Studiestödsdatalag (SOU 2007:64)

3.1 Inledning

Enligt utredningsdirektiven ska utredningen kartlägga regleringen av personregister och annan behandling av personuppgifter i studiestödsverksamheten.

I detta avsnitt redogörs för generella bestämmelser på nationell och internationell nivå om behandling av personuppgifter som kan ha betydelse för en reglering av behandling av personuppgifter i studiestödsverksamhet. I avsnitt 4 redogörs för specifika bestämmelser om sekretess och inhämtande och utlämnande av personuppgifter som gäller för studiestödsverksamhet.

Eftersom de generella bestämmelserna om behandling av personuppgifter syftar till att skydda mot kränkningar av den personliga integriteten[6], inleds kapitlet med ett avsnitt om den personliga integriteten. Därefter följer ett avsnitt om internationella regler, bl.a. EG-direktivet om personuppgifter[7], och ett avsnitt om personuppgiftslagen (1998:204). Eftersom utredningen enligt utredningsdirektiven ska analysera behovet av särskilda författningsbestämmelser för behandling av personuppgifter i studiestödsverksamheten, avslutas kapitlet med ett avsnitt om de särskilda registerförfattningar som gäller för andra områden.

3.2 Den personliga integriteten[8]

3.2.1 Begreppet personlig integritet

Den personliga integriteten har uppmärksammats i många statliga utredningar och varit föremål för analys även i många andra sammanhang. Det genomgående för dessa överväganden har varit att det alltid visat sig vara svårt att precisera innebörden av begreppet personlig integritet.

Uppfattningen om vad som omfattas av den personliga integriteten varierar mellan olika människor. Det beror i hög grad på den enskildes subjektiva uppfattning om vad denne anser ingå i den rent personliga sfären. Den enskildes uppfattning kan i sin tur påverkas av t.ex. politisk eller religiös övertygelse. Dessutom förändras inställningen till integritet över tiden. Värderingar påverkas mycket av den tidsålder och det samhälle man lever i. När det gäller uppgifter som är personliga kan det också ha betydelse i vilket sammanhang de används om den enskilde uppfattar det som att hans eller hennes integritet har kränkts eller inte.

Det finns en allmän uppfattning i samhället att varje person har ett välgrundat anspråk på att andra personer handlar på ett sådant sätt att hans eller hennes personliga integritet respekteras. Oavsett den exakta definitionen av begreppet personlig integritet finns det en privat sfär som man inte accepterar intrång i. Skyddet för den personliga integriteten uppfattas också som viktigt av de enskilda människor som är berörda. Man skulle kunna tro att människors upplevda obehag av att personuppgifter behandlas i olika sammanhang skulle ha minskat i takt med att användningen av datorer blivit vardagsmat och IT-samhället krupit närmare. Emellertid visar de undersökningar som gjorts att många människor är negativa eller åtminstone tveksamma till att deras personuppgifter används utan att de får reda på det och utan att de har någon möjlighet till inflytande. Människor upplever det som obehagligt att deras personuppgifter flödar fritt utom deras kontroll, oavsett om uppgifterna i någon mening missbrukas eller om de själva har råkat ut för något negativt på grund av att uppgifterna använts.[9]

Skyddet för den personliga integriteten anses vidare vara en grundläggande mänsklig rättighet, skyddad genom internationella instrument, nationell lagstiftning, tradition och kultur.

Till grund för stadgandet om värnandet av den enskildes privatliv i 1 kap. 2 § fjärde stycket regeringsformen ligger uppfattningen att grundsatsen om den enskildes rätt till en fredad sektor är av så väsentlig betydelse i en demokratisk stat att den bör komma till allmänt uttryck i grundlag.[10]

Det kan dock konstateras att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition av begreppet personlig integritet. Så används t.ex. i 1 kap. 2 § fjärde stycket regeringsformen begreppet ”enskilds privatliv” när den grundläggande ambitionen för det allmänna att skydda den ”personliga integriteten” slås fast, eftersom det senare begreppet ansågs svårbegripligt och svårt att avgränsa.[11] Begreppet finns emellertid sedan år 1989 i 2 kap. 3 § andra stycket regeringsformen.

Oavsett svårigheten att definitivt klarlägga innebörden i begreppet personlig integritet måste man på något sätt ta sig an begreppet i alla sammanhang som rör behandling av personuppgifter och tillämpning av personuppgiftslagen. Det grundläggande syftet med lagstiftningen är skyddet för den personliga integriteten. Man måste därför i vart fall ha en föreställning om begreppets innebörd i allmänhet och dess betydelse för den praktiska tillämpningen i det enskilda fallet.

Personlig integritet kan vara att slippa få vissa personliga uppgifter om sig själv spridda till andra människor. Svårigheten att definiera begreppet positivt har dock lett till att man i stället försökt att identifiera vad som konstituerar en kränkning av den personliga integriteten. En integritetskränkning beskrivs i dessa sammanhang som att förlora kontrollen över sin egen person eller en viss typ av uppgifter om sig själv.

När det gäller frågan om vilka förhållanden som generellt sett anses utgöra intrång i annans personliga integritet hänvisas ofta till en av professorn Stig Strömholm upprättad ”kränkningskatalog”. Som exempel ur denna kan nämnas spridande av förtroliga uppgifter, avslöjande inför offentligheten av annans privata förhållanden, utnyttjande av annans namn eller bild och angrepp på annans heder och ära.[12]

Professorn Peter Seipel delar in försöken att precisera innebörden av begreppet personlig integritet i följande kategorier:[13]

a. Sfärteorin

Den enskilde har en innersta sfär, där förhållanden, egenskaper och handlingar inte bör vara kända av andra än den enskilde själv. Utanför denna innersta sfär finns andra sfärer med gradvis avtagande känslighet och med växande anspråk från omvärlden på att information måste vara tillgänglig.

b. Datakategoriteorin

Det finns olika kategorier av data som kan känslighetsgraderas. Exempelvis är adressuppgifter, generellt sett, mindre integritetskänsliga än uppgifter om politisk övertygelse.

c. Situationsteorin

Det finns inga kategorier av data som à priori kan anses okänsliga från integritetsskyddssynpunkt. Intrångsmöjligheterna hänger helt och hållet samman med i vilken situation uppgifter används, dvs. av vem, för vilket syfte, tillsammans med vilka andra uppgifter osv.

d. Äganderättsteorin

Data om individen är individens egendom. Han eller hon måste alltid samtycka till att andra får del av dem.

e. Autonomiteorin

Integritetsskyddets kärna består i en rätt att bli lämnad ifred, att själv få avgöra i vilka sammanhang och under vilka förutsättningar man träder i förbindelse med omvärlden, framför allt med myndigheter och andra representanter för samhället.

f. Empirteorin

Vad som uppfattas som integritetsintrång måste fastställas på statistisk väg. Man måste således hämta vägledning i undersökningar av det slag som vid flera tillfällen har utförts av Statistiska centralbyrån.

Rätten till personlig integritet är vidare inte absolut, utan från tid till annan föremål för inskränkningar. Skyddet för den personliga integriteten måste avvägas mot andra grundläggande demokratiska rättigheter och värden, t.ex. informationsfriheten och yttrandefriheten.

Man måste också beakta de helt legitima behov som finns att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det vi lever i. Utgångspunkten var i förarbetena till 1973 års datalag att skyddet för den personliga integriteten inte kan sträcka sig längre än vad som är möjligt med hänsyn till de krav samhällsgemenskapen uppställer. Det förutsattes således att en väl fungerande samhällsorganisation alltid kommer att medföra intrång i enskilda individers personliga integritet. Frågan blir då vad som kan tolereras och vad som går utöver det som är acceptabelt samt vad som är ett otillbörligt intrång i den personliga integriteten och vad som inte är det.

Mot bakgrund härav kan man säga att personers integritet kränks i den mån som det sker ett intrång i deras privata sfär och/eller uppgifter om dem, som det finns rimliga skäl att beteckna som integritetskänsliga, sprids. Dessa uppgifter kan gälla personers egenskaper, uppfattningar eller handlingar. Rättigheten till personlig integritet kan beskrivas som en ”prima facierättighet”. Den är en giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre.[14]

3.2.2 Personlig integritet vid automatiserad behandling av personuppgifter

Det klassiska målet för integritetsskyddet i samband med automatiserad behandling av personuppgifter – att få bli lämnad i fred – har enligt vissa fått ett nytt innehåll genom att datakvalitetsfrågor tagit över. Man framhåller härvid vikten av att behandlade uppgifter är korrekta, att uppgifterna används i rätt sammanhang och endast för berättigade ändamål. Fokus är mer inriktat på att informationsbehandlingen håller en hög kvalitet än att individens personuppgifter inte får behandlas.

Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.

Sådana tankegångar kan sägas ligga till grund för de dataskyddsprinciper som utarbetats[15] och som ligger till grund för de s.k. hanteringsreglerna i personuppgiftslagen.

Att den personliga integriteten skyddas innebär enligt Datalagskommittén att användningen av personuppgifter regleras och begränsas. Enligt dess uppfattning står det klart att en integritetsskyddslagstiftning måste hämma användningen av personuppgifter; ju mera användningen hämmas, desto starkare blir integritetsskyddet. Vilken reglering och begränsning av användningen av personuppgifter som är nödvändig för att skydda den personliga integriteten ansåg kommittén till stora delar vara en fråga som är beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörligt intrång i annans personliga integritet ska så långt som möjligt förebyggas. När personuppgifter som är felaktiga eller missvisande används, kan det få svåra konsekvenser för såväl enskilda som verksamheten i samhället. Då kan det bli fråga om direkt mätbara fysiska eller ekonomiska skador, t.ex. när fel person sätts i fängelse eller fel ben amputeras. Att användningen av personuppgifter leder till sådana skador kan givetvis aldrig accepteras; det är därför ett oeftergivligt krav att de uppgifter som används är riktiga och inte missvisande. Men i övrigt – dvs. när och hur i och för sig korrekta personuppgifter används – utgör regleringen av integritetsskyddet en värderingsfråga.[16]

Värderingarna i samhället påverkas bl.a. av hur informationstekniken uppfattas och används. Detta är emellertid ett dynamiskt område där utvecklingen går snabbt. Man kan dock urskilja åtminstone fem aspekter när det gäller hur informationstekniken uppfattas och används: automation, informationshantering, vardagsteknik, kommunikation och konvergens.[17]

I datorernas barndom var det automation som stod i fokus. De nya maskinerna utgjorde ett effektivt alternativ till manuell hantering av t.ex. beräkningar, eftersom de kunde automatiserat bearbeta information på ett strukturerat sätt.

I takt med att tekniken för att lagra och återhämta information i datorläsbart format förbättrades ökade intresset för informationshantering. Man kunde nu ha enorma mängder information tillgänglig för datorbehandling, och med rätt struktur och teknik kunde man också lätt finna relevant information.

Ungefär i detta skede – när myndigheter och andra stora organisationer kunde både ha informationen lättillgänglig och bearbeta den automatiserat – ökade oron för intrång i den personliga integriteten och utarbetades som ett svar de s.k. dataskyddsprinciper som ligger bakom EG-direktivet.

Men utvecklingen av informationstekniken och synen på och användningen av den stannade inte där.

Datorer, och därmed tekniken att enkelt lagra och bearbeta information, har för det första blivit ett vardagligt arbetsredskap och var mans egendom, en vardagsteknik.

På senare år har för det andra kommunikation alltmer betonats. Internationella datakommunikationsnätverk, såsom Internet, har utvecklats och fått ett enormt genomslag hos organisationer och enskilda. Dessa nätverk kan användas inte bara för att kommunicera enskilt med anslutna användare utan också som ett lättillgängligt massmedium där vem som helst kan publicera information. Därmed har den grundläggande konflikten mellan integritetsskydd och yttrande- och informationsfrihet blivit akut. Det faktum att så många datorer är sammankopplade i världsomspännande nätverk gör också säkerhetsfrågor akuta.

För det tredje har ett fenomen som brukar benämnas konvergens uppmärksammats på senare år. Olika former av informationsteknik smälter samman alltmer – datorkommunikation, telefon, radio och television m.m. – och informationstekniken kommer in på allt fler områden i vårt vardagsliv – positionsbestämning av vardagsföremål såsom fordon och telefoner, ”intelligenta” kylskåp eller hela hem, inpasseringssystem m.m. Den alltmer utbredda och sammansmälta användningen av informationsteknik i vardagslivet, särskilt i kombination med lagring, bearbetning och kommunikation av den information som framkommer, har inneburit nya möjligheter att kartlägga individer på ett ibland osynligt sätt. Kommunikation i nätverk förutsätter vidare oftast att de datorer som är sändare och mottagare är identifierade på något sätt, t.ex. genom s.k. IP-nummer, vilket gör att kommunikationen i sig kan ge upphov till nya former av personanknuten information som kan sparas och användas för att kartlägga individer.

3.3 Internationella regler

3.3.1 Inledning

I flera utredningsbetänkanden från senare tid finns det redogörelser för internationella regler om behandling av personuppgifter, se t.ex. SOU 2004:6 s. 37 ff. och SOU 2006:18 s. 73 ff. För en närmare redogörelse för reglerna kan hänvisas till dessa framställningar. Här lämnas för sammanhangets skull bara en översiktlig redogörelse för de viktigaste för Sverige bindande internationella reglerna.[18]

3.3.2 Europarådet

Artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som numera gäller som svensk lag (SFS 1994:1219), lyder enligt följande:

Artikel 8 – Rätt till skydd för privat- och familjeliv

1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder av det allmänna.

EG-domstolen har ansett att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av EG-direktivet vid bedömningen av nationella regler som tillåter behandling av personuppgifter.[19]

Europarådets ministerkommitté antog år 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, den s.k. dataskyddskonventionen. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är alltså bindande för Sverige. Det har beslutats om ändringar i dataskyddskonventionen för att göra det möjligt för Europeiska unionen att ansluta sig. Under år 2001 har Europarådets ministerkommitté antagit ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om dataskyddsmyndigheter och överföring av personuppgifter mellan länder. Den svenska regeringen beslutade den 25 oktober 2001 att underteckna och ratificera tilläggsprotokollet, vilket skedde den 8 november samma år. Till konventionen ansluter en rad rekommendationer som inte är direkt bindande.

Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3). Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11).

Konventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart ska vidta de åtgärder som behövs för att dess nationella lagstiftning ska innehålla dessa grundläggande principer. Dessa grundläggande principer ska garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta ska göra det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna.

Kapitel II innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav innebär bl.a. att uppgifterna ska inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vissa ytterligare skyddsåtgärder för registrerade personer föreskrivs (artikel 8). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.

Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet och dylikt (artikel 9). För sådana avvikelser krävs det dock dels att de har stöd i nationell lagstiftning, dels att de utgör en nödvändig åtgärd i ett demokratiskt samhälle för att skydda statens säkerhet, allmän säkerhet, statens monetära intressen eller för att undertrycka brottsliga åtgärder eller för att skydda den registrerade eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m.m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål.

Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna. Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna, medan kapitel VI och VII innehåller bestämmelser om hur man kan ansluta sig till konventionen och hur den kan ändras.

3.3.3 EG-direktivet

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EG-direktivet). EG-direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av Europarådets dataskyddskonvention. Syftet med EG-direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte ska kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.

EG-direktivet är direkt bindande för medlemsstaterna i fråga om det resultat som ska uppnås. EG-direktivet måste införlivas i den nationella lagstiftningen. Medlemsstaterna bestämmer själva på vilket sätt EG-direktivet ska införlivas, men de är därvid starkt bundna av EG-direktivets innehåll. Medlemsstaterna får inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som gäller enligt EG-direktivet.

EG-direktivet omfattar för det första helt eller delvis automatiserad behandling av personuppgifter. För det andra omfattas också manuell behandling av personuppgifter, om uppgifterna ingår i eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter.

EG-direktivet innehåller en rad grundläggande krav på behandlingen av personuppgifter. All behandling av personuppgifter måste vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligen angivna vid tiden för insamling av uppgifterna och ändamålsangivelsen ska vara särskild och inte alltför allmänt hållen. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen (den s.k. finalitetsprincipen).

Personuppgifter får enligt EG-direktivet behandlas bara i vissa fall. Personuppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas. Vissa särskilda i EG-direktivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller sådana uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I vissa, särskilt angivna, undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, t.ex. när behandling av sådana uppgifter är nödvändig för åtgärder inom hälso- och sjukvård eller liknande. Medlemsstaterna får under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse besluta om andra undantag än som anges i EG-direktivet.

EG-direktivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv, behöver den registeransvarige inte lämna någon information om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med EG-direktivet rättade, utplånade eller blockerade. Om en uppgift rättas ska den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behövs dock inte i de fall där sådan är omöjlig eller förenad med en oproportionerligt stor arbetsinsats. Medlemsstaterna får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.

Till skydd för den registrerade innehåller EG-direktivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder ska den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.

Enligt EG-direktivet ska varje medlemsstat tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av EG-direktivet. I EG-direktivet föreskrivs ett relativt omfattande anmälningsförfarande till tillsynsmyndigheten när det gäller helt eller delvis automatiserad behandling av personuppgifter. Undantag från anmälningsplikt får dock föreskrivas under vissa förutsättningar.

EG-direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsstaterna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför EU eller EES (tredje land), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen. I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen.

EG-direktivet skulle vara införlivat i medlemsländernas nationella lagstiftningar senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tidpunkten, skulle denna bringas i överensstämmelse med EG-direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år.

3.4 Personuppgiftslagen[20]

Personuppgiftslagen (1998:204), som trädde i kraft den 24 oktober 1998, genomför EG-direktivet i Sverige.

Lagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter och dessutom på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Personuppgiftslagen är dock subsidiär i den meningen att avvikande bestämmelser i någon annan lag eller i en förordning tar över bestämmelserna i personuppgiftslagen (2 §).

Tillämpningsområdet för personuppgiftslagen har begränsats genom en rad bestämmelser. Lagen omfattar inte sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges det också att lagen inte heller ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tilllämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen (8 § första stycket). Andra undantag i fråga om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket). Vidare gäller vissa undantag från tillämpning av personuppgiftslagen som tar sikte på arkivering av handlingar (8 § andra stycket). Från och med den 1 januari 2007 gäller slutligen undantag för behandling av personuppgifter i ostrukturerat material (5 a §). Undantag görs från de allra flesta bestämmelserna i lagen för behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. För sådan behandling gäller i stället att den inte får utföras, om den innebär en kränkning av den registrerades personliga integritet

Personuppgiftslagen innehåller i 3 § en rad definitioner av olika begrepp som används i lagen. Med behandling (av personuppgifter) avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Den registrerade är den som en personuppgift avser. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Tredje land är en stat som varken ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

I personuppgiftslagen åläggs den personuppgiftsansvarige att upprätthålla vissa grundläggande krav på behandlingen av personuppgifter (9 §). Personuppgifter ska behandlas bara om det är lagligt. Behandlingen ska alltid ske på ett korrekt sätt och i enlighet med god sed. Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (den s.k. finalitetsprincipen). En behandling för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Fler personuppgifter än som är nödvändigt med hänsyn till behandlingen får inte behandlas. De personuppgifter som behandlas ska vara riktiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ursprungliga ändamålen med behandlingen, om det inte behövs för historiska, statistiska eller vetenskapliga ändamål. Myndigheternas arkivering och bevarande av allmänna handlingar hindras dock inte av lagen. Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får enligt huvudregeln användas för att vidta åtgärder i fråga om den registrerade bara om de registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.

I personuppgiftslagen anges det vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Minst en av dessa förutsättningar måste alltså finnas för att en behandling ska vara tillåten enligt lagen. Den inledande av de alternativa förutsättningarna är att den registrerade har lämnat samtycke till behandlingen. Finns det inte något samtycke, kan en behandling vara tillåten om den är nödvändig för ett antal uppräknade syften. Är en behandling nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, så kan den vara tillåten. En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, för att vitala intressen för den registrerade ska kunna skyddas eller för att en arbetsuppgift av allmänt intresse ska kunna utföras. Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen kan en behandling vara tillåten om den är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

För vissa slag av personuppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Huvudregeln i lagen innebär att det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv (13 §). Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.

Det finns emellertid en rad undantag från förbudet mot behandling av känsliga personuppgifter angivna direkt i personuppgiftslagen. Sålunda får sådana uppgifter enligt lagen behandlas med den registrerades uttryckliga samtycke eller när denne offentliggjort uppgifterna på ett tydligt sätt (15 §). Känsliga uppgifter får vidare i vissa fall behandlas om det är nödvändigt för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, om det är nödvändigt för att den registrerades eller någon annans vitala intressen ska kunna skyddas och den registrerade inte kan lämna sitt samtycke eller om det är nödvändigt för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras (16 §). Förbudet mot att behandla känsliga personuppgifter gäller inte heller när ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandlar personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Endast om den registrerade uttryckligen har samtyckt till det får dock känsliga personuppgifter lämnas ut till tredje man från en sådan ideell organisation (17 §). Känsliga personuppgifter får vidare behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller om uppgifterna omfattas av sjukvårdssekretess (18 §). Slutligen undantas viss behandling för forsknings- och statistikändamål från förbudet mot behandling av känsliga personuppgifter (19 §).

Regeringen, eller den myndighet som regeringens bestämmer, får om det behövs med hänsyn till ett viktigt allmänt intresse medge ytterligare undantag från förbudet att behandlad känsliga uppgifter (20 §).

Det är enligt personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 §). Regeringen eller den myndighet som regeringen bestämmer får dock besluta om undantag från förbudet.

Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Om uppgifter om en person samlas in från personen själv, ska den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna (23 §). Har uppgifterna samlats in från en annan källa ska den registrerade informeras när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen inte ges förrän uppgifterna lämnas ut för första gången. I de fall uppgifter samlas in från någon annan än den registrerade, krävs det inte att information lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, ska dock information lämnas senast i samband med att så sker (24 §). Finns det i lag eller annan författning särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter behöver inte heller information lämnas då uppgifter samlas in från annan källa än den registrerade.

När information ska lämnas ska den enligt 25 § omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas. Enligt 26 § är den personuppgiftsansvarige härutöver skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter ska skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut, s.k. registerutdrag.

Under förutsättning att uppgifterna inte har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål behöver information dock inte lämnas beträffande personuppgifter som behandlas i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget för löpande text som inte fått sin slutliga utformning gäller dock inte om personuppgifterna behandlats under längre tid än ett år. Bestämmelserna om informationsskyldighet gäller inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen eller anknytande föreskrifter ska på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige (28 §). Den sistnämnde kan också vara skyldig att underrätta tredje man till vilken uppgifterna har lämnats ut.

Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige (30 §). Om det i lag eller annan författning finns vissa särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet, t.ex. om tystnadsplikt och sekretess, ska dessa tillämpas.

Den personuppgiftsansvarige ska enligt 31 § vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade uppgifterna är.

Det är enligt 33 § förbjudet att utan samtycke från den registrerade föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Frågan om ett land har en adekvat skyddsnivå ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Det finns en rad undantag från förbudet angivna direkt i personuppgiftslagen (34 §). Har den registrerade samtyckt till det får personuppgifter överföras utan hinder av huvudregeln. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Vidare får överföring ske om den är nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, för att ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse ska kunna ingås eller fullgöras, för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade ska kunna skyddas.

Regeringen får meddela föreskrifter om undantag från förbudet för överföring till vissa stater och om att en överföring är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen, eller den myndighet som regeringen bestämmer, får vidare meddela föreskrifter om undantag från förbudet om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Slutligen får regeringen eller den myndighet som regeringen bestämmer besluta om undantag från förbudet i vissa enskilda fall.

Behandling av personuppgifter som är helt eller delvis automatiserad omfattas enligt 36 § personuppgiftslagen av anmälningsskyldighet. Den personuppgiftsansvarige ska göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller serie av sådana behandlingar med samma eller liknande ändamål genomförs. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Anmälningsskyldighet för behandlingar föreligger inte heller om den personuppgiftsansvarige tillsätter ett personuppgiftsombud som anmälts till tillsynsmyndigheten (37 §).

I Sverige har Datainspektionen tilldelats uppgiften att vara tillsynsmyndighet. Med rollen som tillsynsmyndighet följer vissa befogenheter, såsom rätt att få tillgång till behandlade personuppgifter och tillträde till lokaler med anknytning till behandlingen (43 §). Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas (44–47 §§). Datainspektionens beslut enligt lagen om annat än föreskrifter får överklagas till länsrätt (51 §).

Den personuppgiftsansvarige ska enligt 48 § ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock i den utsträckning det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Den som uppsåtligen eller av grov oaktsamhet gör sig skyldig till vissa förfaranden kan enligt personuppgiftslagen dömas till böter eller fängelse (49 §). Det gäller i vissa fall vid lämnande av osann uppgift i information till den registrerade eller i anmälan eller information till tillsynsmyndigheten. Vidare gäller straffansvaret den som behandlar känsliga personuppgifter m.m. i strid med personuppgiftslagen, för över personuppgifter till tredje land i strid med lagen eller låter bli att göra föreskriven anmälan till tillsynsmyndigheten.

En myndighets beslut i vissa frågor, t.ex. om registerutdrag och rättelse, får överklagas till länsrätt (52 § första stycket). Andra beslut enligt personuppgiftslagen får inte överklagas (53 § första stycket). Vid överklagande till kammarrätten krävs det prövningstillstånd (53 § andra stycket). Bestämmelserna om överklagande gäller dock inte beslut av riksdagen, regeringen eller riksdagens ombudsmän (52 § andra stycket).

3.5 Särskilda registerförfattningar

Personuppgiftslagen genomför som nämnts EG-direktivet i Sverige och uppfyller Sveriges skyldigheter enligt EG-direktivet. Som också nämnts tidigare är personuppgiftslagen emellertid subsidiär i förhållande till annan lagstiftning. Personuppgiftslagen innehåller generella regler som ska tillämpas i hela samhället av både myndigheter och privata organisationer och enskilda, och det förutsattes vid lagens tillkomst att behov av undantag och preciseringar för mer speciella områden liksom tidigare skulle tillgodoses genom särskilda registerförfattningar som tar över bestämmelserna i personuppgiftslagen. Sådan särreglering får dock inte stå i strid med EG-direktivet och Europarådets dataskyddskonvention eller utformas så att Sveriges skyldigheter enligt de nämnda internationella instrumenten inte längre uppfylls.

I Sverige finns det en lång tradition med särskilda registerförfattningar för främst myndighetsregister som kompletterar den generella dataskyddslagstiftningen, tidigare 1973 års datalag och numera personuppgiftslagen. De särskilda registerförfattningarna ger ett anpassat integritetsskydd på de områden författningarna reglerar och innebär en högre grad av konkretion än de generella reglerna i personuppgiftslagen.[21]

Den uttalade ambitionen från regeringens och riksdagens sida är att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag, som beslutas av riksdagen, även om det inte är nödvändigt med lagform enligt grundlagarna.[22] En registerlag för t.ex. en myndighets behandling av personuppgifter kompletteras ofta av en av regeringen utfärdad registerförordning med detaljregler som inte ansetts nödvändiga att höra riksdagen om. Numera finns det åtminstone över etthundra olika författningar som innehåller bestämmelser om behandling av personuppgifter till komplettering av personuppgiftslagen och som därför kan kallas för särskilda registerförfattningar. Som exempel på nyare registerlagar som reglerar behandling av personuppgifter i myndigheters verksamhet kan nämnas lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen, lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration.

Innehållet i de särskilda registerförfattningarna varierar. Det är vanligt att registerförfattningar som reglerar en myndighets behandling av personuppgifter innehåller bestämmelser om, förutom givetvis vilket tilllämpningsområde författningen har, förhållandet till personuppgiftslagen (om författningen ersätter eller bara kompletterar personuppgiftslagen), för vilka ändamål personuppgifter får behandlas, under vilka förutsättningar särskilt integritetskänsliga personuppgifter får behandlas, vem som är personuppgiftsansvarig, under vilka förutsättningar personuppgifter får lämnas ut på elektronisk väg (genom s.k. direktåtkomst eller utlämnande på medium för automatiserad behandling), vilka s.k. sökbegrepp som får användas när man söker bland personuppgifterna, när personuppgifterna ska gallras och vad som ska gälla i fråga om rättelse och skadestånd om något blivit fel.

4.1 Inledning

Inom ramen för de olika myndigheternas och organisationernas verksamhet på studiestödsområdet fordras i vissa fall tämligen omfattande behandling av personuppgifter. De olika myndigheternas och organisationernas behandling av personuppgifter samt relevanta sekretessbestämmelser redovisas nedan.

4.2 Centrala studiestödsnämnden (CSN)

4.2.1 Organisation och verksamhet

Centrala studiestödsnämnden, som bildades år 1964 med namnet Centrala studiehjälpsnämnden, är central förvaltningsmyndighet för studiesociala frågor och dess verksamhet regleras primärt i förordningen (1996:502) med instruktion för Centrala studiestödsnämnden (CSN). På CSN arbetar cirka 1 000 personer. Ledningsfunktionerna finns i Sundsvall. Kärnverksamheten bedrivs på kontor, enheter och ett kundcenter på 13 platser runt om i landet. Därtill finns ett antal serviceställen. De olika kontoren och enheterna har i viss mån olika verksamhetsprofiler såtillvida att vissa mer speciella ärendetyper endast hanteras vid vissa kontor eller enheter. Huvuddelen av handläggning som avser stödformerna studiehjälp och studiemedel, inklusive återbetalning, hanteras vid samtliga kontor.

CSN:s verksamhet berör ett tämligen stort antal människor i den betydelsen att CSN:s datoriserade register omfattar cirka 2,5 miljoner personer. Antalet låntagare beräknades för 2006 vara omkring 1,4 miljoner, som var skyldiga drygt 176 miljarder kronor.[23]

4.2.2 Studiestödets Informationssystem (STIS)

Inom CSN:s studiestödsverksamhet behandlas personuppgifter i ett IT-system som kallas för Studiestödets Informationssystem (STIS).[24] För sin behandling av personuppgifter har CSN ett personuppgiftsombud, se 36–38 §§ personuppgiftslagen.

För att på ett ändamålsenligt sätt kunna återsöka inkomna ansökningar och andra handlingar använder sig CSN av elektroniskt dokumenthantering inom ramen för STIS. Detta innebär att inkomna pappershandlingar genom en teknisk process läses in och lagras elektroniskt (skannas). För närvarande lagras de inlästa dokumenten som digitala bilder. CSN har med befintlig teknik ingen möjlighet att göra sökningar i de inlästa dokumenten, och CSN planerar inte heller att göra innehållet i de inlästa dokumenten sökbart. Även om man inte kan göra sökningar i innehållet i ett inläst dokument, så kan man söka efter de dokument som hör till ett visst ärende eller en viss person. E-post och ansökningar som görs elektroniskt lagras inte som bilder utan som text.

Uppgifter om flera olika kategorier av personer behandlas systematiserat i STIS. Såvitt gäller studiestödssystemet registreras uppgifter om följande kategorier av personer i STIS:

7. personer som antagits till utbildning

8. alla som fyller 16 år och för första gången skulle kunna få studiehjälp och deras föräldrar

9. personer som sökt eller beviljats något av de studiestöd som CSN hanterar

10. personer som tar emot utbetalning av något av de studiestöd som CSN hanterar

11. barn till studerande som sökt eller beviljats tilläggsbidrag

12. personer med studieskuld

13. personer med återkrav riktat mot sig

Härutöver kan även andra personkategorier omnämnas i de handlingar som finns elektroniskt åtkomliga i STIS.

Datasystemet STIS har tagits i bruk i etapper med start 1995 och innehåller sedan maj 2007 i princip alla de funktioner och personuppgifter som CSN i dag behöver i sin verksamhet för studiestöd. Det finns dock två elektroniska informationsmängder som inte är kopplade till STIS. Hanteringen av Rg-bidrag och TUFF-ersättning sköts nämligen i dag helt genom lokala register som inte har någon koppling till STIS. Hanteringen av Rg-bidrag kommer dock att omfattas av STIS från maj 2008.

För det fall en handläggare behöver uppgifter från äldre system eller uppgifter som inte längre finns kvar i STIS kan sådana uppgifter ofta hämtas in från ett annat datoriserat system, ArkivSvar, som är tillgängligt för handläggaren via CSN:s intranät.

Som ovan beskrivits läses alla dokument som kommer in till CSN in i ett elektroniskt dokumenthanteringssystem i STIS. Det är möjligt för handläggare på alla CSN-kontor att ta del av alla handlingar som kommit in till CSN och lagrats i STIS utom de handlingar som försetts med åtkomstskydd. Det är en särskild funktion i STIS som innebär att CSN kan lägga en spärr mot åtkomst på vissa handlingar i ett ärende, om det behövs från sekretessynpunkt. Det innebär att handläggarna kan se alla andra handlingar förutom just den som har åtkomstskyddats. Dessutom har alla handläggare på samtliga kontor behörighet att ta del av vad som i övrigt registrerats i STIS med undantag för uppgifter angående personer som har en sekretessmarkering i folkbokföringen. Den enda information som är tillgänglig för handläggarna i dessa fall är personnummer och CSN-nummer. För att få tillgång till personuppgifter avseende studerande med sekretessmarkering eller för att ta del av åtkomstskyddade handlingar krävs det att den aktuella handläggaren har en särskild behörighet. Sådan behörighet är det endast 45 personer som har. Behöriga finns på alla enheter och kontor förutom i Kalmar, Lund, Sundsvall, Örebro och Kiruna.

Anledningen till att samtliga handläggare i princip har tillgång till alla personuppgifter i alla ärenden har uppgetts vara att ärendena normalt inte är geografiskt knutna till vissa kontor eller handläggare, att en och samma handläggare kan handlägga olika stödformer respektive återbetalning och återkrav och att det för handläggningen av en viss ärendetyp (t.ex. återbetalning) kan krävas information om en studerandes andra ärendetyper (t.ex. beviljning av studiestöd). Med behörigheten att ta del av uppgifter följer dock inte motsvarande behörighet att ändra eller lägga till uppgifter i systemet.

Alla ändringar som handläggare gör i STIS registreras i en särskild journal, en s.k. loggfil.

I STIS registreras en stor mängd personuppgifter. De personuppgifter som registreras kan indelas i följande huvudtyper av informationsgrupper:

Information av huvudsakligen administrativ karaktär

Information av huvudsakligen administrativ karaktär kan t.ex. vara utbetalningsdatum för olika stödformer, uppgift för identifikation av betalningar eller datum för visst beslut. Informationen innehåller inget som typiskt och isolerat sett är av särskilt känslig natur för den enskilde.

Information om enskilds personliga förhållanden

CSN behöver för sin verksamhet registrera ett stort antal uppgifter om enskildas personliga förhållanden. Det kan t.ex. röra sig om kontaktuppgifter, uppgifter om barn och föräldrar, information om sjukdomsperioder, medborgarskap, studietakt, examenstidpunkt, antal grundskoleår som studerats utomlands och antal terminer som studerats på gymnasienivå. I denna grupp av uppgifter återfinns uppgifter som från den enskildes perspektiv är tämligen känsliga.

Information om enskilds ekonomiska förhållanden

I många fall måste CSN registrera uppgifter om de enskildas ekonomiska förhållanden. De uppgifter som härvid registreras är t.ex. utbetalat studiebidrag, årsinkomst (innefattar inkomst av tjänst, kapital och näringsverksamhet) och uppgift om eventuell skuldsanering.

Det är inte bara uppgifter om personer inom studiestödssystemet som registreras i STIS. Det finns även uppgifter om kontaktpersoner på läroanstalterna. Registreringen avseende dessa är huvudsakligen kontaktuppgifter men även viss ytterligare information om t.ex. deras rätt att lämna uppgifter till CSN enligt 6 kap. 9 och 10 §§ studiestödsförordningen (2000:655) om de studerande vid läroanstalten. Dessa uppgifter har lämnats av läroanstalterna. Även uppgifter om föräldrar, barn och andra närstående till stödtagare kan förekomma.

Trots att det registreras en stor mängd information i STIS är det i fråga om personuppgifter endast ett internt åsatt s.k. CSN-nummer[25] och i förekommande fall personnumret alternativt samordningsnummer som är sökbara för handläggarna. Genom STIS kan en handläggare alltså inte få fram listor över personer med vissa egenskaper genom att använda olika sökbegrepp. Man kan sålunda inte som handläggare söka fram t.ex. alla personer som bor i visst område även om adress är en uppgift som registreras i STIS.

Ett slags mått på kvaliteten hos CSN:s registreringar i STIS är förekomsten av ärenden rörande registreringen hos Datainspektionen, som är tillsynsmyndighet enligt personuppgiftslagen, och Justitiekanslern, som handlägger anspråk på skadestånd med stöd av 48 § personuppgiftslagen. Vid en sökning i Datainspektionens diarium efter ärenden från och med den 24 oktober 1998 som har rört behandling av personuppgifter hos CSN i dess egenskap av ansvarig myndighet för studiestöd erhölls elva relevanta träffar. Ärendena har rört rätten att få registerutdrag i fyra fall, IT-säkerhet i två fall samt två tillsynsärenden, en förfrågan och två samrådsärenden. Vid motsvarande sökning i Justitiekanslerns diarium erhölls två träffar. I båda fallen tillerkändes klaganden skadestånd enligt datalagen (1973:289) på grund av felaktiga registeruppgifter. Med hänsyn till registreringens omfattning kan antalet ärenden, eller ärendenas karaktär, inte anses anmärkningsvärd.

4.2.3 Sekretess

I ärenden om studiestöd kan det förekomma uppgifter om enskilds både personliga och ekonomiska förhållanden av känslig natur, t.ex. om sjukdom eller annan liknande orsak till studieavbrott eller till nedsättning av förmåga att återbetala studielån. Lagstiftaren har ansett att det finns ett behov av sekretess i sådana ärenden.[26] I 9 kap. 5 § andra stycket sekretesslagen (1980:100) har därför införts en bestämmelse om sekretess i ärenden om studiestöd och rekryteringsbidrag[27] såvitt avser uppgift om enskilds personliga eller ekonomiska förhållanden. Presumtionen är dock att uppgifterna ska vara offentliga, och sekretess hindrar ett utlämnande av uppgifterna bara när det kan antas att den enskilde lider skada eller men av att uppgiften röjs. Detta s.k. raka skaderekvisit leder till att det stora flertalet uppgifter som förekommer i ärenden om studiestöd och som avser personliga eller ekonomiska förhållanden inte omfattas av sekretess.[28] Såvitt gäller annat än studiestöd under sjukdom eller rekryteringsbidrag under sjukdom gäller sekretessen inte heller beslut i ärendet.

Enligt förarbetena till sekretesslagen avsågs med termen studiestöd studiestöd enligt den då gällande studiestödslagen (1973:349).[29] Det har genom åren sedan sekretesslagen trädde i kraft reglerats olika former av stöd till enskilda för deras studier i andra författningar än 1973 års studiestödslag, som ersatts av 1999 års studiestödslag. Dessa stödformer har inte föranlett ändringar i bestämmelsen i 9 kap. 5 § andra stycket sekretesslagen. Bara i ett fall har införandet av en stödform med anknytning till enskildas studier föranlett en komplettering av den bestämmelsen.[30] Det gällde rekryteringsbidraget (se avsnitt 2.7.2), en stödform beträffande vilken det särskilt framhölls att den inte inordnades i studiestödssystemet utan på anförda skäl ansågs avse annat än studiestöd.[31]

Bestämmelsen i 9 kap. 5 § andra stycket sekretesslagen talar om ärende om ”studiestöd”, och genom förarbetenas hänvisning till då gällande studiestödslag kan den slutsatsen dras att därmed får avses kontant stöd av offentliga medel som utges till enskilda för deras egna studier. CSN administrerar numera några stödformer som inte regleras i nu gällande studiestödslag utan genom förordningar: Rg-bidrag (avsnitt 2.4), TUFF-ersättning (avsnitt 2.5) och bidrag för dagliga resor (avsnitt 2.2.5). Bestämmelsen i 9 kap. 5 § andra stycket sekretesslagen får i dag anses omfatta även uppgifter som behandlas av CSN i ärenden om sådant studiestöd.

I ärenden om Rg-bidrag och TUFF-ersättning förekommer det regelmässigt uppgifter om enskilds hälsa, eftersom stödformerna förutsätter att någon är döv eller hörselskadad eller svårt rörelsehindrad. För uppgift om enskilds hälsa gäller numera hos alla myndigheter sekretess enligt 7 kap. 1 § sekretesslagen, om det måste antas att den enskilde eller någon närstående till den enskilde kommer att lida betydande men om uppgiften röjs. Det raka skaderekvisitet har ett kvalificerande moment genom att lokutionen ”betydande men” har valts. Offentlighetspresumtionen är härigenom särskilt stark. Det har också varit avsikten, eftersom bestämmelsen är subsidiärt tillämplig inom hela den offentliga sektorn.[32]

Enligt 7 kap. 1 a § sekretesslagen gäller vidare numera hos alla myndigheter sekretess för kontaktuppgifter till en enskild, om det av särskild anledning kan antas att den enskilde eller någon som står honom eller henne nära kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs.

Genom 7 kap. 15 § sekretesslagen har regeringen bemyndigats att för vissa större register besluta att sekretess ska gälla, jämför 1 b § sekretessförordningen (1980:657). Regeringen har dock inte förordnat om sådan sekretess på studiestödsområdet.

Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift om det kan antas att ett utlämnande skulle medföra att personuppgiften behandlas i strid med personuppgiftslagen (1998:204). Bestämmelsen är generellt tillämplig och gäller således även personuppgifter hos CSN, se t.ex. RÅ 2002 ref. 54.

Om en uppgiftsskyldighet följer av lag eller förordning, hindrar inte sekretess att CSN lämnar uppgifter till en annan myndighet eller att en annan myndighet lämnar uppgifter till CSN, se 14 kap. 1 § sekretesslagen.

4.2.4 Gallring

Som ovan angivits (se avsnitt 3.4) får en personuppgift som huvudregel enligt personuppgiftslagen inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, 9 § första stycket i) personuppgiftslagen. Av 8 § andra stycket personuppgiftslagen framgår det dock att bestämmelsen om gallring av personuppgifter inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar, jämför 2 kap. 18 § tryckfrihetsförordningen och 3 § tredje stycket arkivlagen (1990:782). Såvitt avser allmänna handlingar stadgas i stället i 10 § arkivlagen att sådana får gallras. De närmare föreskrifterna om gallring meddelas av Riksarkivet, se 12 och 14 §§ arkivförordningen (1991:446). Gallring berörs bl.a. i 2 kap. 1 § Riksarkivets föreskrifter (RA-FS 1991:1) och allmänna råd om arkiv hos statliga myndigheter. Däri anges det att med gallring förstås att förstöra allmänna handlingar eller uppgifter i allmänna handlingar. Förstöring av sådana handlingar eller uppgifter i samband med överföring till annan databärare räknas också som gallring, om överföringen medför informationsförlust, förlust av möjliga informationssammanställningar, förlust av sökmöjligheter eller förlust av möjligheten att fastställa informationens autenticitet.

För CSN:s vidkommande har Riksarkivet meddelat ett antal myndighetsspecifika gallringsföreskrifter på studiestödsområdet.[33] Föreskrifterna anger huvudsakligen vilka handlingar som får gallras och om det krävs någon form av annat bevarande av dem innan gallring får ske, såsom mikrofilmning eller skanning. Dessutom anges det vid vilken tidpunkt gallring får ske om sådan är tillåten. Exempel på handlingar som inte får gallras är svuxa-akter som inte är mikrofilmade om sökanden är född den första eller femtonde dagen i någon månad.[34] Gallringsföreskrifterna innehåller inte bara regler om hur fysiska handlingar på papper får gallras. Föreskrifterna gäller i förekommande fall även upptagningar för automatisk databehandling. Som exempel på sådan föreskrift kan anges RA-MS (2005:22) varigenom stadgas att ADB-upptagningar avseende registrering av ansökan om och utbetalning av resekostnadsersättning avseende 1 juli 1994 till 30 juni 1995 får gallras år 2006.

Enligt nuvarande studiestödslag kan inte studiemedel beviljas i mer än visst antal veckor. Antalet veckor beror på studieform, 3 kap. 8 § studiestödslagen. I ett ärende om studiestöd kan det sålunda behöva utredas om sökanden tidigare har fått studiemedel och i sådant fall i hur många veckor. Ibland behövs av motsvarande skäl också utredning om sökanden fått vissa upphävda studiestöd. Bland annat mot denna bakgrund har CSN varit försiktig med att gallra uppgifter om tidigare utbetalade studiemedel och andra studiestöd. De äldsta uppgifterna som finns i STIS är från 1995. I viss mån har dock gallring av personuppgifter skett såtillvida att vissa personuppgifter har lagts i en särskild databas (Arkivsvar). Denna databas är tillgänglig för alla handläggare. Såvitt avser fysiska handlingar gallras de ett år efter det att de har lästs in i det elektroniska dokumenthanteringssystemet.

4.2.5 Inhämtande och utlämnande av personuppgifter

Inledning

STIS har tekniska kopplingar till andra myndigheters och organisationers IT-system. Kopplingarna används för att kontrollera, lämna eller inhämta uppgifter. De huvudsakliga informationsflödena beskrivs i det följande.

I några fall har särskilt reglerats frågan om utlämnande av uppgifter från CSN:s register på medium för automatiserad behandling, 14 kap. 7 § lagen (2001:1227) om självdeklarationer och kontrolluppgifter, 6 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan, 1 b § bostadsbidragsförordningen (1993:739) och 5 § förordningen (1996:1036) om underhållsstöd. Genom förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel har regeringen bemyndigat CSN att meddela föreskrifter om att den som gör elektronisk ansökan får ha direktåtkomst till sådana uppgifter om sig själv som finns hos CSN och som får lämnas ut till honom eller henne. CSN har inte utfärdat några sådana föreskrifter.

Skatteverket

Folkbokföringsdatabasen

Enligt 2 kap. 8 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får en myndighet ha direktåtkomst till Skatteverkets folkbokföringsdatabas såvitt avser bl.a. namn och adress. För att en myndighet ska få ha direktåtkomst till uppgift om en registrerads medborgarskap krävs det enligt samma lagrum att myndigheten som önskar direktåtkomst enligt lag eller förordning får behandla en sådan uppgift.

CSN utnyttjar möjligheten till direktåtkomst såtillvida att i samband med att en person registreras i STIS kontrolleras personuppgifterna mot Skatteverkets folkbokföringsdatabas. De uppgifter som hämtas är bl.a. namn, adress och medborgarskap. Om någon av dessa uppgifter ändras, får CSN meddelande härom. Om den studerande ansökt om tilläggsbidrag (se avsnitt 2.3.3), hämtar CSN även in uppgifter från Skatteverkets folkbokföringsdatabas om vilka barn som den studerande har vårdnaden om.

CSN hämtar även uppgifter om alla landets 16-åringar från Skatteverket. Denna information används tillsammans med information om vilken förälder (eller annan) som är betalningsmottagare av barnbidraget för att sända ut ett s.k. 16-årsbrev till alla landets 16-åringar eller deras vårdnadshavare. Detta innebär att brevet sänds ut även beträffande 16-åringar som inte kommer att studera.

CSN ska enligt 2 § folkbokföringsförordningen (1991:749) underrätta Skatteverket om den adress en person har, så snart det finns anledning att anta att adressen inte är registrerad i folkbokföringen.[35] Någon underrättelse behöver dock inte lämnas om det är uppenbart att adressen är tillfällig eller av annat skäl inte ska registreras.

Beskattningsdatabasen

CSN har inte möjlighet att få direktåtkomst till Skatteverkets beskattningsdatabas. Beskattningsdatabasen regleras i lagen (2001:181) om uppgifter i Skatteverkets beskattningsverksamhet med anknytande förordning. I förarbetena till lagen (prop. 2000/01:33 s. 132) uttalades att det med hänsyn till det integritetskänsliga materialet i databasen fanns skäl att vara återhållsam med att bereda andra myndigheter direktåtkomst. Regeringen förordade i stället att man övervägde att tillgodose informationsbehovet genom en effektiv informationshantering (a. prop. s. 133). Utlämnande av uppgifter från beskattningsdatabasen har också gjorts möjligt genom 6 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Härigenom har Skatteverket ålagts en skyldighet att på begäran lämna ut uppgifter ur beskattningsdatabasen till CSN i den utsträckning det behövs för bl.a.

a. kontroll av ansökningar om uppskov med betalning av studiemedelsavgifter i fråga om studiestöd och om avskrivning av studieskuld, och

b. kontroll av ansökningar om studiestöd, om nedsättning av årsbelopp och om avskrivning av studielån samt fastställande av årsbelopp.

De uppgifter som sålunda ska lämnas ut till CSN är uppgifter om överskott eller underskott i inkomstslagen tjänst, näringsverksamhet och kapital, uppgift om förmögenhet och uppgift om eventuell registrering i sjömansregistret.

Eftersom studiemedel är behovsprövat, är den studerandes inkomst en viktig parameter vid bestämmandet av studiemedlens storlek. I ansökan om studiemedel ska därför sökanden lämna uppgift om hur stor inkomsten förväntas bli. Denna uppgivna inkomst jämförs vid en efterkontroll med uppgifterna i beskattningsdatabasen. För personer som har nedsättning med återbetalning av studielån görs motsvarande kontroll. Uppgift om överskott i inkomstslagen tjänst, näringsverksamhet och kapital inhämtas också för att beräkna det årsbelopp med vilket studielånet ska återbetalas (gäller studielån upptagna mellan den 1 januari 1989 och 30 juni 2001).

CSN lämnar även personuppgifter till Skatteverket. Enligt 6 och 8 kap. lagen (2001:1227) om självdeklarationer och kontrolluppgifter finns det en skyldighet för bl.a. CSN att lämna uppgifter till Skatteverket. CSN lämnar härvid kontrolluppgift till Skatteverket om utbetalade skattepliktiga bidrag, om studieskuldens storlek och om betalad återkravsränta. Kontrolluppgiften får lämnas på medium för automatiserad databehandling, 14 kap. 7 § andra stycket lagen (2001:1227) om självdeklarationer och kontrolluppgifter.

Försäkringskassan

Enligt 20 § lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration får CSN ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för att inhämta underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda. Enligt 3 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration får direktåtkomsten avse bl.a. uppgifter om tidpunkter, tidsperioder och belopp för ersättningar och för ersättningsgrundande förhållanden i Försäkringskassans ärenden.

Enligt 6 kap. 7 § studiestödslagen (1999:1395) och 6 kap. 12 § studiestödsförordningen (2000:655) har Försäkringskassan skyldighet att lämna CSN upplysningar om den studerandes eller föräldrarnas inkomst- eller förmögenhetsförhållanden såvitt informationen behövs för ärenden om studiehjälp.

Utöver vad som annars följer av lag eller förordning är Försäkringskassan dessutom skyldig att lämna uppgifter till CSN enligt förordningen (1980:995) om skyldighet för Försäkringskassan att lämna uppgifter till andra myndigheter. Försäkringskassan ska på begäran lämna uppgifter om enskildas adress, deras arbetsgivares namn och adress samt enskildas ekonomiska förhållanden och den tidsperiod en utgiven ersättning avser till CSN, om uppgifterna behövs i ärenden där, 3 § nämnda förordning.

Betalningsmottagare av studiehjälp för omyndig elev är normalt den eller de som tidigare fått det allmänna eller förlängda barnbidraget. Information om detta inhämtas från socialförsäkringsdatabasen. Informationen behövs för att kunna betala ut studiehjälpen. Informationen inhämtas avseende samtliga 16-åringar, även för de som inte fortsätter att studera. Informationen behövs för att sända ut det s.k. 16-årsbrevet till vårdnadshavarna för 16-åringarna.

Studiestöd är uteslutet om den enskilde får aktivitetsstöd från Försäkringskassan. CSN kontrollerar därför mot socialförsäkringsdatabasen om någon har aktivitetsstöd för samma period som han eller hon beviljats studiestöd, 6 kap. 13 § första stycket 3 studiestödsförordningen.

Försäkringskassan lämnar även CSN uppgift om en studerandes godkända sjukperioder, 6 kap. 13 § första stycket 1 studiestödsförordningen. Anledningen till att CSN behöver denna uppgift är att endast godkända sjukperioder möjliggör sjukavbrott i studier med bibehållet studiestöd. Dessutom kan godkända sjukperioder föranleda avskrivning av studielån. För det fall den studerande får sjukpenning kan dock denne förpliktas att återbetala visst belopp av utbetalat studielån. För detta ändamål inhämtas uppgifter om sjukpenning från Försäkringskassan, 6 kap. 13 § första stycket 2 studiestödsförordningen.

Sedan den 1 januari 2007 är Försäkringskassan också skyldig att till CSN lämna uppgift om sjukersättning, aktivitetsersättning och rehabiliteringsersättning enligt lagen (1962:381) om allmän försäkring, 6 kap. 13 § första stycket 4 studiestödsförordningen.

CSN lämnar också personuppgifter till Försäkringskassan. Enligt 20 kap. 9 § lagen (1962:381) om allmän försäkring har bl.a. CSN en skyldighet att lämna ut uppgift om namngiven persons förhållanden som är av betydelse för tillämpningen av nyss nämnda lag. Enligt 30 § lagen (1993:737) om bostadsbidrag och 1 b § bostadsbidragsförordningen (1993:739) har CSN en liknande uppgiftsskyldighet även såvitt avser uppgifter som är av betydelse vid Försäkringskassans tillämpning av bidrag enligt nyss nämnda lag. Sådana uppgifter ska lämnas på medium för automatiserad behandling, 1 b § bostadsbidragsförordningen. Även när det gäller bidrag enligt lagen (1996:1030) om underhållsstöd har CSN ålagts en informationsskyldighet, se 42 § lagen om underhållsstöd. Informationen ska lämnas på medium för automatiserad databehandling, 5 § förordningen (1996:1036) om underhållsstöd. CSN har även en uppgiftsskyldighet gentemot Försäkringskassan såvitt avser studerande som har beviljats studiehjälp i form av studiebidrag för det andra kvartalet varje år, 9 § lagen (1986:378) om förlängt barnbidrag.

Uppgift om att en person har studiestöd lämnas ut av CSN och markeras i Försäkringskassans system. Detta görs för att Försäkringskassan dels ska veta för vilka personer som studieoförmåga i stället för arbetsoförmåga på grund av sjukdom ska prövas, dels ska kunna betala ut rätt sjukpenning till studiestödstagare.

Försäkringskassan får även uppgift från CSN om vilka som får studiehjälp i form av studiebidrag för att möjliggöra kontroll dels av att bidraget inte utbetalas samtidigt som förlängt barnbidrag utges, dels av rätten till flerbarnstillägg.

CSN lämnar också uppgifter till Försäkringskassan om vilka studerande som gör studieavbrott.

Härutöver lämnar CSN uppgift till Försäkringskassan om att en person har fått studiemedel för kontroll av underhållsstöd och bostadsbidrag.

Slutligen lämnar CSN uppgifter till Försäkringskassan om studiestödet för att Försäkringskassan ska kunna beräkna pension.

Kronofogdemyndighetens utsöknings- och indrivningsdatabas

Om årsbelopp eller avgifter inte betalas trots påminnelse, får beloppet tas ut genom utmätning utan föregående dom eller utslag, 4 kap. 27 § studiestödslagen (1999:1395).[36] För detta ändamål överlämnas uppgifter om gäldenären och skulden till Kronofogdemyndigheten för indrivning enligt lagen (1993:891) om indrivning av statliga fordringar m.m.

Om det inte är fråga om årsbelopp eller avgifter, saknas reglering som medger utmätning utan föregående dom eller utslag. Det kan t.ex. handla om återkrav. I dessa fall ansöker CSN om betalningsföreläggande hos Kronofogdemyndigheten.

Statistiska centralbyrån (SCB)

Enligt 5 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan har CSN ålagts en skyldighet att på begäran av SCB lämna uppgifter om studerandes identitet, studieväg, skolenhet, studiefinansiering och närvaro. CSN överför i enlighet härmed uppgifter till SCB om eleverna i gymnasieskolan. Dessa uppgifter får lämnas till statistiska centralbyrån på medium för automatisk databehandling, 6 § sistnämnda förordning. Enligt 3 kap. 1 § förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor ska SCB föra ett register och där ange uppgifterna individuellt för varje studerande. För detta ändamål inhämtar SCB uppgifter från universitet och högskolors studieregister, från SCB:s egna register, från system för antagning av studerande vid universitet och högskolor och även från CSN, 3 kap. 4–6 §§ samma förordning. De uppgifter som inhämtas från CSN är identitetsuppgift, uppgift om utbetalade studiemedel fördelade på bidrag och lån per kalenderhalvår samt uppgift om utlandsstudier. För uppgifterna hos SCB gäller sekretess enligt 9 kap. 4 § sekretesslagen (1980:100). SCB har även ålagts en skyldighet att tillse att enskild person inte avslöjas i de statistiska redovisningarna, 9 § förordningen (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan.

CSN lämnar även uppgifter till SCB:s inkomst- och förmögenhetsstatistik. Detta sker en gång per år.

Swedbank AB

Utbetalningen av studiestöd sker via Swedbank AB. Inför utbetalning överför CSN uppgift till banken om betalningsmottagarens personnummer eller samordningsnummer, namn, adress och vilket belopp som ska utbetalas. Efter fullgjort betalningsuppdrag får CSN information om huruvida beloppet sattes in på den studerandes konto eller om betalningen skedde genom en kontantavi (tidigare sparbanksutbetalning), dvs. i form av en sorts check som kan lösas in hos Swedbank AB.

Information inhämtas även om kontonummer för betalningsmottagare av det senast utbetalade allmänna eller förlängda barnbidraget i samband med att det s.k. 16-årsbrevet sänds ut. Detta görs för att förbereda för kommande utbetalningar av studiehjälp avseende 16-åringar som fortsätter att studera.

Migrationsverket

För prövning av utländska medborgares rätt till studiestöd (se avsnitt 2.2 och 2.3) krävs det att en utlännings ansökan om studiestöd kompletteras med information från Migrationsverket. Sådan information inhämtas därför från Migrationsverket, 6 kap. 13 a § studiestödsförordningen. Den information som Migrationsverket är skyldigt att lämna CSN är uppgift om namn, person- eller samordningsnummer, medborgarskap, tillstånd eller annat bevis om rätt att vistas i Sverige med angivande av vilken typ av tillstånd eller annat bevis som har beviljats eller utfärdats, dag för beslut om tillstånd eller utfärdande av annat bevis om rätt att vistas i Sverige samt uppgift om hur länge tillståndet eller beviset gäller, klassning av tillstånd eller annat bevis om rätt att vistas i Sverige enligt Migrationsverkets klassificeringssystem och upplysning om en person saknas. Uppgifterna får dock bara lämnas till CSN om de har betydelse för tillämpningen av bestämmelserna om studiehjälp och studiemedel.

Arbetslöshetskassor

Arbetslöshetskassorna lämnar i princip inte ersättning till personer som studerar, 10 § 1 lagen (1997:238) om arbetslöshetsförsäkring. För att arbetslöshetskassorna ska kunna kontrollera om någon deltar i utbildning har CSN ålagts en uppgiftsskyldighet gentemot arbetslöshetskassorna såvitt avser uppgifter av betydelse för tillämpningen av nämnda lag, se 48 c § lagen om arbetslöshetsförsäkring. Uppgiftsskyldigheten har preciserats i 23 § förordningen (1997:835) om arbetslöshetsförsäkring.

Enligt 48 d § lagen om arbetslöshetsförsäkring har arbetslöshetskassorna ålagts en uppgiftsskyldighet gentemot bl.a. CSN. Uppgiftsskyldigheten omfattar uppgifter som har betydelse hos CSN i ett ärende om förmån, ersättning eller annat stöd åt enskild. Uppgiftsskyldigheten har preciserats i 25 § förordningen (1997:835) om arbetslöshetsförsäkring.

Arbetsmarknadsstyrelsen och länsarbetsnämnderna[37]

Enligt 5 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten får Arbetsmarknadsstyrelsen och länsarbetsnämnderna behandla personuppgifter för tillhandahållande av information som behövs inom CSN:s verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd. Enligt 12 § samma lag får CSN ha direktåtkomst till personuppgifter som behandlas i en arbetsmarknadspolitisk databas för de nu nämnda ändamålen. Efter bemyndigande har regeringen meddelat mer detaljerade föreskrifter om vilka personuppgifter som får behandlas i detta hänseende, 3 och 6 §§ förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. De uppgifter som direktåtkomsten får avse är namn, person- eller samordningsnummer, adress, e-postadress, telefonnummer, andra identifieringsuppgifter, medborgarskap och kod för medborgarskap eller födelseland, uppgift om arbetslöshet och tillhörighet till arbetslöshetskassa, arbets- och uppehållstillstånd, uppgifter om sökt arbete, önskemål om arbetstid och arbetets varaktighet och belägenhet, körkort och tillgång till bil, utbildning, arbetslivserfarenhet och tidigare arbetsgivare, speciell kompetens och andra uppgifter som underlättar vid arbetssökning, uppgifter om tidpunkter, händelser och innehåll i kontakter med den offentliga arbetsförmedlingen, uppgifter om anvisning av arbetsmarknadspolitiska program, typ av program, utbetalad ersättning från arbetslöshetskassa eller för deltagande i arbetsmarknadspolitiska program, om de tidsperioder utbetalningarna avser och om samordning med andra förmåner samt uppgifter om anvisning till arbete, resultatet av gjorda anvisningar samt uppgifter som behövs inför ett beslut om stöd för nystartsjobb. Härutöver får personuppgifter som framgår av följande lagrum behandlas:

a. 24 a § förordningen (1996:1100) om aktivitetsstöd – namn, personnummer och i förekommande fall samordningsnummer för den som ska få stödet, under vilken tid en person är anvisad till ett program, omfattningen av programmet, vem som anordnar programmet eller aktiviteten och i förekommande fall lön, andra anställningsförmåner och viss typ av pensionsförmån

b. 20 § förordningen (1997:835) om arbetslöshetsförsäkring – namn, personnummer och i förekommande fall samordningsnummer, från och med vilken dag en person är anmäld eller avanmäld som arbetssökande vid den offentliga arbetsförmedlingen, vilket arbetsmarknadspolitiskt program personen har anvisats till, omfattningen av anvisningen och under vilken tidsperiod den gäller och om en anvisning till ett arbetsmarknadspolitiskt program har ändrats eller återkallats

c. 16 § förordningen (2000:628) om den arbetsmarknadspolitiska verksamheten – om en arbetssökande som får eller begär ersättning från en arbetslöshetskassa antingen avvisar ett lämpligt arbete eller ett arbetsmarknadspolitiskt program som erbjuds, på annat sätt genom sitt uppträdande uppenbarligen vållar att en anställning eller ett deltagande i ett program inte kommer tillstånd, uppträder så att det finns anledning för den offentliga arbetsförmedlingen att förmoda att sökanden inte vill eller kan anta något som helst arbete, frivilligt och utan godtagbar anledning lämnat en anställning eller blivit avskedad på grund av otillbörligt uppförande eller i övrigt inte bedöms uppfylla de allmänna villkoren för rätt till ersättning i 9 § 1, 2, 4 eller 5 lagen (1997:238) om arbetslöshetsförsäkring. Uppgift om arbetssökande som får eller begär ersättning från kassan inte besökt eller kontaktat arbetsförmedlingen efter kallelse eller enligt överenskommelse (avanmälan) är även sådan uppgift som får behandlas enligt 16 § förordningen om den arbetsmarknadspolitiska verksamheten. Uppgift om att en avanmäld person återanmäler sig på arbetsförmedlingen får också behandlas.

Som ovan nämnts begränsas CSN:s direktåtkomst till en arbetsmarknadspolitisk databas i 5 och 12 §§ lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Direktåtkomst till databasen får endast ske i den utsträckning det behövs för underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd. Detta innebär att CSN inte får ha direktåtkomst till en tämligen stor del av de ovan angivna personuppgifterna.

Verket för högskoleservice

Verket för högskoleservice får enligt 4 kap. 1 § förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor föra ett antagningsregister och där ange uppgifterna individuellt för varje studerande. De uppgifter som registreras i antagningsregistret är uppgift om behörighet, urvalsgrund, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller tillgodoräknad verksamhet, examen, behörighetsgrundande meriter, urvalsgrundande meriter och uppgifter samt de uppgifter i övrigt som en studerande åberopar i samband med antagning till en utbildning, se 4 kap. 2 § första stycket nu nämnd förordning. Uppgifter från antagningsregistret får lämnas ut på medium för automatiserad behandling till CSN om uppgifterna behövs för beviljande och utbetalning av studiestöd, 4 kap. 4 § 2 samma förordning.

Läroanstalter

Enligt 6 kap. 6 § första stycket studiestödslagen får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om en läroanstalts[38] skyldighet att till CSN lämna uppgifter som är av betydelse för tillämpningen av studiestödslagen och föreskrifter som har meddelats med stöd av lagen. Uppgiftsskyldigheten omfattar information om en studerande som har studiehjälp har övergått till en annan läroanstalt eller har avbrutit sina studier samt även i övrigt om en studerande som har tagits in i utbildning som ger rätt till studiehjälp och CSN begär det (6 kap. 9 § studiestödsförordningen). Uppgiftsskyldigheten omfattar även upplysning om tid och omfattning för utbildningar vid läroanstalten som ger rätt till studiemedel (6 kap. 10 § första stycket studiestödsförordningen) och, för en studerande som har ansökt om eller beviljats studiemedel, uppgift om utbildning, studietid, studiernas omfattning, studieaktivitet och studieresultat (6 kap. 10 § andra stycket studiestödsförordningen).

CSN kan meddela närmare föreskrifter om läroanstalters uppgiftsskyldighet både såvitt avser studiehjälp (6 kap. 9 § tredje stycket studiestödsförordningen) och studiemedel (6 kap. 10 § tredje stycket studiestödsförordningen).

CSN:s mer detaljerade föreskrifter om läroanstalters uppgiftsskyldighet avseende studiehjälp återfinns i 9 kap. Centrala studiestödsnämndens föreskrifter och allmänna råd (CSNFS 2001:6) om studiehjälp. Föreskrifterna är utformade på så sätt att läroanstalternas uppgiftsskyldighet är tredelad; läroanstalterna ska lämna information dels om vilka utbildningar de har, dels, i samband med terminsstart, uppgift om alla utbildningar och elever, dels också löpande under terminen, uppgift om någon elevs förändrade studier eller frånvaro. Denna information ska lämnas på sätt som CSN och läroanstalten kommit överens om.

Läroanstalters uppgiftsskyldighet med bäring på studiemedel återfinns i Centrala studiestödsnämndens föreskrifter och allmänna råd (CSNFS 2001:1) om beviljning av studiemedel. Läroanstalterna har ålagts en skyldighet att intyga vilken utbildning som den studerande påbörjat och registrerat sig på samt uppgift om utbildningens omfattning och tid, 16 kap. 6 § första stycket 2 nyss nämnda föreskrifter.

I förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor finns ytterligare bestämmelser om informationsutbyte. Varje högskola och universitet har enligt 2 kap. 1 § andra stycket nämnda förordning ett åliggande att föra ett studieregister. Enligt 2 kap. 3 § samma förordning ska studieregistret innehålla uppgift för varje studerande om bl.a. behörighet, urvalsgrund, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet och examen. Dessa uppgifter får lämnas ut på medium för automatiserad behandling till CSN om uppgifterna behövs för beviljande och utbetalning av studiestöd, 2 kap. 6 § 2 förordningen om redovisning av studier m.m. vid universitet och högskolor. CSN har direktåtkomst till Ladok som är ett nationellt system för studieadministration inom högre utbildning i Sverige. Systemet består av respektive universitets och högskolas eget system som är sammankopplat genom en överbyggnad som kallas PING. CSN har också direktåtkomst till motsvarande register hos Handelshögskolan i Stockholm. CSN hämtar in uppgifter därifrån i samband med terminsstart. Uppgifterna avser samtliga studerande som registrerat sig på universitet och högskolor oavsett om de (ännu) sökt studiemedel. Från läroanstalter som anges i avdelning A1 och A2 i bilagan till studiestödsförordningen (2000:655) inhämtas uppgifter, bl.a. avseende studieresultat, om de personer som antagits till de utbildningar vid läroanstalterna som anges i de nämnda avdelningarna i bilagan.

Enligt 10 kap. 3 § högskoleförordningen (1993:100) ska det vid varje högskola finnas en disciplinnämnd. Under vissa förutsättningar får en sådan nämnd besluta om avstängning under maximalt sex månader av en studerande, se 10 kap. 1 och 2 §§ högskoleförordningen. När ett beslut om avstängning har fattats ska underrättelse om detta genast tillställas CSN, 10 kap. 13 § högskoleförordningen.

Som ovan angivits (se avsnitt 2.2.2) lämnas studiehjälp i form av studiebidrag utan ansökan. I samband med terminsstarten meddelar skolorna vilka elever som bedriver studier och vilken studieomfattning eleven har. Under terminen meddelar skolorna avvikelser som kan vara olika typer av frånvaro och avbrott från studierna. För detta finns sedan maj 2007 en särskild webbaserad elevrapporteringsrutin. Beroende på hur skolornas eget elevrapporteringssystem ser ut kan de välja mellan att föra över en fil till CSN, att rapportera direkt på en webbplats eller att via specialbyggda skolsystem som samlar in uppgifter från flera skolor i kommunen skicka dem till CSN över en s.k. SHS-nod (spridnings- och hämtningssystemet). Vid användningen av den webbaserade elevrapporteringsrutinen får den rapporterande skolan tillgång till de uppgifter den skolan tidigare lämnat till CSN. Den information som sålunda inhämtas av CSN lagras inte omedelbart i STIS utan till en början utanför detta system. Informationen lagras första dagen i en särskild mellanlagringstabell. I en körning natten därpå töms tabellen och informationen lagras som studierapporter i STIS. Handläggarna kan titta på rapporterna via fönster i STIS. Denna information är också tillgänglig för skolans s.k. elevrapportörer genom direktåtkomst. För att få tillgång till denna informationsmängd måste elevrapportören logga in med en personlig användaridentitet med kod. Användaridentitet och kod beställs av skolans rektor. Det kan maximalt finnas elva elevrapportörer på varje skola. Elevrapportören kan endast se uppgifter som härrör från den skola på vilken han eller hon verkar. Förutom innevarande läsår kommer elevrapportören att kunna se historiska uppgifter två läsår tillbaka i tiden.

Det statliga personadressregistret (SPAR)

Enligt lagen (1998:527) om det statliga personadressregistret ska det med hjälp av automatiserad behandling föras ett statligt personadressregister (SPAR). Uppgifterna i SPAR som är tillgängliga för CSN är uppgift om namn, personnummer, adress, folkbokföringsort, födelsehemort, svenskt medborgarskap, make eller vårdnadshavare, avregistrering från folkbokföringen på grund av dödsfall, summan av taxerad förvärvsinkomst och inkomst av kapital, beskattningsbar förmögenhet, ägare av småhusenhet eller lantbruksenhet med småhus med uppgift om belägenhet samt taxeringsvärde för småhusenhet.

Uppgiften om födelsehemort är i och för sig tillgänglig för CSN men uppgiften får inte lämnas ut i elektronisk form, 6 § förordningen (1998:1234) om det statliga personadressregistret.

Enligt 8 a § nyss nämnda förordning får Statens personadressregisternämnd besluta om att vissa uppgifter som rör samtliga personer i SPAR får lämnas ut i elektronisk form (s.k. bruttoavisering). Bruttoavisering får endast medges den som i sin verksamhet regelmässigt behandlar uppgifter om en betydande andel av befolkningen och fortlöpande behöver uppdatera dessa. Något sådant beslut har emellertid inte fattats avseende CSN. CSN har i stället via Statens personadressregisternämnds personuppgiftsbiträde, Infodata AB, ett avtal som medger att CSN hos Infodata AB lägger upp ett register över personer som är aktuella hos CSN. Infodata AB uppdaterar detta register dagligen med aktuella ändringar från SPAR. När CSN har behov av det hämtas uppgifterna från detta register. Det blir således inte fråga om bruttoavisering, eftersom det endast inhämtas uppgifter om personer registrerade av CSN.

CSN hämtar i dag in uppgifter från SPAR för vissa ärendetyper. Senast 2009 kommer CSN helt att upphöra med att hämta information från SPAR och i stället övergå till att hämta all motsvarande information från Skatteverkets folkbokföringsdatabas.

Resebyrå och försäkringsmäklare

CSN verkar för att sänka resekostnaderna för studerande utomlands. För att bereda sådana studerande möjlighet att komma hem till Sverige ett par gånger varje år under studietiden utarbetade CSN 1996 en rutin för bokning och fakturering av resa, den s.k. reserutinen. En studerande kan boka sin resa hos en resebyrå, som kontrollerar huruvida resenären är studerande gentemot CSN:s register. Resebyrån fakturerar resan till CSN som i sin tur bokför kostnaden för resan direkt mot den studerandes studielån.

Om en studerande vid ansökan om merkostnadslån särskilt så önskar (markeras genom ett kryss i ansökningsblanketten), så vidarebefordras information till försäkringsmäklare som kan hjälpa den studerande att teckna en relevant försäkring för studier utomlands.

Olika företag för kortadministration

Uppgift om vilka personer som beviljats studiestöd lämnas av CSN till Mecenat AB för utfärdande av CSN-kort eller Mecenatkort (jämför RÅ 2002 ref. 54).

CSN-kortet, vilket ger vissa förmåner och rabatter, distribueras kostnadsfritt till vissa grupper av studerande som studerar med studiestöd under minst tre månader på minst halvtid. Enligt avtal med Mecenat AB är CSN personuppgiftsansvarig och Mecenat AB CSN:s personuppgiftsbiträde vid behandlingen av personuppgifter i samband med CSN-kortet.

Mecenatkortet, vilket också ger vissa förmåner och rabatter, distribueras av Mecenat AB kostnadsfritt till studerande vid universitet och högskolor i Sverige som är medlemmar i en studentkår.

Uppgifter om vilka personer som beviljats studiestöd lämnas av CSN även till Studentkortet AB för utfärdande av Studentkortet. Studentkortet kan, mot avgift, ges till studerande vid universitet och högskolor i Sverige som är medlemmar i en studentkår.

Uppgifterna om vilka personer som beviljats studiestöd lämnas av CSN också till Wadsworth DataSystems AB för utfärdande av Membitkortet. Membitkortet är ett kombinerat förmåns- och medlemskort som också fungerar som studentlegitimation.

Högskolans avskiljandenämnd

En studerande på högskola kan under vissa förutsättningar avskiljas från utbildningen, 4 kap. 6 § högskolelagen (1992:1434) och 1 § förordningen (1987:915) om avskiljande av studerande från högskoleutbildning. Enligt 21 § nyss nämnda förordning ska CSN genast underrättas om ett sådant beslut. Även beslut om upphävande av avskiljande ska rapporteras till CSN.

Statens räddningsverk

Statens räddningsverk bedriver utbildningar i olika former inom ämnesområdet säkerhet i vid bemärkelse. En studerande vid en sådan utbildning kan under vissa förutsättningar avskiljas eller avstängas från utbildningen, se 6 och 7 §§ förordningen (2003:477) om utbildning i skydd mot olyckor. Sådana frågor prövas av en särskild nämnd vid Statens räddningsverk. När ett beslut om avskiljande eller avstängning har fattats, ska underrättelse om detta genast lämnas till CSN, se 8 § nyss nämnda förordning.

Domstolar

För det fall allmän domstol har beslutat i någon fråga rörande faderskap eller adoption ska, sedan avgörandet vunnit laga kraft, meddelande härom sändas till CSN om barnet fyllt 15 men inte 18 år, se 1 och 2 §§ förordningen (1949:661) om skyldighet för domstol att lämna uppgifter i mål och ärenden enligt föräldrabalken, m.m. Enligt 3 § samma förordning ska information om beslut och domar som avser vårdanden om barn som fyllt 15 år tillställas CSN. Domstolsverket har enligt 13 § nämnda förordning uppdragits att meddela närmare föreskrifter om hur domstol ska fullgöra sin uppgiftsskyldighet enligt förordningen. Domstolsverket har genom Domstolsverkets föreskrifter (1991:16) om domstols rapportering i vissa mål och ärenden enligt föräldrabalken föreskrivit att rapporteringsskyldigheten ska fullgöras genom översändande av kopia av domen såvitt avser avgöranden om faderskap och vårdnad eller genom översändande av särskild blankett såvitt avser avgöranden om adoption.

Kommuner

I ett pilotprojekt som bedrivs i samarbete med bland annat Borlänge kommun försöker kommunen komma till rätta med felutbetalningar inom ramen för den kommunala biståndsverksamheten (den s.k. Borlängepiloten). För detta ändamål är viss information som CSN har av intresse. De deltagande kommunerna skickar frågefiler till CSN när som helst på dygnet. Dessa besvaras en gång per dygn efter en nattlig körning hos CSN. De uppgifter som lämnas ut är huvudsakligen uppgift om stödform, vilka veckor som stödet beviljats för och utbetalat belopp per stödform. Uppgifterna avser tiden tre månader tillbaka räknat ifrån frågedatum samt den då innevarande månaden.

Enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan (Rg-bidrag) kan för eleverna vid riksgymnasierna i Örebro lämnas ersättning för skäliga kostnader för kost, logi och annan service i samband med boendet (5 §). Ersättningen betalas av CSN ut direkt till Örebro kommun som tillhandahåller nyttigheterna (11 § andra stycket). För redovisning till Örebro kommun lämnar CSN elektroniskt på fil ut uppgifter om beviljat bidrag för kostnad för kost, logi och annan service i samband med boendet som kommunen tillhandahåller samt den totala kostnaden för sådant.

Enligt 5 kap. 33 § skollagen (1985:1100) ska en hemkommun i vissa fall lämna ekonomiskt stöd till elever i gymnasieskolan som behöver inackordering till följd av skolgången (kommunalt inackorderingsstöd). Det gäller dock bl.a. inte i fråga om utlandssvenska elever som får inackorderingstillägg enligt studiestödslagen. För att få underlag för utbetalningen av kommunalt inackorderingsstöd hämtar kommunerna elektroniskt från CSN månatligen under terminerna uppgifter om studerande som varit inackorderade. Uppgifterna rör bl.a. närvaro, studieavbrott och betalningsmottagare för studiestöd.

Om en socialnämnd har godkänt ett avtal om vårdnad enligt föräldrabalken, ska ett meddelande om avtalets innehåll sändas till CSN under förutsättning att avtalet gäller ett barn som har fyllt 15 år, 6 kap. 17 b § föräldrabalken.

Polismyndighet och Åklagarmyndigheten

I bidragsbrottslagen (2007:612) finns det från och med den 1 augusti 2007 bestämmelser om straff för bidragsbrott. Den som uppsåtligen eller av grov oaktsamhet lämnar oriktiga uppgifter eller inte anmäler ändrade förhållanden som han eller hon är skyldig att anmäla enligt lag eller förordning, och på så sätt orsakar fara för att en ekonomisk förmån felaktigt betalas ut eller betalas ut med ett för högt belopp, kan dömas för bidragsbrott respektive vårdslöst bidragsbrott. Enligt 6 § bidragsbrottslagen ska CSN göra anmälan till en polismyndighet eller till Åklagarmyndigheten om det kan misstänkas att brott enligt bidragsbrottslagen har begåtts. CSN har således en anmälningsplikt. CSN får därmed anses ha ålagts en skyldighet att lämna ut uppgifter om misstankar om brott enligt bidragsbrottslagen, inklusive personuppgifter, till polismyndighet eller Åklagarmyndigheten. Denna skyldighet får anses vara en sådan uppgiftsskyldighet som genombryter sekretess enligt 14 kap. 1 § sekretesslagen (1980:100).

Riksrevisionen

Som ett led i granskningen av den verksamhet som bedrivs av staten granskas även CSN, se 1 § första stycket lagen (2002:1023) med instruktion för Riksrevisionen. Riksrevisionen beställer för detta ändamål bl.a. personuppgifter från CSN. CSN har enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. en skyldighet att tillmötesgå en sådan begäran och lämna Riksrevisionen den hjälp och de uppgifter och upplysningar som Riksrevisionen behöver för granskningen. Skyldigheten att tillhandahålla uppgifter omfattar alla uppgifter oavsett medium som bär uppgifterna. Det innebär således att uppgiftsskyldigheten omfattar uppgiftslämnande på medium för automatiserad behandling.[39] Uppgiftsskyldigheten genombryter eventuell sekretess enligt 14 kap. 1 § sekretesslagen.

De personuppgifter som Riksrevisionen inhämtar från CSN är i huvudsak sorterade utifrån CSN-nummer. Dock får Riksrevisionen – på begäran – även en fil där CSN-nummer och personnummer har kopplats ihop. Informationen överförs årligen i januari månad på fil till Riksrevisionen.

Studerande med studiemedel och låntagare

Studerande med studiemedel och låntagare erbjuds möjligheten att ta del av vissa av sina uppgifter via Internet genom funktionen ”Mina sidor” på CSN:s hemsida. För att komma åt denna funktion krävs det att man loggar in med sitt personnummer och lösenord alternativt e legitimation.

Studerande erbjuds också möjligheten att elektroniskt lämna in ansökan om studiemedel och andra uppgifter samt att ta del av CSN:s beslut m.m. genom funktionen ”Mina sidor”, jämför förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel. För att nå denna del av ”Mina sidor” krävs e-legitimation.

Övrigt

Myndigheter är enligt 6 kap. 7 § andra stycket studiestödslagen skyldiga att lämna uppgifter till CSN i fråga om vissa personer, om uppgifterna är av betydelse för tillämpningen av bestämmelserna om återbetalning av studielån.

Enligt 6 kap. 12 § studiestödsförordningen får CSN inhämta uppgifter även från andra myndigheter än Försäkringskassan om den studerandes eller föräldrarnas inkomst- eller förmögenhetsförhållanden såvitt behövs för tillämpning av bestämmelser om studiehjälp.

CSN utför även behandling av personuppgifter såvitt avser äldre studiestödsformer. Inför varje avisering till de personer som lånat enligt gamla regler (se avsnitt 2.3.4) görs en automatisk uppdatering mot det statliga personadressregistret (SPAR). Uppdateringen sker med nya adresser och med uppgift om eventuella dödsfall.

4.2.6 CSN:s arbete med statistik

Sveriges officiella statistik

Med syfte att det ska finnas tillgång till underlag för allmän information, utredningsverksamhet och forskning har den officiella statistiken författningsreglerats i Sverige, lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. För respektive statistikområde finns det en statistikansvarig myndighet som regeringen utser, 1 § andra stycket lagen om den officiella statistiken. CSN är sådan myndighet på studiestödsområdet, 2 § förordningen om den officiella statistiken. Inom sitt område beslutar CSN om statistikens innehåll och omfattning om inte regeringen beslutar annat, 2 § andra stycket nu nämnd förordning.

Statliga myndigheter ska till CSN lämna de uppgifter som behövs för framställning av officiell statistik, 6 § förordningen om den officiella statistiken. Även CSN har en skyldighet att lämna andra statistikansvariga myndigheter motsvarande uppgifter.

Framställningen och offentliggörandet av statistiken ska ske med beaktandet av behovet av skydd för fysiska och juridiska personers intressen, 5 § lagen om den officiella statistiken. I nu nämnt lagrum har även särskilt erinrats om bestämmelserna i sekretesslagen (1980:100) och personuppgiftslagen (1998:204). Personuppgiftslagen gäller endast subsidiärt i förhållande till lagen om den officiella statistiken, 2 § sist nämnda lag. Den statistikverksamhet som bedrivs enligt aktuella författningar ska vara avgränsad från myndighetens verksamhet i övrigt, 10 § förordningen om den officiella statistiken. Av 9 kap. 4 § sekretesslagen följer att sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider skada eller men.

Enligt 14 § lagen om den officiella statistiken får CSN såsom statistikansvarig myndighet behandla personuppgifter för att framställa statistik. CSN får dock behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös övertygelse, filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv) och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § första stycket personuppgiftslagen bara om det följer av föreskrifter som regeringen meddelat, 15 § lagen om den officiella statistiken. Regeringen har inte meddelat några sådana föreskrifter, jämför 8 § förordningen om den officiella statistiken.

Uppgifter i den officiella statistiken får inte sammanföras med andra uppgifter i syfte att utröna en enskilds identitet, 6 § lagen om den officiella statistiken.

Uppgifter som inte längre behövs för sitt ändamål ska gallras, 19 § lagen om den officiella statistiken. Innan sådan gallring sker ska Riksarkivet underrättas, 12 § förordningen om den officiella statistiken.

CSN:s del av den officiella statistiken beskriver beviljning av studiestöd och återbetalning av studiestöd. Statistiken över tilldelning av studiestöd presenteras läsårsvis och statistiken över återbetalning tas fram per kalenderår.

Övrig statistik

Förutom att CSN tar fram statistik för den officiella statistiken framtas även annan statistik. Det är t.ex. fråga om antalet studiemedelstagare i utlandsstudier per världsdel och land. Av 1 § tredje stycket lagen om den officiella statistiken följer att CSN får behandla personuppgifter även för att framställa annan statistik än officiell statistik och att vad som ovan angivits om förbud mot behandling av sådana personuppgifter som avses i 13 § och 21 § första stycket personuppgiftslagen gäller även vid denna statistikframtagning, liksom bestämmelserna om gallring.

4.2.7 Internationellt informationsutbyte

Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredje land om landet inte har en adekvat nivå för skyddet av personuppgifterna. Trots detta förbud är det tillåtet att föra över personuppgifter till tredje land med en icke adekvat skyddsnivå bl.a. om den registrerade har samtyckt till överföringen, 34 § personuppgiftslagen.

CSN har inte något löpande eller strukturerat utbyte av personuppgifter med någon utomlands. En studerandes uppgifter kan dock på studerandens begäran göras tillgängliga via Internet genom funktionen ”Mina sidor” på CSN:s hemsida (för en beskrivning av denna funktion se avsnitt 4.2.5). För att komma åt informationen via Internet krävs det att man loggar in med sitt personnummer och lösenord alternativt e-legitimation. Via Internet kan man på detta sätt komma åt informationen även när man är utomlands. Att studerande från utlandet loggar in på ”Mina sidor” för att där få tillgång till informationen får under alla förhållanden anses utgöra ett samtycke enligt 34 § personuppgiftslagen. Oavsett om förfarandet innebär en överföring av personuppgifterna i personuppgiftslagens mening[40], är förfarandet således tillåtet enligt den lagen.

4.3 Överklagandenämnden för studiestöd

4.3.1 Inledning

Av 6 kap. 10 § studiestödslagen framgår det att CSN:s beslut i ärenden om återbetalning av studielån får överklagas till länsrätt. Av 11 § samma kapitel framgår det att CSN:s beslut i övriga frågor enligt studiestödslagen får överklagas till en särskild överklagandenämnd – Överklagandenämnden för studiestöd. Enligt den numera upphävda 22 § lagen (2002:624) om rekryteringsbidrag till vissa vuxenstuderande fick CSN:s beslut enligt denna lag i princip alltid överklagas till Överklagandenämnden för studiestöd. I fråga om korttidsbidrag gäller att besluten, oavsett om de meddelats av LO, TCO, Sametinget eller Socialstyrelsens institut för särskilt utbildningsstöd, får överklagas till Överklagandenämnden för studiestöd, 30 § förordningen (2001:362) om bidrag vid korttidsstudier.[41]

Överklagandenämnden för studiestöd är sista instans i ärenden som överklagas dit.

För fullständighets skull ska nämnas att beslut i studiestödsfrågor av CSN enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan (Rg-bidrag), förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar (TUFF-ersättning) och förordningen (CSNFS 1983:17) om bidrag till utlandsstuderande för dagliga resor inte får överklagas.

4.3.2 Organisation och verksamhet

Överklagandenämnden för studiestöd som bildades 2001 är en statlig myndighet vars verksamhet huvudsakligen regleras genom förordningen (2001:79) med instruktion för Överklagandenämnden för studiestöd. Nämndens huvudsakliga uppgift är att pröva överklaganden av vissa beslut fattade av CSN. Överklagandena kan avse CSN:s beslut om studiemedel, studiehjälp eller återkrav av dessa stöd.[42] CSN:s beslut i ärenden om återbetalning av studielån kan inte överklagas hos nämnden. Sådana beslut kan i stället överklagas hos förvaltningsdomstol. Nämnden prövar även överklaganden av beslut avseende korttidsbidrag fattade av Landsorganisationen i Sverige (LO), Tjänstemännens Centralorganisation (TCO), Sametinget och Socialstyrelsens institut för särskilt utbildningsstöd. Överklagandenämnden för studiestöd är sista instans, det vill säga det går inte att överklaga nämndens beslut.

Ledamöterna i Överklagandenämnden för studiestöd utses av regeringen. Enligt nämndens instruktion ska nämnden bestå av en ordförande och en vice ordförande samt direktören, dvs. myndighetens chef, samt fem ledamöter. Ordföranden och vice ordföranden ska vara eller ha varit ordinarie domare. Av de övriga ledamöterna ska två vara jurister, två ska ha särskild insikt i studerandes förhållanden och en ska ha särskild sakkunskap om utbildningsväsendet. I den utsträckning det behövs ska det också finnas ersättare för ledamöterna.

Flertalet ärenden avgörs i enlighet med nämndens delegationsordning av direktören eller, i enstaka fall, av ordföranden eller vice ordföranden ensam. Det är i huvudsak ärenden av principiell natur som avgörs av nämnden i dess helhet efter föredragning av handläggarna vid nämndens sammanträden.

Nämndens kansli är beläget i Härnösand och har 15 anställda. Nämnden sammanträder i regel en gång per månad. År 2006 avgjordes drygt 5 000 ärenden.

4.3.3 Överklagandenämndens datasystem – Diabas

Överklagandenämnden är som nämnts ovan överinstans i vissa studiestödsfrågor. Den mesta informationsinhämtningen sker sålunda från respektive underinstans. Underinstansernas akter och övriga uppgifter därifrån samt överklagandena finns hos nämnden som regel bara på papper, även om viss information kan komma in via e-post.

Överklagandenämnden har för sin hantering av ärenden ett datoriserat diarieförings- och handläggningssystem, Diabas. De personuppgifter som registreras i Diabas är endast namn, personnummer och adress/postadress. Övriga uppgifter som är nödvändiga för den materiella tillämpningen av studiestödsförfattningarna framgår endast av akten. I Diabas registreras i princip endast personuppgifter om den klagande. Det enda undantaget härifrån är en sällsynt ärendetyp avseende återkrav av studiestöd då CSN:s återkravsbeslut avser ett myndigt barn men beslutet fattades innan barnet blev myndigt. I dessa fall registreras ärendet på barnets personnummer men med angivande av vårdnadshavarens namn och adress. Det sagda innebär sålunda att en klagandes ombud, föräldrar eller barn inte registreras i det datoriserade systemet. Uppgifter härom kan dock givetvis framgå av pappershandlingarna i akten eftersom dessa uppgifter kan vara av betydelse för den materiella frågan eller handläggningen av ärendet.

Något utlämnande av personuppgifter till någon utanför Sverige sker inte förutom att beslut i enstaka fall expedieras i elektronisk form till e-postadresser som en s.k. pdf-fil (pdf är ett digital dokumentformat).

Överklagandenämnden för studiestöd publicerar på sin hemsida på Internet uppgifter om vissa av sina avgöranden. Några uppgifter som direkt kan hänföras till en person publiceras dock inte, utan bara uppgift om diarienummer.

Överklagandenämnden för studiestöd har i dagsläget inga planer på förändring av det sätt på vilket personuppgifter behandlas. När de ekonomiska och tekniska förutsättningarna finns, kan dock ett utökat elektroniskt informationsutbyte bli aktuellt med såväl CSN som Försäkringskassan, Migrationsverket och andra myndigheter.

Överklagandenämnden för studiestöd förekommer inte i Justitiekanslerns eller Datainspektionens diarier när sökning har gjorts efter motsvarande sökkriterier som för CSN (se avsnitt 4.2.2).

4.3.4 Sekretess

Av uppenbara skäl har Överklagandenämnden för studiestöd behov att behandla personuppgifter som kan vara ömtåliga ur ett integritetsperspektiv. I verksamheten hos Överklagandenämnden för studiestöd gäller sekretess enligt de sekretessbestämmelser som gäller för alla myndigheter, 7 kap. 1 § (uppgift om enskilds hälsa och sexualliv), 7 kap. 1 a § (enskilds kontaktuppgifter) och 7 kap. 16 § (personuppgifter om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen), samt sekretess enligt 9 kap. 5 § andra stycket sekretesslagen (ärenden om studiestöd).

På sätt som beskrivits ovan under avsnitt 4.2.3 hindrar inte sekretess att uppgifter lämnas mellan myndigheter om skyldighet därtill föreskrivs i lag eller förordning, 14 kap. 1 § sekretesslagen.

4.3.5 Gallring

Som ovan beskrivits under avsnitt 4.2.4 har Riksarkivet möjlighet att meddela närmare föreskrifter om gallring. Förutom Riksarkivets generella föreskrifter (bl.a. RA-FS 1991:1) gäller för Överklagandenämnden för studiestöd endast ett myndighetsspecifikt beslut om gallring. Beslutet – Riksarkivets beslut (RA-MS 2006:50) om gallring hos Överklagandenämnden för studiestöd – gör att Överklagandenämnden för studiestöd omedelbart får gallra vissa angivna handlingar.

4.3.6 Inhämtande och utlämnande av personuppgifter

Överklagandenämnden för studiestöd har behov av informationsutbyte med andra myndigheter. Nämnden behöver för det första få handlingarna i överklagade ärenden från den myndighet eller organisation som fattat det överklagade beslutet. De övriga huvudsakliga informationsflödena beskrivs i det följande.

Försäkringskassans socialförsäkringsdatabas

På motsvarande sätt som gäller beträffande CSN har Försäkringskassan en skyldighet att lämna Överklagandenämnden för studiestöd information om en studerandes godkända sjukperioder, ersättning enligt vissa arbetsskadeförsäkringar, aktivitetsstöd samt sjukersättning, aktivitetsersättning och rehabiliteringsersättning 6 kap. 7 § studiestödslagen och 6 kap. 13 § studiestödsförordningen. Någon möjlighet till direktåtkomst till Försäkringskassans socialförsäkringsdatabas finns inte för Överklagandenämnden för studiestöd, jämför 20 § lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration. Uppgifterna inhämtas i stället per telefon, brev eller e-post.

Överklagandenämnden för studiestöd har även en skyldighet att lämna uppgifter till Försäkringskassan. Enligt 20 kap. 9 § lag (1962:381) om allmän försäkring har nämligen bl.a. Överklagandenämnden för studiestöd en skyldighet att lämna ut uppgift om namngiven persons förhållanden som är av betydelse för tillämpningen an nyss nämnda lag.

Migrationsverket

Enligt 6 kap. 13 a § studiestödsförordningen har Migrationsverket en skyldighet att på begäran lämna Överklagandenämnden för studiestöd uppgift om en utlänning vistas i Sverige enligt utlänningslagen (2005:716). Den information som Migrationsverket är skyldigt att lämna Överklagandenämnden för studiestöd är uppgift om namn, person- eller samordningsnummer, medborgarskap, tillstånd eller annat bevis om rätt att vistas i Sverige med angivande av vilken typ av tillstånd eller annat bevis som har beviljats eller utfärdats, dag för beslut om tillstånd eller utfärdande av annat bevis om rätt att vistas i Sverige samt uppgift om hur länge tillståndet eller beviset gäller, klassning av tillstånd eller annat bevis om rätt att vistas i Sverige enligt Migrationsverkets klassificeringssystem och upplysning om en person saknas. Enligt 6 kap. 13 a § andra stycket studiestödsförordningen får uppgifterna bara lämnas om de har betydelse för tillämpningen av bestämmelserna om studiehjälp och studiemedel. Informationen inhämtas genom förfrågningar per telefon, brev eller e-post.

Läroanstalter[43]

Efter bemyndigande i 6 kap. 6 § andra stycket studiestödslagen har regeringen i 6 kap. 11 § studiestödsförordningen förordnat om läroanstalters uppgiftsskyldighet gentemot Överklagandenämnden för studiestöd såvitt avser uppgifter som är av betydelse för tillämpningen av studiestödslagen och föreskrifter som har meddelats med stöd av lagen. Uppgiftsskyldigheten omfattar information om en studerande som har studiehjälp har övergått till en annan läroanstalt eller har avbrutit sina studier samt även i övrigt om en studerande som har tagits in i utbildning som ger rätt till studiehjälp (6 kap. 9 § studiestödsförordningen). Uppgiftsskyldigheten omfattar även upplysning om tid och omfattning för utbildningar vid läroanstalten som ger rätt till studiemedel (6 kap. 10 § första stycket studiestödsförordningen) och, för en studerande som har ansökt om eller beviljats studiemedel, uppgift om utbildning, studietid, studiernas omfattning, studieaktivitet och studieresultat (6 kap. 10 § andra stycket studiestödsförordningen). Överklagandenämnden inhämtar sådana uppgifter genom kontakter per telefon, brev eller e-post.

Det statliga personadressregistret (SPAR)

Vad som beskrivits ovan om författningsregleringen av CSN:s tillgång till SPAR (se avsnitt 4.2.5) gäller även för Överklagandenämnden för studiestöd med det undantaget att uppgift om medborgarskap inte får lämnas ut till Överklagandenämnden för studiestöd i elektronisk form, jämför 7 § förordningen (1998:1234) om det statliga personadressregistret.

4.4 Landsorganisationen i Sverige (LO) och Tjänstemännens centralorganisation (TCO)

Landsorganisationen i Sverige (LO) och Tjänstemännens centralorganisation (TCO) har på ovan beskrivet sätt (se avsnitt 2.6) tilldelats vissa myndighetsuppgifter genom att de båda organisationerna administrerar det statliga korttidsbidraget enligt förordningen (2001:362) om bidrag vid korttidsstudier.

De båda organisationerna är angivna i bilagan till sekretesslagen.[44] Detta innebär att organisationerna blir underkastade offentlighetsprincipen såvitt avser deras handhavande av nu aktuellt bidrag, se 1 kap. 8 § andra stycket första meningen sekretesslagen (1980:100). En betydande öppenhet skulle därmed uppkomma för uppgifter som för den enskilde kan vara av ömtålig karaktär. Detta problem löses dock genom att organisationerna, genom uppräkningen i bilagan till sekretesslagen, jämställs med myndigheter vid tillämpningen av nämnda lag såvitt avser verksamhet i form av hantering av nu aktuellt bidrag, 1 kap. 8 § andra stycket andra meningen sekretesslagen. I denna verksamhet gäller därför sekretess för uppgift om enskilds hälsa och sexualliv enligt 7 kap. 1 § sekretesslagen, för enskilds kontaktuppgifter enligt 1 a § samma kapitel och för personuppgifter om det kan antas om ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204), 7 kap. 16 § sekretesslagen. På sätt som redogjorts för ovan (se avsnitt 4.2.3) gäller sekretessen enligt 9 kap. 5 § andra stycket sekretesslagen för uppgifter som LO och TCO hanterar i ärenden om korttidsbidrag.

Ingen myndighet har ålagts uppgiftsskyldighet gentemot någon av organisationerna. Någon möjlighet till direktåtkomst till någon myndighets register för organisationerna är inte heller föreskriven såvitt avser korttidsbidrag.

Genom den ovan nämnda uppräkningen i sekretesslagen blir arkivlagen även tillämplig för både LO och TCO till den del arkivet härrör från den verksamhet som avses i bilagan till sekretesslagen, 2 § arkivlagen (1990:782). Detta innebär att båda organisationerna har en plikt att bevara handlingar hänförliga till verksamheten avseende korttidsbidrag, 3 § tredje stycket arkivlagen. Någon gallringsföreskrift har inte meddelats av Riksarkivet.

Varken LO eller TCO förekommer i Datainspektionens diarier när sökning har gjorts efter motsvarande sökkriterier som för CSN (se avsnitt 4.2.2).

I LO:s verksamhet registreras uppgifter dels elektroniskt, dels manuellt. I det elektroniska systemet registreras uppgifter om namn, adress, personnummer, utbildningsbakgrund kursens namn och datum för denna. På ansökningsblanketten lämnar dock sökanden flera uppgifter, t.ex. telefonnummer. Dessa uppgifter registreras emellertid inte elektroniskt utan framgår endast av ansökningshandlingen. Denna ansökningshandling tilldelas ett referensnummer som anges i det elektroniska systemet. Handlingen blir på så sätt återsökbar. Av handlingen kan det även framgå uppgifter om sökandens medlemskap i arbetstagarorganisation och om den aktuella kursen har inriktning mot något funktionshinder. Båda dessa uppgifter faller under definitionen av känsliga personuppgifter enligt 13 § personuppgiftslagen. Ingen av uppgifterna är obligatorisk att ange i ansökningshandlingen.

LO lämnar inte ut personuppgifter till någon annan organisation eller myndighet, med undantag för uppgifter som lämnas till Överklagandenämnden för studiestöd med anledning av överklagade ärenden. Inte heller inhämtas personuppgifter från någon annan organisation eller myndighet. Uppgiftsutlämnande till någon utanför Sverige förekommer inte.

För närvarande görs ansökningar genom att ansökningshandlingen skickas i pappersform till LO. LO har dock diskuterat om viss informationsinhämtning i stället skulle kunna ske genom att utbildningsanordnaren lämnar information om kursdeltagare över Internet.

LO har inte företagit någon gallring avseende uppgifterna hänförliga till korttidsbidraget.

TCO

I TCO:s verksamhet registreras namn, personnummer och kontaktuppgifter hänförliga till sökanden samt utbildningsnivå på sökanden. Numera registreras härutöver om sökanden är medlem i TCO-förbund, men inga uppgifter om eventuellt medlemskap i annat förbund. Slutligen registreras uppgifter om utbildningen som avses med korttidsbidraget. Registret är datoriserat. I systemet kan man som sökbegrepp använda namn eller personnummer. Varje ärende tilldelas dessutom ett diarienummer, vilket även åsätts själva ansökningshandlingen. Ansökningshandlingen blir på så sätt återsökbar. Även själva diarienumret kan användas som sökbegrepp.

Inga uppgifter lämnas ut till andra organisationer eller myndigheter, med undantag för uppgifter som lämnas till Överklagandenämnden för studiestöd med anledning av överklagade ärenden. Uppgifterna lämnas då i pappersform. Uppgifter inhämtas inte heller från andra organisationer eller myndigheter på annat sätt än genom telefon. Det uppgiftsinhämtande som sker per telefon inskränker sig till att TCO, vid misstanke om att en sökande redan uppburit korttidsbidrag eller studiemedel för sökt period kontaktar de andra aktörerna som administrerar korttidsbidrag respektive CSN och efterhör hur det förhåller sig. Om misstanken är riktig, meddelas ett avslagsbeslut. Inga personuppgifter lämnas ut till någon utanför Sverige.

TCO har inga planer på att förändra sin ovan beskrivna hantering av personuppgifterna.

4.5 Socialstyrelsens institut för särskilt utbildningsstöd (SISUS) och sametinget

Socialstyrelsens institut för särskilt utbildningsstöd (SISUS) och Sametinget handhar vissa delar av korttidsbidraget enligt förordningen (2001:362) om bidrag vid korttidsstudier. Precis som vid andra stödformer hanteras typiskt sett uppgifter som från den enskildes horisont kan te sig känsliga ur ett integritetsperspektiv. Båda dessa myndigheter[45] är underkastade sekretesslagens bestämmelser, varför sekretessbestämmelserna som redogjorts för ovan under avsnitt 4.4 är tillämpliga även för nu aktuella myndigheter.

Det finns inte någon i lag eller förordning föreskriven uppgiftsskyldighet för annan myndighet gentemot de nu båda aktuella myndigheterna såvitt avser korttidsbidrag.

Riksarkivet har inte utfärdat några myndighetsspecifika gallringsföreskrifter för vare sig SISUS eller Sametinget.

Varken SISUS eller Sametinget förekommer i Justitiekanslerns eller Datainspektionens diarier när sökning har gjorts efter motsvarande sökkriterier som för CSN (se avsnitt 4.2.2).

SISUS

De personuppgifter som registreras i datorsystem hos SISUS är namn och personnummer. I vissa fall registreras även adress och kontonummer. Inga personuppgifter lämnas ut till någon annan myndighet eller organisation, i eller utanför Sverige, förutom till Överklagandenämnden för studiestöd. Den övervägande delen av ansökningarna görs kollektivt. Detta innebär att utbildningsanordnaren lämnar in en ansökan om förhandsbesked. När SISUS beviljat denna ansöker de enskilda studerandena om bidraget. Det är först då som SISUS får tillgång till deltagarnas personuppgifter.

Sametinget

De personuppgifter som registreras hos Sametinget med anledning av ärenden om korttidsbidrag är namn, e-postadress, adress, personnummer, utbildningsbakgrund, språklig bakgrund, tid, utbildning och sökt bidrag. Uppgift om språklig bakgrund anges som ett av följande tre alternativ ”själv, föräldrar, far- eller morföräldrar har eller har haft samiska som språk i hemmet”, ”med i sameröstlängden” eller ”annan”. Härutöver anges det vilken grad av förståelse man har i samiska (förstår, talar, läser eller skriver). Slutligen anges det om det är nord-, lule- eller sydsamiska som det är fråga om. Inga personuppgifter lämnas ut till någon annan myndighet eller organisation, i eller utanför Sverige, förutom till Överklagandenämnden för studiestöd. Inga personuppgifter hämtas heller in från någon annan myndighet eller organisation.

4.6 Framtida utveckling

I utredningsdirektiven betonas vikten för CSN och Överklagandenämnden för studiestöd att ha möjlighet att utnyttja modern informationsteknik för att höja effektiviteten och kvaliteten i arbetet. Detta gäller dels arbetet med enskilda ärenden, dels möjligheten att svara mot ökade krav i fråga om ärende- och verksamhetsdokumentation. En särskild författningsreglering av behandlingen av personuppgifter på studiestödsområdet anses angelägen för att verksamheten ska kunna utföras på ett effektivt och rättssäkert sätt samtidigt som ett fullgott skydd för den personliga integriteten garanterades. I detta sammanhang nämndes uppdraget för 2005 års informationsutbytesutredning (Fi 2005:08). Denna utredning hade i uppdrag att bl.a. se över om kommunernas socialtjänst bör få elektronisk tillgång till uppgifter från CSN för att kontrollera riktigheten av lämnade uppgifter (dir. 2005:91). Utgångspunkten för uppdraget var att sådan tillgång till andra myndigheters databaser i största möjliga utsträckning skulle ske genom direktåtkomst. I utredningsuppdraget för 2005 års informationsutbytesutredning ingick dessutom att se över om och under vilka förutsättningar myndigheter bör ha möjlighet eller vara skyldiga att på eget initiativ underrätta andra myndigheter vid misstanke om oegentligheter.

I sitt betänkande Utökat elektroniskt informationsutbyte (SOU 2007:45) har 2005 års informationsutbytesutredning lämnat förslag som i viss utsträckning har bäring på CSN. Förslagen för CSN:s vidkommande kan starkt sammanfattat redovisas på följande sätt. En sekretessbrytande bestämmelse införs i socialtjänstlagen (2001:453) i form av en uttrycklig uppgiftsskyldighet för CSN gentemot socialnämnderna. Förslaget innebär att CSN till socialnämnderna via direktåtkomst får lämna uppgifter om förmån, ersättning eller annat stöd som har betydelse i ärenden om ekonomiskt bistånd, se vidare avsnitt 6.12.5. Det föreslås vidare att det införs en anmälningsskyldighet för CSN om CSN bedömer att Arbetsförmedlingen, Försäkringskassan, Migrationsverket, kommunerna (socialnämnderna) eller arbetslöshetskassorna felaktigt har beviljat eller betalat ut ett bidrag eller en ekonomisk förmån till en enskild.

6.1 Inledning

Utredningen har alltså funnit att behandlingen av personuppgifter i CSN:s studiestödsverksamhet bör regleras särskilt i lag och att det inte behövs någon särskild författningsreglering av behandlingen av personuppgifter i studiestödsverksamheten hos de andra aktörerna på studiestödsområdet.

Enligt utredningsdirektiven bör utredningen anlägga ett helhetsperspektiv och inrikta sig på att en framtida reglering ska bli ändamålsenlig och samtidigt passa väl in i gällande regelsystem. Ett mål är, enligt utredningsdirektiven, att skapa enkla, tydliga och hållbara regler som inte är beroende av att vissa tekniska lösningar används och som uppfyller kravet på ett fullgott skydd för den personliga integriteten vid behandling av personuppgifter. Den rättsliga analysen bör utgå från att myndigheterna ska kunna arbeta minst lika effektivt som i dag. Regelverket bör ge möjligheter att utveckla datasystem som underlättar utbytet av nödvändig information såväl mellan olika myndigheter, nationellt och internationellt, som mellan enskilda och myndigheterna.

I detta avsnitt berörs utredningens förslag till lagstiftning för behandlingen av personuppgifter i CSN:s studiestödsverksamhet, som har utformats med beaktande av det som anges i utredningsdirektiven.

6.2 Nivån på författningsregleringen

Utredningens bedömning: De grundläggande bestämmelserna om vad Centrala studiestödsnämnden ska och får göra beträffande behandling av personuppgifter i studiestödsverksamheten bör finnas i lag. Lagen bör kunna kompletteras genom författningar och beslut på lägre nivå för att anpassa regleringen till förhållanden som kan förändras snabbt eller ofta.

Att behandlingen av personuppgifter i CSN:s studiestödsverksamhet i enlighet med den principiella utgångspunkt regeringen och riksdagen flera gånger gett uttryck för bör regleras särskilt i lag innebär, som utredningen ser det, att åtminstone de grundläggande bestämmelserna om vad CSN ska och får göra bör finnas i lag. I vilken utsträckning det bör vara tillåtet för regeringen eller någon myndighet att komplettera de grundläggande lagreglerna eller besluta om undantag från dem är enligt utredningens mening en lämplighetsfråga. Av lagen bör det dock i den utsträckning det är nödvändigt framgå när så får ske. I avsnitt 6.17 berör utredningen de kompletterande förordningsföreskrifter som föreslås.

I utredningsdirektiven betonas att den rättsliga analysen bör utgå från att myndigheterna ska kunna arbeta minst lika effektivt som i dag och att regelverket bör ge möjligheter att utveckla datasystem som underlättar utbytet av nödvändig information.

Eftersom förhållanden som rör datoriserad behandling av personuppgifter ofta förändras, bl.a. i takt med den tekniska utvecklingen, t.ex. avseende det elektroniska informationsutbyte som blir möjligt eller önskvärt, är det inte lämpligt att ha alltför detaljerade bestämmelser i lag. Det skulle nämligen vara alltför tidsödande och omständligt med ofta förekommande lagändringar. Då är det smidigare att i förordning utfärdad av regeringen kunna ha kompletterande reglering. Lagregleringen bör alltså ge det grundläggande integritetsskyddet och spelreglerna för CSN, medan den nödvändiga anpassningen av regleringen bör kunna göras på lägre författningsnivå. I det följande motiverar utredningen särskilt i vilken utsträckning det bör vara möjligt att anpassa de föreslagna lagreglerna genom författningar och beslut på lägre nivå.

Vad sedan gäller vilka områden som de grundläggande bestämmelserna i lag bör täcka betonas i utredningsdirektiven att den föreslagna regleringen bör passa väl in i gällande regelsystem. Enligt utredningens mening kan man i denna fråga hämta vägledning från vad som brukar regleras i särskilda registerlagar om behandlingen av personuppgifter i verksamhet hos myndigheter (se avsnitt 3.5). I enlighet härmed bör det övervägas bl.a. i vilken utsträckning det behövs lagregler om lagens tillämpningsområde, förhållandet till personuppgiftslagen (om författningen ersätter eller bara kompletterar personuppgiftslagen), vem som är personuppgiftsansvarig, för vilka ändamål personuppgifter får behandlas, under vilka förutsättningar särskilt integritetskänsliga personuppgifter får behandlas, under vilka förutsättningar personuppgifter får lämnas ut på elektronisk väg (genom s.k. direktåtkomst eller utlämnande på medium för automatiserad behandling), vilka s.k. sökbegrepp som får användas när man söker bland personuppgifterna, när personuppgifterna ska gallras och vad som ska gälla i fråga om rättelse och skadestånd om något blivit fel. Även bestämmelser om den interna elektroniska tillgången till personuppgifter förekommer inte så sällan i särskilda registerlagar. Även behovet av sådana bestämmelser bör övervägas.

6.3 Lagens namn

Utredningens förslag: Lagen om behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet ska heta studiestödsdatalagen.

Utredningen har övervägt om den föreslagna lagen bör ha ett beskrivande namn, såsom lagen om behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, eller ett kort namn, såsom studiestödsdatalagen. Båda varianterna förekommer i lagstiftningen i dag.[50] Utredningen anser att det är mest praktiskt med ett kort namn som ändå ger vägledning om vad lagen handlar om. Studiestödsdatalagen är ett passande namn, tycker utredningen. Eftersom bara CSN handlägger ärenden om studiestöd enligt studiestödslagen, för namnet på ett rättvisande sätt tankarna till CSN:s datoriserade hantering av studiestödet. Att lagen – av mer formella än praktiska skäl – föreslås omfatta även viss behandling av personuppgifter som inte är datoriserad (se avsnitt 6.4), gör enligt utredningens mening inte namnet studiestödsdatalagen missvisande[51], bl.a. eftersom det i praktiken inte torde förekomma någon icke datoriserad behandling hos CSN som omfattas av lagen.

6.4 Studiestödsdatalagens tillämpningsområde

Utredningens förslag: Studiestödsdatalagen ska tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet. Lagen gäller dock bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

6.4.1 Den verksamhet som omfattas

Varje lagstiftning måste ha ett visst tillämpningsområde. Studiestödsdatalagen ska reglera CSN:s behandling av personuppgifter. Lagen bör dock inte omfatta all behandling av personuppgifter som CSN utför. Förutom i studiestödsverksamheten finns det behov för CSN att behandla personuppgifter inom ramen för verksamheten avseende hemutrustningslån (jämför avsnitt 2.1) och för intern administration, såsom lokal- och personalhantering.

Behandling av personuppgifter vid allmänt internt administrativt arbete i en myndighets verksamhet är normalt inte reglerad i särskilda registerförfattningar för annan offentlig verksamhet, och utredningen har inte sett något behov av eller skäl för att låta CSN:s behandling av personuppgifter för den interna administrationen utan direkt koppling till handläggningen av ärenden om studiestöd omfattas av studiestödsdatalagen.

När det gäller behandling av personuppgifter i CSN:s verksamhet avseende hemutrustningslån, som har en förhållandevis ringa omfattning, torde en reglering av den behandlingen inte omfattas av utredningens uppdrag. CSN:s registerföring avseende hemutrustningslån regleras redan av 28 och 29 §§ förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar, och 2005 års informationsutbytesutredning har i och för sig ansett att de bestämmelser som avser CSN:s behandling av personuppgifter i detta avseende bör ses över i annat sammanhang.[52] CSN har dock inte för utredningen påtalat något behov av att ytterligare reglera behandlingen av personuppgifter i den verksamheten.

Utredningens slutsats är således att bara CSN:s behandling av personuppgifter i studiestödsverksamheten bör omfattas av studiestödsdatalagen.

Med studiestödsverksamhet avser utredningen för det första beviljning av studiestöd, återkrav av felaktigt utbetalat studiestöd och återbetalning av studiestöd samt den hantering som sker i anslutning till ärenden om beviljning, återkrav och återbetalning av studiestöd, oavsett om hanteringen av ärendet leder till att studiestöd exempelvis beviljas, nekas, återkrävs eller återbetalas. Med studiestöd avser utredningen allt offentligt stöd för enskildas egna studier som CSN enligt författning administrerar. Inte bara det stöd som regleras i studiestödslagen avses således utan även de andra former av studiestöd som CSN administrerar, för närvarande Rg-bidrag, TUFF-ersättning och bidrag för dagliga resor samt de utmönstrade former av stöd som fortfarande kräver CSN:s handläggning, såsom rekryteringsbidrag.

Med studiestödsverksamhet avser utredningen för det andra den verksamhet på det studiesociala området som CSN bedriver, t.ex. hanteringen av CSN-kortet.

Studiestödsdatalagen omfattar således enligt utredningens förslag CSN:s studiestödsverksamhet i bred mening. I vilka fall det är tillåtet för CSN att i den verksamheten behandla personuppgifter bestäms bl.a. av de tilllåtna ändamål för behandlingen som utredningen föreslår (se avsnitt 6.8). Bara för de enligt lagen tillåtna ändamålen får CSN behandla personuppgifter inom lagens tillämpningsområde, dvs. i CSN:s studiestödsverksamhet.

Av vad som sägs i avsnitt 6.6.2 framgår det att CSN:s behandling av personuppgifter för att framställa statistik i studiestödsverksamheten inte regleras av studiestödsdatalagen utan av de särskilda författningsbestämmelserna för statistikansvariga myndigheter.

Det bör här nämnas att det nyligen har gjorts gällande att vid direktåtkomst mellan myndigheter begränsningar av tillåtna sökbegrepp i en särskild registerförfattning för behandling av personuppgifter i den utlämnande myndighetens verksamhet gäller också för den mottagande myndigheten.[53] Utredningen, som anser att ett sådant rättsläge i och för sig vore önskvärt, nöjer sig med att konstatera att avsikten är att utredningens förslag avseende lagens tillämpningsområde inte ska i detta avseende avvika från vad som kan gälla i fråga om de många särskilda registerförfattningar som har tillämpningsområdet angivet på motsvarande sätt.

6.4.2 Den behandling som omfattas

Automatiserad och strukturerad manuell behandling

Personuppgiftslagen omfattar helt eller delvis automatiserad behandling av personuppgifter och dessutom annan, manuell behandling av personuppgifter under förutsättning att uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Det vanliga är att särskilda registerförfattningar omfattar samma typer av behandling som personuppgiftslagen.

Den föreslagna regleringen bör, enligt utredningsdirektiven, passa väl in i gällande regelsystem, och målet är att skapa enkla, tydliga och hållbara regler som inte är beroende av att vissa tekniska lösningar används. Utredningen anser därför att det är mest ändamålsenligt att studiestödsdatalagen omfattar samma typer av behandling som personuppgiftslagen. Med hänsyn till att CSN:s datorisering är långt framskriden torde det dock i praktiken inte i CSN:s studiestödsverksamhet förekomma någon sådan manuell behandling som omfattas av personuppgiftslagen.

Bara personuppgifter

Personuppgiftslagen omfattar bara behandling av personuppgifter, varmed avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det förekommer att särskilda registerförfattningar omfattar även behandling av uppgifter om juridiska personer eller avlidna fysiska personer.

Behandling av uppgifter om sådana personer torde bara undantagsvis förekomma i CSN:s studiestödsverksamhet, t.ex. uppgifter om s.k. friskolor. Bland annat därför föreslår utredningen inte att tillämpningsområdet för studiestödsdatalagen ska omfatta behandling av andra uppgifter än personuppgifter.

Automatiserad behandling av personuppgifter i ostrukturerat material bör inte undantas

Från och med den 1 januari 2007 har det i personuppgiftslagen införts ett undantag från de flesta bestämmelserna i lagen för automatiserad behandling av personuppgifter i ostrukturerat material, såsom löpande text eller ljud eller bild (5 a §). Sådan behandling får dock enligt en ny bestämmelse i lagen inte utföras, om den innebär en kränkning av den registrerades personliga integritet.

Mot den bakgrunden skulle man kunna överväga att undanta automatiserad behandling av personuppgifter i ostrukturerat material från tillämpningsområdet för studiestödsdatalagen. Det skulle i så fall innebära att personuppgiftslagen ensam skulle vara tillämplig på sådan behandling.

Definitionen av behandling av personuppgifter i ostrukturerat material i personuppgiftslagen – ”behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter” – är sådan att alla de personuppgifter som finns i CSN:s databaser inte omfattas av definitionen. Det gäller även t.ex. inskannade dokument i ärenden om studiestöd och promemorior med löpande text som tjänstemän kan skriva i sådana ärenden. Med hänsyn till den långt gångna strukturerade datoriseringen hos CSN torde det i studiestödsverksamheten inte vara mycket som skulle kunna omfattas av definitionen.

De särskilda bestämmelser som bör finnas i studiestödsdatalagen bör vidare enligt utredningens mening vara specialanpassade för CSN:s studiestödsverksamhet och utformade så att de är ändamålsenliga och utan större besvär kan tillämpas även på behandling av personuppgifter i ostrukturerat material. Enligt utredningsdirektiven är ju ett mål för utredningsuppdraget att skapa enkla, tydliga och hållbara regler som inte är beroende av att vissa tekniska lösningar används och som uppfyller kravet på ett fullgott skydd för den personliga integriteten vid behandling av personuppgifter.

Av dessa skäl har utredningen funnit att CSN:s behandling av personuppgifter i ostrukturerat material i studiestödsverksamheten inte bör undantas från tillämpningsområdet för studiestödsdatalagen.

6.5 Den registrerades inflytande

Utredningens förslag: Behandling av personuppgifter som enligt studiestödsdatalagen är tillåten utan den registrerades samtycke får som huvudregel utföras även om den registrerade motsätter sig behandlingen.

Den registrerade ska dock ha rätt att motsätta sig att Centrala studiestödsnämnden behandlar personuppgifter för att till honom eller henne sända information om förmåner och bevis om studier med studiestöd. Centrala studiestödsnämnden ska informera de registrerade om den rätten.

I de fall då behandling av personuppgifter bara är tillåten enligt studiestödsdatalagen när den registrerade lämnat sitt samtycke har den registrerade rätt att när som helst återkalla ett lämnat samtycke, varefter ytterligare personuppgifter om den registrerade inte får behandlas.

Den registrerade ska enligt EG-direktivet (artikel 14) åtminstone i vissa fall, bl.a. när det gäller en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgiften har lämnats ut, ha rätt att motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. Det är alltså enligt EG-direktivet tillåtet att föreskriva att den registrerade inte har rätt att motsätta sig behandlingen. Den registrerade har dock enligt EG-direktivet en ovillkorlig rätt att motsätta sig behandling som rör direkt marknadsföring.

I personuppgiftslagen finns det en bestämmelse om att den registrerade inte har rätt att motsätta sig sådan behandling som är tillåten utan samtycke enligt personuppgiftslagen (12 §) och en bestämmelse om att personuppgifter inte får behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling (11 §).

Mot bakgrund av bestämmelserna i EG-direktivet föreskrivs det i särskilda registerförfattningar ofta i vilken utsträckning den registrerade kan eller har rätt att motsätta sig sådan behandling som regleras i den aktuella författningen.[54] Utformningen av bestämmelsen i 12 § personuppgiftslagen har ansetts medföra att det är svårt att i särskilda registerförfattningar direkt hänvisa till den.[55]

De registerlagar som trädde i kraft närmast efter personuppgiftslagen saknade uttryckliga bestämmelser om den registrerades möjlighet att motsätta sig behandling av personuppgifter som var tillåten enligt lagen.[56] Mot bakgrund av bestämmelserna i EG-direktivet förordade Lagrådet i lagstiftningsärendet år 2000/01 om behandling av personuppgifter inom skatt, tull och exekution att uttryckliga bestämmelser om den registrerades möjlighet att motsätta sig behandling av personuppgifter skulle tas in i de då aktuella registerlagarna.[57] I registerlagar som tillkommit därefter har det i stor utsträckning tagits in sådana bestämmelser.[58] Men det finns även från senare tid exempel på registerlagstiftning som saknar sådan uttrycklig reglering. [59]

Enligt utredningens mening står det klart att CSN:s behandling av personuppgifter i samband med handläggningen av ärenden om studiestöd inte rimligen bör vara beroende av den registrerades inställning till behandlingen. Av bestämmelserna i studiestödsdatalagen bör det framgå när sådan behandling får ske, och en registrerad bör inte kunna förhindra en enligt lagen tillåten rationell och datoriserad handläggning av hans eller hennes ärende om studiestöd. Huvudregeln i studiestödsdatalagen bör därför vara att behandling av personuppgifter som enligt lagen är tilllåten utan den registrerade samtycke får utföras även om den registrerade motsätter sig behandlingen.

När det däremot gäller behandling av personuppgifter som inte är nödvändig för att CSN ska kunna fullgöra sin kärnverksamhet med bl.a. handläggning av ärenden om studiestöd, bör det kunna finnas ett utrymme för att ge den registrerade inflytande över om behandlingen ska få komma till stånd.

I de fall där det enligt studiestödsdatalagen krävs den registrerades samtycke för att behandlingen ska få utföras (se närmare om detta i avsnitt 6.8 och 6.9) har den registrerade givetvis ett sådant inflytande i den meningen att han eller hon kan vägra att lämna ett efterfrågat samtycke. Den registrerade bör i dessa fall – i enlighet med vad som gäller enligt personuppgiftslagen (12 § första stycket) – även ha rätt att när som helst återkalla ett lämnat samtycke och därmed förhindra att CSN därefter behandlar ytterligare personuppgifter om honom eller henne för det aktuella ändamålet.

Som framgår av avsnitt 6.8.2 föreslår utredningen att behandling av personuppgifter för viss verksamhet avseende främst det studiesociala området i stort som i första hand syftar till att kommunicera information och bevis om studier med studiestöd med den registrerade ska vara tillåten utan samtycke. Det gäller närmare bestämt behandling av personuppgifter för att a) informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner och b) ta fram och till studerande distribuera bevis om studier med studiestöd.

Sådan behandling är inte direkt nödvändig i samband med handläggningen av ärenden om studiestöd även om den delvis syftar till att underlätta CSN:s handläggning. Behandlingen har vissa likheter med behandling av personuppgifter för ändamål som rör direkt marknadsföring och sker i första hand för att underlätta för den registrerade. Man kan därför överväga att ge registrerade som trots allt inte önskar information och bevis en rätt att motsätta sig behandlingen. Det kan antas att de allra flesta tycker att förfarandet med information och bevis är bra och att således ganska få personer skulle utnyttja den rätten, men det förringar givetvis inte värdet av en sådan rätt för de personer som faktiskt vill utnyttja den. Samtidigt bör det beaktas att en sådan rätt innebär i vart fall ett visst administrativt besvär för CSN.

Utredningen har vid en sammanvägning kommit fram till att man så långt möjligt bör respektera den enskildes vilja även om det innebär visst administrativt besvär. I nu aktuella fall bör den registrerade således ha en rätt att motsätta sig behandlingen. Det innebär med andra ord att CSN – utan samtycke – får utföra behandlingen bara så länge den registrerade inte har motsatt sig behandlingen. Motsättandet bör få ske muntligen eller skriftligen. Ångrar den registrerade sig, kan han eller hon alltid samtycka till den aktuella behandlingen. Ett återtagande av ett lämnat motsättande får tolkas som ett sådant samtycke.

För att säkerställa att de registrerade får kännedom om den nu angivna rätten att motsätta sig behandling och därmed kan utnyttja den i praktiken föreslår utredningen att CSN ska informera de registrerade om rätten att motsätta sig behandlingen. Det kan ske t.ex. på CSN:s webbplats och i broschyrer som sänds till registrerade samt i de utskick som avses med behandlingen.

6.6 Förhållandet till annan lagstiftning

Utredningens förslag: Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, om inte annat följer av studiestödsdatalagen.

I fråga om Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik gäller bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar i stället för studiestödsdatalagen.

Utredningens bedömning: Det är onödigt att i studiestödsdatalagen ta in en uttrycklig erinran om att lagen inte får tillämpas i strid med grundlag.

6.6.1 Personuppgiftslagen

Personuppgiftslagen är generellt tillämplig men subsidiär, och avvikande bestämmelser i annan lag eller i förordning har företräde framför personuppgiftslagen (2 §). Detta förhållande medför att en särskild registerförfattning kan utformas på olika sätt.

En metod är att konstruera en särskild registerförfattning så att den bara kompletterar personuppgiftslagen. Den särskilda registerförfattningen kommer då att gälla utöver personuppgiftslagen, vilket innebär att när reglering saknas i den särskilda författningen kommer bestämmelserna i personuppgiftslagen att vara tillämpliga. Nackdelen med denna lösning är att lagtillämparen kan ha svårt att få överblick över vilka bestämmelser i personuppgiftslagen som är tillämpliga. Metoden har använts i de allra flesta särskilda registerförfattningar.

En annan metod är att ta in de bestämmelser som avviker från personuppgiftslagen i den särskilda registerförfattningen, ange att författningen gäller i stället för personuppgiftslagen och uttryckligen hänvisa till de lagrum i personuppgiftslagen som trots allt ska vara tillämpliga. Fördelarna med denna metod är att lagstiftningen blir mer överskådlig, tydlig och lättillämpad än om inga hänvisningar görs till personuppgiftslagen. Metoden har emellertid fått kritik av Lagrådet som bl.a. ansett att lagstiftningstekniken är riskfylld, med hänsyn såväl till svårigheten att överblicka om EG-direktivet (se avsnitt 3.3.3) blir till fullo genomfört i registerförfattningarna som till möjligheten att vid kommande lagändringar hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga.[60] Metoden har dock på senare tid använts i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, som reglerar en verksamhet som delvis faller utanför tillämpningsområdet för EG-direktivet.

En tredje metod är att låta den särskilda registerförfattningen gälla i stället för personuppgiftslagen och innehålla en fullständig reglering av behandlingen av personuppgifter inom sitt tillämpningsområde. De bestämmelser i personuppgiftslagen som trots allt ska vara tillämpliga upprepas således i registerförfattningen. Exempel på sådan lagstiftning finns i den nyligen antagna lagstiftningen om behandling av personuppgifter hos Försvarsmakten respektive Försvarets radioanstalt.[61] Dessa två lagar är speciella såtillvida att de reglerar behandling av personuppgifter som faller utanför tillämpningsområdet för EG-direktivet.[62]

I utredningsdirektiven tas klart ställning för den förstnämnda metoden, som också är den vanligaste. Av utredningsdirektiven framgår det nämligen att den författningsreglering som föreslås ska gälla utöver personuppgiftslagen och begränsas till att avse frågor som är specifika för de verksamheter som omfattas av författningsregleringen. Också utredningen anser att studiestödsdatalagen bör förhålla sig på det sättet till personuppgiftslagen. Utredningen föreslår alltså att personuppgiftslagen ska gälla vid behandling av personuppgifter i CSN:s studiestödsverksamhet, om inte annat följer av studiestödsdatalagen.

De kompletterande föreskrifter som kan komma meddelas av regeringen eller underlydande myndigheter med stöd av studiestödsdatalagen torde inte i sig innehålla bestämmelser som avviker från personuppgiftslagen. Någon uttrycklig bestämmelse i studiestödsdatalagen om förhållandet mellan sådana kompletterande föreskrifter och personuppgiftslagen föreslås därför inte.

Som framgår av avsnitt 6.4.2 har det från och med den 1 januari 2007 i personuppgiftslagen införts ett undantag från de flesta bestämmelserna i lagen för automatiserad behandling av personuppgifter i ostrukturerat material, såsom löpande text eller ljud eller bild (5 a §). Sådan behandling får dock enligt en ny bestämmelse i personuppgiftslagen inte utföras, om den innebär en kränkning av den registrerades personliga integritet. Av det nämnda avsnittet framgår det också att CSN:s behandling av personuppgifter i ostrukturerat material i studiestödsverksamheten enligt utredningens förslag inte undantagits från tillämpningsområdet för studiestödsdatalagen. När det uttryckligen anges i studiestödsdatalagen att CSN får behandla personuppgifter, innebär det en särreglering i förhållande till personuppgiftslagen. Att CSN behandlar personuppgifter när det uttryckligen tillåtits i studiestödsdatalagen kan således inte angripas med stöd av den nya bestämmelsen i personuppgiftslagen om att viss behandling inte får utföras, om den innebär en kränkning av den registrerades personliga integritet.

6.6.2 Lagstiftningen om den officiella statistiken

Enligt utredningsdirektiven ska utredningen uppmärksamma frågor om behandling av personuppgifter för statistikändamål.

Lagen (2001:99) om den officiella statistiken gäller för statistikansvariga myndigheters verksamhet inom ramen för den officiella statistiken. Lagen innehåller även bestämmelser om sådana myndigheters övriga statistikverksamhet (se avsnitt 4.2.6).

CSN är en sådan statistikansvarig myndighet som vid behandling av personuppgifter för framställning av statistik omfattas av bestämmelserna i lagen om den officiella statistiken och den anknytande förordningen (2001:100) om den officiella statistiken. CSN:s statistikverksamhet ska vidare enligt 10 § förordningen om den officiella statistiken vara organiserad så att den är avgränsad från CSN:s verksamhet i övrigt.

Behandlingen av personuppgifter i CSN:s statistikverksamhet, som ska hållas avgränsad från övrig verksamhet, är således redan författningsreglerad. En översyn av den redan särskilt författningsreglerade behandlingen av personuppgifter kan inte anses falla under utredningens utredningsuppdrag. I vart fall har utredningen inte funnit skäl att föreslå ändringar i gällande ordning. Bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar bör alltså gälla i stället för bestämmelserna i den föreslagna studiestödsdatalagen i fråga om CSN:s behandling av personuppgifter för att framställa statistik. Detta bör för tydlighets skull anges uttryckligen i studiestödsdatalagen.

Att personuppgifter som samlats in i CSN:s studiestödsverksamhet, t.ex. för att handlägga ärenden i den verksamheten, senare behandlas för att framställa statistik är något som inte regleras i den föreslagna studiestödsdatalagen. Den behandlingen av personuppgifter för att framställa statistik får alltså utföras om den är tillåten enligt bestämmelserna i bl.a. lagen om den officiella statistiken och anslutande författningar samt personuppgiftslagen (se t.ex. 9 § andra stycket personuppgiftslagen, varav framgår att behandling av personuppgifter för statistiska ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in). Att CSN använder (behandlar) personuppgifter som samlats in i studiestödsverksamheten för att sända ut enkäter för att senare genom inkomna enkätsvar få underlag för att framställa statistik får t.ex. ses som en behandling av personuppgifter för att framställa statistik.

Att CSN genom elektroniskt utlämnande av personuppgifter till Statistiska centralbyrån fullgör uppgiftsskyldigheten enligt 5 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan får också ses som en behandling av personuppgifter för att framställa statistik.

6.6.3 Bestämmelser i grundlag

Bestämmelser i grundlag tar alltid över bestämmelser i vanlig lag, såsom den föreslagna studiestödsdatalagen, utan att det behöver anges i varje vanlig lag. I personuppgiftslagen har det i klargörande syfte – trots Lagrådets protester – införts uttryckliga bestämmelser om att personuppgiftslagen inte får tillämpas i strid med bestämmelser i grundlag (7 § första stycket och 8 § första stycket).[63] Det klart vanligaste är dock att vanlig lag inte förses med sådana i princip onödiga bestämmelser med upplysning om förhållandet till grundlagarna.

CSN ska alltså oberoende av vad som anges i den föreslagna studiestödsdatalagen följa grundlag. Det gäller t.ex. skyldigheterna enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen att söka efter, sammanställa och lämna ut personuppgifter.

I enlighet med vad som är vanligast anser utredningen att det är onödigt att i den föreslagna studiestödsdatalagen ta in en uttrycklig erinran om att lagen inte får tillämpas i strid med grundlag.

6.6.4 Bestämmelser om uppgiftsskyldighet och sekretess

För tydlighets skull bör det i detta sammanhang avslutningsvis lämnas en samlad redogörelse för hur den föreslagna studiestödsdatalagen förhåller sig till bestämmelser om uppgiftsskyldighet och sekretess.[64] Med bestämmelser om uppgiftsskyldighet avser utredningen bestämmelser i lag eller förordning som innebär att CSN ska lämna ut vissa uppgifter till annan myndighet eller sådana privata organ som vid tillämpningen av sekretesslagen jämställs med myndighet, såsom arbetslöshetskassorna, eller till enskilda, dvs. bestämmelser av sådan typ som avses i 14 kap. 1 § sekretesslagen (1980:100) och som innebär att eventuell föreskriven sekretess inte hindrar utlämnande till annan myndighet. Sådana bestämmelser om uppgiftsskyldighet bör skiljas från bestämmelser som bara anger att CSN får lämna ut vissa uppgifter eller att sekretess inte hindrar ett utlämnande av vissa uppgifter.

Den föreslagna studiestödsdatalagen innehåller inte någon bestämmelse om uppgiftsskyldighet. De bestämmelser som föreslås t.ex. i fråga om ändamål med behandlingen och om direktåtkomst och annat elektroniskt utlämnande av personuppgifter anger nämligen bara vad som får ske.

I annan lag eller i förordning förekommer det dock, såsom framgått av bakgrundsavsnitten, inte så sällan bestämmelser om uppgiftsskyldighet för CSN. Avsikten är att den föreslagna studiestödsdatalagen ska vara subsidiär i förhållande till sådana bestämmelser om uppgiftsskyldighet för CSN. CSN ska alltså få fortsätta att fullgöra uppgiftsskyldigheten enligt bestämmelserna oberoende av vad som anges i den föreslagna studiestödsdatalagen. Man skulle i och för sig kunna tänka sig att ha ett inledande stadgande i studiestödsdatalagen som klargör detta förhållande. Så har särskilda registerförfattningar dock inte brukat utformas. Utredningen anser också att regleringen blir tydligast om vad som gäller i fråga om bestämmelser om uppgiftsskyldighet anges först vid de bestämmelser i den föreslagna studiestödsdatalagen där de har relevans.

Utredningen föreslår således i anslutning till att tillåtna ändamål med behandlingen av personuppgifter i studiestödsverksamheten anges en uttrycklig bestämmelse om att de personuppgifter som behandlas också får lämnas ut till utomstående i den utsträckning uppgiftsskyldighet följer av lag eller förordning, se närmare avsnitt 6.8.4. Den bestämmelsen anger alltså enbart att uppgifterna får lämnas ut och inte hur utlämnandet får ske, muntligen, skriftligen på papper eller genom direktåtkomst eller annat elektroniskt utlämnande. I fråga om just utlämnandeformerna direktåtkomst och annat elektroniskt utlämnande föreslår utredningen av integritetsskyddsskäl en inskränkning som innebär att dessa former av utlämnande är tillåtna bara i den utsträckning som anges i lag eller förordning. Enligt en uttrycklig bestämmelse i den föreslagna studiestödsdatalagen får ett par utomstående instanser ha direktåtkomst i den utsträckning uppgiftsskyldighet följer av lag eller förordning. Se närmare i fråga om direktåtkomst och annat elektroniskt utlämnande av personuppgifter avsnitt 6.12.

Om det i lag eller förordning finns en uppgiftsskyldighet för CSN, kan CSN således utan hinder av studiestödsdatalagen fullgöra skyldigheten genom att lämna ut uppgifterna muntligen eller skriftligen på papper eller annat icke elektroniskt medium.[65] Önskar CSN däremot fullgöra skyldigheten genom direktåtkomst eller annat elektroniskt utlämnande, måste CSN dock ha särskilt stöd för detta i studiestödsdatalagen, annan lag eller förordning.

Den föreslagna studiestödsdatalagen innehåller som nämnts inte någon bestämmelse om uppgiftsskyldighet som enligt 14 kap. 1 § sekretesslagen skulle kunna bryta igenom sekretess vid utlämnande till myndighet. Avsikten är att den föreslagna lagen inte heller i övrigt ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen. Trots att det i den föreslagna lagen anges t.ex. att personuppgifter får behandlas i CSN:s studiestödsverksamhet om behandlingen behövs för att handlägga ärenden i den verksamheten, kan en behandling av personuppgifter som i och för sig behövs för att handlägga ärenden i studiestödsverksamheten men som innebär ett utlämnande av personuppgifter i sekretesslagens mening således hindras av sekretess enligt sekretesslagen. Utredningen anser att det är så självklart att det inte behöver anges uttryckligen i den föreslagna lagen; den föreslagna studiestödsdatalagen anger på sedvanligt sätt bara vad som får ske om inte annan lagstiftning – eller t.ex. ekonomiska eller tekniska eller andra förhållanden – hindrar det.

På motsvarande sätt betraktar utredningen bestämmelserna om sekretess i sekretesslagen; bestämmelserna anger när uppgifter inte får lämnas ut på grund av sekretess, men utsäger inget om när uppgifter får lämnas ut eller när uppgifter inte får lämnas ut på grund av bestämmelser i annan lagstiftning. I den utsträckning det skulle följa av den föreslagna studiestödsdatalagen att en personuppgift inte får behandlas genom att lämnas ut, ska det alltså gälla oberoende av om sekretess hindrar utlämnandet eller inte. En annan sak är att sådant utlämnande av uppgifter som CSN är skyldig att göra enligt grundlag, t.ex. enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen, får ske oberoende av vad det står i den föreslagna studiestödsdatalagen, se avsnitt 6.6.3.

6.7 Personuppgiftsansvar

Utredningens förslag: Centrala studiestödsnämnden är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.

Enligt definitionen i 3 § personuppgiftslagen är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på behandling av personuppgifter iakttas. Vidare innebär personuppgiftsansvaret en skyldighet att lämna information till den registrerade (23–27 §§ personuppgiftslagen), att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med personuppgiftslagen (28 §), att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §), att – enligt huvudregeln – anmäla all automatiserad behandling av personuppgifter till Datainspektionen (36 §) samt att ersätta den registrerade för den skada en lagstridig behandling av personuppgifter för med sig (48 §).

I lag eller förordning kan det bestämmas vem som är personuppgiftsansvarig. En sådan bestämmelse är tillåten enligt EG-direktivet (artikel 2 d) och tar över regleringen i personuppgiftslagen (2 § personuppgiftslagen). I särskilda registerförfattningar om behandling av personuppgifter i olika slags verksamheter har det ofta ansetts lämpligt från integritetsskyddssynpunkt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling av personuppgifter som regleras i de särskilda författningarna. Ibland har detta också ansetts nödvändigt med tanke på att ändamålen anges i lagen i stället för att bestämmas av den ifrågavarande myndigheten.

I fråga om behandling av personuppgifter i CSN:s studiestödsverksamhet kan inte gärna annan än CSN vara personuppgiftsansvarig. Mot bakgrund av att de tillåtna ändamålen med CSN:s behandling anges i den föreslagna studiestödsdatalagen föreslår utredningen att det uttryckligen i lagen ska anges att CSN är personuppgiftsansvarig för den behandling av personuppgifter som CSN utför. Personuppgiftsansvaret innebär även ett ansvar för att en behandling av personuppgifter faktiskt utförs när den ska ske, t.ex. att rättelse, blockering eller gallring sker i föreskriven tid och på rätt sätt, liksom ett ansvar för att behandling av personuppgifter inte utförs när det inte får ske. Personuppgiftsansvaret gäller alltså också vid underlåtenhet att utföra en behandling som åligger CSN.

6.8 När personuppgifter får behandlas

Utredningens förslag Personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet förutom med den registrerades samtycke bara om behandlingen behövs för att

14. handlägga ärenden i den verksamheten,

15. administrera handläggningen,

16. i den utsträckning regeringen föreskriver det förbereda handläggningen,

17. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner,

18. ta fram och till studerande distribuera bevis om studier med studiestöd, eller

19. om sekretess inte hindrar det anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

Personuppgifter som behandlas enligt vad som nu sagts får dock om sekretess inte hindrar det lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Personuppgifter som inte direkt pekar ut den registrerade får också behandlas avskilt för att återsöka vägledande avgöranden.

Regeringen får meddela föreskrifter om begränsningar av ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

6.8.1 Inledning och sammanfattning

Enligt artikel 6.1 b i EG-direktivet och 9 § personuppgiftslagen får personuppgifter samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifterna får senare inte behandlas för något ändamål som är oförenligt med de ändamål för vilka uppgifterna samlades in (den s.k. finalitetsprincipen).

I särskilda registerförfattningar brukar det regelmässigt anges för vilka ändamål personuppgifter får behandlas. Sådana bestämmelser anger alltså ramen för den behandling som får förekomma i den verksamhet som regleras i författningen.

Utredningen föreslår att de tillåtna ändamålen med behandling av personuppgifter i CSN:s studiestödsverksamhet på sedvanligt sätt anges i studiestödsdatalagen. Utredningen har därvid tagit med samtliga de ändamål för vilka CSN i dag behandlar personuppgifter för att utföra de arbetsuppgifter som åligger nämnden inom studiestödverksamheten. Eftersom det ansetts inte innebära några risker i integritetsskyddshänseende, föreslås det att CSN dessutom alltid får behandla personuppgifter i studiestödsverksamheten om de registrerade samtyckt till behandlingen. I detta fall har CSN att ange ändamålet med den behandling av personuppgifter som avses med samtycket.

Såvitt framkommit samlar CSN inte i studiestödsverksamheten in och annars behandlar personuppgifter som CSN inte själv behöver för verksamheten utan som avses lämnas ut till andra myndigheter. Det har därför inte varit aktuellt att utforma s.k. sekundära ändamål.

Däremot förekommer det naturligtvis att CSN lämnar ut personuppgifter som behandlas till andra myndigheter och enskilda. I många fall torde den behandling som utlämnandet av personuppgifterna utgör ske med samtycke eller för att uppfylla de tillåtna ändamål som angetts för CSN:s behandling av personuppgifter i studiestödsverksamheten och därmed vara tillåten. I andra situationer behöver det dock inte vara fallet, t.ex. när CSN ålagts en uppgiftsskyldighet gentemot en annan myndighet. Utredningen föreslår därför en uttrycklig bestämmelse om att personuppgifter – oberoende av samtycke och de tillåtna ändamål som angetts – får lämnas ut i den utsträckning uppgiftsskyldighet följer av lag eller förordning, om sekretess inte hindrar det[66] (se om förhållandet till bestämmelser om uppgiftsskyldighet också avsnitt 6.6.4). Det föreslås vidare en uttrycklig bestämmelse om att CSN dessutom alltid får lämna ut personuppgifter till riksdagen och regeringen[67] och, om sekretess inte hindrar det, till den registrerade själv. Dessa bestämmelser om utlämnande av personuppgifter kan sägas innebära att personuppgifterna i CSN:s studiestödsverksamhet, på det sätt som krävs enligt artikel 6.1 i EG-direktivet, samlas in även för att senare eventuellt lämnas ut i de angivna fallen.

Det föreslås att den reglering som nu angetts ska vara uttömmande i den meningen att CSN inte i andra fall, eller för andra ändamål, får behandla personuppgifter i studiestödsverksamheten. För att en behandling av personuppgifter i studiestödsverksamheten ska vara tillåten krävs det alltså att den är nödvändig för de tillåtna ändamålen, sker med samtycke eller, i andra fall, avser utlämnande enligt en uppgiftsskyldighet i lag eller förordning eller till riksdagen, regeringen eller den registrerade själv. Det är alltså inte tillåtet att i studiestödsverksamheten hos CSN behandla personuppgifter som samlats in för de tillåtna ändamålen för något annat ändamål även om detta ändamål inte skulle vara oförenligt med de tillåtna ändamålen (jämför finalitetsprincipen i 9 § första stycket d personuppgiftslagen); en sådan senare behandling för ett annat ändamål är tillåten bara med samtycke eller om behandlingen avser utlämnande i de fall som nyss angetts. För att behandlingen ska få genomföras krävs det dock givetvis också att övriga bestämmelser om behandlingen följs, t.ex. de föreslagna särskilda bestämmelserna med restriktioner i fråga om personuppgifter av känslig natur, sökbegrepp och direktåtkomst och annat elektroniskt utlämnande.

Den reglering som nu angetts avses vidare inte innebära avvikelser från bestämmelserna i personuppgiftslagen i den meningen att inskränkningarna i personuppgiftslagen i fråga om behandling av personnummer (22 §) och överföring av personuppgifter till tredje land (33 §) inte skulle gälla. Frågan om det bör finnas särskilda bestämmelser i den föreslagna studiestödsdatalagen om behandling av personnummer och om överföring av personuppgifter till tredje land berörs i avsnitt 6.9 respektive 6.13. När det gäller inskränkningarna i personuppgiftslagen i fråga om behandling av känsliga personuppgifter (13 §) och personuppgifter om lagöverträdelser m.m. (21 §) finns det däremot särskilda bestämmelser i den föreslagna studiestödsdatalagen som tar över bestämmelserna i personuppgiftslagen, se avsnitt 6.9.

6.8.2 Tillåtna ändamål med behandlingen

Utredningen har undersökt för vilka ändamål CSN i dag behandlar personuppgifter för att utföra de arbetsuppgifter som åligger nämnden inom studiestödsverksamheten. Utredningen har därvid inte funnit att CSN skulle behandla personuppgifter för något obefogat ändamål. Utredningen föreslår därför att de ändamål för vilka CSN i dag behandlar personuppgifter för att utföra de arbetsuppgifter som åligger nämnden inom studiestödsverksamheten anges i studiestödsdatalagen såsom tillåtna ändamål. Utredningen föreslår i enlighet härmed en bestämmelse om att personuppgifter får behandlas i CSN:s studiestödsverksamhet förutom med den registrerades samtycke bara om behandlingen behövs för att

1. handlägga ärenden i den verksamheten,

2. administrera handläggningen,

3. i den utsträckning regeringen föreskriver det förbereda handläggningen,

4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner,

5. ta fram och till studerande distribuera bevis om studier med studiestöd, eller

6. om sekretess inte hindrar det anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

Utredningen föreslår vidare att personuppgifter som behandlas enligt de angivna tillåtna ändamålen och som inte direkt pekar ut den registrerade också får behandlas avskilt för att återsöka vägledande avgöranden.

Bestämmelsen om tillåtna ändamål innebär en avvikelse från personuppgiftslagen såtillvida att den ersätter 10 § personuppgiftslagen. CSN får således i studiestödsverksamheten inte t.ex. behandla personuppgifter efter en intresseavvägning enligt 10 § f personuppgiftslagen.

När det i studiestödsdatalagen anges att ”behandlingen behövs” eller ”uppgifterna behövs” för olika syften avses detsamma som när det i artikel 7 i EG-direktivet och 10 § personuppgiftslagen anges att ”behandlingen är nödvändig” för olika syften.

För att en personuppgift ska få (behandlas genom att) samlas in krävs det att behandlingen behövs för åtminstone något av de angivna tillåtna ändamålen.

De personuppgifter som för de angivna ändamålen får behandlas i CSN:s studiestödsverksamhet får anses insamlade för samtliga ändamål. Personuppgifter som har samlats in i första hand för att handlägga ärenden i studiestödsverksamheten kan således utan hinder av den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen senare behandlas t.ex. för att ta fram och till studerande distribuera bevis om studier med studiestöd. Däremot får CSN inte i studiestödsverksamheten utan samtycke från den registrerade behandla personuppgifter för något annat ändamål än vad som framgår ovan. Detta är inte ens tillåtet om ändamålet med denna behandling inte skulle vara oförenligt med det för vilket personuppgifterna ursprungligen samlades in. Vad som gäller i fråga om utlämnande av personuppgifter berörs i avsnitt 6.8.4.

Handlägga ärenden

För att kunna fullgöra sina arbetsuppgifter enligt studiestödslagen och andra författningar om studiestöd behöver CSN behandla en stor mängd personuppgifter. CSN bör givetvis få behandla personuppgifter om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten.

Med handläggning avses inte bara åtgärder som direkt syftar till att kunna fatta beslut i ett ärende om studiestöd utan samtliga åtgärder i ärendet både före och efter beslutet. Sådana åtgärder i ett ärende kan vara bl.a. att på begäran sända ut ansökningsblanketter, att ta emot och skanna in handlingar, att sända ut förfrågningar, att upprätta minnesanteckningar, sammanställningar och utkast inför beslut, att utforma ett beslut, att expediera beslutet, att administrera utbetalning och att efter beslutet ha kontakter med den studiestödsberättigade. Dessa efterföljande kontakter kan t.ex. gå ut på att lämna information om förändrad ränta för studielån. När CSN sänder ut ett meddelande som behövs för att handlägga ett ärende om studiestöd och bifogar information omkring det studiestöd ärendet gäller, får även lämnandet av informationen anses behövlig för att handlägga ärendet.

Att ge den registrerade elektronisk eller annan tillgång till uppgifterna i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan får anses ingå i handläggningen av ärenden (jämför om direktåtkomst för den registrerade avsnitt 6.12.6).

Även behandling av personuppgifter som sker för att kontrollera exempelvis att studiestöd har beslutats, betalats ut och betalats tillbaka på ett riktigt sätt utgör en del av handläggningen av ärendet om studiestöd. Kontroller av bl.a. sökandens uppgifter ingår således i handläggningen. Att en handläggare tar del av vägledande avgöranden för att kunna pröva ett ärende om studiestöd ingår också i handläggningen av ärendet. Detsamma gäller när en anställd tar del av material i vägledande fall för att utforma handböcker och liknande till ledning för handläggningen av ärenden.

Också CSN:s kravverksamhet avseende återbetalning eller återkrav av studiestöd ingår i handläggningen av ärenden. Det kan handla om att sända ärenden för indrivning till inkassoföretag eller att ansöka om betalningsföreläggande eller verkställighet hos Kronofogdemyndigheten.

Även sådan bokföring och redovisning avseende ärendena om studiestöd som är föreskriven får anses ingå i handläggningen av ärenden.

Om skadeståndsanspråk riktas mot staten med anledning av skada som inträffat inom CSN:s verksamhetsområde, kan CSN vara behörig att själv handlägga skadeståndsanspråket, 5 § förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten. Samråd kan dock behöva ske med Justitiekanslern, och i vissa fall är det i stället Justitiekanslern som har att handlägga skadeståndsanspråket. Om skadeståndsanspråket avser CSN:s studiestödsverksamhet, får också CSN:s handläggning av själva skadeståndsanspråket anses avse handläggning av ärende i studiestödsverksamheten. Det gäller även när CSN för handläggningen av skadeståndsanspråket behöver lämna ut personuppgifter till Justitiekanslern. På motsvarande sätt får CSN:s handläggning avseende svar på förfrågningar från tillsynsinstanser, t.ex. Riksdagens ombudsmän (JO), rörande CSN:s studiestödsverksamhet anses avse handläggning av ärende i studiestödsverksamheten.

Den behandling av personuppgifter som behövs för att handlägga ärenden i studiestödsverksamheten bör få utföras även om den registrerade motsätter sig behandlingen (se avsnitt 6.5).

Avsikten är att angivandet av det aktuella ändamålet i den föreslagna lagen inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Administrera handläggningen av ärenden

För att kunna handlägga ärendena i studiestödsverksamheten behövs det en omfattande administration hos CSN. Denna administration innefattar viss behandling av personuppgifter som inte på ett naturligt sätt kan sägas ingå i den direkta handläggningen av ärenden i studiestödsverksamheten som avses under närmast föregående rubrik. Ett exempel på sådan behandling är förandet av register över anmälda kontaktpersoner på olika läroanstalter. Ett sådant kontaktregister används nämligen bara för att underlätta handläggningen av ärendena om studiestöd. Ett annat exempel är den behandling av personuppgifter om såväl handläggare som sökande som sker i samband med att ärenden om studiestöd på automatiserat vis fördelas mellan CSN:s handläggare.

Det bör därför uttryckligen anges att CSN får behandla personuppgifter i studiestödsverksamheten om behandlingen behövs för att administrera handläggningen. Den behandling av personuppgifter som behövs för detta bör få utföras även om den registrerade motsätter sig behandlingen (se avsnitt 6.5).

Förbereda handläggningen av ärenden

CSN:s handläggning av ärenden avseende studiehjälp och beviljande av studiemedel utgör en masshantering, där många beslut måste fattas och verkställas genom utbetalning vid ungefär samma tider varje år. CSN förbereder hanteringen genom att i förväg hämta in personuppgifter beträffande alla 16-åringar om bl.a. personnummer, namn, adress, vårdnadshavare och betalningsmottagare för allmänt eller förlängt barnbidrag samt beträffande personer som antagits till någon utbildning som berättigar till studiemedel om bl.a. uppgifter om personnummer, namn och adress. Den behandlingen av personuppgifter avseende 16-åringar som inte fortsätter att studera respektive antagna studerande som inte ansöker om studiemedel behövs inte för att handlägga ärenden som berör dem (eftersom några ärenden avseende de nämnda personerna inte är eller kommer att bli aktuella). Däremot är det nödvändigt att den nämnda förberedande behandlingen avseende alla personer som kan bli aktuella för stöd genomförs för att med rimliga resurser handlägga ärendena beträffande 16-åringar som fortsätter att studera respektive antagna studerande som ansöker om studiemedel och betala ut vad de har rätt till i rätt tid.

Vid utformningen av den särskilda registerförfattningen för bl.a. Försäkringskassans verksamhet inom socialförsäkringens administration har det ansetts att sådana förberedande åtgärder bör hänföras till ett särskilt ändamål vid sidan av ändamålet att handlägga ärenden, eftersom det bedömts att handläggning av ärenden kan förekomma först när ett ärende har anhängiggjorts.[68]

Det kan här nämnas att CSN också hämtar in uppgifter om ungdomar som är äldre än 16 år och som antagits till en utbildning som berättigar dem till studiehjälp. I detta fall får behandlingen av personuppgifter anses ske för att handlägga det ärende om studiehjälp som aktualiserats genom antagningen till utbildningen.

Det får anses särskilt integritetskänsligt att en myndighet behandlar personuppgifter om individer som inte alls berörs av myndighetens ålagda arbetsuppgifter. Samtidigt är det enligt utredningens bedömning rimligt och proportionerligt att så får fortsätta att ske, beträffande de förhållandevis harmlösa uppgifter det är fråga om, för att den majoritet av berörda personer som kommer att ha rätt till studiehjälp respektive studiemedel med rimliga resurser ska kunna få det i rimlig tid. Integritetskänsligheten av behandlingen gör dock att den bör kringgärdas av särskilda garantier för integritetsskyddet. Att ge den enskilde ett inflytande över om hans eller hennes personuppgifter ska behandlas eller inte (dvs. att införa en rätt att motsätta sig behandlingen) kan vara en sådan garanti. Det skulle emellertid inte vara särskilt ändamålsenligt bl.a. eftersom fördelarna med förberedandet av masshanteringen då skulle gå delvis förlorade och då det torde vara svårt att på ett effektivt sätt i förväg informera de berörda om rätten att motsätta sig behandlingen.

Utredningen anser i stället att en lämplig garanti för integritetsskyddet är att överlåta åt regeringen att föreskriva om i vilka fall behandling av uppgifter om personer som inte (ännu) berörs av något ärende hos CSN ska vara tillåten för att vidta förberedande åtgärder för handläggningen. Därmed får man på ett flexibelt sätt en garanti för att det görs en konkret bedömning av att inte fler personer eller fler personuppgifter än vad som verkligen är nödvändigt berörs av de förberedande åtgärderna. Frågan om en anknytande förordningsreglering berörs i avsnitt 6.17.2.

Informera om studiestödsförmåner och studiesociala förmåner

Enligt sin instruktion är CSN central förvaltningsmyndighet för studiesociala frågor, och enligt studiestödslagen och andra författningar om studiestöd har CSN att handlägga ärenden om studiestöd. Syftet med studiestödet är ofta att bl.a. bidra till ett högt deltagande i utbildning. Det sagda får anses innebära att det åligger CSN att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. CSN anser det och sysslar en hel del med sådan information. Även utredningen anser det befogat att behandla personuppgifter för att på det sättet informera studiestödsberättigade åtminstone så länge de berörda inte motsatt sig det.

Utredningen föreslår därför att CSN i studiestödsverksamheten får behandla personuppgifter om behandlingen behövs för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Den behandlingen av personuppgifter, som inte är nödvändig i samband med handläggningen av ärenden, bör dock bara få utföras så länge den registrerade inte har motsatt sig behandlingen, se avsnitt 6.5. CSN har att informera de registrerade om rätten att motsätta sig behandlingen, lämpligen bl.a. genom att ta med den informationen i varje informationsutskick.

Det är bara information till studiestödsberättigade som avses. Avser informationen studiestödsförmåner måste det kunna antas att informationsmottagarna i och för sig är berättigade till just den aktuella förmånen om de skulle börja studera på visst sätt, vilket t.ex. är fallet med mottagarna av det s.k. 16-årsbrevet avseende studiehjälp. Det krävs alltså inte att personen redan studerar.

Med studiestödsförmåner avses det som ibland kallas studiefinansiell verksamhet, dvs. CSN:s kärnverksamhet med studiestöd.[69] Information om studiestödsförmåner kan avse t.ex. olika stödformer och villkoren för dessa och därmed sammanhängande frågor. Det ska röra sig om information om någon stödform som CSN har att hantera. Vilka stödformer det kan röra sig om kan komma att variera över tiden. För närvarande är det fråga om stöd enligt studiestödslagen, TUFF-ersättning, Rg-bidrag och ersättning för dagliga resor.

Med studiesociala förmåner avses sådan studiesocial verksamhet som kan antas vara till fördel för den som studerar. Det kan vara fråga om rabatter på resor eller försäkringar som riktar sig just till studerande. Information om de olika rabatt- och förmånskort som i dag finns för studerande faller under bestämmelsen. Vad som är en förmån får bedömas från fall till fall. Det ska typiskt sett vara fråga om något som för studerandekollektivet, eller i vart fall för en inte ringa del av det, framstår som en nyttighet eller i vart fall något önskvärt.

I avsnitt 6.17.3 finns det överväganden om vilka personuppgifter som bör få behandlas för det aktuella ändamålet.

Distribuera bevis om studier med studiestöd

En del av CSN:s verksamhet inom ramen för den studiesociala verksamheten består i att se till att studerande med studiestöd får olika rabatt- och förmånskort, se avsnitt 4.2.5 ovan. Det rör sig för närvarande om CSN-kortet, Mecenatkortet, Studentkortet och Membitkortet. Det är inte CSN som själv tar fram och distribuerar dessa kort, men personuppgifterna som används kommer från CSN:s register och lämnas ut till olika företag för ändamålet. CSN är personuppgiftsansvarig för den behandling av personuppgifter som utlämnandet till kortföretagen innebär. För den övriga behandling av personuppgifter som behövs för att ta fram och distribuera korten är CSN personuppgiftsansvarig bara för den behandling avseende CSN-kortet som ett företag utför såsom personuppgiftsbiträde åt CSN.

Utredningen anser att det är befogat och normalt till fördel för studiestödstagarna att behandla personuppgifter för att på det beskrivna sättet ta fram och distribuera bevis om studier med studiestöd som kan användas för att styrka rätten till olika förmåner för studerande. Det gäller åtminstone så länge de berörda inte motsatt sig det.

Utredningen föreslår därför att CSN i studiestödsverksamheten får behandla personuppgifter om behandlingen behövs för att ta fram och till studerande distribuera bevis om studier med studiestöd. Den behandlingen, som inte är nödvändig i samband med handläggningen av ärenden, bör dock bara få utföras så länge den registrerade inte har motsatt sig behandlingen, se avsnitt 6.5. CSN har att informera de registrerade om rätten att motsätta sig behandlingen.

I avsnitt 6.17.3 finns det överväganden om vilka personuppgifter som bör få behandlas för det aktuella ändamålet.

Anmäla oegentligheter

I studiestödsverksamheten kan det upptäckas oegentligheter. Det kan gälla sökande som fuskat eller försökt fuska, t.ex. genom att lämna oriktiga uppgifter eller förfalskade handlingar. Det kan också gälla oegentligheter begångna i studiestödsverksamheten av andra än sökande, t.ex. dataintrång av CSN:s personal, personal vid annan instans med direktåtkomst eller någon helt utomstående eller mutbrott och bestickning.

När det gäller sökandes fusk har det nyligen införts en skyldighet för CSN att till polismyndighet eller Åklagarmyndigheten anmäla brott enligt bidragsbrottslagen (2007:612). Det har av 2005 års informationsutbytesutredning vidare föreslagits att en anmälningsskyldighet införs för bl.a. CSN när det finns anledning att anta att ett bidrag eller en annan ekonomisk förmån för personligt ändamål från trygghetssystemen felaktigt har beviljats eller betalats ut till en enskild från vissa myndigheter.[70] En sådan anmälan ska göras till den myndighet som har beviljat eller betalat ut förmånen. Det kan också finnas andra anmälningsskyldigheter som kan ha betydelse vid oegentligheter i studiestödsverksamheten. En anmälningsskyldighet får samtidigt anses innebära en sådan uppgiftsskyldighet som genombryter sekretess enligt 14 kap. 1 § sekretesslagen (1980:100) vid utlämnande till myndighet och som utredningen föreslår ska kunna fullgöras oberoende av bestämmelserna om ändamål i studiestödsdatalagen (se avsnitt 6.6.4 och 6.8.4).

Någon generell skyldighet för CSN att anmäla oegentligheter i studiestödsverksamheten finns dock inte. Anmälningsskyldigheten enligt bidragsbrottslagen avser t.ex. inte oriktigt uppgiftslämnande i ett ärende om avskrivning av studielån som kan innebära bedrägeri enligt brottsbalken.[71] I sådana fall där det inte finns anmälningsskyldighet får CSN själv välja om en anmälan om oegentligheten ska göras till behörig myndighet eller inte. CSN måste dock i dessa fall först avgöra om sekretess kan hindra anmälan; ofta kan emellertid en anmälan till myndighet göras utan hinder av annars gällande sekretess enligt 14 kap. 2 och 3 §§ sekretesslagen (1980:100).

Även om det finns vissa risker i integritets- och rättssäkerhetshänseende med att en myndighet har, inte en skyldighet att vidta en åtgärd utan, en viss valmöjlighet i fråga om en för den enskilde klart negativ åtgärd ska vidtas eller inte, anser utredningen att det är rimligt och proportionerligt att CSN även när det inte finns en anmälningsskyldighet får behandla personuppgifter för att om sekretess inte hindrar det anmäla en oegentlighet inom studiestödsverksamhet till ett offentligt organ som enligt offentligrättsliga regler har att utreda eller beivra oegentligheten.

Utredningen föreslår därför såsom ett särskilt ändamål en bestämmelse om att CSN i studiestödsverksamheten får behandla personuppgifter om behandlingen behövs för att, om sekretess inte hindrar det, anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

Anmälan ska alltså avse sådant inom studiestödsverksamheten som kan betecknas som en oegentlighet som något offentligt organ har att utreda eller beivra. Det kan gälla t.ex. brottsmisstankar som anmäls till polismyndighet eller Åklagarmyndigheten. Det kan också gälla sådant som kan föranleda en arbetsrättslig åtgärd, såsom disciplinansvar, åtalsanmälan, uppsägning eller avskedande, som anmäls till någon myndighets personalansvarsnämnd inklusive personalansvarsnämnden hos CSN.

Återsöka vägledande avgöranden

CSN har behov av att kunna samla vägledande avgöranden från den egna verksamheten och från överprövnings- och tillsynsinstanser bl.a. för att kunna handlägga ärendena, utbilda handläggare och skriva vägledningar om regelverket och dess tillämpning. När avgöranden används för sådana ”praxisändamål” är det egentligen inte intressant vilka namngivna individer avgörandena rört. Det intressanta är i stället de rättsliga bedömningar som gjorts.

För att CSN ska kunna ha en särskild praxisdatabas där vägledande avgöranden samlas föreslår utredningen en bestämmelse om att personuppgifter som behandlas för de tillåtna ändamålen och som inte direkt pekar ut den registrerade får behandlas avskilt för att återsöka vägledande avgöranden.

Närmare föreskrifter om ändamålen

Som framgått har de tillåtna ändamålen med behandlingen angetts på ett förhållandevis allmängiltigt sätt. Utredningen har nämligen ansett att det inte är lämpligt eller möjligt med bestämmelser med större precision i lag. Det kan emellertid inte uteslutas att det i vissa fall kan vara önskvärt att av integritetsskyddsskäl ytterligare precisera bestämmelserna om ändamål.

Utredningen föreslår därför att regeringen bemyndigas att meddela föreskrifter om begränsningar av de i studiestödsdatalagen angivna tillåtna ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. Utredningen lämnar ett förslag till en till lagen anknytande förordning med bl.a. sådana föreskrifter. Frågan om innehållet i förordningen berörs i avsnitt 6.17.

6.8.3 Den registrerades samtycke till andra behandlingar

I sin roll som central förvaltningsmyndighet för studiesociala frågor kan CSN på olika sätt vilja erbjuda studiestödsberättigade service av skilda slag. Som exempel kan nämnas det informationsutbyte som sker mellan CSN och resebyrå respektive försäkringsmäklare (se närmare avsnitt 4.2.5). Studerande som är berättigade till stöd för resa kan begära att CSN till resebyrå lämnar ut nödvändiga personuppgifter för att CSN ska betala den studerandes resa direkt till resebyrån. På motsvarande sätt kan studerande som önskar kontakt med försäkringsmäklare begära att CSN vidarebefordrar information till sådan mäklare.

Den service som CSN i dag erbjuder synes bygga på de registrerades samtycke eller åtminstone utan olägenhet kunna bygga på sådant samtycke.

Enligt utredningens mening finns det över huvud taget inga beaktansvärda integritetsskyddsskäl som talar emot att tillåta CSN att inom ramen för studiestödsverksamheten behandla personuppgifter för vilket ändamål som helst med stöd av frivilligt samtycke från den registrerade.[72] Utredningen anser vidare att det inte är nödvändigt med bestämmelser som förbjuder eller gör det möjligt att förbjuda en behandling inom ramen för studiestödsverksamheten som sker med den registrerades samtycke.

Utredningen föreslår därför en bestämmelse om att personuppgifter får behandlas i CSN:s studiestödsverksamhet om den registrerade har samtyckt till behandlingen.

Behandlingen av personuppgifter i studiestödsverksamheten får med samtycke avse vilket ändamål som helst. Eftersom personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och senare inte får behandlas för något ändamål som är oförenligt med de ändamål för vilka uppgifterna samlades in (9 § första stycket c och d personuppgiftslagen), måste CSN i detta fall själv ange ändamålet med behandlingen. De personuppgifter som har samlats in med stöd av den registrerades samtycke får således – till skillnad från vad som gäller för personuppgifter som har samlats in bara med stöd av de angivna tilllåtna ändamålen (se avsnitt 6.8.2) – senare användas för ändamål som inte är oförenliga med det ändamål för vilket de insamlades (9 § första stycket d personuppgiftslagen).

Den registrerade kan samtycka till att personuppgifter som redan samlats in för de angivna tillåtna ändamålen senare används för något annat ändamål. Den fortsatta behandlingen för det nya ändamålet är då tillåten med stöd av samtycket.

Med samtycke avses detsamma som enligt personuppgiftslagen (3 §), nämligen varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Även frågorna om när den registrerade själv kan lämna ett samtycke och om vem som kan lämna ett samtycke för en registrerad som inte kan det får bedömas på samma sätt som enligt personuppgiftslagen.[73]

6.8.4 Utlämnande av personuppgifter utan samtycke för andra ändamål

I den utsträckning CSN har en skyldighet enligt lag eller förordning att lämna ut uppgifter för annat än de tillåtna ändamålen, bör den skyldigheten få fullgöras oberoende av den föreslagna studiestödsdatalagen även om den registrerade inte lämnat sitt samtycke till det.

Utredningen föreslår därför en bestämmelse om att CSN får, om sekretess inte hindrar det, till myndigheter och enskilda lämna ut personuppgifter som behandlas i studiestödsverksamheten enligt de tillåtna ändamålen eller med stöd av den registrerades samtycke i den utsträckning uppgiftsskyldighet följer av lag eller förordning.

Som exempel på uppgiftsskyldighet kan nämnas 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. Enligt den bestämmelsen ska CSN på begäran lämna Riksrevisionen den hjälp och de uppgifter och upplysningar som Riksrevisionen behöver för sin granskning.

Även de helt generella bestämmelserna om skyldighet att på begäran lämna ut uppgifter till enskilda och myndigheter i 15 kap. 4 och 5 §§ sekretesslagen avses. Enligt den förstnämnda bestämmelsen ska CSN på begäran av enskild lämna uppgift ur allmän handling som förvaras hos CSN i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång, och enligt den sistnämnda bestämmelsen ska CSN på begäran av annan myndighet lämna uppgift som CSN förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Att CSN enligt dessa bestämmelser på begäran av enskild eller myndighet lämnar ut personuppgifter hindras alltså inte av den föreslagna studiestödsdatalagen. Inte heller CSN:s skyldigheter enligt grundlag att lämna ut personuppgifter, t.ex. på begäran av enskild enligt offentlighetsprincipen, hindras av den föreslagna lagen (se avsnitt 6.6.3).

Utredningen anser vidare att CSN utan hinder av den föreslagna studiestödsdatalagen bör få lämna ut personuppgifter som behandlas i studiestödsverksamheten enligt de tillåtna ändamålen eller med stöd av den registrerades samtycke till riksdagen och regeringen och föreslår en bestämmelse om detta. Sekretess hindrar inte sådant utlämnande, se 14 kap. 1 § sekretesslagen.

Slutligen anser utredningen att det inte finns några integritetsskyddsskäl som talar emot att personuppgifter som behandlas i studiestödsverksamheten enligt de tillåtna ändamålen eller med stöd av den registrerades samtycke lämnas ut till den registrerade själv om sekretess inte hindrar det. Utredningen föreslår därför en uttrycklig bestämmelse om detta.

Frågan om i vilken utsträckning utlämnande av personuppgifter får ske i elektronisk form berörs i avsnitt 6.12.

6.9 Behandling av personuppgifter av känslig natur

Utredningens förslag: Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får förutom med den registrerades uttryckliga samtycke behandlas bara för att handlägga ärenden i studiestödsverksamheten under förutsättning att uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter får dock också behandlas

1. om det behövs för att, om sekretess inte hindrar det, kunna anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten,

2. för att, om sekretess inte hindrar det, lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra, och

3. i en avskild praxisdatabas med personuppgifter som bara indirekt pekar ut den registrerade.

Det är vanligt att det i särskilda registerförfattningar finns bestämmelser om när känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) och personuppgifter om lagöverträdelser m.m. enligt 21 § samma lag får behandlas. Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen personuppgifter som rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. De uppgifter som avses i 21 § personuppgiftslagen är personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det är vanligt att sådana personuppgifter som nu sagts, enligt bestämmelser i de särskilda registerförfattningarna, får behandlas om de har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, jämför också den generella bestämmelsen i 8 § personuppgiftsförordningen (1998:1191).

Utredningen anser att sådana bestämmelser, som inte hindrar den nödvändiga handläggningen av ärenden, är lämpliga även i fråga om behandling av personuppgifter i CSN:s studiestödsverksamhet. Utredningen kan vidare inte se någon anledning att förhindra att känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. behandlas med den registrerades uttryckliga samtycke.

Utredningen föreslår därför att sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas bara med den registrerades uttryckliga samtycke eller om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten under förutsättning om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende.

Med den registrerades uttryckliga samtycke avses detsamma som enligt 15 § personuppgiftslagen.

Utredningen har föreslagit att personuppgifter ska få behandlas i studiestödsverksamheten när det behövs för att, om sekretess inte hindrar det, anmäla oegentlighet inom studiestödsverksamhet till en myndighet som har att utreda eller beivra oegentligheten, se avsnitt 6.8.2. I sådana anmälningar kan det behöva anges alla slags personuppgifter. Utredningen föreslår därför att det även ska vara tillåtet att behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag om det behövs för att kunna anmäla oegentlighet inom studiestödsverksamhet till en myndighet som har att utreda eller beivra oegentligheten.

Även i de fall där utredningen föreslagit att behandlade personuppgifter får lämnas ut kan utlämnandet behöva avse alla slags personuppgifter. Utredningen föreslår därför att det också ska vara tillåtet att behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag om det behövs för att lämna ut personuppgifter till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.

Utredningen har föreslagit att personuppgifter som inte direkt pekar ut den registrerade får behandlas avskilt för att återsöka vägledande avgöranden. De vägledande avgörandena i den avskilda praxisdatabasen kan innehålla alla slags (indirekta) personuppgifter. Utredningen föreslår därför att det även ska vara tillåtet att behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag i den avskilda samlingen av personuppgifter för återsökning av vägledande avgöranden.

För att behandlingen av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ska vara tillåten krävs det dessutom att behandlingen över huvud taget är tillåten enligt de bestämmelser som beskrivs i avsnitt 6.8. För att behandlingen av dessa personuppgifter ska få genomföras krävs det givetvis också att övriga bestämmelser om behandlingen följs, t.ex. de föreslagna särskilda bestämmelserna med restriktioner i fråga om sökbegrepp och direktåtkomst och annat elektroniskt utlämnande.

Avsikten är att angivandet i den föreslagna lagen av när behandlingen av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. får ske inte ska påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

De nu berörda föreslagna reglerna innebär avvikelser från bestämmelserna i 13–21 §§ personuppgiftslagen och tar över dessa bestämmelser.

I personuppgiftslagen finns det också bestämmelser om behandling av personnummer som innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till något beaktansvärt skäl, t.ex. ändamålet med behandlingen eller vikten av en säker identifiering (22 § personuppgiftslagen). Dessa bestämmelser förefaller utredningen ändamålsenliga även när det gäller behandlingen av personuppgifter i CSN:s studiestödsverksamhet. Utredningen föreslår därför inte någon särreglering av behandlingen av personnummer och samordningsnummer i studiestödsdatalagen, varför bestämmelserna i 22 § personuppgiftslagen är tillämpliga när CSN behandlar personuppgifter i studiestödsverksamheten. En annan sak är att CSN vid t.ex. handläggningen av ärenden regelmässigt har sådana skäl som krävs enligt lagrummet för att behandla uppgifter om personnummer och samordningsnummer.

Utredningen har inte funnit anledning att föreslå generella restriktioner i fråga om behandlingen av andra typer av personuppgifter än känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. Frågan om vilka typer av personuppgifter som inte bör få användas som sökbegrepp berörs i nästa avsnitt.

6.10 Sökbegrepp

Utredningens förslag: Som sökbegrepp får inte användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Vid sökning bara i ett visst ärende om studiestöd, i en viss handling eller i en avskild praxisdatabas med personuppgifter som bara indirekt pekar ut den registrerade får dock sådana sökbegrepp användas. Uppgifter som rör hälsa får också användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

Frågan om på vilket sätt personuppgifter sammanställs anses ofta som en av de viktigare frågorna ur integritetsperspektiv. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet.[74]

Vilka möjligheter till sammanställningar som finns i en myndighets datoriserade samlingar av uppgifter har betydelse för huruvida en handling är allmän och därmed omfattas av offentlighetsprincipen enligt 2 kap. tryckfrihetsförordningen. Möjligheterna till sammanställningar har betydelse på två sätt; dels i fråga om vilka tekniska möjligheter som finns avseende sammanställningar, dels i fråga om vilka legala inskränkningar i möjligheterna till sammanställningar som finns. För att en handling ska vara allmän hos en myndighet krävs det att den är förvarad hos myndigheten, 2 kap. 3 § första stycket andra meningen tryckfrihetsförordningen.

Den tekniska aspekten är av betydelse eftersom en upptagning, som kan uppfattas endast med tekniska hjälpmedel, enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen anses förvarad hos en myndighet endast om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. Allt det som myndigheten faktiskt kan göra tillgängligt med rutinbetonade åtgärder utgör således i princip allmän handling som envar har rätt att ta del av om sekretess inte hindrar det. Det gäller även om myndigheten tidigare aldrig gjort den efterfrågade sammanställningen och oavsett om myndigheten behöver den för sin verksamhet. Man talar i dessa fall om s.k. potentiella handlingar.

Enligt den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen anses en sammanställning av uppgifter ur en upptagning för automatiserad behandling dock inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Syftet med begränsningsregeln är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet är förhindrad att ta fram i sin egen verksamhet.[75] Det är alltså i fråga om datoriserade samlingar med personuppgifter möjligt att inskränka offentlighetsprincipen genom förordning eller annan lag än sekretesslagen. Genom att i en särskild registerförfattning ta in föreskrifter om att en myndighet inte får använda vissa s.k. sökbegrepp kan man tillgodose intresset av integritetsskydd hos de personer som är registrerade utan att myndigheten behöver förbjudas att registrera vissa personuppgifter som behövs i verksamheten. Det är vanligt att det i särskilda registerförfattningar finns bestämmelser som inskränker vilka sökbegrepp som får användas. Det har gjorts gällande att vid direktåtkomst mellan myndigheter begränsningar av tillåtna sökbegrepp i en särskild registerförfattning för behandling av personuppgifter i den utlämnande myndighetens verksamhet gäller också för den mottagande myndigheten.[76]

Med sökbegrepp brukar förstås bokstäver, koder eller siffror med vars hjälp man tillsammans med en sökmotor eller liknande funktion kan ta fram ett urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd som man har tillgång till.[77] Om exempelvis bokstavskombinationen ”Artillerigatan” används för att söka fram alla mottagare av studiestöd som bor på just denna gata, är ”Artillerigatan” det sökbegrepp som har använts.

I CSN:s verksamhet behöver det på ett strukturerat sätt registreras en hel del personuppgifter av ömtålig natur, t.ex. om inkomstförhållanden och skolk. CSN skannar i dag vidare i princip in alla inkomna pappersdokument så att de finns tillgängliga elektroniskt. Inkomna pappersdokument kan innehålla vilka personuppgifter som helst. Uppgifterna i sådana dokument gör CSN i dag dock inte sökbara. Det kan dock inte uteslutas att CSN i framtiden kommer att möjliggöra sökning i sådana dokument.

Med hänsyn till den stora mängden registrerade uppgifter och förekomsten av personuppgifter av ömtålig natur anser utredningen att det finns goda skäl att av integritetsskyddshänsyn i studiestödsdatalagen införa begränsningar som innebär att vissa särskilt känsliga typer av uppgifter som CSN inte behöver använda som sökbegrepp i sin studiestödsverksamhet inte heller får användas. Därmed inskränks offentlighetsprincipen i motsvarande mån. Även andra myndigheters möjligheter att få ut sammanställningar från CSN inskränks.

Det finns för det första normalt sett inget behov för CSN att använda sådana känsliga uppgifter som avses i 13 § personuppgiftslagen som sökbegrepp. Det bör därför i studiestödsdatalagen tas in ett förbud mot att använda sådana uppgifter som sökbegrepp. De uppgifter det är fråga om är sådana uppgifter som rör hälsa eller sexualliv eller som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening.

Utredningen har försökt att identifiera vilka övriga typer av uppgifter av ömtålig natur som ofta förekommer i CSN:s databaser och som CSN inte för sin studiestödsverksamhet behöver använda som sökbegrepp.

Som framgått av avsnitt 2.2.1 och 2.3.1 ovan kan storleken på studiestödet påverkas av om det allmänna bekostar den studerandes uppehälle. Det är då i praktiken ofta fråga om att någon har tagits in på institution. En uppgift som avslöjar att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle är normalt känslig ur ett integritetsperspektiv, och såvitt framkommit behöver CSN i sin studiestödsverksamhet inte använda uppgiften som sökbegrepp.

En central del i CSN:s uppgiftsinsamlande berör de registrerades ekonomiska förhållanden. Uppgifter om inkomst behövs t.ex. för att CSN ska kunna handlägga ärenden i studiestödsverksamheten. Uppgifter om ekonomiska förhållanden upplevs ofta vara av ömtålig natur. Såvitt framkommit behöver CSN i sin studiestödsverksamhet inte använda uppgifter som rör inkomst eller förmögenhet som sökbegrepp. CSN hämtar visserligen från Skatteverket in uppgifter om inkomst bl.a. för alla med studiemedel som jämförs med de inkomstuppgifter de studerande lämnat, men då används personnumret som sökbegrepp för att finna de ärenden där de studerande haft inkomster enligt Skatteverket och där Skatteverkets uppgift ska jämföras med den uppgift CSN har.

Anledning till att en person gör ett studieavbrott kan variera. Det kan t.ex. vara fråga om skolk, intagning på behandlingshem eller fängelse eller egen eller anhörigs sjukdom. Information om anledningen till studieavbrott kan sålunda inrymma mycket integritetskänsliga uppgifter. Såvitt framkommit behöver CSN i sin studiestödsverksamhet normalt sett inte använda uppgifter som rör anledningen till studieavbrott som sökbegrepp.

Utredningen föreslår alltså sammanfattningsvis en grundläggande bestämmelse i studiestödsdatalagen om att som sökbegrepp inte får användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Det blir därmed inte tillåtet att söka fram listor över t.ex. personer med viss sjukdom, inkomst överstigande visst belopp eller visst etniskt ursprung.

Avsikten med att införa begränsningar av vilka sökbegrepp som får användas är i första hand att förhindra att sådana listor med flera personer som har en viss egenskap gemensam tas fram. Att den som väl hittat fram till ett visst ärende om studiestöd eller en viss befintlig handling söker inom ramen för det ärendet eller den handlingen efter olika uppgifter kan däremot utgöra en naturlig del av och förenkla handläggningen av ärendet. Ett exempel är att den som har öppnat ett ordbehandlingsdokument i ett ordbehandlingsprogram använder det programmets funktion för att söka efter ord i det dokumentet. En sådan begränsad sökning kan inte heller anses innebära några särskilda integritetsrisker. Utredningen föreslår därför – av närmast praktiska skäl – att alla slags sökbegrepp får användas vid sökning bara i ett visst ärende om studiestöd eller i en viss handling.

Det ligger vidare i sakens natur att den som vill återsöka vägledande avgöranden i en särskild praxisdatabas med avidentifierade sådana avgöranden kan behöva använda alla slags sökbegrepp. Med hänsyn till att praxisdatabasen ska hållas avskild från verksamhetsdatabaserna och innehålla bara ett urval avgöranden som inte innehåller personuppgifter som direkt pekar ut den registrerade (se avsnitt 6.8.2) kan en sådan sökning inte anses innebära några särskilda integritetsrisker. Utredningen föreslår därför att alla slags sökbegrepp får användas vid sökning i den särskilda praxisdatabasen.

Som tidigare angetts behöver CSN normalt sett inte använda uppgifter som rör hälsa eller anledningen till studieavbrott som sökbegrepp. Det har emellertid visat sig att CSN i sitt datoriserade handläggningssystem styr ärenden som innefattar prövning av avskrivning av studielån på grund av sjukdom enbart till vissa handläggare med särskild erfarenhet och behörighet. Dessa ärenden söks alltså fram för att kunna fördelas mellan behöriga handläggare. Utan att CSN ändrar arbetssätt och interna regler om beslutsbehörighet, vilket inte framstår som rimligt, är det svårt att undvika en sådan framsökning av aktuella ärenden. Utredningen föreslår därför att uppgifter som rör hälsa får användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

6.11 Intern elektronisk tillgång till personuppgifter

Utredningens förslag: Centrala studiestödsnämnden ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i nämndens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Centrala studiestödsnämnden ska se till att elektronisk tillgång till personuppgifter dokumenteras och genomföra systematiska och återkommande kontroller av om obehörig åtkomst till uppgifterna förekommit. Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång och om dokumentation och kontroll.

Så gott som all information i ärenden om studiestöd finns hos CSN lagrad i datorformat. Det har framkommit att i princip alla handläggare hos CSN har möjlighet till elektronisk tillgång till nästan all information i så gott som alla ärenden om studiestöd utan t.ex. sakliga begränsningar (såsom att ärendet är av viss typ eller att handläggaren har att arbeta med ärendet) eller geografiska begränsningar (såsom att det härrör från något visst upptagningsområde). Det har också kommit fram att CSN inte har gallrat särskilt intensivt i sina databaser och att loggningen av när någon haft tillgång till information i en viss sökandes ärende inte är heltäckande.

Kombinationen av en mycket vid möjlighet till elektronisk tillgång till personuppgifter för alla handläggare, som kan omfatta även inaktuella personuppgifter som ännu inte gallrats, och avsaknaden av en effektiv loggning av vilken tillgång som förekommit samt kontroll av loggarna inger betänkligheter från integritetsskyddssynpunkt. Risken för obehörig elektronisk åtkomst till personuppgifter – i betydelsen åtkomst som inte utgör ett led i handläggarens arbetsuppgifter utan som sker av andra skäl, t.ex. nyfikenhet – är uppenbar. Utredningen har dock inte underlag för att påstå att sådan obehörig åtkomst skulle förekomma. Det går nämligen inte att få fram sådant underlag när effektiv loggning saknas och därmed den elektroniska åtkomsten till personuppgifterna inte kan kontrolleras.

Av personuppgiftslagen framgår det att de personer som arbetar under CSN:s ledning, dvs. handläggarna och andra anställda, får behandla personuppgifter, t.ex. genom att ta del av dem, bara i enlighet med instruktioner från CSN (30 §) och att det åligger CSN att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §). Datainspektionen har vidare gett ut allmänna råd om säkerhet för personuppgifter. Även bestämmelsen om straff för dataintrång i 4 kap. 9 c § brottsbalken bör nämnas.

Mot den redovisade bakgrunden anser utredningen att det finns skäl att i den föreslagna studiestödsdatalagen precisera vad som bör gälla i fråga om intern elektronisk tillgång till personuppgifter i CSN:s studiestödsverksamhet. Utredningen anser att följande grundläggande bestämmelser är både naturliga och nödvändiga: CSN ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i CSN:s studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. CSN ska vidare se till att elektronisk tillgång till personuppgifter dokumenteras och genomföra systematiska och återkommande kontroller av om obehörig åtkomst till uppgifterna förekommit.

Den enskilde handläggaren hos CSN bör alltså inte ha elektronisk tillgång till personuppgifter i större utsträckning än vad som behövs för att handläggaren ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Behörigheten bör framgå av interna regler och bör lämpligen kompletteras med tekniska begränsningar som förhindrar att handläggaren elektroniskt kommer åt personuppgifter som han eller hon enligt reglerna inte har behörighet till. De villkor för elektronisk tillgång till personuppgifter som CSN bestämmer kan ha betydelse vid tillämpningen av bestämmelsen om straff för dataintrång i 4 kap. 9 c § brottsbalken.

Vilken elektronisk tillgång till personuppgifter som en enskild handläggare behöver för att kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten är i första hand upp till CSN att bedöma. Avsikten är dock att bedömningen ska göras på ett betydligt mer nyanserat sätt än vad den synes ha gjorts hittills så att inte i princip varje handläggare hela tiden har möjlighet till elektronisk tillgång till uppgifter om flera miljoner människor. Avsikten är emellertid inte att CSN på något genomgripande sätt ska behöva ändra sitt arbetssätt eller sin organisation.

CSN behöver bl.a. med hänsyn till de långa återbetalningstiderna för studielån i vissa fall spara personuppgifter i ärenden om studiestöd under mycket lång tid. Alla sparade personuppgifter behövs emellertid inte normalt sett för att kunna hantera återbetalning eller återkrav av studiestöd. Det gör enligt utredningens mening att det är både nödvändigt och rimligt att efter en viss tid begränsa den direkta elektroniska tillgängligheten till personuppgifter som normalt sett inte behövs för att kunna hantera återbetalning eller återkrav av studiestöd. Frågan om ytterligare begränsningar av den direkta elektroniska tillgängligheten till sparade personuppgifter efter en viss tid hänger samman med de bestämmelser som bör gälla i fråga om bevarande och gallring av personuppgifter. Utredningen berör därför den frågan tillsammans med frågan om gallring i ett senare, gemensamt avsnitt, avsnitt 6.16.

De behörighetsvillkor som CSN har att ställa upp bör som sagt lämpligen kompletteras med motsvarande tekniska begränsningar. Det torde dock inte vara praktiskt möjligt att med tekniska begränsningar förhindra all elektronisk tillgång till personuppgifter som inte behövs för att en handläggare ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. För att kunna utreda och beivra obehörig åtkomst som inte förhindras av tekniska begränsningar och försök från anställda och utomstående att kringgå de tekniska begränsningarna (t.ex. genom s.k. hackning) krävs det för det första att den faktiska elektroniska tillgången till personuppgifter dokumenteras i en logg (behandlingshistorik). Dokumentationen ska avse alla former av elektronisk tillgång som förekommit till personuppgifterna oavsett om det är anställda som internt berett sig tillgång eller om utomstående har gjort det t.ex. via direktåtkomst. För det andra krävs det att det genomförs systematiska och återkommande kontroller av om obehörig åtkomst till personuppgifterna förekommit. Det räcker alltså inte att loggarna kontrolleras bara när CSN på annat sätt fått anledning att misstänka att obehörig åtkomst har förekommit. Det bör i första hand vara upp till CSN att bedöma hur kontrollen bör genomföras. Avsikten är att åstadkomma en sådan lämplig säkerhetsnivå som avses i 31 § personuppgiftslagen.

Att loggning sker och att loggarna av CSN kontrolleras systematiskt och återkommande innebär inte bara att obehörig åtkomst kan upptäckas och beivras i efterhand utan torde också ha en avhållande effekt. Dessa effekter av loggningen förstärks också genom utredningens förslag om att den registrerade, i den utsträckning uppgifterna får lämnas ut till honom eller henne, får ha direktåtkomst till dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter, se avsnitt 6.12.6. Loggarna utgör vidare allmänna handlingar som den registrerade kan begära att få ta del av med stöd av offentlighetsprincipen. Det torde normalt inte gälla sekretess gentemot den registrerade för uppgifterna i loggarna.

Utredningen har vidare övervägt att föreslå en uttrycklig bestämmelse om att CSN på begäran ska lämna den registrerade begriplig information om den elektroniska tillgång till hans eller hennes uppgifter som förekommit. En motsvarande bestämmelse har t.ex. föreslagits för hälso- och sjukvårdens del.[78] Utredningen har emellertid stannat för att inte lämna något sådant förslag. Det får nämligen förutsättas att CSN på egen hand ser till att det är möjligt för registrerade som begär det att få se sådan dokumentation av den elektroniska tillgången som de kan förstå. Skulle det visa sig att det trots allt behövs uttryckliga bestämmelser i det avseendet, kan sådana bestämmelser meddelas av regeringen i förordning (jämför nedan).

Eftersom det inte kan uteslutas att det på området kan behövas mer preciserade bestämmelser som inte lämpligen bör meddelas i lag, bör det uttryckligen anges i studiestödsdatalagen att regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång och om dokumentation och kontroll.

De nu berörda bestämmelserna i den föreslagna studiestödsdatalagen avviker inte från bestämmelserna om säkerheten vid behandling i 30–32 §§ personuppgiftslagen utan utgör preciseringar av dessa bestämmelser. CSN har således att i andra avseenden än som särskilt regleras i studiestödsdatalagen vidta lämpliga åtgärder enligt vad som följer av personuppgiftslagen för att skydda de personuppgifter som behandlas.

6.12 Direktåtkomst och annat elektroniskt utlämnande av personuppgifter

6.12.1 Inledning

I personuppgiftslagen regleras det inte särskilt på vilket sätt – elektroniskt eller på annat sätt, t.ex. muntligt eller på papper – personuppgifter får lämnas ut när uppgifterna över huvud taget får lämnas ut.

I många särskilda registerförfattningar finns det dock bestämmelser om utomståendes direktåtkomst till myndigheters register och databaser och om när personuppgifter får lämnas ut på medium för automatiserad behandling. Det finns inte någon legaldefinition av begreppet direktåtkomst eller begreppet utlämnande på medium för automatiserad behandling, men frågor om sådana former av elektroniska utlämnanden har diskuterats i ett flertal förarbeten. Begreppsbildningen är oklar och inte enhetlig.[79]

I fråga om direktåtkomst har Integritetsskyddskommittén efter en genomgång av olika särskilda registerförfattningar sammanfattningsvis angett bl.a. följande:[80]

Grundläggande bestämmelser om så kallad direktåtkomst brukar i allmänhet ha form av lag. Skälet till detta är att frågan om direktåtkomst har ansetts central från integritetsskyddssynpunkt. Vad som avses med detta begrepp kan dock inte anses helt klarlagt. Den grundläggande innebörden av begreppet torde vara att någon för myndigheten utomstående har rätt att på egen hand söka i myndighetens databaserade informationssamlingar, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet (se t.ex. prop. 2004/05:164 s. 83 f.). I begreppet direktåtkomst ligger också att den som är ansvarig för informationssamlingen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Genom direktåtkomsten öppnas alltså myndighetens informationssamlingar helt eller delvis för den utomstående. Om det är fråga om uppgifter som omfattas av sekretess, måste man alltså i förväg fastställa att den utomstående har rätt att ta del av informationssamlingen utan att någon sekretessprövning skall göras i det individuella fallet.

En bestämmelse som tillåter direktåtkomst har inte ansetts i sig innebära en sådan uppgiftsskyldighet som enligt 14 kap. 1 § SekrL medför att ett utlämnande av uppgifter till en annan myndighet inte hindras av sekretess. Det torde bero på att det i bestämmelser om direktåtkomst brukar anges vilka myndigheter som får ha direktåtkomst till den aktuella myndighetens informationssamlingar. […]

[…]Den regleringsmodell som i allmänhet används är således att det i den aktuella registerlagen anges att direktåtkomst får medges. Därutöver meddelar regeringen i en förordning kompletterande bestämmelser om uppgiftsskyldighet. I lagen brukar det inte hänvisas till att det i förordning finns sådana sekretessbrytande regler. Av lagen framgår alltså i allmänhet inte att direktåtkomsten kompletteras av bestämmelser om uppgiftsskyldighet.

Kommittén ansåg att det vore önskvärt att bestämmelser om direktåtkomst utformas så att det framgår huruvida denna åtkomst kompletteras med bestämmelser om uppgiftsskyldighet. Därmed skulle den enskilde redan av de grundläggande bestämmelserna i lagen kunna läsa ut vilken slags integritetsinskränkning det var fråga om.[81]

Det har någon gång betonats att det i praktiken inte behöver vara så stor skillnad mellan direktåtkomst och utlämnande på medium för automatiserad behandling.[82] I fråga om begreppet utlämnande på medium för automatiserad behandling brukar man fästa avseende vid sådant som att det är avsändaren som, åtminstone i teorin, i det enskilda fallet bestämmer vilka uppgifter som ska lämnas ut och som därvid gör en sekretessprövning och att mottagaren efter utlämnandet själv kan bearbeta de mottagna uppgifterna. Att utlämnandet sker på något fysiskt medium, såsom en diskett eller en cd-skiva, har inte alltid krävts utan ibland har även utlämnanden via elektronisk kommunikation, såsom e-post, ansetts innefattas i begreppet. Inte heller bestämmelser som tillåter utlämnande på medium för automatiserad behandling har ansetts i sig innebära en sådan uppgiftsskyldighet som enligt 14 kap. 1 § sekretesslagen medför att ett utlämnande av uppgifter till en annan myndighet inte hindras av sekretess. Om det är fråga om uppgifter som omfattas av sekretess, måste man alltså även här före utlämnandet fastställa att den utomstående har rätt att ta del av uppgifterna.

Begreppsbildningen i fråga om elektroniskt utlämnande av personuppgifter är som sagt oklar och inte enhetlig. Det är inte bra, men det kan man inte göra så mycket åt när man utformar ytterligare en särskild registerförfattning. Vad man kan göra då är att se till att man inte bidrar till ytterligare oklarheter.

Att personuppgifter, på ett eller annat vis, lämnas ut i elektronisk form innebär som regel att det, i förhållande till utlämnande i annan form, t.ex. muntligt eller på papper eller mikrokort, blir enklare för mottagaren att vidare bearbeta uppgifterna och att sprida dem vidare. Inhämtande av personuppgifter i elektronisk form torde vidare i dag ofta upplevas som enklare och billigare än inhämtande i annan form, varför den elektroniska formen i sig kan antas öka det informationsutbyte som sker. Därför finns det skäl att i särskilda registerförfattningar ha särskilda begränsningar i fråga om just elektroniskt utlämnande av personuppgifter.

Utredningen, som anser att sådana begränsningar bör finnas även i studiestödsdatalagen, har valt att anknyta till de oklara men ändå vedertagna begreppen direktåtkomst och utlämnande på medium för automatiserad behandling. Därmed bör läsaren av lagen känna igen sig. Samtidigt har utredningen med något undantag valt att reglera de båda utlämnandeformerna på i princip samma sätt för att därmed minska olägenheterna av att det ibland kan vara oklart vad som utgör den ena respektive den andra formen av utlämnande. Som överordnat begrepp använder utredningen i den föreslagna studiestödsdatalagen begreppet elektroniskt utlämnande. Därmed avser utredningen alla former av utlämnande av personuppgifter i elektroniskt format, dvs. i binär form, såsom ettor och nollor.

Det bör betonas att vid allt elektroniskt utlämnande måste naturligtvis kraven på säkerhetsåtgärder i enlighet med personuppgiftslagen upprätthållas.

Frågan om kommunernas socialtjänst bör få elektronisk tillgång till uppgifter hos CSN, t.ex. i enlighet med det pilotprojekt som för närvarande bedrivs av CSN i samarbete med bl.a. Borlänge kommun och som beskrivits i avsnitt 4.2.5, har nyligen utretts i särskild ordning, och 2005 års informationsutbytesutredning har tagit ställning för att sådan tillgång bör medges.[83] Utredningen tar därför inte ställning till den frågan i sak utan begränsar sig till att redogöra för hur den direktåtkomst 2005 års informationsutbytesutredning ansett bör komma till stånd tekniskt kan inordnas i utredningens författningsförslag. Den frågan berörs närmare i avsnitt 6.12.5.

6.12.2 Elektroniskt utlämnande kräver samtycke eller författningsstöd

Utredningens förslag: Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna om tillåtna ändamål m.m. och sökbegrepp följs. Redan i studiestödsdatalagen anges vissa fall av tillåtet elektroniskt utlämnande. När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på annat sätt lämnas ut elektroniskt till denne.

Det finns såsom nämnts inledningsvis (avsnitt 6.12.1) skäl att i förhållande till vad som gäller enligt personuppgiftslagen införa särskilda begränsningar i fråga om elektroniskt utlämnande av personuppgifter.

Vid bedömningen av vilka som bör få ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet bör utgångspunkten vara att sådan åtkomst kan tillåtas, men att det inte ska ske i större omfattning än vad som kan försvaras av effektivitetsskäl, inklusive kontroll av användningen av statliga medel, och att det ska ske med beaktande av integritetsskyddshänsyn. Genom direktåtkomst mellan myndigheter kan den enskilde slippa lämna samma uppgifter flera gånger samtidigt som myndigheten genom direktåtkomsten kan få möjlighet att komma åt uppgifter som är både nödvändiga och aktuella. Därigenom kan direktåtkomst öka effektiviteten för myndigheter och enskilda i deras kontakter med myndigheter. Det är enligt utredningens mening viktigt att en principiell avvägning görs mellan hänsynen till å ena sidan krav på effektiv handläggning och god kontroll av användningen av statliga medel och å andra sidan skyddet för de registrerades integritet. En grundläggande utgångspunkt måste enligt utredningens mening vara att direktåtkomst endast bör tillåtas när nyttan av åtkomsten är klart påvisbar samtidigt som den inte innebär några beaktansvärda försämringar av skyddet för den personliga integriteten.

På motsvarande sätt bör man bedöma annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet som sker i större omfattning, t.ex. återkommande eller systematiskt utlämnande på medium för automatiserad behandling eller via elektronisk kommunikation såsom e-post. I den utsträckning direktåtkomst är tillåten bör å andra sidan andra former av elektroniskt utlämnande av personuppgifter utan vidare vara tillåtna. Direktåtkomst för någon är nämligen som regel den mest integritetskänsliga formen för elektroniskt utlämnande av personuppgifter till denne.

Enligt utredningens mening finns det för det första inga beaktansvärda integritetsskyddsskäl som talar emot att tillåta sådant elektroniskt utlämnande som sker med den registrerades samtycke. En annan sak är att direktåtkomst till en samling uppgifter om många personer knappast kan baseras på frivilliga samtycken från de registrerade. Vid elektroniskt utlämnande i enskilda fall kan dock samtycke vara realistiskt.

Frågan om elektroniskt utlämnande såsom direktåtkomst ska tillåtas utan de registrerades samtycke i ett visst fall förutsätter normalt sådana överväganden och detaljregler i det konkreta fallet att bestämmelser om detta som regel inte lämpligen bör tas in i den föreslagna studiestödsdatalagen.

I fråga om direktåtkomst till beskattningsdatabasen har regeringen ansett att det – med hänsyn till att direktåtkomst till uppgifter hos en annan myndighet ansetts innebära särskilda risker från integritetssynpunkt, eftersom den utlämnande myndigheten inte har möjlighet att i varje enskilt fall ta ställning till om de eftersökta uppgifterna bör lämnas ut – bör ankomma på riksdagen att ta ställning till i vilka fall direktåtkomst bör medges (prop. 2000/01:33 s. 133). Senare har det emellertid ansetts att direktåtkomst till socialförsäkringsdatabasen, som innehåller personuppgifter som normalt får anses vara av mer känslig natur än de personuppgifter som behandlas i CSN:s studiestödsverksamhet, bör kunna medges genom förordning (men inte genom myndighetsföreskrifter), 17 § lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration (prop. 2002/03:135 s. 90, jämför dock om tolkningen av bestämmelsen Samsetrapport 2005:1 s. 90).

Utredningen anser för sin del att det i fråga om personuppgifter som behandlas i CSN:s studiestödsverksamhet är tillräckligt att bestämmelser som tillåter direktåtkomst – och därmed också annat elektroniskt utlämnande av personuppgifter – tas in i förordning. Inskränkningen i fråga om möjligheten för CSN att medge direktåtkomst och annat elektroniskt utlämnande av personuppgifter bör dock framgå direkt av den föreslagna studiestödsdatalagen. Utredningen föreslår i enlighet härmed att det i studiestödsdatalagen tas in en grundläggande bestämmelse om att direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet utan den registrerades samtycke bara är tillåtet i den utsträckning som anges i lag eller förordning. Därmed kan detaljregler om t.ex. vilka personuppgifter som berörs meddelas i annan lag eller, om det anses lämpligare, i förordning. Genom att det krävs en författningsbestämmelse men räcker med en bestämmelse i förordning utfärdad av regeringen, kan ändringar till följd av justeringar i myndighetsstrukturen och uppkommande nya befogade behov av informationsutbyte komma till stånd på ett förhållandevis smidigt sätt samtidigt som det finns tillräckliga garantier för att integritetsskyddsintressena uppmärksammas. Vid beredningen i Regeringskansliet av ett ärende om en bestämmelse som tillåter viss direktåtkomst ska nämligen yttrande från Datainspektionen hämtas in, 7 kap. 2 § regeringsformen. Den skyldigheten att höra Datainspektionen följer för övrigt också av EG-direktivet (artikel 28.2).

Utredningen föreslår dock att det redan i studiestödsdatalagen tas in bestämmelser om några fall av tillåtet elektroniskt utlämnande. De aktuella fallen berörs närmare i följande avsnitt. Det gäller för det första en generell bestämmelse föranledd av närmast praktiska skäl om att ett begränsat utlämnande av personuppgifter får ske på medium för automatiserad behandling eller via elektronisk kommunikation om sekretess inte hindrar det (avsnitt 6.12.3). För det andra gäller det ett par viktiga fall där en myndighet (Försäkringskassan) och organ med myndighetsuppgifter som vid tillämpning av sekretesslagen jämställs med myndigheter (arbetslöshetskassorna) redan i dag fortlöpande får personuppgifter elektroniskt från CSN (avsnitt 6.12.4). För det tredje gäller det elektroniskt utlämnande till den registrerade själv (avsnitt 6.12.6). Slutligen gäller det ett speciellt fall där en myndighet under riksdagen (Riksrevisionen) enligt förarbetena till en lagbestämmelse om uppgiftsskyldighet för CSN förutsätts på begäran få skyldigheten fullgjord genom utlämnande på medium för automatiserad behandling utan att det uttryckligen angetts i bestämmelsen (avsnitt 6.12.7).

Som exempel på befintliga bestämmelser om utlämnande av personuppgifter på medium för automatiserad behandling kan nämnas 1 b § bostadsbidragsförordningen (1993:739) och 5 § förordningen (1996:1036) om underhållsstöd.

Utredningen har med hjälp av CSN gått igenom det återkommande elektroniska utlämnande av personuppgifter som i övrigt sker från CSN i dag och som det finns konkreta planer på (jämför avsnitt 4.2.5).[84] Detta elektroniska utlämnande av personuppgifter från CSN kan sammanfattas enligt följande.

Mottagare	Syfte
Kronofogdemyndigheten	Indrivning av fordringar
Bank/Betalningsförmedlare	Betalningsförmedling
Inkassoföretag	Indrivning av fordringar i utlandet
Kortföretag	Ta fram och till studerande distribuera bevis om studier med studiestöd
Läroanstalter	Kontroll av de uppgifter läroanstalterna lämnat (tillgången avser i princip bara de uppgifter den aktuella läroanstalten själv lämnat till CSN)
Örebro kommun	Redovisning till Örebro kommun av belopp att betala ut till kommunen enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan (Rg-bidrag) avseende kostnad för kost, logi och annan service i samband med boendet som kommunen tillhandahåller
Skatteverket	Fullgörande av skyldighet att lämna kontrolluppgifter
Olika myndigheter eller organ som anges i bilagan till sekretesslagen (1980:100) som begär det	Namn- och adressuppgifter för myndigheternas utsändande av information (sker på grund av uppgiftsskyldigheten enligt 15 kap. 5 § sekretesslagen)
Kommuner	Kontroll inför utbetalning av ekonomiskt stöd till inackorderade elever i gymnasieskolan enligt 5 kap. 33 § skollagen (1985:1100) (sker på grund av uppgiftsskyldigheten enligt 15 kap. 5 § sekretesslagen)
Reseföretag	Betalning av studerandes resa (med samtycke)
Försäkringsmäklare	Förmedling av studerandes försäkring (med samtycke)

Detta elektroniska utlämnande av personuppgifter sker i dag inte i huvudsak med direktåtkomst i traditionell mening. Som nämnts i avsnitt 4.2.5 har det nyligen införts en möjlighet för skolor (läroanstalter) att via ett webbaserat gränssnitt rapportera uppgifter till CSN. I samband med att skolorna gör det får de elektronisk tillgång till de uppgifter som respektive skola tidigare lämnat till CSN, vilket får anses vara en direktåtkomst till uppgifterna.

Utredningen har från integritetsskyddssynpunkt inte något att erinra mot det elektroniska utlämnande av personuppgifter som sålunda sker så länge det avser bara de personuppgifter som behövs för respektive syfte, sker på ett tillräckligt säkert sätt och inte hindras av sekretess. Utlämnandet till Kronofogdemyndigheten, betalningsförmedlare, inkassoföretag, kortföretag, läroanstalter och Örebro kommun sker inom ramen för och för att fullgöra de tillåtna ändamålen med behandling (se avsnitt 6.8.2), medan utlämnandet till Skatteverket, till myndigheter och organ som anges i bilagan till sekretesslagen och till kommuner avseende inackorderade elever i gymnasieskolan sker på grund av uppgiftsskyldighet. Utlämnandet till reseföretag och försäkringsmäklare sker, eller kan utan olägenhet ske, med den registrerades samtycke. De övriga fallen tas lämpligen in i en till lagen anslutande förordning, studiestödsdataförordningen, med nödvändiga preciseringar av vilka uppgifter som får lämnas ut i respektive fall. Frågan om utformningen av förordningen i detta hänseende berörs i avsnitt 6.17.5 och 6.17.6.

Enligt CSN förekommer det inte så sällan att privata företag i andra fall begär att elektroniskt få ut adressuppgifter för utskick. CSN brukar i dessa fall inte lämna ut uppgifterna elektroniskt. Också utredningen anser att det inte generellt utanför de tillåtna ändamålen med behandlingen bör tillåtas att personuppgifter lämnas ut elektroniskt till privata företag för utskick utan de registrerades samtycke. Skulle det i framtiden uppkomma ett befogat behov av att elektroniskt lämna ut personuppgifter till privata företag, kan studiestödsdataförordningen senare kompletteras med preciserade bestämmelser för detta fall.

I samband med att CSN har direktåtkomst eller annan elektronisk tillgång till personuppgifter hos någon annan måste CSN ofta lämna ut personuppgifter elektroniskt. Om CSN vid direktåtkomst till uppgifter hos någon annan inte elektroniskt anger om vilken person uppgifter önskas via direktåtkomsten, kan CSN ofta inte på det sättet få tillgång till uppgifter om den personen. Ofta krävs det alltså att CSN sänder en elektronisk fråga med personuppgifter, t.ex. personnummer, för att CSN via direktåtkomst eller på annat elektroniskt sätt ska få tillgång till uppgifter hos någon annan om den omfrågade personen. Sådant elektroniskt utlämnande av personuppgifter från CSN som behövs för att annan ska kunna lämna ut personuppgifter elektroniskt till CSN, t.ex. via direktåtkomst, bör rimligtvis vara tillåtet för att medge CSN en effektiv tillgång till personuppgifter för t.ex. kontroll i den utsträckning CSN har lagliga möjligheter till sådan tillgång. Bestämmelser om sådant elektroniskt utlämnande av personuppgifter från CSN tas också lämpligen in i studiestödsdataförordningen.

Vid elektroniskt utlämnande av personuppgifter i enlighet med bestämmelser i lag eller förordning måste givetvis övriga bestämmelser om behandlingen av personuppgifter följas. Bestämmelserna som anger när elektroniskt utlämnande av personuppgifter får ske anger således bara när just ett sådant utlämnande får ske, om behandlingen är tillåten enligt övriga bestämmelser om behandlingen av personuppgifter. Bestämmelserna i den föreslagna studiestödsdatalagen om när en behandling av personuppgifter över huvud taget är tillåten (se avsnitt 6.8) måste således följas, liksom bestämmelserna i den föreslagna lagen om vilka sökbegrepp som inte får användas (se avsnitt 6.10). En erinran om detta bör tas in i den grundläggande bestämmelsen om att elektroniskt utlämnande av personuppgifter är tillåtet bara i den utsträckning som anges i lag eller förordning. Även tillämpliga bestämmelser i personuppgiftslagen, t.ex. om säkerheten vid behandling, måste givetvis följas.

6.12.3 Elektroniskt utlämnande av enstaka personuppgifter

Utredningens förslag: Enstaka personuppgifter får alltid lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall om sekretess inte hindrar det.

Det är i första hand ett systematiskt eller återkommande elektroniskt utlämnande av sammantaget en större mängd personuppgifter som kräver begränsningar av integritetsskyddsskäl. Utredningen anser därför att det utan vidare bör tillåtas att enstaka personuppgifter lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall om sekretess inte hindrar det. Därmed underlättas bl.a. den i dag naturliga och vardagliga kommunikationen via e-post. Vid utlämnandet måste naturligtvis kraven på säkerhetsåtgärder i enlighet med personuppgiftslagen upprätthållas.

Utlämnandet kan ske på någon form av fysiskt medium, såsom diskett, usb-minne, minneskort, cd- eller dvd-skiva, eller via någon form av elektronisk kommunikation, såsom e-post, SMS eller skriftlig dialog i realtid via Internet (s.k. chatt).

Syftet med begränsningen till enstaka personuppgifter är att ett mer omfattande eller systematiskt uppgiftsutlämnande ska kräva särskilt författningsstöd. Ett helt register eller delar av ett register får således inte lämnas ut, t.ex. i form av en fil på diskett, med stöd av den nu berörda bestämmelsen. Däremot kan några enstaka handlingar och uppgifter lämnas ut via e-post som svar på en förfrågan eller på CSN:s eget initiativ.

I kravet på att det ska vara fråga om elektronisk kommunikation i enskilda fall ligger att utlämnandet ska ske genom en icke automatiserad process, där någon handläggare hos CSN är inblandad i varje utlämnande.

6.12.4 Direktåtkomst för Försäkringskassan och arbetslöshetskassorna

Utredningens förslag: Försäkringskassan och arbetslöshetskassorna får i den utsträckning uppgiftsskyldighet följer av lag eller förordning ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst.

De aktuella personuppgifterna får också på annat sätt lämnas ut elektroniskt till Försäkringskassan och arbetslöshetskassorna.

De statliga utgifterna utgörs till närmare 75 procent (ca 700 miljarder kronor) av olika former av ersättningar och bidrag.[85] Avsevärda belopp kan därför gå förlorade redan genom felutbetalningar i ringa omfattning. Att ge myndigheterna kontrollmöjligheter vid utbetalning av olika stödformer fyller därför ett befogat statsfinansiellt syfte. Genom 2002 års reform avseende ökat informationsutbyte mellan arbetslöshetsförsäkringen, socialförsäkringen och studiestödet[86] infördes det en uttrycklig möjlighet för länsarbetsnämnderna, de dåvarande allmänna försäkringskassorna och dåvarande Riksförsäkringsverket att lämna ut uppgifter till de övriga aktörerna i informationsutbytet (arbetslöshetskassorna, länsarbetsnämnderna, CSN, försäkringskassorna och Riksförsäkringsverket) på elektronisk väg och att dessa övriga aktörer skulle få direktåtkomst till informationen. Genom reformen sågs det också till att det fanns nödvändiga bestämmelser om uppgiftsskyldighet mellan de olika aktörerna på området. Statskontoret har föreslagit att det införs en mer heltäckande utbetalningskontroll avseende de förmåner som administreras av de organ som i dag berörs av informationsutbytet. Statskontoret föreslog uttryckligen att denna kontroll skulle omfatta utbetalningar från CSN.[87]

Grundläggande bestämmelser om CSN:s uppgiftsskyldighet gentemot Försäkringskassan och arbetslöshetskassorna finns i 20 kap. 9 § lagen (1962:381) om allmän försäkring respektive 48 c § lagen (1997:238) om arbetslöshetsförsäkring. För personuppgifterna hos Försäkringskassan och arbetslöshetskassorna gäller ett sekretesskydd som motsvarar det som gäller för uppgifterna hos CSN (7 kap. 7 och 10 §§ sekretesslagen). Redan i dag förekommer det i enlighet med intentionerna bakom 2002 års reform ett omfattande elektroniskt utlämnande av personuppgifter från CSN till Försäkringskassan och arbetslöshetskassorna.

Det torde knappast ankomma på utredningen att överpröva det informationsutbyte till följd av kontrollbehov som utretts och tillgodosetts i särskild ordning genom bl.a. 2002 års reform. Utredningen har i och för sig ingen erinran mot om informationsutbytet sker på det sättet att Försäkringskassan och arbetslöshetskassorna ges direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet. Det bör dock noteras att det för behandlingen av personuppgifter i arbetslöshetskassornas verksamhet inom arbetslöshetsförsäkringen saknas en särskild författningsreglering, vilket inte är tillfredsställande särskilt när motsvarande lucka i regleringen avseende en annan aktör inom informationsutbytet (CSN) nu håller på att täppas till.

Eftersom informationsutbytet är etablerat och har stor omfattning samt då motsvarande elektroniska utlämnande från Försäkringskassan till CSN är reglerat i den särskilda registerlag som gäller för Försäkringskassan, finner utredningen att det är lämpligast och tydligast att ta in grundläggande bestämmelser om det elektroniska utlämnandet till Försäkringskassan och arbetslöshetskassorna redan i den föreslagna studiestödsdatalagen. Utredningen föreslår därför en bestämmelse i studiestödsdatalagen om att Försäkringskassan och arbetslöshetskassorna får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet i den utsträckning uppgiftsskyldighet följer av lag eller förordning. Bland annat eftersom uppgiftsskyldigheten för CSN har en väldigt vid omfattning, bör det ankomma på regeringen att meddela nödvändiga detaljföreskrifter om vilka personuppgifter som får omfattas av direktåtkomsten.

Den föreslagna bestämmelsen innebär inte i sig någon uppgiftsskyldighet för CSN eller någon skyldighet för CSN att faktiskt anordna den direktåtkomst som får förekomma enligt bestämmelsen.

6.12.5 Direktåtkomst för socialnämnder

I sitt betänkande Utökat elektroniskt informationsutbyte (SOU 2007:45) har 2005 års informationsutbytesutredning lämnat förslag till en bestämmelse i socialtjänstlagen (2001:453) om uppgiftsskyldighet för CSN och flera andra myndigheter gentemot socialnämnder. Enligt förslaget ska CSN till socialnämnden lämna de uppgifter om förmån, ersättning eller annat stöd åt enskild som har betydelse i ärende om ekonomiskt bistånd enligt 4 kap. socialtjänstlagen och ärende om återkrav m.m. av sådant bistånd enligt 9 kap. socialtjänstlagen. I en föreslagen ny förordning om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453) finns det närmare föreskrifter om vilka uppgifter CSN ska lämna till socialnämnden. Enligt förslaget ska, såvitt nu har betydelse, CSN till socialnämnden lämna följande uppgifter om sökanden hos socialnämnden:

1. namn, personnummer och i förekommande fall samordningsnummer,

2. att en ansökan om studiestöd har lämnats in,

3. vilken form av studiestöd som har sökts, beviljats respektive utbetalats,

4. för vilken tidsperiod studiestöd har sökts, beviljats respektive utbetalats,

5. omfattningen av studiestöd i form av studiemedel,

6. med vilket belopp studiestöd har beviljats eller betalats ut fördelat på form av stöd,

7. datum för utbetalning av studiestöd, och

8. uppgift om beviljat eller utbetalt studiestöd i form av studiemedel avser studier på grundskolenivå.

Syftet med förslagen från 2005 års informationsutbytesutredning är att socialnämnderna ska kunna få direktåtkomst till personuppgifter som behandlas hos CSN. Eftersom frågan har utretts i särskild ordning, tar utredningen inte ställning i sak till frågan om socialnämnderna bör kunna få direktåtkomst till personuppgifter som behandlas hos CSN. Utredningen begränsar sig i stället till att redogöra för hur en sådan direktåtkomst, om den anses önskvärd, tekniskt kan inordnas i utredningens författningsförslag, som ju introducerar en bestämmelse om att direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning.

Om förslagen från 2005 års informationsutbytesutredning genomförs och det bedöms önskvärt att socialnämnderna ska kunna få direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet i den utsträckning den utredningen föreslagit, kan det ordnas genom en ny bestämmelse i den studiestödsdataförordning som utredningen föreslår. En sådan ny bestämmelse skulle lämpligen kunna formuleras enligt följande: ”En socialnämnd får ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet i den utsträckning som anges i 2 § förordningen (0000:00) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453).”

I avsnitt 4.2.5 under underrubriken Kommuner har verksamheten inom den s.k. Borlängepiloten översiktligt beskrivits. Verksamheten innebär elektroniskt utlämnande av vissa personuppgifter från CSN till socialnämnder. I samband med att ställning tas till förslagen från 2005 års informationsutbytesutredning, som om de genomförs jämte den kompletterande förordningsbestämmelse som nyss angetts skulle ge nödvändigt författningsstöd för informationsutbytet, bör ställning också tas till en eventuell fortsättning av verksamheten inom Borlängepiloten.

Utredningen har noterat att enligt förslagen från 2005 års informationsutbytesutredning ska uppgiftsskyldigheten och direktåtkomsten bara få avse uppgifter om den som är sökande hos socialnämnden. Det är inte för utredningen helt klart hur CSN ska kunna begränsa direktåtkomsten för en socialnämnd till uppgifter om personer som är sökande (i ärende om ekonomiskt bistånd) hos den socialnämnden eller hur det är avsett att CSN innan direktåtkomst medges ska kunna förvissa sig om att en viss person är sökande hos en viss socialnämnd.

Utredningen har – i syfte att åstadkomma en sådan lämplig säkerhetsnivå som avses i 31 § personuppgiftslagen – föreslagit en uttrycklig bestämmelse om att CSN ska se till att elektronisk tillgång till personuppgifter dokumenteras. Sådan loggning torde, bl.a. mot bakgrund av 31 § personuppgiftslagen, förekomma hos de flesta myndigheter som ger andra myndigheter direktåtkomst till personuppgifter. Såvitt utredningen förstår måste en socialnämnd som har direktåtkomst till uppgifter om en sökande i ett ärende om ekonomiskt bistånd hos en annan myndighet i samband därmed elektroniskt lämna den myndigheten information om sökandens identitet, t.ex. genom att på ett strukturerat sätt elektroniskt ange personnumret. I vart fall torde det inte vara ovanligt att den myndighet som medger direktåtkomst loggar vilka personer eller ärenden en annan myndighets direktåtkomst avsett. Loggen torde utgöra en allmän handling hos den myndighet som för den, och det torde hos den myndigheten sällan gälla sekretess för uppgifterna i loggen. Mot den bakgrunden förordar utredningen att frågan om skydd för logguppgifter särskilt beaktas innan direktåtkomst medges för socialnämnderna till personuppgifter hos CSN.

6.12.6 Direktåtkomst för den registrerade

Utredningens förslag: Den registrerade får i den utsträckning sekretess inte hindrar det ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, om uppgifterna

1. avser honom eller henne själv,

2. finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, eller

3. avser dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter.

De aktuella personuppgifterna får också på annat sätt lämnas ut elektroniskt till den registrerade.

CSN erbjuder i dag studerande med studiemedel och låntagare direktåtkomst till en del av sina egna personuppgifter via funktionen ”Mina sidor” på CSN:s webbplats på Internet.[88]

Utredningen anser att det inte finns några integritetsskyddsskäl som talar emot att den registrerade får ha direktåtkomst till sina egna personuppgifter som behandlas i CSN:s studiestödsverksamhet, om sekretess inte hindrar det, eller att uppgifterna på annat sätt lämnas ut elektroniskt till den registrerade. I stället kan en sådan elektronisk tillgång – vid sidan av befintliga möjligheter och rättigheter att ta del av sina uppgifter – bidra till att det blir enklare för den registrerade att kontrollera sina uppgifter och göra gällande sina rättigheter, t.ex. om det har blivit något fel.

Utredningen föreslår som nämnts en grundläggande bestämmelse om att direktåtkomst till och annat elektroniskt utlämnande av personuppgifter bara är tillåtet i den utsträckning som anges i lag eller förordning, om den registrerade inte samtyckt. När den registrerade bereds direktåtkomst till sina uppgifter torde samtycke alltid finnas eller kunna hämtas in utan olägenhet. Vid annat elektroniskt utlämnande, t.ex. om CSN som en service till registrerade utan tillgång till Internet skulle vilja sända de registrerades uppgifter på något fysiskt datamedium, är det kanske inte lika praktiskt med samtycke på förhand. Utredningen anser i vart fall att det är bäst att för tydlighets skull i den föreslagna studiestödsdatalagen ta in uttryckliga bestämmelser om den registrerades elektroniska tillgång till sina egna personuppgifter.

Utredningen föreslår därför en bestämmelse om att den registrerade, i den utsträckning sekretess inte hindrar det, får ha direktåtkomst till personuppgifter om sig själv som behandlas i CSN:s studiestödsverksamhet.

I ett ärende om studiestöd kan det ibland förekomma uppgifter om andra personer än den person som är part. För en smidig elektronisk hantering av ärendena för såväl de studiestödsberättigade och låntagarna som CSN är det av stort värde att den registrerade genom direktåtkomst kan ta del av alla uppgifter i det ärende där han eller hon är part. Utredningen, som inte kan se några bärande integritetsskyddsskäl mot en sådan direktåtkomst, föreslår därför också en bestämmelse om att den registrerade, i den utsträckning sekretess inte hindrar det, får ha direktåtkomst till personuppgifter som finns i ett ärende om studiestöd där den registrerade är part.

Ibland har enligt den materiella lagstiftningen någon annan fysisk person än den vars rätt till studiestöd ska prövas i ärendet rätt att få utbetalning av studiestödet, i typfallet vårdnadshavare för en omyndig studiehjälpsberättigad. Den person som har rätt att få utbetalning av studiestödet, om det beviljas, är då registrerad i ärendet jämte den vars rätt till studiestöd ska prövas och har ofta bäst möjligheter att kontrollera att uppgifterna, t.ex. om utbetalning, är riktiga. Utredningen kan inte heller här se några bärande integritetsskyddsskäl mot direktåtkomst i ärendet för också den person som har rätt att få utbetalning av det aktuella studiestödet. Utredningen föreslår därför också en bestämmelse om att en registrerad som har rätt att få utbetalning av studiestöd för någon annan, i den utsträckning sekretess inte hindrar det, får ha direktåtkomst till uppgifter som finns i just detta ärende om studiestöd.

Utredningen har i avsnitt 6.11 föreslagit en uttrycklig skyldighet för CSN att se till att elektronisk tillgång till personuppgifter dokumenteras, dvs. registreras i en behandlingshistorik (logg). Att den registrerade på ett enkelt sätt via direktåtkomst kan få del av begriplig dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter ger denne en ökad kontroll över vilken användning av uppgifterna som förekommit. Att den registrerade själv kan kontrollera behandlingshistoriken innebär vidare bättre möjligheter att upptäcka och beivra obehörig åtkomst samt förstärker loggningens avhållande effekter. Dokumentationen av elektronisk tillgång kan i och för sig innehålla uppgifter om vilka personer som haft sådan tillgång till personuppgifterna (och när de hade sådan tillgång). Även sådana uppgifter om handläggare och liknande bör den registrerade kunna få del av via direktåtkomst. Med beaktande av att uppgifterna om handläggarna rör åtgärder i anställningen, får den registrerades intresse av kontroll över sina uppgifter nämligen anses väga tyngre än handläggarnas intresse av att slippa få sina åtgärder i anställningen granskade av den som åtgärderna berör.

Utredningen föreslår därför även en bestämmelse om att den registrerade, i den utsträckning sekretess inte hindrar det, får ha direktåtkomst till uppgifter som avser dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter.

De föreslagna bestämmelserna innebär inte i sig någon uppgiftsskyldighet för CSN eller någon skyldighet för CSN att faktiskt anordna den direktåtkomst som får förekomma enligt bestämmelserna. CSN kan alltså t.ex. begränsa direktåtkomsten avseende dokumentationen av den elektroniska tillgången till uppgifter som inte direkt pekar ut enskilda handläggare.

Möjligheten till direktåtkomst gäller bara i den utsträckning uppgifterna över huvud taget får lämnas ut till den registrerade. Sekretess kan således hindra direktåtkomsten. Sekretessregler hindrar dock typiskt sett inte att den enskilde får ut uppgifter om sig själv, 14 kap. 4 § första stycket sekretesslagen, men undantag kan gälla t.ex. med hänvisning till intresset att förebygga eller beivra brott, 5 kap. 1 § sekretesslagen.

6.12.7 Elektroniskt utlämnande till Riksrevisionen

Utredningens förslag: På begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling.

Riksrevisionen är en myndighet under riksdagen med uppgift att granska den verksamhet som bedrivs av staten, inklusive den verksamhet som bedrivs av CSN såsom statlig myndighet (12 kap. 7 § regeringsformen). CSN ska enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. på begäran lämna Riksrevisionen den hjälp och de uppgifter och upplysningar som Riksrevisionen behöver för granskningen. Den bestämmelsen innefattar en uppgiftsskyldighet för CSN. Enligt förarbetena till bestämmelsen omfattar uppgiftsskyldigheten uppgiftslämnande på medium för automatiserad behandling.[89] På begäran lämnar CSN en gång varje år Riksrevisionen uppgifter, inklusive personuppgifter, på fil. Den sekretess som gällde för personuppgifterna hos CSN gäller också hos Riksrevisionen, 13 kap. 1 § sekretesslagen.

Utredningen föreslår som nämnts en grundläggande bestämmelse om att direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning. Den enligt förarbetena avsedda skyldigheten för CSN att till Riksrevisionen lämna ut begärda uppgifter på medium för automatiserad behandling anges emellertid inte uttryckligen i bestämmelsen om uppgiftsskyldighet i 6 § lagen (2002:1022) om revision av statlig verksamhet m.m.

Utredningen föreslår därför en uttrycklig bestämmelse i studiestödsdatalagen om att CSN på begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får lämna ut personuppgifter till Riksrevisionen på medium för automatiserad behandling.

6.13 Överföring av personuppgifter till tredje land

Utredningens bedömning: Det behövs inte i studiestödsdatalagen några särskilda bestämmelser om överföring av personuppgifter till tredje land.

I personuppgiftslagen finns det särskilda bestämmelser om den form av behandling av personuppgifter som en överföring av dem till ett s.k. tredje land (en stat som varken ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet) innebär (se avsnitt 3.4). I utredningsdirektiven anges det att utredningen bör uppmärksamma behoven att utbyta personuppgifter med mottagare inom och utanför EU. CSN har dock inte något löpande eller strukturerat utbyte av personuppgifter med någon utomlands (se avsnitt 4.2.7). Såvitt framkommit har CSN inte upplevt några svårigheter med att tillämpa bestämmelserna i personuppgiftslagen vid den överföring av personuppgifter som förekommer ibland. Det har vidare inte kommit fram att CSN:s överföring av personuppgifter skulle innebära några integritetsrisker som skulle behöva regleras särskilt.

Utredningens bedömning är mot den bakgrunden att det inte behövs några särskilda bestämmelser i studiestödsdatalagen om CSN:s överföring av personuppgifter till tredje land.

6.14 Rättelse och skadestånd

Utredningens förslag: Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till lagen.

Enligt 28 § personuppgiftslagen (1998:204) gäller att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med den lagen eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Bestämmelserna i 28 § personuppgiftslagen om rättelse m.m. är således bara tillämpliga när uppgifterna behandlats i strid med den lagen eller föreskrifter som utfärdats med stöd av personuppgiftslagen. Har personuppgifter behandlats på något sätt som bara står i strid med bestämmelser i en registerförfattning, gäller alltså formellt inte bestämmelserna i 28 § personuppgiftslagen om rättelse m.m. Den registrerade bör emellertid vid behandling av personuppgifter i strid med den föreslagna studiestödsdatalagen eller föreskrifter som kan ha meddelats i anslutning till lagen ha samma möjligheter till rättelse m.m. som enligt 28 § personuppgiftslagen. Det är därför nödvändigt att i studiestödsdatalagen ta in en särskild bestämmelse om detta som hänvisar till bestämmelserna om rättelse m.m. i personuppgiftslagen.

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta en registrerad för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Skadeståndsbestämmelserna i personuppgiftslagen gäller framför de allmänna bestämmelserna om skadestånd i skadeståndslagen (1972:207), eftersom sistnämnda lag är subsidiär i förhållande till andra regleringar, 1 kap. 1 § skadeståndslagen. I den mån en fråga inte är reglerad i personuppgiftslagen ska dock bestämmelserna i skadeståndslagen tillämpas. Det gäller exempelvis frågor om beräkning av ersättningens storlek. Skillnaden mellan de särskilda bestämmelserna i personuppgiftslagen och bestämmelserna i skadeståndslagen består främst i att ersättning enligt personuppgiftslagen kan avse ren förmögenhetsskada och kränkning av den personliga integriteten även om brottslig gärning inte begåtts. En annan viktig skillnad är att bestämmelsen i personuppgiftslagen bygger på ett i princip strikt skadeståndsansvar, medan skadeståndsskyldighet enligt skadeståndslagen förutsätter åtminstone ett oaktsamt handlande från skadevållarens sida.

Bestämmelserna i 48 § personuppgiftslagen om skadestånd gäller dock bara ersättningsskyldighet vid behandling av personuppgifter i strid med bestämmelserna i den lagen. De är alltså inte tillämpliga vid behandling av personuppgifter i strid med andra författningar. Ett motsvarande skadeståndsansvar som det som gäller enligt 48 § personuppgiftslagen bör dock finnas även vid behandling av personuppgifter som utförs i strid med den föreslagna studiestödsdatalagen eller föreskrifter som kan ha meddelats i anslutning till lagen. En bestämmelse med denna innebörd bör därför tas in i studiestödsdatalagen.

De föreslagna bestämmelserna är inte avsedda att innebära avvikelser från personuppgiftslagen. En behandling av personuppgifter i strid med bestämmelserna i personuppgiftslagen när dessa är tillämpliga (därför att frågan inte reglerats särskilt i studiestödsdatalagen), kan således föranleda rättelse m.m. och skadestånd enligt personuppgiftslagen.

6.15 Straff

Utredningens bedömning: Det behövs ingen straffbestämmelse i studiestödsdatalagen.

I 49 § personuppgiftslagen finns det bestämmelser om straff för den som genom visst handlande bryter mot vissa bestämmelser i personuppgiftslagen. En behandling av personuppgifter i strid med bestämmelserna i personuppgiftslagen när dessa är tillämpliga därför att frågan inte reglerats särskilt i studiestödsdatalagen eller annan författning med från personuppgiftslagen avvikande bestämmelser och som är straffbar enligt personuppgiftslagen, kan föranleda straffansvar enligt 49 § personuppgiftslagen.

För felaktig behandling av personuppgifter som sker vid myndighetsutövning kan tjänstefelsansvar enligt 20 kap. 1 § brottsbalken komma i fråga. Det gäller om gärningen inte är belagd med straff enligt någon annan bestämmelse, t.ex. 49 § personuppgiftslagen. Även bestämmelsen om straff för dataintrång i 4 kap. 9 c § brottsbalken bör nämnas i sammanhannget.

En behandling av personuppgifter i strid med bestämmelserna i den föreslagna studiestödsdatalagen kan således, om förutsättningarna för det är uppfyllda, föranleda straffansvar för tjänstefel enligt brottsbalken. Mot den bakgrunden anser utredningen att det inte finns behov av någon särskild bestämmelse om straff vid överträdelser av bestämmelserna i den föreslagna studiestödsdatalagen.

6.16 Gallring och begränsning av direkt elektronisk tillgång

Utredningens förslag: Direkt elektronisk tillgång till personuppgifter, som normalt sett inte behövs för återbetalning eller återkrav av studiestöd, i ett ärende om studiestöd ska begränsas till ett fåtal personer senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. Behövs personuppgifterna för ett nytt ärende om studiestöd, får begränsningen upphävas.

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas för att förbereda handläggningen av ärenden ska i den utsträckning de inte tillförts ett ärende om studiestöd gallras senast ett år efter det att uppgifterna registrerades.

Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Centrala studiestödsnämnden får också i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium.

6.16.1 Bakgrund

Personuppgiftslagen innehåller vissa bestämmelser om hur länge personuppgifter får bevaras. Enligt 9 § personuppgiftslagen ska den personuppgiftsansvarige se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste personuppgifterna avidentifieras eller förstöras. Personuppgifter får dock bevaras för historiska, statistiska och vetenskapliga ändamål under längre tid än vad som nu sagts. Motsvarande bestämmelser finns i artikel 6 i EG-direktivet. Enligt 8 § andra stycket personuppgiftslagen hindrar emellertid inte bestämmelserna i personuppgiftslagen att en myndighet arkiverar och bevarar allmänna handlingar. Det har, trots Lagrådets protester, ansetts att en sådan bestämmelse är tillåten enligt EG-direktivet.[90] När det däremot gäller personuppgifter som inte utgör eller finns i allmänna handlingar följer alltså av 9 § första stycket i och tredje stycket personuppgiftslagen att personuppgifterna inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål. Efter denna tid måste uppgifterna avidentifieras eller utplånas.

Grundläggande bestämmelser om bevarande och gallring av allmänna handlingar hos myndigheter finns i arkivlagen (1990:782).[91] I arkivlagen slås det fast att myndigheternas arkiv är en del av det nationella kulturarvet. Det i lagen angivna syftet med arkivbildningen är att myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov.

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen (minnesanteckningar, utkast och koncept) som myndigheten beslutar ska tas hand om för arkivering. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, ska dock bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen.

Huvudregeln enligt arkivlagen är att allmänna handlingar ska bevaras. Enligt 10 § arkivlagen får emellertid gallring ske. Vid gallring ska alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose arkivbildningens syften. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning, gäller dessa bestämmelser. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.

Med gallring avses traditionellt att vissa handlingar sorteras ut ur sitt sammanhang och sedan förstörs. När det gäller gallring av elektroniska upptagningar innebär detta normalt att viss information raderas från databäraren, dvs. det fysiska underlaget. Det är dock inte nödvändigt att den egentliga information som finns på ett elektroniskt medium verkligen förstörs för att det ska vara fråga om gallring i traditionell mening. Tvärtom kan ett visst material gallras genom att den elektroniskt lagrade informationen överförs till en pappersutskrift, varefter den raderas från det elektroniska mediet. Även om alla uppgifter då fortfarande kan tyckas finnas kvar på papper, så har olika sökmöjligheter eller möjligheter att göra sammanställningar eller kontroller av handlingars autenticitet – t.ex. elektroniska signaturer – gått förlorade, vilket medför att materialet har gallrats. Innebörden av att ett visst material gallrats, har alltså ansetts vara att möjligheten att få fram information ur materialet på något sätt har försämrats. Riksarkivet har sålunda definierat gallring som förstöring av allmänna handlingar och uppgifter i allmänna handlingar. Förstöring av sådana handlingar/uppgifter i samband med överföring till annan databärare räknas enligt Riksarkivet som gallring, om överföringen medför informationsförlust, förlust av möjliga informationssammanställningar, förlust av sökmöjligheter eller förlust av möjligheter att fastställa informationens autenticitet (RA-FS 2003:2).

Det är vanligt att det i särskilda registerförfattningar finns bestämmelser om att personuppgifter ska gallras.[92]

6.16.2 Inledning

I CSN:s studiestödsverksamhet kan vissa personuppgifter ha betydelse under mycket lång tid. Studielån som tagits under studietiden kan t.ex. betalas tillbaka i åratal, varför vissa uppgifter om lånet har betydelse under hela återbetalningstiden. Uppgifter om att en person fått studiestöd kan vidare t.ex. under lång tid ha betydelse för att enligt studiestödsförfattningarna bedöma rätten till nytt studiestöd. Alla personuppgifter i ett ärende om studiestöd har dock inte betydelse för återbetalning, återkrav eller nya ärenden om studiestöd.

Att många personuppgifter i en myndighets verksamhet finns mera allmänt omedelbart elektroniskt tillgängliga – ”en knapptryckning bort” – innebär särskilda integritetsrisker i jämförelse med att uppgifterna finns på papper i ett arkiv eller i elektroniskt format med begränsad tillgänglighet. Samtidigt är den enkla elektroniska tillgången för behöriga handläggare till de personuppgifter som ofta behövs i verksamheten en förutsättning för att verksamheten ska kunna bedrivas effektivt.

Att personuppgifter som inte längre kan ha någon betydelse för myndighetens verksamhet sparas – på papper eller i elektroniskt format – innebär vidare också integritetsrisker. Samtidigt är det viktigt får vårt nationella kulturarv att vissa uppgifter sparas under i princip evig tid.

Utredningen har gjort en avvägning mellan de intressen som gör sig gällande och därvid gjort bl.a. följande allmänna överväganden.

CSN bör av effektivitetsskäl få ha personuppgifter som normalt sett kan antas behövas frekvent i studiestödsverksamheten mera allmänt elektroniskt tillgängliga för de personer som behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. I avsnitt 6.11 har utredningen närmare berört hur den elektroniska tillgången för den enskilde handläggaren hos CSN bör vara ordnad.

Den direkta elektroniska tillgången till personuppgifter som inte längre kan antas behövas frekvent i studiestödsverksamheten bör däremot av integritetsskyddsskäl begränsas till bara ett fåtal personer hos CSN. Därmed minskar den direkta elektroniska tillgängligheten till personuppgifterna på ett sätt som liknar den arkivläggning som brukar ske av pappershandlingar som inte längre normalt sett behövs särskilt ofta i verksamheten. Man kan uttrycka det som att personuppgifterna förs över från det mera allmänt tillgängliga datasystemet för den dagliga verksamheten (STIS) till en arkivdatabas som bara en liten krets av personer har direkt tillgång till. Dessa personer kan se till att handläggare som i ett aktuellt ärende behöver personuppgifter i ett sparat ärende får elektronisk eller annan tillgång till personuppgifterna i just det ärendet.

Personuppgifter som inte längre kan ha betydelse i CSN:s studiestödsverksamhet bör av integritetsskyddsskäl som huvudregel förstöras. Hänsynen till vårt nationella kulturarv gör dock att ett urval av personuppgifter bör få sparas för evigt i elektroniskt format, på papper eller i någon annan form (t.ex. på s.k. mikrokort). I enstaka fall bör av närmast rättssäkerhetsskäl också personuppgifterna i ett visst ärende kunna sparas på papper eller annat icke elektroniskt medium. Vidare bör det vara tillåtet att spara personuppgifter som har betydelse för den ekonomiska redovisningen inom staten.

Utredningen har inte funnit anledning att föreslå särskilda bestämmelser om gallring och begränsad direkt elektronisk tillgång beträffande annat än den stora mängden ärenden om studiestöd och den behandling som sker för att förbereda handläggningen. Det innebär att de ganska fåtaliga personuppgifter, ofta om andra än studerande, som i enlighet med föreskrivna ändamål behandlas i CSN:s studiestödsverksamhet utan att avse förberedande handläggning eller ingå i ärenden om studiestöd, t.ex. i register över anmälda kontaktpersoner på olika läroanstalter, inte omfattas av de föreslagna bestämmelserna. Utredningen har nämligen ansett att sådana bestämmelser inte behövs för dessa personuppgifter. Det ställningstagandet förutsätter att det inte regelmässigt eller systematiskt registreras personuppgifter från ärendena om studiestöd för att användas utanför ärendena i CSN:s studiestödsverksamhet. Så är inte fallet i dag, och de föreslagna bestämmelserna om när personuppgifter får behandlas (se avsnitt 6.8) är också avsedda att förhindra detta.

Utredningen föreslår således inte några bestämmelser om gallring avseende den avskilda praxisdatabasen med vägledande avgöranden. Det ligger i sakens natur att avgöranden (prejudikat) kan vara vägledande under lång tid. Det går emellertid inte att med hjälp av namn eller personnummer söka fram uppgifter om en viss person i praxisdatabasen. Därför har utredningen ansett att det inte behövs några bestämmelser om gallring avseende praxisdatabasen, trots att den i och för sig kan innehålla (indirekta) personuppgifter av känslig natur.

6.16.3 Begränsning av direkt elektronisk tillgång till personuppgifter

Några år efter det att studiestöd senast beviljades eller ansökan om studiestöd avslogs i ett ärende om en viss typ av studiestöd, t.ex. studiehjälp, för en person bör behovet av att ha personuppgifterna mera allmänt elektroniskt tillgängliga i studiestödsverksamheten hos CSN som regel ha avklingat. De personuppgifter som normalt sett behövs för återbetalning eller återkrav av studiestöd behöver dock, när sådant är aktuellt, alltjämt få finnas mera allmänt elektroniskt tillgängliga i verksamheten för att administrera återbetalningen eller återkravet. Övriga personuppgifter i det gamla ärendet kan man däremot förmodligen ofta anta aldrig kommer att behövas mera i CSN:s studiestödsverksamhet. I vart fall kan det antas att dessa personuppgifter behövs relativt sällan.

Mot den bakgrunden föreslår utredningen att direkt elektronisk tillgång till personuppgifter, som normalt sett inte behövs för återbetalning eller återkrav av studiestöd, i ett ärende om studiestöd ska begränsas till ett fåtal personer senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs.

Som exempel på uppgifter som kan behövas för återbetalning av studiestöd kan, förutom närmast självklara uppgifter såsom skuldens storlek och gäldenärens identitet, följande nämnas. I vissa fall kan studielån – enligt nuvarande eller tidigare gällande ordning – som lämnats för viss utbildning, i huvudsak gymnasiestudier, för att den studerande ska få behörighet för högskoleutbildning delvis skrivas av under förutsättning att den studerande senare faktiskt genomgår sådan utbildning (se i nuvarande reglering 4 kap. 22 § studiestödslagen och 4 kap. 9 § studiestödsförordningen). Uppgiften om att den studerande fått studielån som kan skrivas av senare under vissa förutsättningar får anses normalt sett behövas för återbetalning av studiestöd, eftersom uppgiften i det tänkta normalfallet – att den studerande faktiskt använder den behörighetsgrundande utbildningen och studerar vidare – påverkar det belopp som ska betalas tillbaka.

Med ärende om studiestöd avser utredningen ett ärende om en viss typ av studiestöd – i dag ärendetyperna studiehjälp, ersättning för dagliga resor, studielån, Rg-bidrag och TUFF-ersättning – för en viss person. En person som får studiemedel i form av både studiebidrag och studielån för vissa studier har således fått studiestöd i ett enda ärende i den mening utredningen avser. Gör den personen något års studieuppehåll för att sedan få studiemedel i form av studiebidrag och, eventuellt, studielån för helt andra studier, är det vidare ändå fråga om ett enda ärende om studiestöd i den mening utredningen avser. I ett enda ärende om (en viss typ av) studiestöd kan det förekomma flera olika slags händelser, åtgärder och beslut, t.ex. beviljning, återkrav, återbetalning, nedsättning av studiestöd och upprättande av betalningsplaner.

Om återbetalning eller återkrav inte är aktuellt, ska alltså den direkta elektroniska tillgången till personuppgifterna i ett ärende om studiemedel för en person begränsas till ett fåtal personer senast tre år efter utgången av det kalenderår då studiemedel senast beviljades eller ansökan om studiemedel avslogs avseende den personen. Det gäller även om personen då skulle vara aktuell i ett ärende om en annan typ av studiestöd, t.ex. TUFF-ersättning.

Det är i första hand CSN som har att bedöma vilka personuppgifter som normalt sett behövs för återbetalning eller återkrav av studiestöd. Avsikten är dock inte att bedömningen ska utfalla så att alla personuppgifter i ärendet normalt sett behövs.

Med ett fåtal personer avser utredningen en eller några anställda vid varje kontor eller funktionell enhet hos CSN eller motsvarande begränsade totala antal personer som fördelas på kontor och enheter på annat sätt.

Med direkt elektronisk tillgång avser utredningen att de aktuella personerna på egen hand kan med hjälp av dator komma åt uppgifterna.

Om en handläggare som inte har direkt elektronisk tillgång till personuppgifterna (arkivdatabasen) i ett visst fall skulle i arbetet behöva få del av avförda personuppgifter i ett ärende, hindrar inte den föreslagna bestämmelsen att någon med sådan tillgång på begäran sänder personuppgifterna i det efterfrågade ärendet i elektroniskt format eller på annat sätt till den som behöver uppgifterna. Detsamma gäller om det är någon utomstående som efterfrågar uppgifterna.

Skulle det visa sig att avförda personuppgifter i ett ärende behövs för ett nytt ärende om studiestöd, bör personuppgifterna kunna återföras från arkivdatabasen till det mera allmänt tillgängliga datasystemet för den dagliga verksamheten (STIS) eller göras mera allmänt tillgängliga på annat sätt. Utredningen föreslår därför att begränsningen av den direkta elektroniska tillgången till vissa personuppgifter får upphävas, om personuppgifterna behövs för ett nytt ärende om studiestöd.

Det kan inte uteslutas att den närmare utformningen av de förslagna bestämmelserna kan behöva ändras tid efter annan, t.ex. därför att det tillkommer en ny typ av studiestöd som är konstruerad på annat sätt än de nuvarande eller därför att det visar sig att vissa personuppgifter i de gamla ärendena faktiskt behövs ganska ofta i verksamheten. Utredningen, som inte anser det nödvändigt med bestämmelser i lag, föreslår därför att bestämmelserna ska tas in i en till studiestödsdatalagen anknytande förordning, studiestödsdataförordningen, i enlighet med den lagbestämmelse om att regeringen får meddela närmare föreskrifter om elektronisk tillgång som utredningen föreslagit i avsnitt 6.11.

Eftersom avsikten som nämnts är att personuppgifterna i de gamla ärendena ska avföras till ett slags arkivdatabas som bara en liten krets av personer har direkt elektronisk tillgång till, bör inte heller direktåtkomst kunna medges till dessa personuppgifter annat än såvitt avser den direktåtkomst för den registrerade som avses i avsnitt 6.12.6. Bestämmelser härom kan också meddelas i förordning, vilket utredningen föreslår.

6.16.4 Gallring

Några år efter det att ett ärende om en viss typ av studiestöd för en person slutligt handlagts hos CSN bör behovet för CSN:s studiestödsverksamhet att över huvud taget ha kvar personuppgifterna i ärendet normalt ha avklingat. I vissa fall kan dock vissa personuppgifter i ärendet fortfarande ha betydelse enligt studiestödsförfattningarna för ett nytt ärende om studiestöd.

Mot den bakgrunden föreslår utredningen att personuppgifterna i ett ärende om studiestöd ska gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs, om återbetalning eller återkrav av studiestöd inte är aktuellt, och i annat fall senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd ska dock inte behöva gallras förrän de inte längre kan ha sådan betydelse.

Med ärende om studiestöd avser utredningen även här ett ärende om en viss typ av studiestöd – i dag ärendetyperna studiehjälp, ersättning för dagliga resor, studiemedel, Rg-bidrag och TUFF-ersättning – för en viss person. Om återkrav inte blivit aktuellt, ska alltså personuppgifterna i ett ärende om studiehjälp för en person gallras senast tre år efter utgången av det kalenderår då studiehjälp senast beviljades avseende den personen. Det gäller även om personen då skulle vara aktuell i ett ärende om en annan typ av studiestöd, t.ex. studiemedel för studier på högskolenivå direkt efter de studiehjälpsberättigande gymnasiestudierna. I ett enda ärende om (en viss typ av) studiestöd kan det förekomma flera olika slags händelser, åtgärder och beslut, t.ex. beviljning, återkrav, återbetalning, nedsättning av studiestöd och upprättande av betalningsplaner.

Om återbetalning av studielån är aktuellt i ett ärende om studiemedel för en person, behöver alltså inte några personuppgifter i ärendet om studiemedel för den personen gallras förrän två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Personuppgifterna i det ärendet ska enligt förslaget emellertid gallras då även om personen vid tillfället skulle vara aktuell i ett ärende om en annan typ av studiestöd, t.ex. TUFF-ersättning. Enligt förslaget spelar det inte någon roll hur betalningsskyldigheten har upphört.

Frågan om i vilken utsträckning personuppgifter i ett ärende om studiestöd kan ha betydelse för ett nytt ärende om studiestöd får bedömas enligt vid var tid gällande författningar om studiestöd. Det är bara de personuppgifter som kan ha sådan betydelse som får undantas från gallring. Ett exempel är att en person i trettioårsåldern som redan har fått studiemedel i 200 veckor för en viss utbildning endast kan få studiemedel i ytterligare 40 veckor för en annan utbildning när det är fråga om utbildning som avses i 3 kap. 8 § första stycket studiestödslagen (1999:1395). Eftersom den registrerade kan få studiemedel till och med det kalenderår denne fyller 54 år (se 3 kap. 3 § studiestödslagen), kan en del av personuppgifterna i det avslutade ärendet om studiemedel ha betydelse ända till och med detta år.

När det gäller personuppgifter som behandlas för att förbereda handläggningen av ärenden ligger det i sakens natur att dessa inte behöver sparas längre än till dess det bör stå klart om de behövs i ett ärende om studiestöd. Utredningen föreslår därför att personuppgifter som behandlas för att förbereda handläggningen av ärenden ska, i den utsträckning de inte tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.

Med gallring avser utredningen att informationen förstörs så att den inte kan återskapas. Det är alltså inte tillåtet att CSN inför gallringen av de behandlade personuppgifterna för över dem på annat medium, t.ex. papper, och sedan bevarar informationen på det mediet längre än vad som följer av de föreslagna gallringsbestämmelserna. Något krav på att personuppgifter som CSN vid gallringstidpunkten redan avhänt sig till annan, t.ex. via direktåtkomst eller genom att sända en utskrift på papper, ska gallras (hos mottagaren) finns inte i den föreslagna lagen.

Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Den föreslagna bestämmelsen i studiestödsdatalagen är en sådan gallringsföreskrift i lag som avses i 14 § arkivförordningen och som tillåter gallring utan beslut eller föreskrift av Riksarkivet. Enligt den föreslagna bestämmelsen får de angivna personuppgifterna alltså gallras när som helst, dock senast vid utgången av den angivna gallringsfristen.

I vissa fall kan personuppgifterna i ärenden om studiestöd behöva sparas under en viss tid efter den föreslagna gallringstidpunkten, eftersom de fortfarande kan ha betydelse i det aktuella ärendet eller i annat sammanhang.

Av 45 § lagen (1996:1059) om statsbudgeten följer t.ex. att bokföring i staten ska ske på ett sätt som stämmer överens med god redovisningssed, vilket bl.a. för med sig att vissa personuppgifter i verifikationer behöver sparas under en längre tid. Därför bör det vara möjligt att meddela föreskrifter om att vissa personuppgifter får bevaras för redovisningsändamål trots de föreslagna gallringsbestämmelserna.

Det torde vidare i undantagsfall förekomma att personuppgifterna i ett ärende om studiestöd även efter gallringstidpunkten har betydelse därför att handläggning avseende ärendet i en eller annan mening kan sägas fortsätta hos CSN eller annan myndighet. Det kan t.ex. gälla en granskning avseende ärendet hos någon myndighet eller liknande med tillsynsfunktioner eller motsvarande, t.ex. Riksdagens ombudsmän (JO), Justitiekanslern, riksdagens utskott eller Riksrevisionen. Det kan också gälla ett beslut i ett ärende som överklagats och där överprövningen inte är klar ännu. Det kan vidare gälla att anspråk på skadestånd framställts med anledning av handläggningen av ett ärende. Även andra undantagsfall där personuppgifterna i ett ärende om studiestöd kan ha betydelse även efter gallringstidpunkten torde kunna tänkas. Det bör därför vara möjligt för CSN att i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd trots de föreslagna gallringsbestämmelserna ska bevaras på papper eller annat icke elektroniskt medium.

Begränsningen till enstaka fall innebär bl.a. att CSN inte regelmässigt får besluta om bevarande bara därför att personuppgifterna i en viss ärendetyp någon gång i framtiden kanske skulle kunna komma att ha betydelse. Det ligger i sakens natur att beslut om bevarande ska fattas före den föreskrivna gallringstidpunkten. Kravet på att personuppgifterna ska bevaras på ett icke elektroniskt medium innebär att uppgifterna måste föras över från datasystemet till ett sådant medium, t.ex. papper eller s.k. mikrokort. Med elektroniskt medium avser utredningen ett medium där personuppgifterna lagras i elektroniskt format, dvs. binär form, såsom ettor och nollor. På ett icke elektroniskt medium lagras personuppgifterna i stället i ett statiskt format, där det inte är möjligt att på elektronisk väg göra olika sammanställningar av informationen.

För vårt nationella kulturarvs skull är det vidare av betydelse att ett visst urval av personuppgifter bevaras för evigt. Därför bör det vara möjligt att meddela föreskrifter om att vissa personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål trots de föreslagna gallringsbestämmelserna. Härigenom kan rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov beaktas, dvs. de ändamål som arkivlagen syftar till att tillgodose.

När det gäller personuppgifter som behandlats för att förbereda handläggningen av ärenden men där det inte blivit något ärende om studiestöd torde det inte behövas någon möjlighet till bevarande efter den föreslagna gallringsfristen för dessa uppgifter.

6.17 Detaljreglering i förordning och myndighetsföreskrifter

6.17.1 Inledning

Utredningens allmänna överväganden avseende nivån på författningsregleringen på området har redovisats i avsnitt 6.2. Av vad som sagts i tidigare avsnitt framgår det vidare att utredningen föreslår att det av studiestödsdatalagen framgår

a. att regeringen får meddela föreskrifter om när behandling av personuppgifter som behövs för att förbereda handläggningen av ärenden i studiestödsverksamhet får utföras (avsnitt 6.8.2),

b. att regeringen får meddela föreskrifter om begränsningar av de tilllåtna ändamålen för behandling av personuppgifter och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål (avsnitt 6.8.2),

c. att regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om intern elektronisk tillgång till personuppgifter för den som deltar i CSN:s studiestödsverksamhet och om dokumentation och kontroll av den elektroniska tillgången (avsnitt 6.11),

d. att regeringen får meddela föreskrifter i förordning om att direktåtkomst och annat elektroniskt utlämnande är tillåtet (avsnitt 6.12.2),

e. att regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av direktåtkomsten för Försäkringskassan och arbetslöshetskassorna (avsnitt 6.12.4), och

f. att regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål trots bestämmelserna i lagen om gallring (avsnitt 6.16).

Av vad som anförs i avsnitt 6.6.4 och 6.8.4 framgår det också att bestämmelser om uppgiftsskyldighet i bl.a. förordning enligt utredningens förslag ska ta över bestämmelserna i studiestödsdatalagen.

Det förefaller lämpligt att försöka samla de flesta specifika föreskrifter av regeringen som knyter an till studiestödsdatalagen i en förordning. Utredningen lämnar förslag till en sådan förordning – studiestödsdataförordningen – som innehåller de nya föreskrifter av regeringen som enligt utredningens mening behövs för närvarande. I detta avsnitt berörs de föreskrifter som sålunda föreslås. När det i detta avsnitt och i förslaget till studiestödsdataförordning talas om adress avses såväl postadress som elektronisk adress, t.ex. e-postadress.

Enligt utredningens mening saknas det för närvarande skäl att utfärda några andra sådana detaljföreskrifter rörande intern elektronisk tillgång som avses i punkt c ovan än dem som föreslagits i avsnitt 6.16.3. Däremot bör CSN:s villkor för intern elektronisk tillgång till personuppgifter samt dokumentation och kontroll av dokumentationen följas upp.

6.17.2 Förberedande handläggning

Som angivits i avsnitt 6.8.2 får det anses särskilt integritetskänsligt att CSN behandlar personuppgifter om individer som inte alls berörs av myndighetens ålagda arbetsuppgifter. Utredningen har som också framgår av nämnda avsnitt ändå kommit fram till att CSN bör få fortsätta att behandla personuppgifter om individer som kan komma att bli aktuella i ett ärende om studiestöd för att förbereda handläggningen i den utsträckning regeringen föreskriver det. I de fall de personuppgifter som behandlas är tämligen harmlösa ur ett integritetsperspektiv och fördelarna med behandlingen överväger det integritetsintrång som de registrerade får vidkännas bör behandlingen av personuppgifter kunna tillåtas.

Det är enligt 9 § första stycket f personuppgiftslagen (1998:204) inte tilllåtet att behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Eftersom det saknas avvikande bestämmelser härom i den föreslagna studiestödsdatalagen, gäller denna begränsning även för CSN:s behandling av personuppgifter för förberedande handläggning.[93]

CSN behandlar för närvarande personuppgifter för att förbereda en eventuellt kommande handläggning i två fall som berörs nedan. Något behov att behandla personuppgifter för förberedande handläggning i andra fall har inte förts fram till utredningen. Utredningen anser därför att det för närvarande inte finns anledning att överväga ytterligare fall av behandling av personuppgifter för förberedande handläggning.

Den som fyller 16 år

Det första fallet är den behandling av personuppgifter som sker för att förbereda handläggningen av ärenden om studiehjälp för de personer som fyller 16 år (se avsnitt 4.2.5). Som framgått ovan (se avsnitt 2.2.1) betalas det allmänna barnbidraget till och med det kvartal då barnet fyller 16 år. Därefter betalas förlängt barnbidrag så länge barnet studerar i grundskolan. Studiehjälp kan betalas, om barnet studerar efter grundskolan. Eftersom en stor andel av 16-åringarna fortsätter att studera och det således är många som samtidigt får rätt till studiehjälp för första gången, är det rationellt att förbereda handläggningen, inklusive utbetalning, genom att registrera nödvändiga uppgifter om de personer som fyller 16 år. För att kunna förbereda handläggningen hämtar CSN in uppgifter om personnummer alternativt samordningsnummer på barnet och den eller de som var betalningsmottagare av det allmänna eller förlängda barnbidraget från Försäkringskassan samt namn, adress, sekretessmarkering, medborgarskap och invandrings- och utvandringsdatum på barnet och den eller de som var betalningsmottagaren av det allmänna eller förlängda barnbidraget från Skatteverket. Från Swedbank AB hämtar CSN in uppgifter om bankkonto för den eller de personer som var betalningsmottagare. Uppgifterna om medborgarskap och invandrings- och utvandringsdatum behövs, eftersom det för den som inte är svensk medborgare gäller olika bestämmelser om rätt till studiehjälp (1 kap. 4–6 §§ och 2 kap. 4 § studiestödslagen).

En avvägning mellan å ena sidan den registrerades intresse av att slippa bli registrerad och å andra sidan behovet av en effektiv handläggning av ärenden utfaller enligt utredningens mening på så sätt att CSN alltjämt bör få förbereda handläggningen avseende landets 16-åringar på det sätt som nu sker. De personuppgifter som samlas in synes vara väl avgränsade och inte innefatta fler uppgifter än som är nödvändigt. Denna verksamhet bör därför få fortsätta. Uppgifter om andra personer än den som fyller 16 år och den eller de personer som senaste mottog det allmänna eller förlängda barnbidraget för barnet bör inte få registreras för att förbereda handläggningen.

Antagna till utbildning som berättigar till studiemedel

Det andra fallet av förberedande handläggning avser personer som registrerar sig på eller, när det gäller utbildningar som avses i avdelning A1 och A2 i bilagan till studiestödsdataförordningen (2000:655), antagits till en utbildning som berättigar till studiemedel. Som framgått ovan (se avsnitt 4.2.5) inhämtar CSN i samband med terminsstart uppgifter från Ladok och Handelshögskolan avseende samtliga personer som registrerat sig på universitet och högskolor oavsett om de (ännu) sökt studiemedel. De personuppgifter som hämtas in är personnummer alternativt samordningsnummer, namn och adress. För de personer som antagits till utbildningar som avses i avdelning A1 och A2 i bilagan till studiestödsdataförordningen inhämtas motsvarande uppgifter och uppgifter om studieresultat från respektive läroanstalt. Uppgifter om personnummer alternativt samordningsnummer, namn, adress, sekretessmarkering, medborgarskap och invandrings- och utvandringsdatum hämtas från Skatteverket. Uppgifterna om medborgarskap och invandringsdatum behövs, eftersom det för den som inte är svensk medborgare gäller olika bestämmelser om rätt till studiemedel (1 kap. 4–6 §§ och 3 kap. 4 § studiestödslagen). Denna förberedande handläggning innebär att CSN till viss del kommer att registrera personer som inte kommer att beröras av CSN:s verksamhet, t.ex. därför att de inte ansöker om studiemedel.

På motsvarande sätt som i fråga om registreringen av uppgifter om 16-åringar utfaller en avvägning mellan de registrerades intresse av att inte behöva registreras och behovet av en effektiv handläggning av ärenden till CSN:s fördel. CSN bör därför få fortsätta med denna förberedande handläggning på oförändrat sätt.

6.17.3 Personuppgifter som får behandlas

Utredningen har ansett att det inte är lämpligt eller möjligt att i lag precisera de ändamål för vilka personuppgifter får behandlas mer än vad som har redovisats ovan (se avsnitt 6.8.2). De föreslagna beskrivningarna av de tillåtna ändamålen i studiestödsdatalagen är förhållandevis allmänt hållna, och utredningen föreslår att regeringen bemyndigas att meddela föreskrifter om begränsningar av de i lagen angivna tillåtna ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

Utredningen har inte sett att det för närvarande finns skäl att föreskriva någon begränsning av de ändamål för vilka personuppgifter får behandlas. Däremot finns det enligt utredningens mening skäl att i ett par fall föreskriva begränsning av vilka personuppgifter som får behandlas för vissa ändamål. Dessa fall berörs i det följande.

Information till studiestödsberättigade

Som framgår ovan av avsnitt 6.8.2 föreslås det att CSN får behandla personuppgifter för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Även om de registrerade föreslås ha en rätt att motsätta sig behandling av personuppgifter för detta ändamål (se avsnitt 6.5), finns det skäl att begränsa CSN:s möjlighet att behandla personuppgifter för detta ändamål. Eftersom behandlingen inte är nödvändig för att CSN ska kunna fullgöra sin kärnverksamhet, är det nämligen särskilt viktigt att behovet av integritetsskydd för den enskilde tillgodoses.

För att CSN ska kunna distribuera informationen till de berörda, krävs det att personuppgifter avseende namn och adress behandlas. Eftersom CSN använder CSN-nummer[94] eller personnummer alternativt samordningsnummer som sökkriterier, behöver även uppgifter om sådana nummer användas. För att den information som skickas ut ska kunna anpassas till de berördas situation, behövs vidare uppgift om vilken typ av studiestöd som kan vara aktuell och om medborgarskap. I det s.k. 16-årsbrevet med information om studiehjälp som CSN sänder ut anges – för kontroll – det registrerade bankkontot för en eventuell framtida mottagare av utbetalning av studiehjälp (se avsnitt 6.17.2), varför även uppgift om bankkonto behöver behandlas.

Distribution av bevis om studier

På motsvarande sätt som gäller vid behandling av personuppgifter för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner har en registrerad enligt utredningens förslag rätt att motsätta sig behandling av personuppgifter för att ta fram och till studerande distribuera bevis om studier med studiestöd.

Hanteringen av sådana bevis sker för närvarande till viss del genom utomstående aktörer (se avsnitt 4.2.5). Detta gör att integritetsaspekterna blir än mer betonade. Utredningen föreslår bl.a. på grund härav begränsningar i fråga om vilka personuppgifter som CSN får behandla för ändamålet att ta fram och distribuera nu aktuella bevis.

För att nu aktuella bevis ska kunna utfärdas och distribueras fordras uppgifter om namn och adress på den studerande. För att möjliggöra säker identifikation är det också nödvändigt att uppgifter om personnummer alternativt samordningsnummer och CSN-nummer behandlas. För att en studerande ska ha rätt att få t.ex. CSN-kortet krävs det för närvarande att denne studerar minst på halvtid i tre månader. Studietakt och studietid har alltså i dag betydelse för att kunna ta fram bevisen. Sådana personuppgifter bör därför också få behandlas.

Några andra personuppgifter än vad som nu sagts finns det enligt utredningens mening inte något behov av att behandla för att ta fram och till studerande distribuera bevis om studier med studiestöd. Därför bör det meddelas en föreskrift av innebörd att några sådana andra personuppgifter inte får behandlas.

6.17.4 Begränsning av intern direkt elektronisk tillgång till personuppgifter

Av vad som anförs i avsnitt 6.16.3 framgår det att utredningen föreslår att det i studiestödsdataförordningen tas in en bestämmelse om begränsning av intern direkt elektronisk tillgång till personuppgifter i vissa gamla ärenden.

6.17.5 Direktåtkomst

Enligt utredningens förslag till studiestödsdatalag får bl.a. Försäkringskassan och arbetslöshetskassorna ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet (se avsnitt 6.12.4). I förslaget har även angetts att regeringen meddelar närmare föreskrifter om vilka personuppgifter som får omfattas av direktåtkomsten för Försäkringskassan och arbetslöshetskassorna. De legala förutsättningarna för informationsutbytet har beskrivits ovan i avsnitt 4.2.5. Av vad som sägs där framgår det att CSN har en vidsträckt uppgiftsskyldighet i förhållande till Försäkringskassan och arbetslöshetskassorna. Det informationsutbyte som i praktiken sker rutinmässigt på elektronisk väg är dock mer begränsat än vad det verkar finnas legala förutsättningar för. Enligt utredningens mening finns det i dagsläget inte anledning att tillåta direktåtkomst till flera personuppgifter än vad som omfattas av det rutinmässiga elektroniska informationsutbytet som sker i dag. Det innebär att det bör meddelas föreskrifter om att direktåtkomsten begränsas för Försäkringskassan till uppgifter om personnummer, samordningsnummer, av CSN åsatt särskilt identifikationsnummer (s.k. CSN-nummer), utbetalat studiestödsbelopp per viss tidsperiod, beviljat studiestöd per viss tidsperiod och typ av studiestöd samt för arbetslöshetskassorna till uppgifter enligt 23 § förordningen (1997:835) om arbetslöshetsförsäkring, dvs. uppgifter om namn, personnummer och i förekommande fall samordningsnummer, att en ansökan om studiestöd har lämnats in, för vilken tidsperiod studiestöd har sökts och beviljats, vilket studiestöd som har beviljats, omfattningen av studiestödet, vilket studiestöd som har betalats ut, för vilken tidsperiod studiestöd har betalats ut, och om CSN ändrat eller återtagit ett beslut om studiestöd.

Som beskrivits i avsnitt 4.2.5 har det nyligen införts en webbaserad elevrapporteringsrutin för skolor där den rapporterande läroanstalten i samband med rapportering av nya och ändrade uppgifter till CSN får tillgång till de uppgifter läroanstalten tidigare lämnat till CSN, se också avsnitt 6.12.2. Den tillgången till personuppgifter för skolorna får anses innebära direktåtkomst. Det bör därför föreskrivas i förordning att sådan direktåtkomst är tillåten.

I avsnitt 6.12.5 finns det ett utkast till hur en bestämmelse i studiestödsdataförordningen om direktåtkomst för socialnämnder skulle kunna utformas.

Av vad som anförs i avsnitt 6.16.3 framgår det att utredningen föreslår att direktåtkomst ska begränsas genom förordning så att den inte i nu avsedda fall avser personuppgifter till vilka den interna direkta elektroniska tillgången begränsats.

6.17.6 Annat elektronisk utlämnande

Som framgår av avsnitt 6.12.2 lämnar CSN i dag ut personuppgifter på elektroniskt vis till ett antal aktörer. Sådant utlämnade får enligt den föreslagna studiestödsdatalagen inte ske utan den registrerades samtycke om det inte finns stöd i lag eller förordning för utlämnandet. I två av de fall som anges i nyss nämnda avsnitt kan utlämnandet lämpligen ske efter inhämtande av samtycke. Det rör sig om utlämnande till reseföretag och försäkringsmäklare. I de övriga fallen behöver utlämnandet ske utan inhämtande av samtycke. Utredningen föreslår därför en bestämmelse i studiestödsdataförordningen om att CSN får lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst till aktuella aktörer i den omfattning som sker i dag.

Som också framgår av avsnitt 6.12.2 behöver CSN lämna ut personuppgifter elektroniskt i samband med att CSN har direktåtkomst eller annan elektronisk tillgång till personuppgifter hos någon annan. Utredningen föreslår därför en bestämmelse i studiestödsdataförordningen om att CSN också får lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst i den utsträckning det behövs för att annan ska kunna lämna ut personuppgifter elektroniskt till CSN.

6.17.7 Gallring

Utredningen har föreslagit vissa lagregler om gallring av de personuppgifter som behandlas i CSN:s studiestödsverksamhet (avsnitt 6.16). Det har vidare föreslagits att regeringen, eller den myndighet som regeringen bestämmer, ska få meddela föreskrifter om att personuppgifter trots lagreglerna om gallring får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål.

Att bedöma vilket bevarande som är påkallat för de angivna ändamålen kräver särskild sakkunskap. Därför är det lämpligt att inte regeringen utan i första hand expertmyndigheten Riksarkivet bedömer behovet av bevarande och självt utfärdar föreskrifter om bevarande. Utredningen föreslår därför att Riksarkivet i förordning bemyndigas att utfärda föreskrifter om bevarande av personuppgifter för de angivna ändamålen. Det får förutsättas att Riksarkivet när det gäller föreskrifter om bevarande för redovisningsändamål samråder med expertmyndigheten på området, Ekonomistyrningsverket som bl.a. ska utveckla god redovisningssed inom staten.[95]

7.1 Inledning

Författningskommentaren har byggts upp på så vis att vad som angivits i tidigare avsnitt om de föreslagna bestämmelsernas innebörd har förts samman och antecknats under respektive paragraf i författningskommentaren, där också ytterligare kommentarer kring paragrafen kan finnas. Metoden innebär att den som läser betänkandet från pärm till pärm får stå ut med vissa upprepningar. Den som vill veta vad en föreslagen paragraf är avsedd att närmare innebära kan å andra sidan gå direkt till författningskommentaren och nöja sig med att läsa denna.

Bara till förslaget till studiestödsdatalag finns det en författningskommentar uppdelad på paragrafer. Utredningens förslag till studiestödsdataförordning kommenteras i stället i avsnitt 6.17.

7.2 Förslaget till studiestödsdatalag

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet.

Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får utom i fall som avses i 5 § utföras även om den registrerade motsätter sig behandlingen.

Paragrafen anger lagens tillämpningsområde. Bestämmelsens första och andra stycke har berörts i avsnitt 6.4. Det tredje stycket har berörts i avsnitt 6.5.

Av första stycket framgår det att det endast är behandling av personuppgifter som utförs av CSN som omfattas av lagens tillämpningsområde. Behandling av personuppgifter som utförs av någon annan aktör på studiestödsområdet faller utanför lagens tillämpningsområde. Med begreppen behandling och personuppgifter avses detsamma som i personuppgiftslagen (1998:204).

Av första stycket följer också att lagen endast är tillämplig på CSN:s behandling av personuppgifter i studiestödsverksamhet. CSN:s verksamhet såvitt avser hemutrustningslån faller t.ex. utanför tillämpningsområdet. Lagen tillämpas inte heller på CSN:s behandling av personuppgifter för intern administration, såsom lokal- och personalhantering, utan direkt koppling till handläggningen av ärenden om studiestöd. Av 2 § andra stycket följer att CSN:s behandling av personuppgifter för att framställa statistik inte regleras av lagen även om statistikproduktionen skulle kunna sägas utgöra studiestödsverksamhet.

Med studiestödsverksamhet avses för det första beviljning av studiestöd, återkrav av felaktigt utbetalat studiestöd och återbetalning av studiestöd samt den hantering som sker i anslutning till ärenden om beviljning, återkrav och återbetalning av studiestöd, oavsett om hanteringen av ärendet leder till att studiestöd beviljas, nekas, återkrävs, avskrivs eller återbetalas. Med studiestöd avses allt offentligt stöd för enskildas egna studier som CSN enligt författning administrerar. Inte bara det stöd som regleras i studiestödslagen (1999:1395) avses således utan även de andra former av studiestöd som CSN administrerar, för närvarande Rg-bidrag, TUFF-ersättning och bidrag för dagliga resor samt de utmönstrade former av stöd som fortfarande kräver CSN:s handläggning, såsom rekryteringsbidrag.

Med studiestödsverksamhet avses för det andra den verksamhet på det studiesociala området som CSN bedriver, t.ex. hanteringen av CSN-kortet och förmedling av försäkringar.

Av andra stycket framgår det vilken behandling av personuppgifter som omfattas av lagen, nämligen samma typer av behandling som omfattas av personuppgiftslagen enligt 5 § i den lagen. I praktiken torde det inte i CSN:s studiestödsverksamhet förekomma någon sådan manuell behandling som omfattas av studiestödsdatalagen. Behandling av personuppgifter i ostrukturerat material i studiestödsverksamheten är inte undantaget från tillämpningsområdet för studiestödsdatalagen, jämför 5 a § personuppgiftslagen.

Av paragrafens tredje stycke framgår det att huvudregeln i studiestödsdatalagen är att behandling av personuppgifter som enligt lagen är tillåten utan den registrerades samtycke får utföras även om den registrerade motsätter sig behandlingen. När samtycke krävs enligt studiestödsdatalagen (se 4 § första stycket, 7 och 10 §§), är behandlingen inte tillåten utan sådant samtycke. I 6 § berörs den registrerades möjligheter att återkalla ett lämnat samtycke.

Av 5 § framgår det att den registrerade i vissa fall har en möjlighet att förhindra behandling genom att motsätta sig den.

Förhållandet till personuppgiftslagen och lagen om den officiella statistiken

2 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, om inte annat följer av denna lag.

Bestämmelserna i paragrafen har berörts i avsnitt 6.6.

I första stycket regleras förhållandet mellan personuppgiftslagen och studiestödsdatalagen. Personuppgiftslagen gäller vid behandling av personuppgifter i CSN:s studiestödsverksamhet om inget annat följer av studiestödsdatalagen.

När det uttryckligen anges i studiestödsdatalagen att CSN får behandla personuppgifter, innebär det en särreglering i förhållande till personuppgiftslagen, se t.ex. 4 §. Att CSN behandlar personuppgifter när det uttryckligen tillåtits i studiestödsdatalagen kan således inte angripas enligt bestämmelsen i 5 a § personuppgiftslagen om att viss behandling inte får utföras om den innebär en kränkning av den registrerades personliga integritet.

I andra stycket anges det att vid behandling av personuppgifter för att framställa statistik gäller bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar trots att behandlingen skulle kunna träffas av den beskrivning av tillämpningsområdet som ges i 1 §.

Studiestödsdatalagen reglerar alltså inte alls CSN:s behandling av personuppgifter för att framställa statistik. Detta gäller oavsett om det är fråga om officiell statistik eller annan statistik. Att CSN behandlar personuppgifter som samlats in i studiestödsverksamheten för att sända ut enkäter för att senare genom inkomna enkätsvar få underlag för att framställa statistik är t.ex. en behandling av personuppgifter för att framställa statistik som inte regleras av studiestödsdatalagen. Att CSN genom elektroniskt utlämnande av personuppgifter till Statistiska centralbyrån fullgör uppgiftsskyldigheten enligt 5 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan är också en behandling av personuppgifter för att framställa statistik som inte regleras av studiestödsdatalagen. Behandlingen av personuppgifter för att framställa statistik får alltså utföras om den är tillåten enligt bestämmelserna i bl.a. lagen om den officiella statistiken och anslutande författningar samt personuppgiftslagen.

Personuppgiftsansvar

3 § Centrala studiestödsnämnden är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför.

Bestämmelserna i paragrafen har berörts i avsnitt 6.7.

I paragrafen slås det fast att CSN är personuppgiftsansvarig för den behandling av personuppgifter som CSN utför.

Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på behandling av personuppgifter iakttas. Vidare innebär personuppgiftsansvaret bl.a. en skyldighet att lämna information till den registrerade (23–27 §§ personuppgiftslagen) och att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 § personuppgiftslagen och 9 § studiestödsdatalagen med 5 § studiestödsdataförordningen). Personuppgiftsansvaret innebär även ett ansvar för att en behandling av personuppgifter faktiskt utförs när den ska ske, t.ex. att rättelse, blockering eller gallring sker i föreskriven tid och på rätt sätt, liksom ett ansvar för att behandling av personuppgifter inte utförs när det inte får ske. Personuppgiftsansvaret gäller alltså också vid underlåtenhet att utföra en behandling som åligger CSN.

Ändamål

4 § Personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet förutom med den registrerades samtycke bara om behandlingen behövs för att

1. handlägga ärenden i den verksamheten,

2. administrera handläggningen,

3. i den utsträckning regeringen föreskriver det förbereda handläggningen,

4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner,

5. ta fram och till studerande distribuera bevis om studier med studiestöd, eller

6. om sekretess inte hindrar det anmäla oegentlighet inom studiestödsverksamhet till en myndighet som har att utreda eller beivra oegentligheten.

Personuppgifter som behandlas enligt första stycket får dock om sekretess inte hindrar det lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas avskilt för att återsöka vägledande avgöranden.

Regeringen får meddela föreskrifter om begränsningar av ändamålen i första stycket och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

Bestämmelserna i paragrafen har berörts i avsnitt 7.8. Paragrafen anger när personuppgifter får behandlas i CSN:s studiestödsverksamhet.

Paragrafen innebär en avvikelse från personuppgiftslagen såtillvida att den ersätter 10 § personuppgiftslagen. CSN får således i studiestödsverksamheten inte t.ex. behandla personuppgifter efter en intresseavvägning enligt 10 § f personuppgiftslagen.

Regleringen i paragrafen är uttömmande i den meningen att CSN inte i andra fall, eller för andra ändamål, får behandla personuppgifter i studiestödsverksamheten. För att en behandling av personuppgifter i studiestödsverksamheten ska vara tillåten krävs det alltså att den behövs för de tillåtna ändamålen, sker med samtycke eller, i andra fall, avser utlämnande enligt en uppgiftsskyldighet i lag eller förordning eller till riksdagen, regeringen eller den registrerade själv.

CSN får således inte i studiestödsverksamheten behandla personuppgifter som samlats in för de tillåtna ändamålen för något annat ändamål även om detta ändamål inte skulle vara oförenligt med de tillåtna ändamålen (jämför finalitetsprincipen i 9 § första stycket d personuppgiftslagen); en sådan senare behandling för ett annat ändamål är tillåten bara med samtycke eller om behandlingen avser utlämnande i de fall som tidigare angetts.

För att en behandling av personuppgifter som är tillåten enligt denna paragraf ska få genomföras krävs det också att övriga bestämmelser i studiestödsdatalagen om behandlingen följs, t.ex. bestämmelserna med restriktioner i fråga om personuppgifter av känslig natur (7 §), sökbegrepp (8 §) och direktåtkomst och annat elektroniskt utlämnande (10–14 §§).

Paragrafen innebär inte någon avvikelse från bestämmelserna i personuppgiftslagen i den meningen att inskränkningarna i personuppgiftslagen i fråga om behandling av personnummer (22 §) och överföring av personuppgifter till tredje land (33 §) inte skulle gälla.

I paragrafens första stycke anges det tillåtna ändamål för att behandla personuppgifter (avsnitt 6.8.2). Av första stycket framgår det också att personuppgifter får med den registrerades samtycke behandlas för vilket ändamål som helst.

För att en personuppgift ska få behandlas genom att samlas in krävs det att behandlingen behövs för åtminstone något av de angivna tillåtna ändamålen eller att behandlingen sker med den registrerades samtycke.

Behandlingen av personuppgifter i CSN:s studiestödsverksamhet får alltså med samtycke avse vilket ändamål som helst. Eftersom personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och senare inte får behandlas för något ändamål som är oförenligt med de ändamål för vilka uppgifterna samlades in (9 § första stycket c och d personuppgiftslagen), måste CSN i detta fall själv ange ändamålet med behandlingen. De personuppgifter som har samlats in med stöd av den registrerades samtycke får således – till skillnad från vad som gäller för personuppgifter som har samlats in bara med stöd av de angivna tillåtna ändamålen – senare användas också för ändamål som inte är oförenliga med det ändamål för vilket de insamlades (9 § första stycket d personuppgiftslagen).

Med samtycke avses detsamma som enligt 3 § personuppgiftslagen, nämligen varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Även frågorna om när den registrerade själv kan lämna ett samtycke och om vem som kan lämna ett samtycke för en registrerad som inte kan det får bedömas på samma sätt som enligt personuppgiftslagen.

Att ”behandlingen behövs” för de angivna syftena innebär detsamma som när det i artikel 7 i EG-direktivet och 10 § personuppgiftslagen anges att ”behandlingen är nödvändig” för olika syften.

De personuppgifter som för de angivna ändamålen får behandlas i CSN:s studiestödsverksamhet får anses insamlade för samtliga ändamål. Personuppgifter som har samlats in i första hand för att handlägga ärenden i studiestödsverksamheten kan således utan hinder av den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen senare behandlas t.ex. för att ta fram och till studerande distribuera bevis om studier med studiestöd. Däremot får CSN inte i studiestödsverksamheten utan samtycke från den registrerade behandla personuppgifter för något annat ändamål än de angivna. Detta är inte ens tillåtet om ändamålet med denna behandling skulle vara förenligt med det för vilket personuppgifterna ursprungligen samlades in. Av andra stycket framgår det när de behandlade personuppgifter får lämnas ut oberoende av för vilket ändamål det sker.

I första punkten anges det att CSN får behandla personuppgifter om det behövs för att handlägga ärenden i studiestödsverksamheten.

Med handläggning av ärenden avses inte bara åtgärder som direkt syftar till att kunna fatta beslut i ett ärende om studiestöd utan samtliga åtgärder i ärendet både före och efter beslutet. Sådana åtgärder i ett ärende kan vara bl.a. att på begäran sända ut ansökningsblanketter, att ta emot och skanna in handlingar, att sända ut förfrågningar, att upprätta minnesanteckningar, sammanställningar och utkast inför beslut, att utforma ett beslut, att expediera beslutet, att administrera utbetalning och att efter beslutet ha kontakter med den studiestödsberättigade. Dessa efterföljande kontakter kan t.ex. gå ut på att lämna information om förändrad ränta för studielån. När CSN sänder ut ett meddelande som behövs för att handlägga ett ärende om studiestöd och bifogar information omkring det studiestöd ärendet gäller, får även lämnandet av informationen anses behövlig för att handlägga ärendet. Att ge den registrerade elektronisk eller annan tillgång till uppgifterna i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan får anses ingå i handläggningen av ärenden. Även behandling av personuppgifter som sker för att kontrollera att studiestöd har beslutats och betalats ut på ett riktigt sätt utgör en del av handläggningen av ärendet om studiestöd. Kontroller av bl.a. sökandens uppgifter ingår således i handläggningen. Att en handläggare tar del av vägledande avgöranden för att kunna pröva ett ärende om studiestöd ingår också i handläggningen av ärendet. Detsamma gäller när en handläggare tar del av material i vägledande fall för att utforma handböcker och liknande till ledning för handläggningen av ärenden. Också CSN:s kravverksamhet avseende återbetalning eller återkrav av studiestöd ingår i handläggningen av ärenden. Det kan handla om att sända ärenden för indrivning till inkassoföretag eller att ansöka om betalningsföreläggande eller verkställighet hos Kronofogdemyndigheten. Även sådan bokföring och redovisning avseende ärendena om studiestöd som är föreskriven får anses ingå i handläggningen av ärenden. Om skadeståndsanspråk riktas mot staten med anledning av skada som inträffat inom CSN:s studiestödsverksamhet, är antingen CSN eller Justitiekanslern behörig att handlägga skadeståndsanspråket. Den behandling av personuppgifter som behövs härför är hänförlig till handläggning av ärenden i studiestödsverksamheten. På motsvarande sätt får CSN:s handläggning avseende svar på förfrågningar från tillsynsinstanser, t.ex. Riksdagens ombudsmän (JO), rörande CSN:s studiestödsverksamhet anses avse handläggning av ärende i studiestödsverksamheten.

Av andra punkten framgår det att CSN får behandla personuppgifter om det behövs för att administrera handläggningen av ärenden i studiestödsverksamheten. Ett exempel på sådan behandling är förandet av register över anmälda kontaktpersoner på olika läroanstalter. Ett annat exempel är den behandling av personuppgifter om såväl handläggare som sökande som sker i samband med att ärenden om studiestöd på automatiserat vis fördelas mellan CSN:s handläggare.

I den tredje punkten anges det att CSN får behandla personuppgifter för att i den utsträckning regeringen föreskriver det förbereda handläggningen av ärenden i studiestödsverksamheten. Det krävs alltså en förordningsbestämmelse för att CSN ska få behandla personuppgifter för att förbereda handläggningen. Sådana bestämmelser finns i 2 och 3 §§ i förslaget till studiestödsdataförordning, se avsnitt 6.17.2.

I den fjärde punkten anges det att CSN får behandla personuppgifter om det behövs för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Det är bara information till studiestödsberättigade som avses. Avser informationen studiestödsförmåner måste det kunna antas att informationsmottagarna i och för sig är berättigade till just den aktuella förmånen, om de skulle börja studera på visst sätt. Det krävs alltså inte att personen redan studerar.

Med studiestödsförmåner avses det som ibland kallas studiefinansiell verksamhet, dvs. CSN:s kärnverksamhet med studiestöd. Information om studiestödsförmåner kan avse t.ex. olika stödformer och villkoren för dessa och därmed sammanhängande frågor. Det ska röra sig om information om någon stödform som CSN har att hantera. Vilka stödformer det kan röra sig om kan komma att variera över tiden. För närvarande är det fråga om stöd enligt studiestödslagen, TUFF-ersättning, Rg-bidrag och ersättning för dagliga resor.

Som framgår av 5 § är behandlingen av personuppgifter för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner bara tillåten så länge den registrerade inte har motsatt sig behandlingen.

I 4 § i förslaget till studiestödsdataförordning finns det begränsningar i fråga om vilka personuppgifter som får behandlas för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, se avsnitt 6.17.3.

I den femte punkten anges det att CSN får behandla personuppgifter för att ta fram och till studerande distribuera bevis om studier med studiestöd. Det krävs inte att CSN själv tar fram och distribuerar bevisen. De bevis om studier som för närvarande är aktuella är CSN-kortet, Mecenatkortet, Studentkortet och Membitkortet. Det är inte CSN som själv tar fram och distribuerar dessa kort, men personuppgifterna som används kommer från CSN:s register och lämnas ut till olika företag för ändamålet. CSN är personuppgiftsansvarig för den behandling av personuppgifter som utlämnandet till kortföretagen innebär, vilket alltså är tillåtet enligt femte punkten.

Som framgår av 5 § är behandlingen av personuppgifter för att ta fram och till studerande distribuera bevis om studier med studiestöd bara tillåten så länge den registrerade inte har motsatt sig behandlingen.

I 5 § i förslaget till studiestödsdataförordning finns det begränsningar i fråga om vilka personuppgifter som får behandlas för att ta fram och till studerande distribuera bevis om studier med studiestöd, se avsnitt 6.17.3.

I den sjätte punkten anges det att CSN får behandla personuppgifter om det behövs för att – om sekretess inte hindrar det – anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten.

I studiestödsverksamheten kan det upptäckas oegentligheter. Det kan gälla sökanden som fuskat eller försökt fuska, t.ex. genom att lämna oriktiga uppgifter eller förfalskade handlingar. Det kan också gälla oegentligheter begångna i studiestödsverksamheten av andra än sökanden, t.ex. dataintrång av CSN:s personal, personal vid annan instans med direktåtkomst eller någon helt utomstående eller mutbrott och bestickning. I sådana fall där det inte finns anmälningsskyldighet får CSN själv välja om en anmälan om oegentligheten ska göras till behörig myndighet eller inte. CSN måste dock i dessa fall först avgöra om sekretess kan hindra anmälan; ofta kan emellertid en anmälan till myndighet göras utan hinder av annars gällande sekretess enligt 14 kap. 2 och 3 §§ sekretesslagen (1980:100).

Anmälan ska ske till något offentligt organ som har att utreda eller beivra oegentligheten. Det kan gälla t.ex. brottsmisstankar som anmäls till polismyndighet eller Åklagarmyndigheten. Det kan också gälla sådant som kan föranleda en arbetsrättslig åtgärd, såsom disciplinansvar, åtalsanmälan, uppsägning eller avskedande, som anmäls till någon myndighets personalansvarsnämnd inklusive personalansvarsnämnden hos CSN.

Av 7 § framgår det att även personuppgifter av känslig natur får lämnas ut i enlighet med sjätte punkten.

I andra stycket anges det för det första när personuppgifter får behandlas genom att lämnas ut oavsett ändamålet med utlämnandet. Personuppgifter som behandlas i studiestödsverksamheten med stöd av samtycke eller de i första stycket angivna ändamålen får enligt bestämmelsen – om sekretess inte hindrar det – lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.

Det är bara personuppgifter om den registrerade själv som får lämnas ut till den registrerade enligt bestämmelsen.

Med uppgiftsskyldighet avses detsamma som enligt 14 kap. 1 § sekretesslagen (1980:100). Uppgiftsskyldigheten kan avse utlämnande till andra myndigheter eller till enskilda. Även de helt generella bestämmelserna om skyldighet att på begäran lämna ut uppgifter till enskilda och myndigheter i 15 kap. 4 och 5 §§ sekretesslagen avses. Bestämmelsen är inte avsedd att påverka CSN:s skyldigheter enligt grundlag att lämna ut personuppgifter, t.ex. på begäran av enskild enligt offentlighetsprincipen.

Frågan om i vilken utsträckning utlämnandet av personuppgifter får ske i elektronisk form regleras i 10–14 §§.

Av 7 § framgår det att även personuppgifter av känslig natur får lämnas ut i enlighet med andra stycket.

I andra stycket finns det för det andra en bestämmelse om att personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får behandlas avskilt för att återsöka vägledande avgöranden. Avsikten med bestämmelsen är att CSN ska kunna föra en särskild praxisdatabas med vägledande avgöranden med personuppgifter som bara indirekt pekar ut den registrerade.

Namn, personnummer och samordningsnummer pekar direkt ut den registrerade, medan andra uppgifter – t.ex. ärendenummer och information om omständigheter kring personen – inte gör det.

Kravet på att personuppgifterna ska behandlas avskilt innebär att de vägledande avgöranden som ska återsökas får hämtas från verksamhetsdatabaserna (STIS), rensas från direkta personuppgifter och lagras i en särskild databas som är avskild från verksamhetsdatabaserna. Det är alltså inte tillåtet att med stöd av den aktuella bestämmelsen använda verksamhetsdatabaserna (med icke avidentifierade avgöranden) för att återsöka vägledande avgöranden.

Att det ska röra sig om återsökning av just vägledande avgöranden innebär att bara ett kvalitativt urval av avgöranden får samlas. Det går t.ex. inte med fog att säga att nästan alla avgöranden som en underinstans fattar är vägledande.

Av 7 § framgår det att även (indirekta) personuppgifter av känslig natur får behandlas för att återsöka vägledande avgöranden i den avskilda praxisdatabasen. Av 8 § framgår det att alla slags sökbegrepp är tillåtna vid återsökning av vägledande avgöranden i den avskilda praxisdatabasen.

I tredje stycket bemyndigas regeringen att meddela föreskrifter om begränsningar av de i första stycket angivna tillåtna ändamålen och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. I 4 och 5 §§ i förslaget till studiestödsdataförordning finns det sådana föreskrifter, se avsnitt 6.17.3.

5 § Behandling för ändamål som avses i 4 § första stycket 4 och 5 får utföras bara om den registrerade inte har motsatt sig behandlingen. Centrala studiestödsnämnden ska informera de registrerade om rätten att motsätta sig behandlingen.

Bestämmelserna i paragrafen har berörts främst i avsnitt 6.5.

Bestämmelsens första mening innebär att CSN – utan samtycke – får utföra behandling av personuppgifter för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner eller för att ta fram och till studerande distribuera bevis om studier med studiestöd bara så länge den registrerade inte har motsatt sig behandlingen.

Motsättandet kan ske muntligen eller skriftligen till CSN eller någon som på laglig grund företräder CSN, t.ex. det personuppgiftsbiträde som för CSN:s räkning behandlar personuppgifter för de aktuella ändamålen. Det är vid tvist den registrerade som har bevisbördan för att ett motsättande gjorts och tidpunkten för detta. Frågan om ett meddelande från den registrerade är ett sådant motsättande som avses i paragrafen får avgöras enligt sedvanliga regler om tolkning av ensidiga rättshandlingar.

Ångrar den registrerade sitt motsättande, kan han eller hon alltid samtycka till den aktuella behandlingen. Ett återtagande av ett lämnat motsättande får tolkas som ett sådant samtycke.

Enligt andra meningen ska CSN informera de registrerade om rätten att motsätta sig behandlingen. Det kan ske t.ex. på CSN:s webbplats och i broschyrer som sänds till registrerade samt i de utskick som avses med behandlingen.

6 § I de fall då behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.

Bestämmelserna i paragrafen har berörts i avsnitt 6.5.

Enligt paragrafen har den registrerade rätt att när som helst återkalla ett lämnat samtycke som är nödvändigt för att behandlingen ska vara tillåten enligt studiestödsdatalagen, se 4 § första stycket, 7 och 10 §§. Verkan av återkallelsen är att ytterligare personuppgifter om den registrerade därefter inte längre får behandlas för det aktuella ändamålet.

Bestämmelsen motsvarar och är avsedd att ha motsvarande innebörd som 12 § första stycket personuppgiftslagen, se prop. 1997/98:44 s. 123.

Återkallelse kan avges muntligen eller skriftligen till CSN eller någon som på laglig grund företräder CSN, t.ex. det personuppgiftsbiträde som för CSN:s räkning kan ha tagit emot samtycket. Det är vid tvist den registrerade som har bevisbördan för att en återkallelse gjorts och tidpunkten för denna. Frågan om ett meddelande från den registrerade är en sådan återkallelse som avses i paragrafen får avgöras enligt sedvanliga regler om tolkning av ensidiga rättshandlingar.

Sedan CSN mottagit den registrerades återkallelse, får några ytterligare uppgifter om den registrerade inte samlas in eller annars behandlas för det aktuella ändamålet. Behandlingen av redan insamlade uppgifter får trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade samtycket, men uppgifterna får således inte t.ex. uppdateras eller kompletteras för det aktuella ändamålet.

Behandling av känsliga personuppgifter m.m.

7 § Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får förutom med den registrerades uttryckliga samtycke behandlas bara i enlighet med 4 § första stycket 1 om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter får dock också behandlas i enlighet med 4 § första stycket 6 och andra stycket.

Bestämmelserna i paragrafen har berörts i avsnitt 6.9.

Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen personuppgifter som rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. De uppgifter som avses i 21 § personuppgiftslagen är personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Sådana personuppgifter som nu avses får enligt paragrafen behandlas bara med den registrerades uttryckliga samtycke eller om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten under förutsättning att uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter får enligt paragrafen dock också behandlas om det behövs för att kunna anmäla oegentlighet inom studiestödsverksamhet till en myndighet som har att utreda eller beivra oegentligheten eller om det behövs för att lämna ut personuppgifter till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Sådana personuppgifter får även behandlas i den avskilda samlingen av personuppgifter för återsökning av vägledande avgöranden som avses i 4 § andra stycket andra meningen.

När det i paragrafen anges att ”uppgifterna behövs” avses detsamma som när det i artikel 7 i EG-direktivet och 10 § personuppgiftslagen anges att ”behandlingen är nödvändig” för olika syften.

Med den registrerades uttryckliga samtycke avses detsamma som enligt 3 och 15 §§ personuppgiftslagen.

För att behandlingen av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ska vara tillåten krävs det dessutom att behandlingen över huvud taget är tillåten enligt 4–6 §§. För att behandlingen av dessa personuppgifter ska få genomföras krävs det givetvis också att övriga bestämmelser om behandlingen följs, t.ex. bestämmelserna i 8 § med restriktioner i fråga om sökbegrepp och i 10–13 §§ om direktåtkomst och annat elektroniskt utlämnande.

Angivandet i paragrafen av när behandlingen av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. får ske är inte avsedd att påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen.

Bestämmelserna i paragrafen innebär avvikelser från bestämmelserna i 13–21 §§ personuppgiftslagen och gäller därför i stället för dessa bestämmelser.

Sökbegrepp

8 § Som sökbegrepp får inte användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Vid sökning bara i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sådana sökbegrepp användas. Uppgifter som rör hälsa får också användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats.

Bestämmelserna i paragrafen har berörts i avsnitt 6.10. I nämnda avsnitt redogörs för vilka överväganden som legat bakom begränsningarna av tillåtna sökbegrepp.

Med uppgifter som rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening avses samma slags uppgifter som enligt 13 § personuppgiftslagen. Sådana uppgifter får enligt huvudregeln i paragrafen inte användas som sökbegrepp. Inte heller uppgifter om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott får enligt huvudregeln i paragrafen användas som sökbegrepp.

Med enligt huvudregeln förbjudna sökbegrepp avses bokstäver, koder eller siffror som avslöjar eller rör sådana uppgifter som nu sagts och med vars hjälp man tillsammans med en sökmotor eller liknande funktion kan ta fram ett urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd eller sortera personuppgifterna i informationsmängden.

I paragrafens andra mening anges det undantag från huvudregeln. Undantagen gäller sökning i bara ett visst ärende om studiestöd, i en viss handling eller i den avskilda samlingen av personuppgifter för återsökning av vägledande avgöranden som avses i 4 § andra stycket andra meningen. Den som väl hittat fram till ett visst ärende om studiestöd eller en viss handling kan alltså enligt undantagsregeln fritt söka inom ramen för det ärendet eller den handlingen efter olika uppgifter, inklusive sådana uppgifter som avses i första meningen. Ett exempel är att den som har öppnat ett ordbehandlingsdokument i ett ordbehandlingsprogram använder det programmets funktion för att söka efter ord i det dokumentet. Avsikten är inte att CSN ska kunna upprätta en särskild handling eller ett särskilt ärende med uppgifter om många olika studiestödsberättigade för att sedan använda enligt första meningen otillåtna sökbegrepp.

Vid sökning i den särskilda praxisdatabasen är också alla sökbegrepp tilllåtna.

Uppgift som rör hälsa får vidare, enligt tredje meningen, användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats. Med behörig personal avses personal som enligt CSN:s interna regler har behörighet att besluta angående avskrivning av studielån på grund av sjukdom. Med pågående ärenden avses ett ärende där avskrivning av studielån på grund av sjukdom aktualiserats men där frågan om avskrivning ännu inte avgjorts.

Intern elektronisk tillgång till personuppgifter

9 § Centrala studiestödsnämnden ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i nämndens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten.

Centrala studiestödsnämnden ska se till att elektronisk tillgång till personuppgifter dokumenteras och genomföra systematiska och återkommande kontroller av om obehörig åtkomst till uppgifterna förekommit.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång enligt första stycket och om dokumentation och kontroll enligt andra stycket.

Bestämmelserna i paragrafen har berörts i avsnitt 6.11.

I paragrafens första stycke slås det i första meningen fast att CSN ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i CSN:s studiestödsverksamhet. Av andra meningen framgår det att villkoren ska bestämmas så att sådan tillgång begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Den enskilde handläggaren hos CSN får alltså inte medges elektronisk tillgång till personuppgifter i större utsträckning än vad som behövs för att handläggaren ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Behörigheten till elektronisk tillgång bör framgå av interna regler eller beslut och bör lämpligen kompletteras med tekniska begränsningar som förhindrar att handläggaren elektroniskt kommer åt personuppgifter som han eller hon enligt de bestämda villkoren inte har behörighet till.

De villkor för elektronisk tillgång till personuppgifter som CSN bestämmer kan ha betydelse vid tillämpningen av bestämmelsen om straff för dataintrång i 4 kap. 9 c § brottsbalken.

Av andra stycket följer att den faktiska elektroniska tillgången till personuppgifter ska dokumenteras, t.ex. i en logg (behandlingshistorik). Dokumentationen ska avse alla former av elektronisk tillgång som förekommit till personuppgifterna oavsett om det är anställda som internt berett sig tillgång eller om utomstående har gjort det t.ex. via direktåtkomst.

CSN ska enligt andra stycket vidare genomföra systematiska och återkommande kontroller av om obehörig åtkomst till personuppgifterna förekommit. Det räcker alltså inte att loggarna kontrolleras bara när CSN på annat sätt fått anledning att misstänka att obehörig åtkomst har förekommit. Det bör i första hand vara upp till CSN att bedöma hur kontrollerna bör genomföras. Avsikten med bestämmelsen är att åstadkomma en sådan lämplig säkerhetsnivå som avses i 31 § personuppgiftslagen. Det ligger i sakens natur att CSN ska vidta nödvändiga åtgärder om det genom kontrollerna eller eljest upptäcks att obehörig åtkomst till personuppgifterna förekommit.

I tredje stycket anges det att regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång och om dokumentation och kontroll. I 6 § i förslaget till studiestödsdataförordning finns det sådana föreskrifter, se avsnitt 6.16.3.

Bestämmelserna i paragrafen avviker inte från bestämmelserna om säkerheten vid behandling i 30–32 §§ personuppgiftslagen utan utgör preciseringar av dessa bestämmelser. CSN har således att i andra avseende än som särskilt regleras i studiestödsdatalagen vidta lämpliga åtgärder enligt vad som följer av personuppgiftslagen för att skydda de personuppgifter som behandlas.

Direktåtkomst och annat elektroniskt utlämnande av personuppgifter

10 § Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna i 4–6 och 8 §§ följs.

Bestämmelserna i paragrafen har berörts i avsnitt 6.12.2.

Av paragrafen framgår det att direktåtkomst och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet bara är tillåtet utan den registrerades samtycke i den utsträckning som anges i lag eller förordning. Med elektroniskt utlämnande avses alla former av utlämnande av personuppgifter i elektroniskt format, dvs. i binär form, såsom ettor och nollor. För sådant utlämnande krävs det alltså författningsstöd eller den registrerades samtycke. Sådant författningsstöd finns bl.a. i 11–14 §§. I 11 § i förslaget till studiestödsdataförordning finns det föreskrifter om annat elektroniskt utlämnande än direktåtkomst, se avsnitt 6.17.6. I 1 b § bostadsbidragsförordningen (1993:739) och 5 § förordningen (1996:1036) om underhållsstöd finns det också föreskrifter om elektroniskt utlämnade av uppgifter från CSN.

I lag eller förordning kan det således anges att elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet, t.ex. genom direktåtkomst, är tillåten till andra myndigheter än de som anges i 11 och 14 §§.

Med samtycke avses detsamma som enligt 3 § personuppgiftslagen.

Vid elektroniskt utlämnande av personuppgifter som anges i lag eller förordning måste övriga bestämmelser i studiestödsdatalagen om behandlingen av personuppgifter följas. En erinran om detta har tagits in i paragrafen. Bestämmelserna som anger när elektroniskt utlämnande av personuppgifter får sker anger således bara när just ett sådant utlämnande får ske, om behandlingen är tillåten enligt övriga bestämmelser om behandlingen av personuppgifter. Bestämmelserna om när en behandling av personuppgifter över huvud taget är tillåten (se 4–6 §§) måste således följas, liksom bestämmelserna om vilka sökbegrepp som inte får användas (se 8 §). Även tillämpliga bestämmelser i personuppgiftslagen, t.ex. om säkerheten vid behandling, måste givetvis följas.

11 § Försäkringskassan och arbetslöshetskassorna får i den utsträckning uppgiftsskyldighet följer av lag eller förordning ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst.

Bestämmelserna i paragrafen har berörts i avsnitt 6.12.4.

Paragrafen tillåter Försäkringskassan och arbetslöshetskassorna att ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet i den utsträckning uppgiftsskyldighet följer av lag eller förordning. Av 13 § följer att personuppgifter under samma förutsättning också får lämnas ut elektroniskt till Försäkringskassan och arbetslöshetskassorna på annat sätt än genom direktåtkomst.

Bestämmelser om CSN:s uppgiftsskyldighet gentemot Försäkringskassan och arbetslöshetskassorna finns i 20 kap. 9 § lagen (1962:381) om allmän försäkring respektive 48 c § lagen (1997:238) om arbetslöshetsförsäkring.

Paragrafen innebär inte i sig någon uppgiftsskyldighet för CSN eller någon skyldighet för CSN att faktiskt anordna den direktåtkomst som får förekomma enligt paragrafen.

Det är enligt andra meningen i paragrafen upp till regeringen att meddela föreskrifter om vilka personuppgifter som får omfattas av direktåtkomsten. Utredningens förslag till studiestödsdataförordning innehåller i 7 och 8 §§ sådana föreskrifter, se avsnitt 6.17.5.

12 § Den registrerade får i den utsträckning sekretess inte hindrar det ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, om uppgifterna

1. avser honom eller henne själv,

2. finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, eller

3. avser dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter.

Bestämmelserna i paragrafen har berörts i avsnitt 6.12.6.

Paragrafen rör den registrerades direktåtkomst. Direktåtkomst till uppgifter är enligt paragrafen bara tillåten i den utsträckning uppgifterna får lämnas ut till den registrerade. Sekretess kan alltså hindra direktåtkomst (eller annat avslöjande av uppgifterna) för den registrerade. Sekretessregler hindrar dock normalt inte att den enskilde får ut uppgifter om sig själv, 14 kap. 4 § första stycket sekretesslagen (1980:100), men undantag kan gälla t.ex. med hänvisning till intresset att förebygga eller beivra brott, 5 kap. 1 § sekretesslagen. Av 13 § följer att personuppgifter under samma förutsättning också får lämnas ut elektroniskt till den registrerade på annat sätt än genom direktåtkomst.

Direktåtkomsten får enligt första punkten omfatta uppgifter om den registrerade själv. Punkten ger inte stöd för att ge direktåtkomst till uppgifter om någon annan person än den registrerade själv.

Enligt den andra punkten får direktåtkomsten avse alla uppgifter om den registrerade själv eller andra som finns i ett ärende om studiestöd till den registrerade eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, t.ex. en omyndig studiehjälpsberättigad som den registrerad är vårdnadshavare för.

I den tredje punkten finns det bestämmelser som har anknytning till CSN:s skyldighet att se till att elektronisk tillgång till personuppgifter dokumenteras, dvs. registreras i en behandlingshistorik (logg), se 9 § andra stycket. Den registrerade får ha direktåtkomst till uppgifter som avser dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter. Uppgifterna i dokumentationen kan avse vilka personer som haft sådan tillgång till personuppgifterna och när de hade sådan tillgång.

Bestämmelserna i denna paragraf innebär inte i sig någon uppgiftsskyldighet för CSN eller någon skyldighet för CSN att faktiskt anordna den direktåtkomst som får förekomma enligt bestämmelserna. CSN kan alltså t.ex. begränsa direktåtkomsten avseende dokumentationen av den elektroniska tillgången till uppgifter som inte direkt pekar ut enskilda handläggare.

13 § När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på annat sätt lämnas ut elektroniskt till denne. Enstaka personuppgifter får även i andra fall lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall om sekretess inte hindrar det.

Bestämmelserna i paragrafen har berörts i avsnitt 6.12.2 och 6.12.3.

I paragrafen finns det bestämmelser om när annat elektroniskt utlämnande än direktåtkomst får förekomma.

Av första meningen framgår det att i den utsträckning direktåtkomst är tillåten är även andra former av elektroniskt utlämnande av personuppgifter tillåten.

Av paragrafens andra mening framgår det att vissa former av elektroniskt utlämnande av enstaka personuppgifter är tillåtna även när direktåtkomst inte är tillåten. Utlämnandet är dock under alla förhållanden tillåtet bara om sekretess inte hindrar det. Vid utlämnandet måste bl.a. kraven på säkerhetsåtgärder i enlighet med personuppgiftslagen upprätthållas.

En förutsättning för det elektroniska utlämnandet är att det avser bara enstaka personuppgifter. Ett mer omfattande eller systematiskt elektroniskt uppgiftsutlämnande kan alltså inte ske med stöd av paragrafen. Ett helt register eller delar av ett register får således inte lämnas ut elektroniskt, t.ex. i form av en fil på diskett, med stöd av paragrafen. Däremot kan några enstaka handlingar och uppgifter lämnas ut via e-post som svar på en förfrågan eller på CSN:s eget initiativ.

De former av elektroniskt utlämnande som avses är utlämnande på medium för automatiserad behandling och utlämnande via elektronisk kommunikation. Utlämnandet kan alltså ske på någon form av fysiskt medium, såsom diskett, usb-minne, minneskort, cd- eller dvd-skiva, eller via någon form av elektronisk kommunikation, såsom e-post, SMS eller skriftlig dialog i realtid via Internet (s.k. chatt).

I fråga om utlämnande via elektronisk kommunikation tillåts enligt paragrafen bara sådan kommunikation i enskilda fall. I kravet på att det ska vara fråga om elektronisk kommunikation i enskilda fall ligger att utlämnandet ska ske genom en icke automatiserad process, där någon handläggare hos CSN är inblandad i varje utlämnande.

14 § På begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling.

Bestämmelserna i paragrafen har berörts i avsnitt 6.12.7.

Paragrafen tillåter utlämnande av personuppgifter på medium för automatiserad behandling till Riksrevisionen. Sådant utlämnande är dock tilllåtet bara om och i den utsträckning Riksrevisionen begär det med stöd av 6 § lagen (2002:1022) om revision av statlig verksamhet m.m.

Rättelse och skadestånd

15 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag.

Bestämmelserna i paragrafen har berörts i avsnitt 6.14.

Genom paragrafen görs för det första bestämmelserna om rättelse i 28 § personuppgiftslagen tillämpliga på personuppgifter som inte har behandlats i enlighet med studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till studiestödsdatalagen. För det andra görs bestämmelserna om skadestånd i 48 § personuppgiftslagen tillämpliga på skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till studiestödsdatalagen orsakat.

Paragrafen är inte avsedd att innebära någon avvikelse från personuppgiftslagen. En behandling av personuppgifter i strid med bestämmelserna i personuppgiftslagen när dessa är tillämpliga (därför att frågan inte reglerats särskilt i studiestödsdatalagen), kan således föranleda rättelse m.m. och skadestånd enligt personuppgiftslagen.

Gallring

16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska i den utsträckning de inte tillförts ett ärende om studiestöd gallras senast ett år efter det att uppgifterna registrerades.

Trots första stycket får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Centrala studiestödsnämnden får också trots första stycket i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium.

Bestämmelserna i paragrafen har berörts i avsnitt 6.16.

Paragrafen reglerar när personuppgifter får och måste gallras.

I första stycket finns det gallringsföreskrifter. Bestämmelserna i stycket tillåter gallring utan beslut eller föreskrift av Riksarkivet. Bestämmelserna i stycket innebär alltså att personuppgifterna får gallras när som helst, dock senast vid utgången av den angivna gallringsfristen.

Med gallring avses enligt bestämmelsen att personuppgifterna förstörs så att de inte kan återskapas. Det är alltså inte tillåtet att CSN inför gallringen av de behandlade personuppgifterna för över dem på annat medium, t.ex. papper, och sedan bevarar informationen på det mediet längre än vad som följer av gallringsföreskrifterna. Något krav på att personuppgifter som CSN vid gallringstidpunkten redan avhänt sig till annan, t.ex. via direktåtkomst eller genom att sända en utskrift på papper, ska gallras (hos mottagaren) finns inte enligt paragrafen.

Med ärende om studiestöd avses i paragrafen ett ärende om en viss typ av studiestöd – i dag ärendetyperna studiehjälp, ersättning för dagliga resor, studielån, Rg-bidrag och TUFF-ersättning – för en viss person. En person som får studiemedel i form av både studiebidrag och studielån för vissa studier har således fått studiestöd i ett enda ärende. Gör den personen något års studieuppehåll för att sedan få studiemedel i form av studiebidrag och/eller studielån för helt andra studier, är det vidare ändå fråga om ett enda ärende om studiestöd.

Om återkrav inte blivit aktuellt, ska alltså personuppgifterna i ett ärende om studiehjälp för en person gallras senast tre år efter utgången av det kalenderår då studiehjälp senast beviljades avseende den personen. Det gäller även om personen då skulle vara aktuell i ett ärende om en annan typ av studiestöd, t.ex. studiemedel för studier på högskolenivå direkt efter de studiehjälpsberättigande gymnasiestudierna.

Om återbetalning av studielån är aktuellt i ett ärende om studiemedel för en person, behöver inte några personuppgifter i ärendet om studiemedel för den personen gallras förrän två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Personuppgifterna i det ärendet ska emellertid gallras då även om personen vid tillfället skulle vara aktuell i ett ärende om en annan typ av studiestöd, t.ex. TUFF-ersättning. Det spelar inte någon roll hur betalningsskyldigheten har upphört.

Sådana personuppgifter i ett ärende om studiestöd som kan ha betydelse i ett nytt ärende om studiestöd behöver inte gallras förrän de inte längre kan ha sådan betydelse. Frågan om i vilken utsträckning personuppgifter i ett ärende om studiestöd kan ha betydelse för ett nytt ärende om studiestöd får bedömas enligt vid var tid gällande författningar om studiestöd. Det är bara de personuppgifter som kan ha sådan betydelse som får undantas från gallring. Ett exempel är att en person i trettioårsåldern som redan har fått studiebidrag i 200 veckor för en viss utbildning endast kan få studiebidrag i ytterligare 40 veckor för en annan utbildning när det är fråga om utbildning som avses i 3 kap. 8 § första stycket studiestödslagen (1999:1395). Eftersom den registrerade kan få studiebidrag till och med det kalenderår denne fyller 54 år (se 3 kap. 3 § studiestödslagen), kan en del av personuppgifterna i det avslutade ärendet om studiemedel ha betydelse ända till och med detta år.

Av andra stycket framgår det när personuppgifter som behandlas enligt 4 § första stycket 3 för att förbereda handläggningen av ärenden ska gallras. Gallring ska ske senast ett år efter det att uppgifterna registrerades hos CSN. Personuppgifter som vid gallringstillfället har tillförts ett ärende om studiestöd får dock inte gallras enligt detta stycke, utan det framgår av första stycket när gallring ska ske av personuppgifter i ärenden om studiestöd.

Av tredje stycket framgår det när undantag från gallringsföreskrifterna i första stycket kan medges.

För det första får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Med historiska, statistiska eller vetenskapliga ändamål avses detsamma som enligt artikel 6 i EG-direktivet och 9 § tredje stycket personuppgiftslagen. Med bevarande för redovisningsändamål avses sådant bevarande som följer av god redovisningssed, jämför 45 § lagen (1996:1059) om statsbudgeten. I 12 § i förslaget till studiestödsdataförordning finns det bemyndiganden för Riksarkivet att meddela föreskrifter om bevarande, se avsnitt 6.17.7.

För det andra får CSN i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium. Det kan ske t.ex. när personuppgifterna i ett ärende om studiestöd även efter gallringstidpunkten i undantagsfall har betydelse därför att handläggning avseende ärendet i en eller annan mening kan sägas fortsätta hos CSN eller annan myndighet. Det kan exempelvis gälla en granskning avseende ärendet hos någon myndighet eller liknande med tillsynsfunktioner eller motsvarande, t.ex. Riksdagens ombudsmän (JO), Justitiekanslern, riksdagens utskott eller Riksrevisionen. Det kan också gälla ett beslut i ett ärende som överklagats och där överprövningen inte är klar ännu. Det kan vidare gälla att anspråk på skadestånd framställts med anledning av handläggningen av ett ärende. Även andra undantagsfall där personuppgifterna i ett ärende om studiestöd kan ha betydelse även efter gallringstidpunkten torde kunna tänkas.

Begränsningen till enstaka fall innebär att CSN inte regelmässigt får besluta om bevarande bara därför att personuppgifterna i en viss ärendetyp någon gång i framtiden kanske skulle kunna komma att ha betydelse.

Beslut om bevarande ska fattas före den föreskrivna gallringstidpunkten.

Kravet på att personuppgifterna ska bevaras på ett icke elektroniskt medium innebär att uppgifterna måste föras över från dator till ett sådant medium, t.ex. papper eller s.k. mikrokort. Med elektroniskt medium avses ett medium där personuppgifterna lagras i elektroniskt format, dvs. binär form, såsom ettor och nollor. På ett icke elektroniskt medium lagras personuppgifterna i stället i ett statiskt format, där det inte är möjligt att på elektronisk väg göra olika sammanställningar av informationen.

[1] Se förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel och 15 kap. 2 a § Centrala studiestödsnämndens föreskrifter och allmänna råd (CSNFS 2001:1) om beviljning av studiemedel.

[2] Se förordningen (2006:1458) om ränta på studielån för 2007.

[4] Se 8 § lagen (1976:1046) om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde.

[5] Se remisspromemorian Bidrag vid korttidsstudier 2007-04-18, U2007/3143/SV.

[6] Jämför t.ex. 2 kap. 3 § andra stycket regeringsformen och 1 § personuppgiftslagen (1998:204).

[7] Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046), kallas i det följande bara EG-direktivet.

[8] Framställningen bygger på den som finns i t.ex. SOU 2004:6 s. 27 ff. och SOU 2002:2 s. 138 ff.

[9] SOU 1997:39 s. 183 f. Se för den senaste undersökningen om allmänhetens attityder till integritetsskydd SOU 2007:22.

[13] Peter Seipel, Juridik och IT, 8:e uppl. s. 257 f.

[17] Indelningen och begreppsbildningen i denna del har inspirerats av en artikel av Peter Seipel i SOU 2002:112 s. 21–32.

[18] Framställningen bygger bl.a. på den som finns i de nämnda betänkandena.

[19] EG-domstolens dom den 20 maj 2003 i mål nr C‑465/00 och C‑138/01 och C-139/01, REG 2003 s. I‑4989.

[20] Framställningen bygger bl.a. på den som finns i SOU 2006:82 s. 123 ff.

[21] Se allmänt om särskilda registerförfattningar Sören Öman, ”Särskilda registerförfattningar” i Festskrift till Peter Seipel, 2006, s. 685–705.

[22] Prop. 1997/98:44 s. 41 och bet. 1997/98:KU18 s. 43 samt prop. 1990/91:60 s. 58 och bet. 1990/91:KU11 s. 11.

[24] Det IT-system som i betänkandet benämns STIS kallas internt hos CSN för STIS 2000 och ersatte ett äldre system som internt kallades STIS. STIS 2000 tillkom i mindre skala 1995 och har därefter byggts på med ytterligare applikationer. Studiemedelshandläggningen implementerades 1996.

[25] CSN-nummer är ett individuellt nummer för varje registrerad studerande eller annan person som kontaktar CSN. Alla personer som kontaktar CSN tilldelas nämligen ett CSN-nummer för att möjliggöra diarieföring..

[27] Sekretess såvitt avser rekryteringsbidrag framgår numera av övergångsbestämmelserna till en ändring i sekretesslagen, SFS 2006:1450.

[30] Se prop. 2002/03:1 Utgiftsområde 15 s. 20 f.

[33] RA-MS (1988:26), RA-MS (1988:27), RA-MS (1998:42), RA-MS (2000:17), RA-MS (2005:22) och RA-MS (2005:73).

[35] En viss utvidgning av underrättelsesskyldigheten har nyligen föreslagits, se SOU 2007:45 s. 213 ff.

[36] Detta gäller även för gamla lån, se 8 kap. 16 § studiestödslagen (1973:349) och punkten 1 i övergångsbestämmelserna till nu gällande studiestödslag vad avser lån tagna mellan 1989 och den 30 juni 2001 samt punkten 1 i övergångsbestämmelserna till lagen (1988:877) om ändring i studiestödsdatalagen (1973:349) för lån tagna före 1989.

[37] Den 1 januari 2008 ersätts de nämnda myndigheterna med en ny sammanhållen myndighet vid namn Arbetsförmedlingen, prop. 2006/07:89 och bet. 2006/07:AU13. Vad som här sägs om Arbetsmarknadsstyrelsen och länsarbetsnämnderna gäller då istället Arbetsförmedlingen, SFS 2007:410.

[38] Med läroanstalt förstås i studiestödsförordningen sådan läroanstalt eller utbildning som anges i bilagan till förordningen, 1 kap. 7 § studiestödsförordningen.

[40] Se EG-domstolen dom den 6 november 2003 i mål C-101/01 (det s.k. konfirmandlärarmålet), där domstolen slog fast att det inte föreligger någon ”överföring av … uppgifter till tredje land” i den mening som avses i artikel 25 i EG-direktivet när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en hemsida på Internet och den som tillhandahåller servertjänsten är etablerad i samma medlemsstat eller i en annan medlemsstat, oberoende av att uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land. Bestämmelserna om överföring av personuppgifter till tredje land i personuppgiftslagen ska tolkas på samma sätt som bestämmelserna i direktivet enligt Högsta domstolens dom NJA 2005 s. 361.

[41] Se dock avsnitt 2.6 ovan om de föreslagna förändringarna av korttidsbidraget.

[42] Även CSN:s beslut i ärenden om den numera upphävda bidragsformen rekryteringsbidrag (se avsnitt 2.7.2) kan överklagas till Överklagandenämnden för studiestöd.

[43] Med läroanstalt förstås i studiestödsförordningen sådan läroanstalt eller utbildning som anges i bilagan till förordningen, 1 kap. 7 § studiestödsförordningen.

[45] Att sametinget är en myndighet framgår bl.a. av 1 kap. 1 § sametingslagen (1992:1433).

[46] Se t.ex. prop. 1997/98:44 s. 41 och bet. 1997/98:KU18 s. 43 samt prop. 1990/91:60 s. 50 och bet. 1990/91:KU11 s. 11.

[47] Se bl.a. prop. 2000/01:129 s. 69 och prop. 2001/02:161 s. 47 samt CSN:s skrivelse till regeringen U2000/4901/SV, Riksdagens ombudsmäns (JO:s) yttrande med anledning av Informationsutbytesutredningens betänkande SOU 2000:97 och Statskontorets utvärdering Informationsutbyte kräver bra förutsättningar (rapport 2006:7) s. 9 och 106.

[48] Korttidsbidrag och studiemedel får visserligen inte lämnas för samma tid, men några automatiserade system för kontroll av detta har inte införts.

[50] Se t.ex. lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen respektive polisdatalagen (1998:622).

[54] Se Sören Öman & Hans-Olof Lindblom, Personuppgiftslagen – En kommentar, tredje upplagan 2007, s. 66 f. med vidare hänvisningar.

[55] Se bl.a. prop. 2000/01:33 s. 346 och prop. 2001/02:144 s. 20.

[56] Se t.ex. lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, lagen (1999:163) om penningtvättsregister, lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga och lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

[58] Se t.ex. lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration, lagen (2005:258) om läkemedelsförteckning, lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, lagen (2006:444) om passagerarregister och lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen.

[61] Lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Prop. 2006/07:46.

[62] Artikel 3.2 första strecksatsen i EG-direktivet. Se prop. 2006/07:46 s. 45 f.

[64] Jämför SOU 2007:22 Del 1 s. 461 ff. för synpunkter rörande bl.a. otydlig reglering i de särskilda registerförfattningarna.

[65] Skulle uppgiftsskyldighet vara föreskriven i förhållande till enskilda måste bestämmelser om sekretess iakttas, eftersom bestämmelsen i 14 kap. 1 § sekretesslagen om att uppgiftsskyldighet bryter sekretess bara gäller utlämnande till myndighet.

[66] Se 14 kap. 1 § andra meningen sekretesslagen om att sekretess inte hindrar att uppgift lämnas till annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.

[67] Se 14 kap. 1 § första meningen sekretesslagen om att sekretess inte hindrar att uppgift lämnas till regeringen eller riksdagen.

[69] Se CSN:s skrivelse (dnr 2006-100-12243) till Utbildnings- och kulturdepartementet den 19 oktober 2006 s. 8.

[72] Motsvarande bedömning har nyligen gjorts av Patientdatautredningen på hälso- och sjukvårdsområdet, SOU 2006:82.

[73] Se SOU 1997:39 s. 341 f. och Sören Öman & Hans-Olof Lindblom, Personuppgiftslagen – En kommentar, tredje upplagan 2007, s. 90 f. med vidare hänvisningar.

[79] Se för en genomgång av förarbeten och begreppsbildningen Samsetrapport 2005:1. Se också SOU 2007:45 s. 159 ff.

[83] Dir. 2005:91 och SOU 2007:45, särskilt s. 325 ff.

[84] CSN:s elektroniska utlämnande av personuppgifter till Statistiska centralbyrån för att fullgöra uppgiftsskyldigheten enligt regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan faller utanför den föreslagna studiestödsdatalagen, se avsnitt 6.6.2.

[86] Prop. 2000/01:129, bet. 2001/02:KU3 och rskr. 2001/02:18.

[87] Statskontorets utvärdering Informationsutbyte kräver bra förutsättningar (2006:7) s. 119 f.

[88] Jämför förordningen (2005:55) om elektronisk överföring av ansökningar om studiemedel.

[91] Beskrivningen av bestämmelserna i arkivförfattningarna baseras på motsvarande beskrivning i SOU 2006:82 s. 510 ff.

[92] Se härtill Sören Öman, ”Gallring i allmänna handlingar av integritetsskyddsskäl” i Handlingsoffentlighet utan handlingar?, Skrifter utgivna av Riksarkivet nr 21, 2004, s. 39–48.

[93] EG-direktivet innehåller en motsvarande bestämmelse (artikel 6.1 c), och den bestämmelsen har ansetts vara direkt tillämplig i den meningen att den kan åberopas av enskild inför nationella domstolar för att dessa inte ska tillämpa nationella rättsregler som strider mot bestämmelsen, EG-domstolens dom den 20 maj 2003 i de förenade målen C‑465/00, C‑138/01 och C‑139/01, REG 2003 s. I-4989.

[96] Utredningen vill betona att den bedömningen inte innebär att rätten blir mindre viktig för de personer som vill utnyttja den för att slippa utskick.

[97] Statsrådsberedningens publikation Kommittéhandboken Ds 2000:1 s. 83.

LO	42 550 000 kr
TCO	7 651 000 kr
Sametinget	500 000 kr
Socialstyrelsen	12 675 000 kr
Summa	63 376 000 kr

LO	8 773
TCO	4 086
SISUS	262
Sametinget	89
Summa	13 210

2.2.2 Studiebidrag

2.3.2 Studiebidrag

2.3.3 Tilläggsbidrag

2.4 Rg-bidrag

2.6 Korttidsbidrag

2.7.2 Rekryteringsbidrag

Information av huvudsakligen administrativ karaktär

Information om enskilds personliga förhållanden

Information om enskilds ekonomiska förhållanden

Folkbokföringsdatabasen

Beskattningsdatabasen

Regler om dataskydd

Regler om studiestöd

Förändringar på studiestödsområdet

Stor mängd uppgifter och många aktörer

Ofullständig författningsreglering