innebär ett helt automatiskt beslutsfattande. Behandling som är nödvändig för att göra dataanalyser och urval i andra syften kan i stället omfattas av ändamålsbestämmelsen i första stycket.
Arbetet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller subjekt där det finns störst risk för fel och som därför behöver kontrolleras särskilt. Ändamålet omfattar all den personuppgiftsbehandling som kan vara nödvändig vid CSN:s dataanalyser och urval i angivna syften. Det innebär att personuppgiftsbehandling i
form av t.ex. inhämtning av uppgifter och fortsatt behandling av sådana uppgifter kommer att omfattas av bestämmelsen. Ändamålet omfattar också t.ex. uppföljning, utveckling och testning av analys- och urvalsmodeller.
Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för t.ex. efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för felaktigheter redan innan det finns ett ärende. Begreppet
fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser
i förhållande till materiella rättsregler, oegentligheter och felaktigheter som beror på brott, avsiktligt handlande eller misstag.
I tredje stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen.
7 §
Personuppgifter som behandlas enligt 6 § får också behandlas för att
fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Paragrafen, som delvis motsvarar delar av 4 § andra stycket nuvarande studiestödsdatalag, är en s.k. sekundär ändamålsbestämmelse om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 6 §.6 Övervägandena finns i avsnitt 9.5.
Bestämmelsen är till skillnad från nuvarande bestämmelse mindre detaljerad och innebär att CSN får behandla personuppgifter som behandlas enligt de primära ändamålen i 6 § också för att generellt fullgöra uppgiftslämnande, oavsett vem mottagaren är, så länge det sker i överensstämmelse med lag eller förordning.
8 §
Personuppgifter som behandlas enligt 6 § får också behandlas för
andra ändamål, under förutsättning att uppgifterna inte behandlas på ett
sätt som är oförenligt med det ändamål för vilket de samlades in.
6 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 45.
Paragrafen, som motsvarar 4 a § nuvarande studiestödsdatalag, innehåller en bestämmelse om den s.k. finalitetsprincipen i EU:s dataskyddsförordning.7 Övervägandena finns i avsnitt 9.6.
Känsliga personuppgifter
9 §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning
(känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen, som delvis motsvarar 6 § nuvarande studiestödsdatalag, reglerar möjligheten till behandling av känsliga personuppgifter.8Överväganden finns i avsnitt 10.3.5.
Till skillnad från 6 § nuvarande studiestödsdatalag omfattar bestämmelsen inte behandling av uppgifter om lagöverträdelser. Det finns inte heller någon särskild begränsning för behandling enligt finalitetsprincipen.
Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i EU:s dataskyddsförordning. Den ersätter den generella bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen om behandling av känsliga personuppgifter för ett viktigt allmänt intresse, vilken annars gäller där sektorspecifik reglering saknas.9 Bestämmelsen ersätter dock varken artikel 6 eller artikel 9.2 g i EU:s dataskyddsförordning.
De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
I artikel 4.13 och 4.14 i EU:s dataskyddsförordning finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i EU:s dataskyddsförordning definieras uppgifter om hälsa.
7 Jfr prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverk-
samheten, s. 18–25.
8 Jfr prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet, s. 174–177 och prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 25–29. 9 Se prop. 2017/18:105, Ny dataskyddslag, s. 91.
CSN får enligt bestämmelsen behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara ofrånkomlig.10 Behandlingen måste dock alltid kunna motiveras på grundval av de arbetsuppgifter myndigheten har att utföra. I kravet på nödvändighet ligger även att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter.
Sökbegränsningar
10 §
Det är förbjudet att utföra sökningar i syfte att få fram ett urval av
personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i stödverksamheten. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Paragrafen, som delvis motsvarar 8 § nuvarande studiestödsdatalag, reglerar sökbegränsningar avseende känsliga personuppgifter.11 Till skillnad från 8 § studiestödsdatalagen utgår bestämmelsen från syftet med en sökning. Bestämmelsen omfattar inte heller uppgifter om lagöverträdelser eller uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott. Inte heller uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle omfattas. Undantagen är dock i princip detsamma som enligt nuvarande bestämmelse. Överväganden finns i avsnitt 11.2.
Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 9 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att CSN inte får utföra sökningar i syfte att få fram ett urval av personer som t.ex. har en viss politisk åsikt eller sexuell läggning. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett
10 Se prop. 2017/18:105, Ny dataskyddslag, s. 194. 11 Jfr prop. 2017/18:218, Behandling av personuppgifter på utbildningsområdet, s. 177.
urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn.12 Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter.
I andra stycket anges att förbudet inte omfattar sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i stödverksamheten. Genom detta undantag är det möjligt för CSN att ta fram ett urval baserat på uppgifter om t.ex. studiestöd under sjukdom. Uppgifter om hälsa definieras i artikel 4.15 i EU:s dataskyddsförordning. Förutsättningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är att sökningen är nödvändig för att utföra en uppgift i myndighetens stödverksamhet. Begreppet nödvändigt i förevarande paragraf har samma innebörd som enligt bestämmelsen om känsliga personuppgifter, se kommentaren till 9 §.
Förbudet omfattar inte heller sökningar som sker i en viss handling eller i ett visst ärende. Den enskilde medarbetaren vid CSN kan alltså göra relevanta sökningar på t.ex. känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
Särskilda bestämmelser om dataanalyser och urval
11 §
För att göra dataanalyser och urval enligt 6 § andra stycket får
följande personuppgifter behandlas:
1. uppgifter som Centrala studiestödsnämnden förfogar över eller samlar in till följd av stödverksamheten, och
2. uppgifter som lämnas till Centrala studiestödsnämnden för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
Paragrafen, som inte har någon motsvarighet i nuvarande studiestödsdatalag, innehåller reglering av vilka personuppgifter som får behandlas för att göra dataanalyser och urval i syfte att förebygga,
12 Se prop. 2017/18:105, Ny dataskyddslag, s. 91 och prop. 2022/23:34, Utbetalningsmyndig-
heten, s. 208.
förhindra och upptäcka fel. Bestämmelsen gäller enbart i fråga om dataanalyser och urval som sker enligt 6 § andra stycket. Behandling genom dataanalyser och urval som har stöd i 6 § första stycket omfattas inte. Övervägandena finns i avsnitt 10.4.3.
Första stycket tydliggör att CSN inte får behandla uppgifter som
det inte finns stöd för att behandla till följd av myndighetens uppdrag. Regleringen möjliggör dock insamling och vidarebehandling av personuppgifter för att göra aktuella dataanalyser och urval. Vilka uppgifter som är relevanta att behandla för dataanalyser och urval enligt 6 § andra stycket följer av den materiella verksamhetsregleringen. CSN behöver alltid säkerställa att behandlingen är förenlig med EU:s dataskyddsförordning.
Enligt första punkten får CSN behandla personuppgifter som myndigheten förfogar över eller samlar in till följd av stödverksamheten. Med uppgifter som CSN förfogar över avses sådana uppgifter som myndigheten redan har tillgång till som en följd av sin stödverksamhet, t.ex. i fråga om handläggning av ärenden. Uppgifterna kan t.ex. ha samlats in från enskilda som har ett ärende hos myndigheten eller så kan uppgifter ha överlämnats från andra myndigheter.
Med uppgifter som CSN samlar in till följd av stödverksamhet avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina reglerade uppdrag. Insamlingen kan t.ex. ske i syfte att handlägga ärenden eller direkt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Det rör sig med andra ord om uppgifter som myndigheten ännu inte har samlat in och den därför inte heller förfogar över till följd av t.ex. handläggning av ärenden.
Enligt andra punkten får CSN behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen omfattar uppgifter som t.ex. en annan myndighet lämnar i enlighet med en i lag eller förordning föreskriven uppgiftsskyldighet på begäran av CSN, uppgifter som lämnas till CSN med stöd av den s.k. generalklausulen i 10 kap. 27 § OSL eller uppgifter som i övrigt lämnas till myndigheten med stöd av bestämmelser i lag eller förordning. Det kan röra sig om både sekretessbelagda uppgifter och uppgifter som är offentliga hos den överlämnande myndigheten. I de fall en bestämmelse om uppgiftsskyldighet innebär att uppgifterna endast får lämnas ut om det behövs i ett ärende hos CSN kommer uppgifterna inte att
kunna hämtas in i syfte att göra analyser och urval. Om sådana uppgifter väl finns i ett ärende kommer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i EU:s dataskyddsförordning kunna behandlas även för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i stödverksamheten.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 6 § andra stycket. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter.
12 §
Innan personuppgifter behandlas för att göra dataanalyser och ur-
val enligt 6 § andra stycket ska Centrala studiestödsnämnden dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Dokumentationen ska uppdateras vid betydande förändringar i en pågående behandling.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Paragrafen, som inte har någon motsvarighet i nuvarande studiestödsdatalag, innehåller krav på dokumentation och är en särskild skyddsåtgärd vid behandling av personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i stödverksamheten. Skyddsåtgärden gäller enbart i fråga om dataanalyser och urval som sker enligt 6 § andra stycket. Behandling genom dataanalyser och urval som har stöd i 6 § första stycket omfattas inte av bestämmelsen. Övervägandena finns i avsnitt 11.5.2.
Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet dokumenteras. Det innebär att CSN ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för den enskildes personliga integritet. I denna bedömning ska CSN ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat.
I de fall CSN är skyldig att göra en konsekvensbedömning enligt artikel 35 i EU:s dataskyddsförordning och myndigheten därför redan har dokumenterat avvägningen mellan det avsedda resultatet
med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, får det förutsättas att myndigheten även har uppfyllt det aktuella dokumentationskravet, om konsekvensbedömningen har gjorts på rätt sätt.
Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval, oavsett syfte, behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och EU:s dataskyddsförordning.
Enligt andra stycket ska de metoder och sökbegrepp som används för att ta fram urval dokumenteras. Med metoder för att ta fram urval menas t.ex. urvalsmodeller som CSN tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel i stödverksamheten. Dokumentationen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informationsmängd och hitta de poster eller uppgiftskonstellationer där begreppet förekommer. Sökbegrepp kan också användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer att användas som underlag för en viss dataanalys, eller sökningar som görs bland urvalsträffar för att t.ex. prioritera vilka av dessa som bör kontrolleras närmare.
Av tredje stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumentationen ska det gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval samt att uppgifterna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheten måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art.
Det är upp till CSN att bedöma i vilken form dokumentationen som bestämmelsen ställer krav på ska göras. Det avgörande är att det i efterhand går att kontrollera den gjorda proportionalitetsbedömningen samt vilka metoder och sökbegrepp som har använts för att ta fram urval. Dokumentationen ska dock upprättas innan en ny behandling påbörjas eller vid betydande förändringar av en behandling. Med betydande förändring menas t.ex. att en helt ny teknik ska användas eller att mängden kategorier av personuppgifter väsentligen ökas eller ändras.
Tillgång till personuppgifter
13 §
Tillgången till personuppgifter ska begränsas till vad var och en
behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
I paragrafen, som delvis motsvarar 9 § nuvarande studiestödsdatalag, finns en bestämmelse om den interna tillgången till personuppgifter i CSN:s stödverksamhet.13 Bestämmelsen är till skillnad från den som gäller i dag mycket mindre detaljerad. Övervägandena finns i avsnitt 11.3.
Första stycket innebär att CSN ska begränsa tillgången till per-
sonuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i EU:s dataskyddsförordning).
Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid CSN ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten.
Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att den behöver utifrån sina arbetsuppgifter.
Enligt andra stycket ska CSN kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst.
Kontroller ska genomföras systematiskt och återkommande och inte bara när CSN av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det är dock upp till CSN att närmare bestämma formerna för kontrollen.
13 Jfr prop. 2008/09:96, Behandling av personuppgifter inom studiestödsområdet, s. 53, 54 och 55.
Elektroniskt utlämnande av personuppgifter
14 §
Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen, som delvis har sin motsvarighet i 10–14 §§ nuvarande studiestödsdatalag, reglerar förutsättningarna för elektroniskt utlämnande av personuppgifter. Övervägandena finns i avsnitt 11.4.
Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst, varmed avses att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information,14 som annat elektroniskt utlämnande, varmed avses bl.a. utlämnande genom e-post eller direkt överföring från ett datorsystem till ett annat. Till skillnad från dagens reglering ska det vara upp till CSN att avgöra om elektroniskt utlämnande över huvud taget är lämpligt och i så fall i vilken form.
Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av eventuella bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
15 §
Personuppgifter får inte behandlas under längre tid än nödvändigt
med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
14 Se HFD 2015 ref. 61.
Paragrafen, som inte har någon motsvarighet i nuvarande studiestödsdatalag, innehåller en huvudregel om längsta tid för behandling av personuppgifter vid CSN. Övervägandena finns i avsnitt 12.5.
Bestämmelsen i första stycket innebär en skyldighet för CSN att upphöra med behandlingen av personuppgifter så snart den inte längre behövs med hänsyn till det ändamål för vilket personuppgifterna behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på CSN att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen motsvarar principen om lagringsminimering, artikel 5.1 e i EU:s dataskyddsförordning, och utgör inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens (1990:782) bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål av allmänt intresse.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som följer av den generella bestämmelsen i första stycket om att personuppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet.
Begränsningar av rätten att göra invändningar
16 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra in-
vändningar gäller inte vid sådan behandling som är tillåten enligt denna lag
eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen, som motsvarar 5 § nuvarande studiestödsdatalag, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning.15 Övervägandena finns i avsnitt 8.7.
15 Jfr prop. 2017/18:95, Ny dataskyddslag, s. 108.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 1 juli 2026.
2. Genom lagen upphävs studiestödsdatalagen (2009:287).
Ikraftträdande- och övergångsbestämmelser behandlas i kapitel 15.
Av punkten 1 framgår att lagen träder i kraft den 1 juli 2026. Av punkten 2 framgår att i och med ikraftträdandet av lagen upphör den nuvarande studiestödsdatalagen att gälla.
17.2. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
17 kap. Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i vissa verksamheter
1 a §
Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs och analyserna och urvalen rör
1. folkbokföringsverksamhet, eller
2. Centrala studiestödsnämndens stödverksamhet.
Paragrafen reglerar sekretess för vissa uppgifter som hänför sig till dataanalyser och urval i syfte att skydda allmänna intressen. Paragrafen har ändrats så att den utöver Skatteverkets folkbokföringsverksamhet, även avser CSN:s stödverksamhet. Övervägandena finns i avsnitt 13.4.
I första stycket har ändringar gjorts som innebär att sekretessen gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i CSN:s stödverksamhet (och Skatteverkets folkbokföringsverksamhet).16
De uppgifter som omfattas av paragrafen är t.ex. uppgifter om vilka riskfaktorer som en myndighet har tagit fram för att identifiera misstänkta felaktigheter i en verksamhet. Andra uppgifter som kan
16 För överväganden gällande förslag till ändring från felaktiga uppgifter till fel i fråga om Skatteverket se SOU 2023:100, Framtidens dataskydd vid Skatteverket, Tullverket och
Kronofogden, s. 1250, 1251 och 1252.
omfattas av sekretess är t.ex. hur dataanalyserna och urvalsmodellerna har utformats eller utvecklats.
Sekretessen gäller om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Sekretessbestämmelsen är utformad med ett rakt skaderekvisit, vilket innebär en presumtion för offentlighet. Det avgörande för om sekretess föreligger är därmed om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det allmännas syfte med sådana dataanalyser och urval som här avses. Mot bakgrund av de aktuella uppgifternas karaktär kan det ofta antas att CSN:s möjligheter att förebygga, förhindra och upptäcka fel kommer att motverkas om uppgifterna blir offentliga.
28 kap.
Studiestöd m.m.
9 §
Sekretess gäller hos Centrala studiestödsnämnden i stödverksamhet, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Motsvar-
ande sekretess gäller i ärende om studiestöd hos andra myndigheter.
I andra ärenden än sådana om studiestöd under sjukdom gäller sekretessen inte beslut i ärendet.
För uppgift i en allmän handling gäller sekretessen i högst femtio år.
Paragrafen reglerar den sekretess som gäller för enskilds personliga och ekonomiska förhållanden inom stödverksamhet hos CSN och i ärende om studiestöd hos andra myndigheter. Övervägandena finns i avsnitt 13.2.
Ändringen i första stycket innebär att sekretess gäller hos CSN i stödverksamhet för uppgift om enskilds personliga eller ekonomiska förhållanden. Med stöd avses dels studiestöd, dels andra stöd till enskilda som enligt lag eller förordning ska hanteras av myndigheten, t.ex. körkortslån och hemutrustningslån.17 Ändringen innebär att det inte endast är uppgifter som förekommer i ett ärende som omfattas av sekretess, utan även uppgifter som förekommer utanför ärendehandläggningen eller innan det skapats ett ärende. Sekretess gäller
17 Jfr 1 § förordningen med instruktion för Centrala studiestödsnämnden.
fortsatt med rakt skaderekvisit, dvs. med presumtion för att uppgifterna är offentliga. Sekretess i ärende om studiestöd gäller även hos andra myndigheter än CSN, t.ex. Överklagandenämnden för studiestöd.
9 a §
Sekretess gäller vid dataanalyser och urval hos Centrala studiestödsnämnden i stödverksamhet, för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst femtio år.
Paragrafen är ny och innehåller en bestämmelse om sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden som hänför sig till CSN:s dataanalyser och urval, oavsett syftet med åtgärden, inom stödverksamheten. Övervägandena finns i avsnitt 13.3.
Enligt första stycket gäller sekretess vid dataanalyser och urval i CSN:s stödverksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestämmelsen, som endast är tillämplig i CSN:s stödverksamhet, innebär att det råder absolut sekretess för samtliga uppgifter om en enskilds personliga eller ekonomiska förhållanden vid dataanalyser och urval, oavsett syftet med åtgärden.
Om någon begär ut en specifik handling hos CSN innebär sekretessen att det inte får avslöjas om uppgifter i handlingen förekommer i verksamhet med dataanalyser och urval. Däremot ska handlingen, efter sekretessprövning, kunna lämnas ut om den förekommer i ett ärende.
Enligt andra stycket gäller för uppgift i allmän handling sekretess i högst femtio år.
17 §
Den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av
9 a och 16 § andra meningen inskränker rätten enligt 1 kap. 1 och 7 §§
tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
I paragrafen finns bestämmelser om rätten att meddela och offentliggöra uppgifter. Övervägandena finns i avsnitt 13.3.3.
Ändringen i paragrafen är en följd av den nya bestämmelsen i 28 kap. 9 a § OSL. Ändringen innebär att tystnadsplikten som följer av den nämnda bestämmelsen inskränker den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Ikraft- och övergångsbestämmelser
Denna lag träder i kraft den 1 juli 2026.
Ikraftträdande- och övergångsbestämmelser behandlas i kapitel 15.
Av bestämmelsen framgår att lagen träder i kraft den 1 juli 2026.
Kommittédirektiv 2024:36
En modern dataskyddsreglering för Centrala studiestödsnämnden
Beslut vid regeringssammanträde den 27 mars 2024
Sammanfattning
En särskild utredare ska göra en allmän översyn av Centrala studiestödsnämndens (CSN) registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov.
Utredaren ska bl.a.
- analysera behovet av ändringar i CSN:s registerförfattningar för att förbättra myndighetens förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott,
- överväga och ta ställning till om det finns utrymme för en minskad detaljreglering jämfört med i dag,
- analysera och bedöma behovet av en förändrad struktur och terminologi, t.ex. genom att använda ett modernare språk och enhetliga begrepp i förhållande till främst annan dataskyddsreglering,
- föreslå hur CSN:s registerförfattningar kan utformas för att vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen samtidigt som den enskildes personliga integritet värnas, och
- lämna nödvändiga författningsförslag.
Uppdraget ska redovisas senast den 31 december 2024.
Uppdraget att ge CSN bättre förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott
CSN administrerar studiestöd och andra stöd till enskilda …
Centrala studiestödsnämnden (CSN) har enligt förordningen (2017:114) med instruktion för Centrala studiestödsnämnden bl.a. till uppgift att administrera studiestöd och andra stöd till enskilda som enligt lag eller förordning ska hanteras av myndigheten. Under 2023 betalade CSN ut cirka 48,8 miljarder kronor i studiestöd till cirka en miljon stödtagare. Myndigheten ska även säkerställa att de lån som myndigheten administrerar betalas tillbaka. Antalet personer som har lån från CSN uppgår för närvarande till cirka 1,8 miljoner.
Vidare ansvarar CSN för att följa och analysera de studerandes sociala och ekonomiska situation och för att föra statistik över studiestödsområdet. Myndigheten har även i uppdrag att motverka bidragsbrott och säkerställa att felaktiga utbetalningar inte görs. Enligt CSN:s regleringsbrev för 2024 ska myndigheten bidra till det övergripande målet om minskade felaktiga utbetalningar från välfärdssystemen. Myndigheten redovisar i årsredovisningen måluppfyllelsen och genomförda insatser för att uppnå målet.
… och omfattas av generell och myndighetsspecifik dataskyddsreglering …
Var och en är enligt regeringsformen (RF) skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket). Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap. 20–22 §§ RF.
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad EU:s dataskyddsförordning, utgör den generella regleringen av personuppgiftsbehandling inom EU. Förordningen är i alla delar bindande och direkt tillämplig i samtliga EU:s medlemsländer, men tillåter och förutsätter ibland att medlemsstaterna kompletterar
förordningen med nationell lagstiftning. EU:s dataskyddsförordning kompletteras i Sverige av bl.a. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Dataskyddslagen är subsidiär till andra lagar och förordningar, vilket möjliggör avvikande bestämmelser i särskilda registerförfattningar.
För CSN:s behandling av personuppgifter finns bestämmelser i studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321). Författningarna tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 § studiestödsdatalagen och 1 § studiestödsdataförordningen). Hos CSN förekommer också viss personuppgiftsbehandling som inte omfattas av studiestödsdatalagen och studiestödsdataförordningen utan sker enbart med stöd av den generella dataskyddsregleringen i EU:s dataskyddsförordning och dataskyddslagen.
… men behöver bättre verktyg för att kunna förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott
Att bekämpa välfärdsbrottsligheten och motverka felaktiga utbetalningar är avgörande för att bibehålla förtroendet för våra gemensamma trygghetssystem och för att säkerställa att stöd och bidrag endast går till de individer som har rätt till dem. Bidragsbrott och felaktigt utbetald ersättning skadar tilltron till och legitimiteten för välfärdssystemen inklusive studiestödssystemet.
Ekonomistyrningsverket (ESV) bedömer att under 2021 var cirka 2 procent av utbetalningarna av olika förmåner och stöd till enskilda personer felaktiga. Detta innebär felaktiga utbetalningar om cirka 14,6 miljarder kronor. ESV uppskattar att de sökande orsakade cirka 90 procent av de felaktigt utbetalade medlen. Drygt hälften av dessa fel bedöms vara avsiktliga. I budgetpropositionen för 2024 bedömde regeringen att cirka 15–20 miljarder kronor betalas ut felaktigt från välfärdssystemen varje år. Den nya Utbetalningsmyndigheten, som har inrättats från och med den 1 januari 2024, ska bl.a. förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen och ansvara för att administrera ett system med transaktionskonto för vissa sådana utbetalningar, däribland utbetalningar från
CSN. Utbetalningsmyndighetens verksamhet innebär inte att de beslutande myndigheternas kontrollarbete ska minska (prop. 2022/23:34 s. 48). Inrättandet av Utbetalningsmyndigheten minskar således inte CSN:s behov av att utföra kontroller.
En viktig del i kampen mot organiserad brottslighet är att myndigheter samverkar och kan utbyta information med varandra. Sedan 2016 gäller lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. Lagens syfte är att underlätta informationsutbytet mellan myndigheter som samverkar för att förebygga, förhindra eller upptäcka viss organiserad brottslighet på underrättelsestadiet. CSN är en myndighet som är skyldig att lämna uppgifter enligt lagen (2 § förordningen [2016:775] om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet). Vidare omfattas CSN av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen och av anmälningsskyldigheten i 6 § bidragsbrottslagen (2007:612)..
Ett effektivt informationsutbyte kan leda till att myndigheterna upptäcker bidragsbrott och kan förebygga, förhindra och upptäcka att felaktiga utbetalningar görs från välfärdssystemen. Regeringen har därför tagit flera olika lagstiftningsinitiativ som syftar till att förbättra möjligheterna till informationsutbyte, bl.a. för det brottsbekämpande arbetet. Exempelvis beslutade regeringen den 14 mars 2024 propositionen En ny lag om uppgiftsskyldighet för att motverka felaktiga utbetalningar från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet (prop. 2023/24:85). Förslagen i propositionen syftar bl.a. till att ge vissa statliga myndigheter, däribland CSN, samt kommuner och arbetslöshetskassor tillgång till uppgifter som behövs för att säkerställa korrekta beslutsunderlag för att motverka felaktiga utbetalningar från välfärdssystemen. I betänkandet Ökat informationsflöde till brottsbekämpningen (SOU 2023:69) lämnas också förslag på en ny lag med skyldighet för ett antal myndigheter, däribland CSN, att lämna uppgifter till de brottsbekämpande myndigheterna. Förslagen bereds i Regeringskansliet.
Regeringen har även gett en särskild utredare i uppdrag att överväga och föreslå förbättrade möjligheter att utbyta information mellan myndigheter. Syftet är att information ska kunna utbytas i den utsträckning som det behövs för att myndigheterna bl.a. ska kunna förhindra, förebygga, upptäcka, utreda och ingripa mot fusk, felaktiga utbetalningar, regelöverträdelser och brottslighet så effektivt som
möjligt, utan att det medför ett oproportionerligt intrång i den personliga integriteten (dir. 2023:146). I uppdraget ingår även att göra en översyn, i den utsträckning det behövs, av myndigheternas registerförfattningar, för att möjliggöra att de förslag som lämnas tjänar sitt syfte och kan tillämpas på ett ändamålsenligt sätt, och att lämna nödvändiga författningsförslag. Studiestödsdatalagen är en av de registerförfattningar som anges som exempel för en sådan översyn.
Fokus för Utredningen om förbättrade möjligheter till informationsutbyte mellan myndigheter (Ju 2023:22) är utbytet av information mellan myndigheter. Härutöver kan det även finnas anledning att, i den utsträckning det inte faller inom ramen för den utredningen, se över CSN:s möjligheter att behandla personuppgifter för att ge myndigheten förutsättningar att arbeta effektivt mot felaktiga utbetalningar och bidragsbrott. Det kan t.ex. röra sig om att se över bestämmelser om tillåtna ändamål, sökbegränsningar och gallring.
Vidare har den tekniska utvecklingen skapat nya möjligheter för myndigheterna att utföra dataanalyser och urval för att kunna koncentrera sin kontroll mot områden med hög risk för fel och fusk och där bästa möjliga effekt kan uppnås. Dessa frågor kräver överväganden där myndighetens behov av att behandla personuppgifter noggrant vägs mot den enskildes rätt till skydd för sin personliga integritet.
För att ge CSN förutsättningar att arbeta mer effektivt mot felaktiga utbetalningar och bidragsbrott behöver den aktuella dataskyddslagstiftningen inom studiestödsområdet moderniseras och verktygen för att utveckla effektiva kontroller stärkas.
Utredaren ska därför
- analysera behovet av ändringar i CSN:s registerförfattningar för att förbättra myndighetens förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott, och
- lämna nödvändiga författningsförslag.
Inom ramen för denna översyn ska bl.a. följande frågor utredas.
Behov av ändrade ändamåls- och sekretessbestämmelser i syfte att stärka myndighetens möjlighet till informationsutbyte och kontroller
Studiestödsdatalagen innehåller bestämmelser om för vilka ändamål personuppgifter får behandlas i CSN:s studiestödsverksamhet (4 och 4 a §§). I dag får personuppgifter behandlas i CSN:s studiestödsverksamhet om det behövs för att handlägga ärenden i den verksamheten, administrera handläggningen, förbereda handläggningen, informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, ta fram och distribuera bevis om studiestöd för studier till studerande och anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna.
Personuppgifter som behandlas för något av ovan nämnda primära ändamål får även behandlas för vissa sekundära ändamål genom att lämnas ut till den registrerade själv, till riksdagen och till regeringen. Personuppgifterna får också behandlas genom att lämnas ut till andra om en sådan skyldighet är föreskriven i lag eller förordning. Personuppgifter som behandlas enligt de primära ändamålen och som inte direkt pekar ut den registrerade får dessutom behandlas för att ge tillgång till vägledande avgöranden. Personuppgifter som behandlas för de i lagen angivna ändamålen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen).
Mot bakgrund av flera lagstiftningsinitiativ som syftar till att underlätta informationsutbytet mellan myndigheter bör det ses över om det finns ett behov av utökat författningsstöd för CSN:s personuppgiftsbehandling. CSN har bl.a. framfört att det finns ett sådant behov med anledning av förslagen i betänkandet Ökat informationsflöde till brottsbekämpningen – En ny huvudregel (SOU 2023:69), se CSN:s remissvar i ärendet (Ju2023/02434).
För att möjliggöra sådan personuppgiftsbehandling som kan komma att krävas med anledning av vissa förslag i betänkandet Ett stärkt och samlat skydd av välfärdssystemen (SOU 2023:52) kan det enligt CSN också behövas en anpassning av ändamålsbestämmelserna i CSN:s registerförfattningar (CSN:s remissvar i ärendet, S2023/02576). Detsamma gäller personuppgiftsbehandling till följd av de förslag som lämnas i lagrådsremissen En ny lag om uppgiftsskyldighet för att
motverka felaktiga utbetalningar från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet (Fi2024/00239). CSN har även framfört att det finns behov av ett bättre författningsstöd för att kunna följa upp bidragsbrott (En modern dataskyddsreglering för Centrala studiestödsnämnden [U2024/00322]).
CSN har vidare framfört ett behov av författningsstöd i form av ändamålsbestämmelser i studiestödsdatalagen för att kunna ta emot och behandla personuppgifter som lämnas i samverkan enligt lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. CSN har även i remissvar till Utredningen för inrättandet av Utbetalningsmyndigheten (Fi 2022:01) lämnat vissa författningsförslag i syfte att möjliggöra att CSN kan behandla personuppgifter i studiestödsverksamheten för ändamålen att ta emot och hantera underrättelser som myndigheten mottar från Utbetalningsmyndigheten i dess arbete med granskning av utbetalningar. CSN har vidare framfört behov av att kunna behandla personuppgifter om personer som ännu inte förekommer i ett ärende hos CSN, t.ex. genom att ta emot tips från andra myndigheter om personer som i nära framtid kan komma att lämna in en ansökan om studiemedel till CSN men som inte har för avsikt att studera. Detta behov har exempelvis lyfts av CSN i anslutning till departementspromemorian Utökat informationsutbyte (Ds 2022:13). I den utsträckning denna fråga inte behandlas vidare av Utredningen om förbättrade möjligheter till informationsutbyte mellan myndigheter inom ramen för dir. 2023:146, kan det finnas anledning att se över CSN:s möjligheter att behandla personuppgifter för att ge myndigheten förutsättningar att arbeta effektivt mot felaktiga utbetalningar och bidragsbrott.
För att utföra uppdraget att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott behöver CSN arbeta med flera olika åtgärder och rikta insatserna dit där de gör störst nytta. Det handlar om både förebyggande och upptäckande åtgärder i syfte att minska risken för felaktiga beslut och utbetalningar. I betänkandet Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra (SOU 2017:37) bedömer Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden att kontroll är det mest ändamålsenliga verktyget för att motverka avsiktliga felaktiga utbetalningar och att en väl avvägd och ändamålsenlig kontroll hos myndigheterna dessutom har en viktig brottsförebyggande funktion.
I syfte att upptäcka och förhindra felaktiga utbetalningar och därmed sammanhängande brottslighet utför CSN dataanalyser och urval. Dagens registerlagstiftning för CSN är till stora delar kopplad till ärendehantering. För att utveckla effektiva urvalsmodeller för kontroll som bygger på dataanalyser ser dock CSN behov av att behandla personuppgifter för kontrolländamål utan koppling till ett enskilt ärende.
Mot denna bakgrund framstår studiestödsdatalagens ändamålsbestämmelser i dag som för snävt formulerade och de inskränker CSN:s möjligheter att effektivt fullfölja sitt uppdrag. För att möjliggöra detta och säkerställa att ändamålsbestämmelserna är anpassade till den tekniska utvecklingen kan det finnas ett behov av en utvidgad ändamålsreglering jämfört med i dag.
Det finns även skäl att överväga om ändamålsregleringen kan vara bredare formulerad och därmed mindre detaljerad, vilket skulle ge CSN ett större utrymme att behandla personuppgifter för de ändamål som myndighetens uppdrag förutsätter. Sådana ändamålsbestämmelser kräver en grundlig integritets- och proportionalitetsanalys. Att en bredare ändamålsbestämmelse skulle kunna skapa flexibilitet och förutsättningar att hålla jämna steg med samhällsutvecklingen har framhållits både av eSamverkansprogrammet (ett samverkansprogram mellan flera myndigheter som ska ta tillvara digitaliseringens möjligheter, förkortat eSam) i promemorian En modern registerförfattning [ES 2022-06] och av CSN (U2024/00322). Ett förslag till bredare ändamålsbestämmelse för Skatteverket, Tullverket och Kronofogdemyndigheten har också lämnats i betänkandet Framtidens dataskydd – Vid Skatteverket, Tullverket och Kronofogden (SOU 2023:100).
Om CSN föreslås få möjlighet att hämta in uppgifter från andra sammanhang än myndighetens ärenden om studiestöd i syfte att effektivisera dataanalyser och urval kommer inte dessa uppgifter att omfattas av sekretess enligt bestämmelsen i 28 kap. 9 § offentlighets- och sekretesslagen (2009:400) om sekretess i ärenden om bl.a. studiestöd eftersom uppgifterna inte förekommer i ett ärende hos CSN.
Utredaren ska därför
- analysera och vid behov lämna förslag till ändamålsbestämmelser som innebär ökad möjlighet för CSN att behandla personuppgifter vid informationsutbyte med andra myndigheter och aktörer,
- analysera och bedöma lämpligheten och utformningen av ändamålsbestämmelser som innebär en utökad möjlighet för CSN att utföra dataanalyser och urval,
- överväga och ta ställning till om ändamålsregleringen i CSN:s registerförfattningar kan göras bredare formulerad och därmed mindre detaljerad,
- ta ställning till om det i övrigt finns ett behov av en förändrad ändamålsreglering i CSN:s registerförfattningar utifrån myndighetens uppgifter enligt t.ex. myndighetens instruktion, andra författningar och regleringsbrev,
- utifrån de ändringar som föreslås i CSN:s registerförfattningar, analysera och bedöma om det finns behov av ändringar i offentlighets- och sekretesslagen, och
- lämna nödvändiga författningsförslag.
Dagens sökbegränsningar behöver ses över
I studiestödsdatalagen finns särskilda bestämmelser om s.k. sökbegränsningar (8 §). Sökbegränsningarna tar bl.a. sikte på sökbegrepp som avslöjar känsliga personuppgifter, uppgifter om lagöverträdelser och inkomst. Denna reglering medför begränsningar i hur CSN kan behandla personuppgifter i syfte att motverka felaktiga utbetalningar och bidragsbrott eftersom CSN har behov av att kunna använda vissa sökbegrepp som avslöjar uppgifter om lagöverträdelser, inkomst och anledning till studieavbrott. Sökbegränsningen vad gäller inkomst hindrar också CSN från att kunna söka fram och lämna ut uppgifter som begärs ut av Utbetalningsmyndigheten. Det finns därför ett behov av att göra en översyn av de sökbegränsningar som gäller för myndigheten.
Utredaren ska därför
- ta ställning till hur bestämmelserna om sökbegränsningar i CSN:s registerförfattningar bör ändras, och
- lämna nödvändiga författningsförslag.
Behov av ändamålsenliga bestämmelser om elektroniskt utlämnande av uppgifter
En välfungerande samverkan mellan myndigheter för att förebygga och bekämpa brott förutsätter att det finns ett regelverk som gör det möjligt att utbyta information på ett effektivt sätt. Att uppgifter kan utbytas elektroniskt är i princip en förutsättning för ett effektivt informationsutbyte. Om en myndighet ska eller får lämna ut uppgifter är det normalt upp till myndigheten att avgöra på vilket sätt det ska göras (se t.ex. prop. 2000/01:33 s. 112).
När det gäller elektroniskt utlämnande skiljer man i regel mellan direktåtkomst och annat elektroniskt utlämnande (ibland kallat utlämnande på medium för automatiserad behandling), t.ex. genom filöverföring eller e-post. Den grundläggande innebörden av direktåtkomst är att någon har direkt tillgång till någon annans uppgiftssamling och på egen hand kan söka efter information, men utan att kunna påverka innehållet i uppgiftssamlingen. Den tekniska utformningen av en myndighets system för utlämnande av uppgifter kan bli avgörande för om utlämnandet rättsligt är att betrakta som direktåtkomst eller som annat elektroniskt utlämnande. Av dessa varianter bedöms elektroniskt utlämnande genom direktåtkomst som mest integritetskänsligt, jfr t.ex. propositionen Tullbrottsdatalag (prop. 2016/17:91 s. 58).
Av CSN:s registerförfattningar framgår vilka som får ha direktåtkomst till personuppgifter hos CSN och att i de fall som uppgifter får lämnas ut till någon genom direktåtkomst får uppgifterna även på något annat sätt lämnas ut elektroniskt till mottagaren. Vidare får enstaka personuppgifter även lämnas ut elektroniskt på annat sätt än genom direktåtkomst eller via elektronisk kommunikation i enskilda fall. Ett elektroniskt utlämnande av vissa angivna uppgifter får även göras på annat sätt än genom direktåtkomst till angivna mottagare (12 och 13 §§studiestödsdatalagen). I 15 § studiestödsdataförordningen finns en uttömmande detaljreglering av de undantagsfall där CSN får lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.
Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden (Fi 2021:11) har bl.a. haft i uppdrag att utreda om nuvarande regler om direktåtkomst för dessa myndigheter är ändamålsenliga eller om förekomsten av direktåtkomst bör minska. Utredningen har gjort bedömningen att dagens begränsningar av
myndigheternas möjligheter att lämna ut uppgifter genom direktåtkomst inte bör ha någon motsvarighet i de nya dataskyddslagar som föreslås och att direktåtkomst i lagstiftningshänseende i stället bör likställas med övriga former av elektroniskt utlämnande (SOU 2023:100). Mot denna bakgrund finns det anledning att även se över behovet av en reglering om direktåtkomst i CSN:s registerförfattningar.
Nuvarande reglering av annat elektroniskt utlämnande än direktåtkomst i 15 § studiestödsdataförordningen är begränsande och ger till exempel inte CSN rätt att lämna uppgifter elektroniskt till Polismyndigheten för andra brott än bidragsbrott. Detta får konsekvensen att CSN förutsätts ge in anmälningar om förfalskningsbrott på annat sätt än elektroniskt till Polismyndigheten. Digitaliseringen medför också att det ställs ökade krav på att myndigheter ska ha möjlighet att lämna uppgifter elektroniskt till framför allt enskilda. Det kan därför finnas ett behov av en mer flexibel reglering av
CSN:s möjlighet till elektroniskt utlämnande på annat sätt än genom direktåtkomst. Det är något som redan finns i annan dataskyddsreglering, bl.a. domstolsdatalagen (2015:728). Vidare har flera utredningar uppmärksammat behovet av ändringar i 15 § studiestödsdataförordningen för att CSN ska kunna lämna ut uppgifter elektroniskt. I bl.a. departementspromemorian Utökat informationsutbyte (Ds 2022:13) har förslag lämnats om en ändring av studiestödsdataförordningen (2009:321) som innebär att CSN får en generell möjlighet att utbyta personuppgifter elektroniskt på annat sätt än genom direktåtkomst med andra myndigheter. Regeringen har också gett en särskild utredare i uppdrag att överväga och föreslå förbättrade möjligheter att utbyta information mellan myndigheter (dir. 2023:146). I den utsträckning CSN:s möjligheter att utbyta personuppgifter elektroniskt på annat sätt än genom direktåtkomst inte faller inom ramen för sådant annat pågående arbete och omhändertas i kommande lagstiftningsarbete finns det skäl att se över denna reglering. CSN har även, mot bakgrund av det förslag som lämnats i fråga om Försäkringskassan och Pensionsmyndigheten i lagrådsremissen En modern dataskyddsreglering på socialförsäkringsområdet (S2022/04816), lyft frågan om det överhuvudtaget behöver finnas en reglering om elektroniskt utlämnande på annat sätt än genom direktåtkomst i myndighetens registerförfattningar eftersom informationsutbyte ändå måste ske i enlighet med de krav som följer av EU:s dataskyddsförordning.
Mot denna bakgrund finns det skäl att se över behovet av förändrade regler om direktåtkomst och annat elektroniskt utlämnande i myndighetens registerförfattningar.
Utredaren ska därför
- ta ställning till om nuvarande regler om elektroniskt utlämnande är utformade på ett ändamålsenligt sätt eller om det finns behov av förändringar, och
- lämna nödvändiga författningsförslag.
Bestämmelserna om bevarande och gallring behöver bli mer flexibla
Arkivlagen (1990:782) och tillhörande förordning samt av Riksarkivet meddelade föreskrifter om gallring innehåller bestämmelser om bevarande och gallring av allmänna handlingar. Med gallring avses förstöring av allmänna handlingar eller uppgifter i allmänna handlingar. Därutöver finns bl.a. bestämmelser om längsta tid för bevarande (gallring) i myndigheters registerförfattningar med tillhörande förordningar. I studiestödsdatalagen finns bestämmelser om när personuppgifter i ett ärende ska gallras (16 §). I bestämmelsen anges bl.a. att om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde.
Nuvarande bestämmelse om gallring i 16 § studiestödsdatalagen är detaljerad och föreskriver korta bevarandetider i ärenden där någon återbetalning av studiestöd inte förekommer. Detta innebär svårigheter i CSN:s arbete att förhindra felaktiga utbetalningar. Som exempel kan nämnas att CSN behöver gallra i ärenden där det konstaterats en förhöjd risk för felaktiga utbetalningar men som ännu inte har hunnit kontrolleras manuellt. CSN kan även behöva gallra handlingar som utgör konstaterade förfalskningar som innehåller personuppgifter trots att handlingen är av betydelse för myndighetens fortsatta arbete i syfte att bättre upptäcka förfalskningar. Vidare innebär gallringsbestämmelsen svårigheter för CSN att följa
upp och i efterhand dra lärdom av ärenden där brottslighet har konstaterats.
Det finns skäl att utreda om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga i förhållande till gällande materiella regler och dagens behov. Det bör i samband med det bedömas om bestämmelser om gallring bör ersättas med gallringsbestämmelser med tydligare koppling till de tillåtna ändamålen för personuppgiftsbehandling eller med bestämmelser om längsta tid som personuppgifter får behandlas automatiserat av CSN för att tydliggöra att det rör sig om dataskyddsbestämmelser och inte bestämmelser om gallring i arkivrättslig mening. Sistnämnda ändring har gjorts i registerförfattningarna inom brottsdatalagens område och även föreslagits i fråga om Skatteverket, Tullverket och Kronofogdemyndigheten (SOU 2023:100). Oavsett vilken lösning som förordas är det viktigt att bestämmelserna utformas så att möjligheten till bevarande blir mer flexibel och med en tydligare koppling till de behov som finns utifrån CSN:s uppdrag.
Utredaren ska därför
- ta ställning till om myndighetens nuvarande bestämmelser om bevarande och gallring är ändamålsenliga, varvid det bl.a. ska bedömas om gallringsbestämmelserna bör ersättas med bestämmelser med tydligare koppling till de tillåtna ändamålen för personuppgiftsbehandling eller om längsta tid som personuppgifter får behandlas, och
- lämna nödvändiga författningsförslag.
Uppdraget att mer övergripande se över CSN:s registerförfattningar i syfte att skapa ändamålsenliga regler anpassade efter dagens behov
Uppdraget att ge CSN förutsättningar att arbeta effektivt mot felaktiga utbetalningar och bidragsbrott bör utföras inom ramen för en allmän översyn av myndighetens registerförfattningar. En allmän översyn motiveras av att CSN:s uppdrag har utvidgats och att de digitala förutsättningarna har förändrats över tid. Någon allmän översyn av de registerförfattningar som gäller för CSN:s verksamhet har inte heller gjorts sedan registerförfattningarnas tillkomst. Den översyn som gjordes i samband med EU:s dataskyddsreform var i stort
sett begränsad till att anpassa studiestödsdatalagen till EU:s dataskyddsförordning. På senare år har förutsättningarna för myndigheternas digitalisering och personuppgiftsbehandling förändrats avsevärt med hänsyn till den snabba tekniska utvecklingen. Mot denna bakgrund har CSN lyft behovet av en översyn vid ett flertal tillfällen, exempelvis i skrivelsen En modern dataskyddsreglering för Centrala studiestödsnämnden (U2024/00322). Behoven avser bl.a. registerförfattningarnas tillämpningsområde, en bredare ändamålsreglering och större möjligheter till elektroniskt utlämnande.
I förarbetena till CSN:s registerförfattningar framgår att avsikten var att regleringen skulle vara teknikoberoende och flexibel så långt intresset av ett fullgott integritetsskydd tillåter, för att inte hindra den effektivisering av verksamheterna som pågår (prop. 2008/09:96 s. 29). Trots detta kan det konstateras att registerförfattningarna inte längre framstår som ändamålsenliga och anpassade till dagens behov. Den nu gällande dataskyddsregleringen på studiestödsområdet är inte anpassad till den mer avancerade och omfattande automatiserade behandling av personuppgifter som myndigheterna förväntas utföra i nya it-system. Digitaliseringen innebär även att allt fler informationsflöden övergår till att enbart hanteras i elektronisk form. För att anpassa författningarnas regler om t.ex. elektroniskt utlämnande till denna utveckling krävs nya överväganden och en mer flexibel reglering, något som redan finns i flera andra registerförfattningar.
CSN har lyft fram att det är av vikt att dataskyddsregleringen för myndigheter så långt det är möjligt är ensad för att myndigheterna ska få likartade rättsliga förutsättningar att fullgöra sina uppdrag. Myndigheter är alltmer beroende av att utbyta uppgifter med varandra för att kunna utföra sina uppdrag. För att bl.a. möjliggöra ett sådant utbyte av uppgifter är det angeläget att registerförfattningarna utformas på ett likartat sätt för myndigheter med likartad verksamhet (U2024/00322). Förutom att detta är centralt för samarbetet mot felaktiga utbetalningar och bidragsbrott så ökar det också möjligheterna till andra myndighetsövergripande samarbeten.
Översyn har genomförts av ett flertal myndigheters registerförfattningar, däribland registerförfattningar för Försäkringskassan och Pensionsmyndigheten. Regeringen har nyligen lämnat en proposition till riksdagen om en ny dataskyddsreglering för Försäkringskassan och Pensionsmyndigheten. Förslagen ska bl.a. skapa en teknikneutral lagstiftning som gör en digitaliserad och effektiv verksamhet
möjlig (propositionen En ny dataskyddsreglering på socialförsäkringsområdet, prop. 2023/24:29). Det pågår även arbete för en modernisering av registerförfattningarna för Skatteverket, Tullverket och Kronofogdemyndigheten. Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden (Fi 2021:11) har nyligen redovisat sitt betänkande Framtidens dataskydd – Vid Skatteverket, Tullverket och Kronofogden (SOU 2023:100) som bereds inom Regeringskansliet. Vidare har Utredningen om ett förbättrat informationsutbyte och en mer ändamålsenlig lagreglering för den arbetsmarknadspolitiska verksamheten (A 2023:01) i uppdrag att lämna förslag på en ny och ändamålsenlig dataskyddsreglering för Arbetsförmedlingen och vid behov för Kammarkollegiet (dir. 2023:65). En motsvarande översyn av CSN:s registerförfattningar är därför angelägen. En utgångspunkt för en allmän översyn av CSN:s registerförfattningar bör vara att skapa ändamålsenliga regler som är anpassade efter dagens behov hos CSN. Detta gäller såväl i den del av den allmänna översynen som avser bättre förutsättningar att förebygga, förhindra och upptäcka felaktiga utbetalningar och bidragsbrott som i övriga delar av översynen. Reglerna bör vara flexibla och anpassade efter både den tekniska utvecklingen och den EU-rättsliga dataskyddsregleringen samtidigt som enskildas personliga integritet värnas. Skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket RF ska särskilt beaktas. I uppdraget bör även ligga att överväga om det, utöver vad som följer av uppdraget enligt tidigare utredningspunkter, finns utrymme för minskad detaljreglering jämfört med i dag, t.ex. när det gäller vilka uppgifter som får behandlas och hur länge samt vilka uppgifter som får lämnas ut i elektronisk form. En översyn av de nuvaranderegisterförfattningarnas struktur och terminologi bör också ingå i uppdraget, bl.a. i syfte att modernisera språket och att använda enhetliga begrepp i förhållande till främst annan dataskyddsreglering.
Utredaren ska därför
- överväga och ta ställning till om det finns utrymme för en minskad detaljreglering jämfört med i dag,
- analysera och bedöma behovet av en förändrad struktur och terminologi, t.ex. genom att använda ett modernare språk och enhetliga begrepp i förhållande till främst annan dataskyddsreglering,
- i övrigt ta ställning till hur CSN:s registerförfattningar kan bli mer ändamålsenliga och anpassade efter dagens behov,
- föreslå hur CSN:s registerförfattningar kan utformas för att vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen samtidigt som den enskildes personliga integritet värnas, och
- lämna nödvändiga författningsförslag.
Inom ramen för denna översyn ska bl.a. följande frågor utredas.
Tillämpningsområdet behöver ses över
CSN har sedan 2018 haft till uppgift att administrera ett körkortslån till bl.a. vissa arbetssökande enligt förordningen (2018:1118) om körkortslån. Regeringen föreslog dock i budgetpropositionen för 2024 att möjligheten för CSN att bevilja nya körkortslån ska upphöra från och med den 1 januari 2024 (prop. 2023/24:1 utg.omr. 22, bet. 2023/ 24:TU1, rskr. 2023/24:93).
Med anledning av riksdagens beslut om detta har regeringen beslutat förordningen (2023:923) om upphävande av förordningen om körkortslån som trädde i kraft den 1 januari 2024. Den upphävda förordningen gäller dock fortfarande i fråga om lån där ansökan har kommit in till CSN före ikraftträdandet. CSN kan därför under en övergångsperiod alltjämt behöva behandla personuppgifter exempelvis i fråga om återbetalning av lånen. Förutsatt att förordningen om körkortlån fortfarande i delar är gällande och tillämpas då en moderniserad studiestödsdatalag träder ikraft kan lagens tillämpningsområde, som i dag avser CSN:s studiestödsverksamhet, behöva ses över.
Utredaren ska därför
- bedöma behovet av att tydliggöra tillämpningsområdet för CSN:s registerförfattningar, och
- lämna nödvändiga författningsförslag.
Bevisutbyte med anledning av den s.k. SDG-förordningen
Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012 (SDG-förordningen) syftar bl.a. till att genom en gemensam digital ingång (single digital gateway, SDG) göra det enklare för privatpersoner och företag att använda digitala tjänster i andra EU-länder. Till följd av SDG-förordningen finns det behov av att utreda och lämna förslag på kompletterande bestämmelser med anledning av den svenska anslutningen till EU:s tekniska system för gränsöverskridande utbyte av bevis. CSN är en av de myndigheter som berörs av förordningen. Frågan bereds inom Regeringskansliet (Finansdepartementet). I den utsträckning CSN:s behov av anpassningar till SDG-förordningen inte omhändertas inom ramen för en sådan översyn finns skäl att se över detta. Det är viktigt att regleringen inte skapar omotiverade hinder för detta samarbete.
Utredaren ska därför
- analysera behovet av anpassningar i CSN:s registerförfattningar utifrån SDG-förordningen, och
- lämna nödvändiga författningsförslag.
Konsekvensbeskrivningar
Utredaren ska utöver vad som följer av kommittéförordningen (1998:1474) analysera vilka konsekvenser de förslag som lämnas har för den personliga integriteten. Om förslagen kan förväntas leda till kostnadsökningar för det offentliga ska utredaren föreslå hur dessa ska finansieras.
Kontakter och redovisning av uppdraget
Utredaren ska, i den utsträckning som bedöms lämplig, samråda med och inhämta upplysningar från berörda myndigheter och andra organisationer som berörs av frågorna.
Utredaren ska hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, särskilt beredningen av förslagen i betänkandena Ett stärkt och samlat skydd av välfärdssystemen (SOU 2023:52) och Ökat informationsflöde till brottsbekämpningen (SOU 2023:69) samt promemorian Utökat informationsutbyte (Ds 2022:13).
Utredaren ska även hålla sig informerad om och beakta relevant arbete som bedrivs inom utredningsväsendet, t.ex. Utredningen om förbättrade möjligheter till informationsutbyte mellan myndigheter (dir. 2023:146), Utredningen om ett förbättrat informationsutbyte och en mer ändamålsenlig lagreglering för den arbetsmarknadspolitiska verksamheten (dir. 2023:65), inom Regeringskansliet samt inom EU.
Förslagen som utredaren lämnar ska vara förenliga med EU-rätten och Sveriges övriga internationella åtaganden.
Om det bedöms nödvändigt får utredaren ta upp andra närliggande frågor i samband med de frågeställningar som ska utredas.
Uppdraget ska redovisas senast den 31 december 2024.
(Utbildningsdepartementet)