Regeringskansliets rättsdatabaser

Regeringskansliets rättsdatabaser innehåller lagar, förordningar, kommittédirektiv och kommittéregistret.

Testa betasidan för Regeringskansliets rättsdatabaser

Söker du efter lagar och förordningar? Testa gärna betasidan för den nya webbplatsen för Regeringskansliets rättsdatabaser.

Klicka här för att komma dit

 
Post 3738 av 7186 träffar
Propositionsnummer · 2008/09:96 · Hämta Doc · Hämta Pdf
Behandling av personuppgifter inom studiestödsområdet
Ansvarig myndighet: Utbildningsdepartementet
Dokument: Prop. 96
Regeringens proposition 2008/09:96 Behandling av personuppgifter inom studiestödsområdet Prop. 2008/09:96 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 11 december 2008 Maud Olofsson Lars Leijonborg (Utbildningsdepartementet) Propositionens huvudsakliga innehåll Propositionen innehåller förslag till en ny lag om behandling av personuppgifter i Centrala studiestödsnämndens (CSN) studiestödsverksamhet, studiestödsdatalagen. Lagen ska gälla utöver personuppgiftslagens (1998:204) bestämmelser om skydd för den personliga integriteten vid behandling av personuppgifter. Förslaget innebär att personuppgiftsbehandlingen inom studiestödsområdet får en lagreglering som är anpassad till den tekniska utvecklingen. Den föreslagna studiestödsdatalagen innehåller bestämmelser om lagens tillämpningsområde, tillåtna ändamål för behandling av personuppgifter och de begränsningar som ska gälla för användningen av uppgifterna. Studiestödsdatalagen föreslås bara gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I propositionen föreslås att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som arbetar i myndighetens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. CSN ska se till att elektronisk tillgång till personuppgifter dokumenteras och ska systematiskt och återkommande kontrollera om obehörig åtkomst till uppgifterna har förekommit. Studiestödsdatalagen föreslås också innehålla särskilda bestämmelser om direktåtkomst och annat elektroniskt utlämnande av personuppgifter, rättelse, skadestånd och gallring. Regeringen föreslår att studiestödsdatalagen ska träda i kraft den 1 januari 2010. Bestämmelserna om intern elektronisk tillgång till personuppgifter och gallring ska dock inte börja tillämpas förrän den 1 januari 2011. Innehållsförteckning 1 Förslag till riksdagsbeslut 5 2 Förslag till studiestödsdatalag 6 3 Ärendet och dess beredning 11 4 Behandling av personuppgifter inom studiestödssystemet 12 4.1 Studiestödssystemet 12 4.1.1 Studiehjälp 12 4.1.2 Studiemedel 12 4.1.3 Övriga stödformer 13 4.2 Centrala studiestödsnämnden 13 4.2.1 Organisation och verksamhet 13 4.2.2 Studiestödets Informationssystem (STIS) 14 4.2.3 Sekretess 15 4.2.4 Gallring 16 4.2.5 Inhämtande och utlämnande av personuppgifter 16 4.2.6 CSN:s arbete med statistiken 19 4.3 Överklagandenämnden för studiestöd 19 4.3.1 Överklagandenämnden för studiestöds datasystem - Diabas 20 4.3.2 Sekretess 20 4.3.3 Gallring 20 4.4 Övriga aktörer 20 5 Gällande rätt 21 5.1 Internationella regler 21 5.1.1 Europakonventionen 21 5.1.2 Dataskyddskonventionen 22 5.1.3 Dataskyddsdirektivet 22 5.2 Personuppgiftslagen 24 5.3 Särskilda registerförfattningar 26 6 En ny lag om behandling av personuppgifter inom Centrala studiestödsnämndens studiestödsverksamhet 27 6.1 Behovet av en särskild lag 27 6.2 Förhållandet till personuppgiftslagen och annan lagstiftning 30 6.3 Lagens tillämpningsområde 32 6.4 Personuppgiftsansvar 38 6.5 Ändamål som personuppgifter får behandlas för 38 6.6 Begränsningar i rätten att behandla personuppgifter 47 6.7 Sökbegrepp 50 6.8 Intern elektronisk tillgång till personuppgifter 53 6.9 Direktåtkomst och annat elektroniskt utlämnande av personuppgifter 56 6.9.1 Informationsutbyte kräver samtycke eller författningsstöd 56 6.9.2 Direktåtkomst för Försäkringskassan och arbetslöshetskassorna 62 6.9.3 Direktåtkomst för den registrerade 64 6.9.4 Elektroniskt utlämnande av enstaka personuppgifter 65 6.9.5 Elektroniskt utlämnande till Riksrevisionen 66 6.10 Rättelse och skadestånd 66 6.11 Gallring 67 7 Förslagets konsekvenser 74 8 Ikraftträdande 75 9 Författningskommentar 76 Sammanfattning av betänkandet Studiestödsdatalag (SOU 2007:64) 89 Lagförslag i betänkandet Studiestödsdatalag (2007:64) 93 Förteckning över remissinstanserna 97 Lagrådsremissens lagförslag 98 Lagrådets yttrande 103 Utdrag ur protokoll vid regeringssammanträde den 11 december 2008 107 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till studiestödsdatalag. 2 Förslag till studiestödsdatalag Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet. Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förhållandet till personuppgiftslagen och lagen om den officiella statistiken 2 § I den mån personuppgiftslagen (1998:204) innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i denna lag, ska personuppgiftslagen tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet. Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen (2001:99) om den officiella statistiken och anslutande författningar tillämpas i stället för denna lag. Personuppgiftsansvar 3 § Centrala studiestödsnämnden är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Ändamål 4 § Personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet bara om det behövs för att 1. handlägga ärenden i den verksamheten, 2. administrera handläggningen, 3. förbereda handläggningen, 4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, 5. ta fram och distribuera bevis om studiestöd för studier till studerande, eller 6. anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna. Personuppgifter som behandlas enligt första stycket får även behandlas genom att lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyldighet för Centrala studiestödsnämnden att lämna uppgifter följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas för att ge tillgång till vägledande avgöranden. Regeringen får meddela föreskrifter om begränsningar av ändamålen i första stycket och om i vilka fall behandling får göras med stöd av första stycket 3. Regeringen meddelar föreskrifter om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. 5 § Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får utföras även om den registrerade motsätter sig behandlingen. Begränsningar i rätten att behandla personuppgifter 6 § Särskilda begränsningar gäller för behandling av personuppgifter som 1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, 2. avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, eller 3. rör hälsa eller sexualliv. Uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket. Samtycke av den registrerade 7 § Trots 4 § första stycket får personuppgifter behandlas i Centrala studiestödsnämndens studiestödsverksamhet med den registrerades samtycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke. Uppgifter som behandlas med samtycke enligt första stycket får också behandlas enligt 4 § andra stycket. I de fall då behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke, har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. Sökbegrepp 8 § Som sökbegrepp får inte användas 1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, 2. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, 3. uppgifter som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott, eller 4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle. Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas uppgifter som rör 1. hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och 2. inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende. Intern elektronisk tillgång till personuppgifter 9 § Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som arbetar i Centrala studiestödsnämndens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Centrala studiestödsnämnden ska se till att elektronisk tillgång till personuppgifter dokumenteras. Myndigheten ska också systematiskt och återkommande kontrollera om någon obehörig åtkomst till uppgifterna har förekommit. Regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om dokumentation och kontroll enligt andra stycket. Direktåtkomst och annat elektroniskt utlämnande av personuppgifter 10 § Direktåtkomst till och annat elektroniskt utlämnande utan den registrerades samtycke av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4 och 6-8 §§ följs. 11 § Försäkringskassan och arbetslöshetskassorna får, i den utsträckning Centrala studiestödsnämnden har uppgiftsskyldighet enligt lag eller förordning, ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst. 12 § Den registrerade får ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, om uppgifterna 1. avser honom eller henne själv, 2. finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, eller 3. avser dokumentation av den elektroniska tillgång som har förekommit till hans eller hennes personuppgifter, dock inte sådan information som avslöjar vilken enskild handläggare som haft tillgång till uppgifterna. 13 § När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på något annat sätt lämnas ut elektroniskt till mottagaren. Enstaka personuppgifter får även i andra fall lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall. 14 § På begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling. Rättelse och skadestånd 15 § Bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag. Gallring 16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse. Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt. _____________ 1. Denna lag träder i kraft den 1 januari 2010. 2. Bestämmelserna i 9 och 16 §§ ska inte börja tillämpas förrän den 1 januari 2011. 3 Ärendet och dess beredning Studiestödssystemet har genomgått stora förändringar under senare år. Studiemedelsreformen 2001 innebar bl.a. att de särskilda vuxenstudiestöden och särskilt utbildningsbidrag togs bort samt att ett nytt system för återbetalning av studielån infördes (prop. 1999/2000:10). Studiemedlet har förstärkts med bl.a. ett tilläggsbidrag för studerande med barn (prop. 2004/05:111). Studiestödssystemet har också anpassats till vissa EG-direktiv (prop. 2005/06:134). Riksdagen har i skilda sammanhang påpekat att myndighetsregister som innehåller ett stort antal registrerade och som har ett särskilt känsligt innehåll ska regleras i lag (se bl.a. bet. 1990/91:KU11 s.11, jfr prop. 1997/98:44 s. 41). Riksdagens ombudsmän (JO) har i sitt yttrande med anledning av Informationsutbytesutredningens betänkande Rätt underlag - rätt beslut. Ökat informationsutbyte mellan de allmänna försäkringskassorna, Riksförsäkringsverket, Centrala studiestödsnämnden, länsarbetsnämnderna och arbetslöshetskassorna (SOU 2000:97) framhållit att det bör övervägas om inte behandling av personuppgifter i CSN:s verksamhet bör regleras i lag. Statskontoret föreslog i sin rapport Informationsutbyte kräver bra förutsättningar - En utvärdering av informationsutbytet mellan arbetslöshetskassorna, Arbetsmarknadsverket och Försäkringskassan (2006:7) att en utredning ska tillsättas med uppdrag att ta fram en databaslag för CSN. CSN har i en skrivelse till regeringen (U2000/4001/SV) begärt att en utredning tillsätts för att utreda behovet av en författningsreglering av studiestödsregistret. Mot denna bakgrund beslutade regeringen den 31 augusti 2006 att tillkalla en särskild utredare för att granska regleringen och användningen av personregister och annan behandling av personuppgifter vid CSN och andra myndigheter inom studiestödsområdet. Utredningen, som antog namnet Studiestödsdatautredningen, överlämnade den 28 september 2007 betänkandet Studiestödsdatalag (SOU 2007:64). En sammanfattning av betänkandet finns i bilaga 1. Betänkandets lagförslag återges i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. En sammanställning av remissyttrandena finns tillgänglig i Utbildningsdepartementet (dnr U2007/6272/SV). Lagrådet Regeringen beslutade den 6 november 2008 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Regeringen återkommer till Lagrådets synpunkter i avsnitt 6.3, 6.5, 6.6, 6.7 och 6.10 samt i författningskommentaren. Därutöver har regeringen gjort vissa andra ändringar i lagförslaget av redaktionell natur. 4 Behandling av personuppgifter inom studiestödssystemet 4.1 Studiestödssystemet Samhällets stöd till studerande regleras i ett antal olika författningar och lämnas i flera olika former. De mest centrala författningarna på studiestödsområdet är studiestödslagen (1999:1395) och studiestödsförordningen (2000:655). Dessa författningar innehåller bestämmelser om stödformerna studiehjälp och studiemedel, som administreras av CSN. CSN:s beslut rörande dessa stöd kan överklagas hos Överklagandenämnden för studiestöd (ÖKS). Beslut i ärenden om återbetalning av studielån kan överklagas hos allmän förvaltningsdomstol. Systemet med studiehjälp och studiemedel kompletteras av andra stödformer som riktar sig till särskilda grupper och som regleras i andra författningar. 4.1.1 Studiehjälp Studiehjälp lämnas till studerande i gymnasieskolan eller annan utbildning på gymnasial nivå från och med kvartalet närmast efter det kvartal då den studerande fyller 16 år till och med det första kalenderhalvåret det år den studerande fyller 20 år. Studiehjälpen är den näst största stödformen räknat utbetalt belopp, vilket uppgick till cirka 3,9 miljarder kronor för 2007. Antalet studerande som fick studiehjälp under 2007 var cirka 475 000. Studiehjälpens syfte är att främja ett högt deltagande i gymnasieskolan och att bidra till barnfamiljernas kostnader med anledning av ungas utbildning. Bidraget kompletterar samhällets övriga stöd till barnfamiljer. Studiehjälp består i huvudsak av ett studiebidrag för unga studerande i gymnasieskolan och betalas ut under tio månader per läsår. Det finns också möjlighet för vissa studerande att efter behovsprövning få inackorderingstillägg och extra tillägg. Studiehjälp lämnas främst för studier inom Sverige men kan också i vissa situationer lämnas för studier utomlands. Svenska medborgare som har rätt till studiehjälp för studier utomlands kan även få bidrag för resor enligt regeringens förordning (CSNFS 1983:17) om bidrag till utlandsstuderande för dagliga resor. 4.1.2 Studiemedel Studiemedel lämnas till studerande på eftergymnasial nivå och till vuxenstuderande på grundskole- och gymnasienivå. Studiemedlet är den största stödformen, och utbetalningarna uppgick till 18,6 miljarder kronor 2007. Antalet studerande som fick studiemedel under 2007 var cirka 412 000. Studiemedel består av studiebidrag och en lånedel. Den studerande kan välja att enbart ansöka om studiebidrag. Studiemedel kan lämnas för studier på heltid eller för studier i mindre omfattning, dock minst på halvtid. Det är möjligt för studerande att arbeta vid sidan av studierna i viss omfattning utan att stödet reduceras. Det finns begränsningar i rätten till studiemedel kopplade till studietid och den studerandes ålder. Studiebidraget betalas ut med ett belopp som är lika för alla och justeras årligen efter den allmänna prisutvecklingen i samhället. Studiebidraget utgör cirka en tredjedel av det totala studiemedelsbeloppet och är skattefritt och pensionsgrundande. Studerande med barn kan ansöka om ett särskilt tilläggsbidrag. För vissa studerande finns det möjlighet att få ytterligare tilläggslån och lån för merkostnader i samband med studierna. Studiemedelssystemet bygger på att studielån ska betalas tillbaka. Återbetalningen startar vid årsskiftet närmast efter det att studierna har avslutats och löper i normalfallet under 25 år. Till skulden läggs direkt en ränta. Det finns också inbyggda trygghetsregler i återbetalningssystemet som gör det möjligt att ta hänsyn till den enskildes betalningsförmåga. 4.1.3 Övriga stödformer Vissa funktionshindrade elever i gymnasieskolan kan få bidrag enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan, s.k. Rg-bidrag. Föräldrar till barn med hörselskada kan få bidrag enligt förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar, s.k TUFF-ersättning. Även de nu nämnda stödformerna administreras av CSN. CSN:s beslut i ärenden om Rg-bidrag och TUFF-ersättning får inte överklagas. När det i det följande talas om studiestöd avses de stödformer som hittills omnämnts, dvs. studiehjälp, studiemedel, bidrag till utlandsstuderande för dagliga resor, Rg-bidrag och TUFF-ersättning. Fram till utgången av 2007 lämnades även studiestöd i form av bidrag enligt förordningen (2001:362) om bidrag vid korttidsstudier. Detta studiestöd har upphört. För vissa av de ändamål som detta studiestöd avsåg lämnas i stället fr.o.m. den 1 januari 2008 statsbidrag enligt förordningen (2007:1345) om statsbidrag vid vissa studier för personer med funktionshinder respektive förordningen (2007:1347) om statsbidrag vid vissa studier i samiska. Bidragen administreras av Specialpedagogiska skolmyndigheten respektive Sametinget. Utöver ovan nämnda stödformer hanterar CSN även stöd enligt förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar. 4.2 Centrala studiestödsnämnden 4.2.1 Organisation och verksamhet CSN ansvarar för studiesociala frågor som inte ska hanteras av någon annan myndighet. Myndighetens verksamhet regleras främst i förordningen (2007:1071) med instruktion för Centrala studiestödsnämnden. Kärnverksamheten bedrivs på kontor, enheter och kundcenter på 13 platser runt om i landet. Vidare finns det ett antal serviceställen. CSN:s verksamhet berör ett stort antal människor, och myndighetens datoriserade register omfattar cirka 2,5 miljoner personer. Antalet låntagare beräknades för 2007 vara omkring 1,4 miljoner. Den totala låneskulden uppgick samtidigt till drygt 178 miljarder kronor. 4.2.2 Studiestödets Informationssystem (STIS) Inom CSN:s studiestödsverksamhet behandlas personuppgifter i ett IT-system som kallas för Studiestödets Informationssystem (STIS). För sin behandling av personuppgifter har CSN ett personuppgiftsombud. För att på ett ändamålsenligt sätt kunna återsöka inkomna ansökningar och andra handlingar använder sig CSN av elektronisk dokumenthantering inom ramen för STIS. Detta innebär att alla inkomna pappershandlingar läses in och lagras elektroniskt (skannas). För närvarande lagras de inlästa dokumenten som digitala bilder och inte som text. CSN har därför med befintlig teknik inte någon möjlighet att göra sökningar i de inlästa dokumenten. CSN planerar inte heller att göra innehållet i de inlästa dokumenten sökbart. Även om myndigheten inte kan göra sökningar på innehållet i ett inläst dokument, så är det möjligt att eftersöka dokument som hör till ett visst ärende eller en viss person. E-post och ansökningar som görs elektroniskt lagras inte som bilder utan som text. Datasystemet STIS har tagits i bruk i etapper med start 1995 och innehåller sedan maj 2007 i princip alla de funktioner och personuppgifter som CSN i dag behöver i sin studiestödsverksamhet, med undantag för hanteringen av Rg-bidrag och TUFF-ersättning, som sköts helt genom lokala register som inte har någon koppling till STIS. Hanteringen av Rg-bidrag förväntas komma att föras över till STIS under 2008. Det är möjligt för handläggare på alla CSN-kontor att ta del av alla handlingar som kommit in till CSN och lagrats i STIS med undantag för de handlingar som har försetts med åtkomstskydd. Alla handläggare har dessutom behörighet att ta del av vad som i övrigt registrerats i STIS med undantag för uppgifter angående personer som har en s.k. sekretessmarkering i folkbokföringen. Anledningen till att samtliga handläggare i princip har tillgång till alla personuppgifter i alla ärenden är att ärendena normalt inte är geografiskt knutna till vissa kontor eller till en viss handläggare. En och samma handläggare kan handlägga flera olika stödformer samt återbetalning och återkrav. För handläggningen av en viss typ av ärende, t.ex. återbetalning, kan det krävas information om en studerande förekommer i några andra ärenden, t.ex. ärenden om beviljning av studiestöd. Med den vidsträckta behörigheten att ta del av uppgifter följer inte motsvarande behörighet att ändra eller lägga till uppgifter i systemet. Alla ändringar som handläggare gör i STIS registreras även i en särskild journal, en s.k. loggfil. I STIS registreras en stor mängd uppgifter. Till en viss del handlar det om uppgifter av huvudsakligen administrativ karaktär, t.ex. utbetalningsdatum för olika stödformer, uppgift för identifikation av betalningar eller beslutsdatum. Denna typ av uppgifter innehåller inte något som typiskt och isolerat sett är av särskilt känslig natur för den enskilde. CSN behöver emellertid för sin verksamhet även registrera ett stort antal uppgifter om enskildas personliga förhållanden. Det kan t.ex. röra sig om kontaktuppgifter om närmast anhöriga, uppgifter om barn och föräldrar, information om sjukdomsperioder, medborgarskap, studietakt, examenstidpunkt, antal grundskoleår som studerats utomlands och antal terminer som studerats på gymnasienivå. Bland dessa mer personliga uppgifter återfinns uppgifter som från den enskildes perspektiv är känsliga. I många fall måste CSN även registrera uppgifter om de enskildas ekonomiska förhållanden, t.ex. uppgifter om utbetalt studiebidrag, årsinkomst och uppgift om eventuell skuldsanering. Även uppgifter om personliga och ekonomiska förhållanden för stödtagarens föräldrar, barn och andra närstående kan förekomma. Trots att det registreras en stor mängd information i STIS, är det i fråga om personuppgifter endast ett internt åsatt s.k. CSN-nummer och i förekommande fall personnumret alternativt samordningsnummer som är sökbara för handläggarna. Genom STIS kan en handläggare alltså inte få fram listor över personer med vissa egenskaper genom att använda olika sökbegrepp. Man kan således inte som handläggare söka fram t.ex. alla registrerade personer som bor i visst område även om adress är en uppgift som registreras i STIS. 4.2.3 Sekretess I ärenden om studiestöd kan det förekomma uppgifter om den enskildes såväl personliga som ekonomiska förhållanden av känslig natur. Som exempel kan nämnas uppgifter om sjukdom eller någon annan liknande orsak till studieavbrott eller varför en låntagare inte kan återbetala sitt studielån. I 9 kap. 5 § andra stycket sekretesslagen (1980:100) anges därför att sekretess gäller i ärenden om studiestöd såvitt avser uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde lider skada eller men av att uppgiften röjs. Detta s.k. raka skaderekvisit leder till att det stora flertalet uppgifter som förekommer i ärenden om studiestöd och som avser personliga eller ekonomiska förhållanden inte omfattas av sekretess. När det gäller annat än studiestöd under sjukdom gäller sekretessen inte heller för beslut i ärendet. Enligt 7 kap. 1 a § sekretesslagen gäller hos alla myndigheter sekretess för kontaktuppgifter till en enskild, om det av särskild anledning kan antas att den enskilde eller någon som står honom eller henne nära kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs. Enligt 7 kap. 16 § sekretesslagen gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att personuppgiften behandlas i strid med personuppgiftslagen (1998:204). Bestämmelsen är generellt tillämplig och gäller således även personuppgifter hos CSN. Av 14 kap. 1 § sekretesslagen följer att om uppgiftsskyldighet följer av lag eller förordning så hindrar inte sekretess att CSN lämnar uppgifter till en annan myndighet eller att en annan myndighet lämnar uppgifter till CSN. Regeringen har i propositionen Utökat elektroniskt informationsutbyte (prop. 2007/08:160) föreslagit att en ny bestämmelse, 13 kap. 3 a §, ska införas i sekretesslagen. Den föreslagna bestämmelsen innebär att om en myndighet har tillgång till en annan myndighets upptagning för automatiserad behandling och uppgift i denna upptagning är sekretessbelagd där, så gäller sekretessen också hos den mottagande myndigheten. Riksdagen har beslutat i enlighet med regeringens förslag, (bet. 2008/09:KU2, rskr. 2008/09:28) och denna bestämmelse kommer således att bli tillämplig för CSN från och med den 1 januari 2009. 4.2.4 Gallring Riksarkivet har för CSN:s vidkommande meddelat ett antal myndighetsspecifika gallringsföreskrifter på studiestödsområdet. Föreskrifterna anger huvudsakligen vilka handlingar som får gallras och om det krävs någon form av annat bevarande av dem innan gallring får ske, såsom mikrofilmning eller skanning. Dessutom anges det vid vilken tidpunkt gallring får ske. Gallringsföreskrifterna innehåller inte bara regler om hur fysiska handlingar på papper får gallras, utan reglerar i förekommande fall även gallring av upptagningar för automatisk databehandling. Enligt studiestödslagen kan inte studiemedel beviljas i mer än ett visst antal veckor. Antalet veckor beror på studieform. I ett ärende om studiestöd kan det behöva utredas om sökanden tidigare har fått studiemedel och i sådant fall under hur många veckor. Ibland behövs av motsvarande skäl också utredning om sökanden tidigare har fått vissa äldre former av studiestöd som sedermera har upphävts. Mot bl.a. denna bakgrund har CSN varit sparsam med att gallra uppgifter om tidigare utbetalade studiemedel och andra studiestöd. De äldsta uppgifterna som finns i STIS är från 1995. I viss mån har dock gallring av personuppgifter skett genom att vissa personuppgifter har lagts i en särskild databas. Denna databas är tillgänglig för alla handläggare. Fysiska handlingar gallras ett år efter det att de har lästs in i det elektroniska dokumenthanteringssystemet. 4.2.5 Inhämtande och utlämnande av personuppgifter STIS har tekniska kopplingar till andra myndigheters och organisationers IT-system. Kopplingarna används för att kontrollera, lämna ut eller hämta in uppgifter. De huvudsakliga aktörerna och informationsflödena beskrivs kort nedan. Skatteverket Enligt 2 kap. 8 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får en myndighet ha direktåtkomst till Skatteverkets folkbokföringsdatabas i fråga om bl.a. namn och adress. För att en myndighet ska få ha direktåtkomst till uppgift om en registrerad persons medborgarskap krävs det enligt samma lagrum att denna myndighet i lag eller förordning medges rätt till sådan direktåtkomst. CSN ska enligt 2 § folkbokföringsförordningen (1991:749) underrätta Skatteverket om den adress en person har, så snart det finns anledning att anta att adressen inte är registrerad i folkbokföringen. Någon underrättelse behöver dock inte lämnas om det är uppenbart att adressen är tillfällig eller av annat skäl inte ska registreras. CSN har inte någon möjlighet att få direktåtkomst till Skatteverkets beskattningsdatabas. Skatteverket har däremot en skyldighet att på begäran lämna ut vissa uppgifter ur beskattningsdatabasen till CSN. Eftersom studiemedel är behovsprövat, är den studerandes inkomst en viktig parameter vid bestämmandet av studiemedlens storlek. I ansökan om studiemedel ska därför sökanden lämna uppgift om hur stor inkomsten förväntas bli. Denna uppgivna inkomst jämförs vid en efterkontroll med uppgifterna i beskattningsdatabasen. Motsvarande kontroll görs även i vissa ärenden om återbetalning av studielån. Uppgift om överskott i inkomstslagen tjänst, näringsverksamhet och kapital inhämtas också för att beräkna det årsbelopp med vilket studielånet ska återbetalas beträffande studielån tagna mellan den 1 januari 1989 och den 30 juni 2001. CSN lämnar även vissa personuppgifter till Skatteverket enligt vad som anges i 6 och 8 kap. lagen (2001:1227) om självdeklarationer och kontrolluppgifter. Uppgifterna får enligt 14 kap. 7 § andra stycket samma lag lämnas på medium för automatiserad databehandling. Försäkringskassan Enligt 20 § lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration får CSN ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för att inhämta underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd åt enskilda. Utöver vad som annars följer av lag eller förordning är Försäkringskassan dessutom skyldig att lämna vissa uppgifter till CSN enligt förordningen (1980:995) om skyldighet för Försäkringskassan att lämna uppgifter till andra myndigheter. Kronofogdemyndighetens utsöknings- och indrivningsdatabas Om en låntagare inte betalar årsbelopp eller avgifter trots påminnelse, får beloppet tas ut genom utmätning utan föregående dom eller utslag (4 kap. 27 § studiestödslagen). För detta ändamål överlämnas uppgifter om gäldenären och skulden till Kronofogdemyndigheten för indrivning enligt lagen (1993:891) om indrivning av statliga fordringar m.m. Om det inte är fråga om årsbelopp eller avgifter, saknas reglering som medger utmätning utan föregående dom eller utslag. Det kan t.ex. handla om återkrav. I dessa fall ansöker CSN om betalningsföreläggande hos Kronofogdemyndigheten, och ansökan lämnas på elektronisk fil till Kronofogdemyndigheten. Statistiska centralbyrån Enligt 5 § förordningen (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan har CSN en skyldighet att på begäran av Statistiska centralbyrån (SCB) lämna ut vissa uppgifter till myndigheten. Enligt 3 kap. 1 § förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor ska SCB föra ett register och där ange uppgifterna individuellt för varje studerande. För detta ändamål inhämtar SCB uppgifter från bl.a. CSN, vilket framgår av 3 kap. 4-6 §§ samma förordning. Swedbank Utbetalning av studiestöd sker via Swedbank AB. Inför utbetalning överför CSN utbetalningsuppgifter till banken. Efter fullgjort betalningsuppdrag får CSN information om utbetalningen från banken. Migrationsverket För prövning av utländska medborgares rätt till studiestöd krävs det att en utlännings ansökan om studiestöd kompletteras med information från Migrationsverket. Sådan information inhämtas därför från Migrationsverket (6 kap. 13 a § studiestödsförordningen). Uppgifterna får dock bara lämnas till CSN om de har betydelse för tillämpningen av bestämmelserna om studiehjälp och studiemedel. Arbetslöshetskassor Arbetslöshetskassorna lämnar i princip inte någon ersättning till personer som studerar. För att arbetslöshetskassorna ska kunna kontrollera om någon deltar i utbildning har CSN en uppgiftsskyldighet gentemot arbetslöshetskassorna, vilket framgår av 48 c § lagen (1997:238) om arbetslöshetsförsäkring. Av samma anledning har även arbetslöshetskassorna en uppgiftsskyldighet gentemot CSN (48 d § samma lag). Arbetsförmedlingen Enligt 5 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten får Arbetsförmedlingen behandla personuppgifter för tillhandahållande av information som behövs inom CSN:s verksamhet som underlag för beslut om och kontroll av förmåner, ersättningar och andra stöd. Enligt 12 § samma lag får CSN ha direktåtkomst till personuppgifter som behandlas i en arbetsmarknadspolitisk databas för de nu nämnda ändamålen. Efter bemyndigande har regeringen meddelat närmare föreskrifter om vilka personuppgifter som får behandlas i detta hänseende, 3 och 6 §§ förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Verket för högskoleservice Verket för högskoleservice får enligt 4 kap. 1 § förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor föra ett antagningsregister och där ange uppgifterna individuellt för varje studerande. Uppgifter från antagningsregistret får enligt 4 kap. 4 § 2 samma förordning lämnas ut på medium för automatiserad behandling till CSN, om uppgifterna behövs för beviljande och utbetalning av studiestöd. Läroanstalter Enligt 6 kap. 6 § första stycket studiestödslagen får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om en läroanstalts skyldighet att till CSN lämna uppgifter som är av betydelse för tillämpningen av studiestödslagen och föreskrifter som har meddelats med stöd av lagen. Övriga CSN lämnar och inhämtar också information elektroniskt från ett flertal andra aktörer. Bland dessa kan nämnas Statens räddningsverk, domstolar, polismyndigheter, Åklagarmyndigheten, Riksrevisionen och kommuner. 4.2.6 CSN:s arbete med statistiken Med syfte att det ska finnas tillgång till underlag för allmän information, utredningsverksamhet och forskning har den officiella statistiken författningsreglerats i Sverige genom lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. För respektive statistikområde finns det en statistikansvarig myndighet som regeringen utser. CSN är statistikansvarig myndighet för studiestödsområdet. Statliga myndigheter ska därför till CSN lämna de uppgifter som behövs för framställning av officiell statistik. Även CSN har en skyldighet att lämna andra statistikansvariga myndigheter motsvarande uppgifter. Den statistikverksamhet som bedrivs enligt aktuella författningar ska vara avgränsad från myndighetens verksamhet i övrigt. Enligt 14 § lagen om den officiella statistiken får CSN såsom statistikansvarig myndighet behandla personuppgifter för att framställa statistik. Enligt 1 § tredje stycket samma lag får CSN även behandla personuppgifter för att framställa annan statistik än officiell statistik. 4.3 Överklagandenämnden för studiestöd Överklagandenämnden för studiestöd (ÖKS), som bildades 2001, är en statlig myndighet vars verksamhet huvudsakligen regleras i förordningen (2007:1348) med instruktion för Överklagandenämnden för studiestöd. Myndigheten ska enligt 6 kap. 10 § studiestödslagen pröva överklaganden av CSN:s beslut i sådana ärenden om studiestöd som inte avser återbetalning av studielån. Överklagandena kan t.ex. avse CSN:s beslut om studiemedel eller studiehjälp eller beslut om återkrav av dessa stöd. Myndighetens beslut kan inte överklagas. CSN:s beslut i ärenden om återbetalning av studielån överklagas hos allmän förvaltningsdomstol. Nämndens kansli är beläget i Härnösand och har 18 anställda. 2007 avgjorde myndigheten cirka 5 000 ärenden. 4.3.1 Överklagandenämnden för studiestöds datasystem - Diabas ÖKS är som framgått ovan överklagandeinstans i vissa studiestödsfrågor. Den mesta informationsinhämtningen sker därför från beslutsmyndigheten CSN. CSN:s akter och övriga uppgifter därifrån och överklagandena finns som regel endast i pappersform vid ÖKS. Myndigheten har för sin hantering av ärenden ett datoriserat diarieförings- och handläggningssystem, Diabas. De personuppgifter som registreras i Diabas är endast namn, personnummer, adress och postadress. Övriga uppgifter som är nödvändiga för den materiella tillämpningen av studiestödsförfattningarna framgår endast av akten och finns således endast i pappersform. I Diabas registreras i princip endast personuppgifter om den klagande. En kopia av ÖKS avgörande finns också tillgänglig genom Diabassystemet när ärendet har avgjorts. Personuppgifter kan dock även framgå av pappershandlingarna i akten, eftersom sådana uppgifter kan vara av betydelse för sakfrågan i ärendet eller för handläggningen av ärendet. ÖKS publicerar på sin hemsida på Internet uppgifter om vissa av sina avgöranden. Några uppgifter som direkt kan hänföras till en person publiceras dock inte, utan bara uppgift om diarienummer. 4.3.2 Sekretess ÖKS har inom ramen för sin verksamhet behov att behandla personuppgifter som kan vara ömtåliga ur ett integritetsperspektiv. För myndigheten gäller sekretess enligt de sekretessbestämmelser som gäller för alla myndigheter och den sekretess som enligt 9 kap. 5 § andra stycket sekretesslagen gäller i ärenden om studiestöd (se avsnitt 4.2.3). 4.3.3 Gallring För ÖKS gäller, förutom Riksarkivets generella föreskrifter, endast ett myndighetsspecifikt beslut om gallring, Riksarkivets beslut (RA-MS 2006:50) om gallring hos Överklagandenämnden för studiestöd. Beslutet innebär att myndigheten omedelbart får gallra vissa i beslutet angivna handlingar. 4.4 Övriga aktörer Korttidsstödet reformerades vid utgången av 2007. Reformen innebär att de delar av stödet som hanterades av Landsorganisationen i Sverige och Tjänstemännens Centralorganisation avseende studier i mindre omfattning i vissa ämnen på grundskole- och gymnasienivå har avvecklats. Bidrag för studier i mindre omfattning för alfabetisering i samiska kan dock fortfarande lämnas, liksom bidrag för kortare studier om funktionshinder eller kortare studier på grundskole- eller gymnasienivå som är särskilt anpassade för personer med funktionshinder samt studier inom vuxenutbildning för utvecklingsstörda (särvux), se avsnitt 4.1.3. Dessa bidrag administreras av Sametinget och Specialpedagogiska skolmyndigheten. Verksamheten kommer fr.o.m. 2009 hanteras under andra utgiftsområden än utgiftsområde 15. Bidragen upphör då att formellt vara studiestöd. Efter den 1 januari 2009 kommer således de enda aktörerna på studiestödsområdet att vara CSN och ÖKS. 5 Gällande rätt Den grundläggande ramen för behandling av personuppgifter regleras i personuppgiftslagen (1998:204), som vid ikraftträdandet den 24 oktober 1998 ersatte datalagen (1973:289). Personuppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). 5.1 Internationella regler 5.1.1 Europakonventionen Artikel 8 i den Europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Vidare anges att offentlig myndighet inte får inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter kan i och för sig falla inom tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan personuppgifterna måste avse privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder som vidtas av det allmänna och har betydelse vid sidan av EG:s dataskyddsdirektiv vid bedömningen av nationella regler som tillåter behandling av personuppgifter. Sedan den 1 januari 1995 gäller Europakonventionen, med vissa tillägg och ändringar som har gjorts genom ett antal av tilläggsprotokollen till konventionen, som lag i Sverige (se lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). 5.1.2 Dataskyddskonventionen Europarådets ministerkommitté antog 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data). Konventionen trädde i kraft den 1 oktober 1985 och samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är alltså bindande för Sverige. Det har beslutats om ändringar i dataskyddskonventionen för att göra det möjligt för Europeiska unionen att ansluta sig. Under 2001 antog Europarådets ministerkommitté ett tilläggsprotokoll (nr 181) till dataskyddskonventionen. Det innehåller bestämmelser om dataskyddsmyndigheter och överföring av personuppgifter mellan länder. Till konventionen ansluter en rad rekommendationer som inte är direkt bindande. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3). Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Ingenting hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11). I konventionen anges vissa grundläggande principer för dataskydd. Varje konventionspart ska vidta de åtgärder som behövs för att dess nationella lagstiftning ska innehålla dessa grundläggande principer. De grundläggande principerna ska garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. De grundläggande principerna innebär bl.a. att personuppgifter som behandlas ska inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet (artikel 5). Personuppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd för uppgifterna (artikel 6). Vidare föreskrivs att alla som är registrerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade (artikel 8). Rätten till insyn och rättelse m.m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller forskningsändamål (artikel 9). Konventionen innehåller dessutom bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna och formerna för samarbete mellan konventionsstaterna. 5.1.3 Dataskyddsdirektivet Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Dataskyddsdirektivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av Europarådets dataskyddskonvention. Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att det fria flödet av personuppgifter mellan dem inte hindras med hänvisning till enskilda personers fri- och rättigheter. Direktivet är ett fullharmoniseringsdirektiv. Medlemsstaterna får inte föreskriva vare sig bättre eller sämre skydd för den personliga integriteten. En rad grundläggande krav på behandlingen av personuppgifter uppställs i artikel 6 i direktivet. All behandling av personuppgifter måste vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligen angivna vid tiden för insamling av uppgifterna, och ändamålsangivelsen ska vara särskild och inte alltför allmänt hållen. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamål för vilka de samlats in. Personuppgifter får enligt artikel 7 i direktivet endast behandlas i vissa fall. Personuppgifter får behandlas bl.a. om den registrerade otvetydigt har lämnat sitt samtycke till behandlingen, om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Personuppgifter får också behandlas efter en intresseavvägning i fall där intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas. Vissa särskilda kategorier av uppgifter får som huvudregel inte behandlas alls av den registeransvarige. Det gäller i fråga om sådana personuppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv (artikel 8.1). I direktivet görs dock undantag från denna huvudregel i vissa särskilt angivna situationer, bl.a. om den registrerade har lämnat sitt uttryckliga samtycke till sådan behandling. Dataskyddsdirektivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen (artiklarna 10-11). Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige inte lämna någon information, om den registrerade redan känner till informationen eller om det i annat fall skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Detsamma gäller i princip om det finns uttryckliga bestämmelser i författning om registrerandet eller utlämnandet. I sådana fall ska dock medlemsstaterna föreskriva lämpliga skyddsåtgärder. Den registrerade har dock enligt artikel 12 a) rätt att på vissa närmare angivna villkor på begäran få bekräftelse på om uppgifter om honom eller henne behandlas eller inte, för vilka ändamål behandlingen utförs, vilka kategorier av uppgifter som behandlas osv., ett s.k. registerutdrag. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade (artikel 12 b). Om en uppgift rättas, ska den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behövs dock inte i de fall där sådan är omöjlig eller förenad med en oproportionerligt stor arbetsinsats (artikel 12 c). Medlemsstaterna får enligt artikel 13 föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter. Till skydd för den registrerade innehåller dataskyddsdirektivet även bl.a. bestämmelser om säkerhet vid behandlingen (artikel 17). Dataskyddsdirektivet syftar både till att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter och till att förhindra att det fria flödet av personuppgifter mellan medlemsstaterna begränsas eller förbjuds av skäl som har samband med integritetsskyddet. Som huvudregel gäller enligt artikel 25 att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen till ett land utanför EU eller EES (tredjeland), får ske endast om det mottagande landet säkerställer en adekvat skyddsnivå för personuppgifterna. Vad som är en adekvat skyddsnivå får avgöras med hänsyn till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen. Med undantag från denna huvudregel får personuppgifter i vissa fall föras över till tredjeland, trots att de inte tillförsäkras en adekvat skyddsnivå. Det gäller bl.a. om den registrerade lämnar sitt otvetydiga samtycke till överföringen eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen (artikel 26). I artikel 28 finns vissa bestämmelser med krav på bl.a. en oberoende tillsyn av tillämpningen av de nationella bestämmelser som genomför direktivet. 5.2 Personuppgiftslagen Dataskyddsdirektivet har genomförts i Sverige genom bl.a. personuppgiftslagen (1998:204). Lagen syftar till att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §). Lagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter och på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Personuppgiftslagen är subsidiär i den meningen att avvikande bestämmelser i någon annan lag eller i en förordning tar över bestämmelserna i personuppgiftslagen (2 §). I 3 § personuppgiftslagen definieras ett antal centrala begrepp som används i lagen. Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Den registrerade är den som en personuppgift avser. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Av 9 § första stycket c och d personuppgiftslagen framgår att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (den s.k. finalitetsprincipen). En behandling för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in (andra stycket samma paragraf). De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen, och fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till behandlingen. Av 9 § första stycket personuppgiftslagen följer vidare att de personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella och att alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får som regel inte heller bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. De får dock bevaras under längre tid om det sker för historiska, statistiska eller vetenskapliga ändamål (9 § tredje stycket personuppgiftslagen). Bestämmelsen hindrar inte heller att allmänna handlingar arkiveras (8 § andra stycket personuppgiftslagen). Enligt 13 § personuppgiftslagen är det som huvudregel förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv (känsliga personuppgifter). I 15-19 §§ finns dock en rad undantag från förbudet, t.ex. då den som uppgiften avser har samtyckt till behandlingen eller om behandlingen är nödvändig, bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras samt om behandlingen utförs av ideella organisationer, för hälso- och sjukvårdsändamål eller för forsknings- och statistikändamål. Av 20 § följer också att regeringen eller den myndighet som regeringen bestämmer får medge ytterligare undantag från förbudet att behandla känsliga uppgifter om det behövs med hänsyn till ett viktigt allmänt intresse. Med stöd av detta bemyndigande har regeringen i 8 § personuppgiftsförordningen (1998:1191) föreskrivit att myndigheter, utöver vad som följer av 5 a och 15-19 §§ personuppgiftslagen, får behandla känsliga personuppgifter i löpande text, om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Av 21 § personuppgiftslagen följer vidare att det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Sådana uppgifter får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Uppgifter om personnummer eller samordningsnummer får enligt 22 § personuppgiftslagen behandlas utan samtycke från den registrerade bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Om uppgifter om en person samlas in från personen själv, ska den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna (23 § personuppgiftslagen). Har uppgifterna samlats in från en annan källa ska den registrerade som regel informeras när uppgifterna registreras. Om uppgifterna samlas in för att lämnas ut till tredje man, får den personuppgiftsansvarige avvakta med att lämna information till dess att uppgifterna lämnas ut första gången. Information behöver dock inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifter i lag eller någon annan författning. I de fall uppgifter samlas in från någon annan än den registrerade, behöver information inte heller lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, ska dock information lämnas senast i samband med att så sker (24 § personuppgiftslagen). Vilken information som ska lämnas i dessa olika fall framgår av 25 § personuppgiftslagen. Information behöver inte lämnas om sådant som den registrerade redan känner till. Den personuppgiftsansvarige ska enligt 31 § personuppgiftslagen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade uppgifterna är. Enligt 32 § första stycket personuppgiftslagen får Datainspektionen i enskilda fall besluta vilka säkerhetsåtgärder som den personuppgiftsansvariga ska vidta. 5.3 Särskilda registerförfattningar Personuppgiftslagen innehåller generella regler som ska tillämpas i hela samhället av både myndigheter och privata organisationer och enskilda. Det förutsattes därför redan vid lagens tillkomst att behov av undantag och preciseringar för mer speciella områden liksom tidigare skulle tillgodoses genom särskilda registerförfattningar som ersätter bestämmelserna i personuppgiftslagen. Sådan särreglering får dock inte stå i strid med dataskyddsdirektivet eller dataskyddskonventionen eller utformas så att Sveriges åtaganden enligt de nämnda internationella instrumenten inte längre uppfylls. Bestämmelserna får inte heller stå i strid med bestämmelsen i artikel 8 i Europakonventionen. De särskilda registerförfattningarna ger ett anpassat integritetsskydd på de olika samhällsområden som författningarna reglerar och innebär en högre grad av konkretion än de mer generellt hållna reglerna i personuppgiftslagen. I linje med vad riksdagen och regeringen vid flera tidigare tillfällen framhållit bör myndighetsregister med ett stort antal registrerade och med ett särskilt känsligt innehåll i princip regleras i lag (se bl.a. bet. 1990/91:KU11 s.11, jfr prop. 1997/98:44 s. 41). Innehållet i de särskilda registerförfattningar som finns varierar. Det är dock vanligt att registerförfattningar som reglerar en myndighets behandling av personuppgifter innehåller bestämmelser om författningens förhållandet till personuppgiftslagen, för vilka ändamål personuppgifter får behandlas, under vilka förutsättningar särskilt integritetskänsliga uppgifter får behandlas, vem som är personuppgiftsansvarig, under vilka förutsättningar personuppgifter får lämnas ut på elektronisk väg, vilka sökbegrepp som får användas, när personuppgifterna ska gallras och vad som gäller i fråga om rättelse och skadestånd. 6 En ny lag om behandling av personuppgifter inom Centrala studiestödsnämndens studiestödsverksamhet 6.1 Behovet av en särskild lag Regeringens förslag: Behandling av personuppgifter i CSN:s studiestödsverksamhet ska regleras i en särskild lag. Lagen ska benämnas studiestödsdatalag. Lagen ska innehålla de grundläggande bestämmelserna om behandling av personuppgifter vid myndigheten. Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Huvuddelen av remissinstanserna uttalar sig positivt till att det införs en särskild författningsreglering om behandlingen av personuppgifter i CSN:s studiestödsverksamhet. Kammarrätten i Stockholm vill särskilt framhålla på det förtjänstfulla sätt på vilket utredningen redovisat den genomförda kartläggningen, granskningen och analysen. Länsrätten i Västernorrlands län finner författningsförslagen välstrukturerade och lättillgängliga. Justitiekanslern (JK) framhåller att förslaget med tanke på CSN:s omfattande behandling av personuppgifter är av betydande vikt. JK anger vidare att de föreslagna bestämmelserna kommer att få betydelse för myndighetens skadereglerande verksamhet. Uppsala universitet anser att förslaget framstår som i huvudsak välavvägt och att begränsningen av lagens tillämplighet till CSN:s verksamhet är välmotiverad. Skatteverket framhåller att det finns ett stort behov av förtydliganden i registerlagarna, eftersom begreppsbildningen beträffande elektroniskt utlämnande av personuppgifter är oklar och inte enhetlig. Åklagarmyndigheten vill särskilt framhålla betydelsen av kontrollåtgärder. Ur brottutredningsperspektiv är det enligt Åklagarmyndigheten angeläget att kontrollsystem finns som tidigt kan upptäcka felaktigheter i ärendet innan ärendet har gått vidare till utbetalning. I den utsträckning som är nödvändig och acceptabel ur ett integritetsperspektiv är det därför enligt Åklagarmyndigheten viktigt att de olika utbetalande myndigheterna får tillgång till information ur relevanta databaser för att effektivisera kontrollmöjligheterna. CSN avstyrker utredningens förslag. Myndigheten anser i och för sig att myndighetens behandling av personuppgifter i studiestödsverksamheten kan regleras genom en registerlagstiftning, men förordar att denna registerlagstiftning i stället utformas med beaktande av regeringens handlingsplan för e-förvaltning samt Vervas rapport Förenklad tillgång för förvaltningen till viss information ur statliga register och databaser (2007:18). Vidare anser CSN att resultatet av de pågående utredningar som berör myndigheten ska avvaktas innan en registerlagstiftning införs. CSN anser också att det är angeläget att det särskilt övervägs om en registerlagstiftning för CSN:s studiestödsverksamhet bidrar till att uppfylla de mål som ställs upp i regeringens handlingsplan för e-förvaltning. CSN menar också att de brister i nuvarande registerlagstiftningar som påtalas i Vervas tidigare nämnda rapport talar emot det nu lämnade förslaget till studiestödsdatalag. Malmö tingsrätt motsätter sig inte utredningens förslag att behandling av personuppgifter vid Överklagandenämnden för studiestöd inte omfattas av den föreslagna lagens tillämpningsområde men anser att frågan bör bli föremål för fortsatta överväganden. Överklagandenämnden för studiestöd anser att det kan finnas anledning att överväga om behandlingen av personuppgifter vid överklagandenämnden ska omfattas av en framtida särskild reglering av behandlingen av personuppgifter inom domstolsväsendet. Skälen för regeringens förslag Behandling av personuppgifter hos Centrala studiestödsnämnden Personuppgiftslagen innehåller allmänna bestämmelser om integritetsskydd vid behandling av personuppgifter. Det går dock inte att generellt lösa alla problem och fullt ut beakta alla frågeställningar med utgångspunkt i personuppgiftslagens bestämmelser. Det behövs ofta en särskild författningsreglering för att anpassa och förstärka integritetsskyddet på särskilda områden. Riksdagen och regeringen har enligt vad som tidigare har redovisats vid flera tillfällen gett uttryck för att myndighetsregister med ett stort antal registrerade personer och med ett särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. prop. 1990/91:60 Om offentlighet, integritet och ADB, s. 56 f. och bet. 1990/91:KU11 s. 11), vilket också framhölls i förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 41). Detta innebär dock inte att det saknas skäl att i lag reglera en offentlig verksamhets behandling av personuppgifter även i fall när det inte är fråga om en verksamhet med stora inslag av behandling av i sig integritetskänsliga uppgifter. Även en verksamhet som innefattar behandling av ett stort antal kategorier mindre integritetskänsliga uppgifter som samlats in för ett bestämt ändamål, kan som utredningen anfört innebära betydande risker för den personliga integriteten. Detta eftersom förekomsten av ett stort antal var och en för sig harmlösa uppgifter ger stora möjligheter att för nytillkomna syften göra omfattande sammanställningar av uppgifterna som innehåller mycket information om de registrerade. Övervägande skäl talar därför enligt regeringens mening för att i en särskild lag reglera en sådan verksamhet, med de ökade möjligheter till särskilda överväganden och lösningar som detta medför i förhållande till alternativet att inte ha någon särskild registerförfattning för verksamheten. Omfattningen av behandlingen av personuppgifter på studiestödsområdet skiljer sig markant mellan de olika aktörer som finns på området. CSN:s verksamhet på studiestödsområdet avser ett mycket stort antal personer. Många låntagare förekommer också som registrerade hos CSN under mycket lång tid. I CSN:s register finns det även uppgifter som de registrerade kan uppleva som känsliga, bl.a. uppgifter om ekonomiska förhållanden, sjukdomsperioder och skolk. Redan dessa omständigheter talar för att CSN:s behandling av personuppgifter bör regleras i en särskild lag. En särskild reglering för CSN möjliggör vidare att regelverket utformas så att största möjliga hänsyn tas till de särskilda integritetsrisker som myndighetens verksamhet innebär och till dess behov av ett tydligt författningsstöd med ändamålsenliga bestämmelser, samtidigt som regleringen kan utformas så att den inte i onödan hindrar myndighetens effektivitet. CSN har i sitt remissvar avstyrkt utredningens förslag med hänvisning till bl.a. de utredningar som förordar en allmän översyn av den författningsreglering som finns på registerområdet. Regeringen är medveten om att en avgörande förutsättning för ett väl fungerande elektroniskt informationsutbyte och för elektronisk förvaltning är att det regelverk som reglerar informationsutbytet erbjuder en hög grad av likformighet vad gäller både struktur och innehåll för alla de myndigheter som berörs av utbytet. Det är angeläget att de förhållanden som kan identifieras som problematiska inom ramen för den nuvarande regleringen av behandlingen av personuppgifter inom och mellan myndigheterna övervägs i ett samlat sammanhang och att förslag till eventuella lösningar kan lämnas. Det förhållandet att det finns ett allmänt behov av att överväga olika lösningar på skilda problem som rör den rättsliga regleringen av det elektroniska informationsutbytet mellan myndigheter innebär emellertid inte att behovet av ett väl avvägt integritetsskydd vid behandlingen av personuppgifter i CSN:s studiestödsverksamhet blir mindre framträdande. Den omständigheten att förändringar och förtydliganden kan komma att aktualiseras i något eller några avseende när det gäller regleringen av de register och databaser som inrättas och förs i myndigheternas verksamhet leder enligt regeringens mening inte till att införandet av en lag om behandling av personuppgifter i CSN:s verksamhet bör avvaktas. Att regeringen tillsatt en studiesocial utredning (Studiesociala kommittén, U 2007:13), som har i uppdrag att bl.a. se över studiestödsadministrationen, innebär inte heller att det finns anledning att avstå från att införa en lag som reglerar personuppgiftsbehandlingen på studiestödsområdet. Vid utformningen av en ny författningsreglering som garanterar ett fullgott integritetsskydd bör en utgångspunkt vara att den regleringen i största möjliga utsträckning ska möjliggöra successiva förändringar i systemen utan att hela regelverket behöver ändras. Den lagstiftning som reglerar behandlingen av personuppgifter måste alltså så långt intresset av ett fullgott integritetsskydd tillåter det vara teknikoberoende och flexibel för att inte hindra den effektivisering av verksamheterna som pågår. Eventuella förändringar som kan komma att ske i de regelverk som är styrande för behandlingen av personuppgifter inom förvaltningen kan således föranleda att den nu föreslagna studiestödsdatalagen genomgår vissa förändringar i framtiden. Sammantaget föreslår regeringen att CSN:s behandling av personuppgifter ska regleras i en särskild lag. Lagen ska benämnas studiestödsdatalag. Studiestödsdatalagen ska främst innehålla de centrala bestämmelser som anger för vilka ändamål personuppgifter får behandlas, vilka uppgiftskategorier som får behandlas, i vilken omfattning uppgifter ska få lämnas ut i elektronisk form, när uppgifter ska gallras samt vilka rättigheter enskilda har. Lagens bestämmelser ska i vissa fall vara ovillkorliga, t.ex. när det gäller för vilka ändamål personuppgifter får behandlas. Eftersom förhållanden som rör datoriserad behandling av personuppgifter ofta förändras, t.ex. när det gäller uppgifter för elektroniskt informationsutbyte, är det inte lämpligt att ha alltför detaljerade bestämmelser i lag rörande detta. I stället bör det i det här avseendet vara möjligt för regeringen att i förordning meddela närmare föreskrifter som kompletterar lagen. Detta ska t.ex. gälla frågan om vilka personuppgifter som CSN får lämna ut i elektronisk form. Även i andra fall bör det vara möjligt för regeringen att meddela kompletterande bestämmelser i förordning enligt vad som redovisas i det följande. Behandling av personuppgifter hos övriga aktörer på studiestödsområdet Den behandling av personuppgifter som utförs hos de övriga aktörerna på studiestödsområdet är av förhållandevis ringa omfattning. Överklagandenämnden för studiestöd (ÖKS) intar bland dessa en särställning med cirka 5 000 ärenden per år. Den behandling av personuppgifter som sker i ÖKS verksamhet är dock mer lik den behandling som sker vid en domstol. Regeringen anser i likhet med utredaren, ÖKS och i viss mån Malmö tingsrätt att en eventuell särskild reglering av behandlingen av personuppgifter vid ÖKS bör övervägas i anslutning till frågan om en sådan särskild reglering ska införas för domstolsväsendet. Enligt regeringens mening bör således ÖKS inte omfattas av den föreslagna studiestödsdatalagen. 6.2 Förhållandet till personuppgiftslagen och annan lagstiftning Regeringens förslag: I den mån personuppgiftslagen (1998:204) innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i studiestödsdatalagen, ska personuppgiftslagen tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. Vid CSN:s behandling av personuppgifter för att framställa statistik ska lagen (2001:99) om den officiella statistiken och anslutande författningar tillämpas i stället för studiestödsdatalagen. Utredningens förslag: Överensstämmer i sak med regeringens. Remissinstanserna: Flertalet remissinstanser lämnar förslaget utan någon erinran. Kammarrätten i Stockholm anför att den valda lösningen med att låta den föreslagna studiestödsdatalagen komplettera personuppgiftslagen innebär att den föreslagna lagen inte kan läsas för sig utan enbart tillsammans med personuppgiftslagen. Det kan då enligt kammarrätten vara svårt för den som ska tillämpa bestämmelserna att få en överblick över vilka bestämmelser som är tillämpliga, och det finns ett stort värde i att inte lämna lagtillämparen utan vägledning. Skälen för regeringens förslag: Personuppgiftslagen är generellt tillämplig inom sitt tillämpningsområde. Lagens bestämmelser ska tillämpas vid behandling av personuppgifter som utförs av både myndigheter och enskilda, om det inte finns några avvikande bestämmelser i annan lag eller förordning (2 § personuppgiftslagen). I den utsträckning föreskrifter med avvikande bestämmelser meddelas blir det vanligen aktuellt att tillämpa personuppgiftslagen vid sidan av den avvikande regleringen. Som Kammarrätten i Stockholm framhåller finns det i och för sig risk för att en sådan ordning kan leda till tillämpningssvårigheter för myndigheten. Kammarrätten menar att det är att föredra att lagstiftningen utformas så att de bestämmelser som avviker från personuppgiftslagen regleras särskilt i specialförfattningen och att det uttryckligen hänvisas till de särskilda lagrum i personuppgiftslagen som därutöver ska vara tillämpliga. En reglering av det slag som kammarrätten föredrar finns det exempel på beträffande verksamheten vid bl.a. Skatteverket, Tullverket och Kronofogdemyndigheten (se prop. 2000/01:33, bet. 2000/01:SkU20, rskr. 2000/01:176 och prop. 2004/05:164, bet. 2005/06:SkU3, rskr. 2005/06:12). En motsvarande regleringsmodell har även förslagits för Kustbevakningens verksamhet (Kustbevakningens personuppgiftsbehandling Integritet - Effektivitet, SOU 2006:18). Likaså har i en departementspromemoria med förslag till lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet motsvarande lagstiftningsmodell bildat utgångspunkt för förslag till reglering av personuppgiftsbehandlingen (Behandling av personuppgifter i polisens brottsbekämpande verksamhet, Ds 2007:43). Trots att regeringen i några fall har föreslagit lagstiftning som helt ersatt personuppgiftslagens tillämpning, utom i de avseenden den särskilda lagen uttryckligen hänvisat till personuppgiftslagen, gäller för det stora flertalet registerförfattningar att de ska tillämpas utöver den generella lagstiftningen. En sådan författningsteknik har bl.a. den fördelen att risken blir mindre att dataskyddsdirektivet inte blir fullt och korrekt genomfört på det berörda området, eftersom endast de föreslagna avvikelserna från personuppgiftslagen behöver prövas i förhållande till direktivets bestämmelser. Denna författningsteknik har också den fördelen att ändringar som görs i den generella lagstiftningen får direkt genomslag även på det särreglerade området. I Studiestödsdatautredningens direktiv (dir. 2006:90) framhölls därför att de författningsändringar som utredaren föreslår, ska gälla utöver personuppgiftslagen och begränsas till att avse frågor som är specifika för de verksamheter som omfattades av regleringen. Regeringen anser fortfarande att behandlingen av personuppgifter på studiestödsområdet bör regleras utifrån denna förutsättning. Denna utgångspunkt ligger också väl i linje med regeringens senaste förslag till lagstiftning om behandling av personuppgifter, patientdatalagen, som utgör en sammanhängande reglering av personuppgiftsbehandling inom hälso- och sjukvården och som - efter riksdagens antagande - trädde i kraft den 1 juli 2008 (prop. 2007/08:126, bet. 2007/08:SoU16, rskr. 2007/08:207). Den nu föreslagna lagen bör alltså endast reglera frågor som är specifika för CSN:s studiestödsverksamhet. I dessa delar kommer lagen att ersätta motsvarande bestämmelser i personuppgiftslagen. I den mån personuppgiftslagen innehåller bestämmelser som saknar motsvarighet i den föreslagna studiestödsdatalagen, ska personuppgiftslagen tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. Detta följer redan av 2 § personuppgiftslagen. Enligt regeringens mening bör dock detta uttryckligen föreskrivas i den föreslagna studiestödsdatalagen. En del av CSN:s verksamhet utgörs av framställning av den officiella statistiken avseende studiestöd enligt lagen (2001:99) om den officiella statistiken. För denna verksamhet finns det särskilda bestämmelser om behandling av personuppgifter i nämnda lag och i till den lagen anslutande författningar. Den föreslagna studiestödsdatalagen bör därför inte vara tillämplig i fråga om sådan verksamhet. Ett förtydligande av detta föreslås tas in i studiestödsdatalagen. 6.3 Lagens tillämpningsområde Regeringens förslag: Studiestödsdatalagen ska tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. Lagen ska bara tillämpas om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Behandlingen av personuppgifter, som ska vara tillåten enligt studiestödsdatalagen utan den registrerades samtycke, får utföras även om den registrerade motsätter sig behandlingen. I de fall då behandling av personuppgifter i CSN:s studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke, ska den registrerade ha rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade ska därefter inte få behandlas. Utredningens förslag: Överensstämmer i huvudsak med regeringens. Utredningen har dock föreslagit att den registrerade ska ha rätt att motsätta sig att CSN behandlar personuppgifter för att till honom eller henne sända information om studiestödsförmåner och studiesociala förmåner samt bevis om studiestöd för studier. Utredningen har också föreslagit att CSN ska informera de registrerade om denna rättighet. Remissinstanserna: Huvuddelen av remissinstanserna lämnar förslaget utan erinran. Datainspektionen anser att det behövs ett förtydligande när det gäller frågan om 1 och 2 §§ i den föreslagna studiestödsdatalagen innebär att hanteringsreglerna i personuppgiftslagen, t.ex. personuppgiftslagens bestämmelser om information och överföring till tredje land, ska tillämpas på sådan ostrukturerad behandling som avses i 5 a § personuppgiftslagen när sådan behandling förekommer i CSN:s studiestödsverksamhet. CSN anför att myndighetens uppfattning av utredningens förslag innebär att det s.k. 16-årsbrevet som myndigheten skickar ut för att informera nyblivna sextonåringar om studiehjälp utgör en sådan information som den registrerade ska ha rätt att motsätta sig. CSN bedömer att myndigheten inte lämnar någon annan information om studiestödsförmåner som skulle omfattas av den nämnda bestämmelsen och anser att den behandling av personuppgifter som sker i anslutning till detta delvis syftar till en informationsöverföring som mottagaren inte bör ha möjlighet att motsätta sig. CSN avstyrker också förslaget att den registrerade ska ges möjlighet att motsätta sig att information om studiestödsförmåner skickas till honom eller henne. De av utredningen föreslagna reglerna om möjligheten för den registrerade att motsätta sig behandling, kräver enligt CSN att myndigheten måste genomföra vissa tekniska förändringar och detta kommer enligt myndighetens bedömning medföra utvecklingskostnader om sammanlagt 2,5 miljoner kronor. Sveriges förenade studentkårer ställer sig positiva till att den registrerade ska kunna återkalla ett samtycke och anför att den registrerade måste upplysas om denna möjlighet. Kammarrätten i Stockholm påpekar att den föreslagna 6 § anger samma sak som 12 § första stycket personuppgiftslagen. Skälen för regeringens förslag Allmänna överväganden CSN utför omfattande behandling av personuppgifter i sin studiestödsverksamhet. Den föreslagna studiestödsdatalagen ska reglera CSN:s behandling av personuppgifter i den verksamheten. Med studiestödsverksamhet avses ett antal olika verksamheter: beviljning av studiestöd, återkrav av felaktigt utbetalat studiestöd och återbetalning av studiestöd. Vidare omfattas även den hantering som sker i anslutning till ärenden om beviljning, återkrav och återbetalning av studiestöd, oavsett om hanteringen av ärendet leder till att studiestöd exempelvis beviljas, avslås, återkrävs eller återbetalas. Med studiestöd avses allt offentligt stöd för enskildas egna studier som CSN administrerar. Med studiestödsverksamhet avses också den verksamhet på det studiesociala området som CSN bedriver, t.ex. hanteringen av CSN-kortet. Studiestödsdatalagen ska omfatta CSN:s studiestödsverksamhet i bred mening. I vilka fall det är tillåtet för CSN att i den verksamheten behandla personuppgifter bestäms bl.a. av de tillåtna ändamålen för behandlingen. Inom studiestödsverksamheten får CSN endast behandla personuppgifter för de i studiestödsdatalagen angivna ändamålen, om inte den registrerade har lämnat sitt samtycke till behandlingen. Det finns, förutom i studiestödsverksamheten, även behov för CSN att behandla personuppgifter inom ramen för myndighetens verksamhet avseende hemutrustningslån och för dess interna administration. CSN:s behandling av personuppgifter avseende hemutrustningslån är förhållandevis ringa och regleras i 28 och 29 §§ förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar. CSN har under utredningen uppgett att det inte finns något behov av att ytterligare reglera behandlingen av personuppgifter i verksamheten avseende hemutrustningslån. 2005 års informationsutbytesutredning (Fi 2005:08) har dock i sitt betänkande Utökat elektroniskt informationsutbyte (SOU 2007:45) påpekat att det finns anledning att analysera behovet av särskilda författningsbestämmelser för CSN:s behandling av personuppgifter inom just denna verksamhet. Regeringen har beslutat om en ändring i 28 § ovan nämnda förordning som underlättar ett effektivt elektroniskt informationsutbyte inom denna verksamhet (SFS 2008:976). Förordningsändringen träder i kraft den 1 januari 2009. Mot denna bakgrund anser regeringen att verksamheten kring hemutrustningslån inte ska omfattas av studiestödsdatalagen. Inte heller behandling av personuppgifter som sker inom ramen för myndighetens interna administration ska omfattas. Studiestödsdatalagen ska således inte omfatta all behandling av personuppgifter som CSN utför. Automatiserad och manuell behandling av personuppgifter Personuppgiftslagen (1998:204) gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. i ett register. Studiestödsdatalagen föreslås ha motsvarande tillämpningsområde inom CSN:s studiestödsverksamhet. Automatiserad behandling av personuppgifter i ostrukturerat material bör inte undantas Från och med den 1 januari 2007 gäller enligt 5 a § personuppgiftslagen att flertalet av de s.k. handlingsreglerna i lagen, bl.a. bestämmelserna om grundläggande krav på behandlingen av personuppgifter, om förbud mot behandling av känsliga personuppgifter och om information till den registrerade, inte behöver tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, den s.k. "missbruksregeln". Bestämmelsen innebär bl.a. att behandling av personuppgifter som sker t.ex. i löpande text eller ljud- eller bildmaterial och som inte ingår i en strukturerad samling av personuppgifter, t.ex. ett särskilt register eller ett ärendehanteringssystem, normalt sett är tillåten så länge den inte innebär en kränkning av den registrerades personliga integritet (prop. 2005/06:173). Har emellertid materialet som sådant, dvs. hela samlingen av uppgifter, strukturerats på ett sätt så att hanteringsreglerna är tillämpliga ska dessa regler tillämpas vid behandling av alla personuppgifter - både strukturerade och ostrukturerade - som finns i materialet, oavsett om vissa personuppgifter i materialet inte har strukturerats (a. prop. s. 23). Regeringen gör bedömningen att det med hänsyn till den långt gångna digitaliseringen och struktureringen av personuppgifter inom ramen för CSN:s IT-stöd (se avsnitt 4.2.2) torde vara ytterst sällan som 5 a § personuppgiftslagen kan anses tillämplig vid behandlingen av personuppgifter i studiestödsverksamheten. Även om CSN:s informationssystem STIS inte ger någon möjlighet för en handläggare att göra sökningar i de skannade dokumenten kommer det att vara möjligt att i systemet eftersöka dokument som hör till ett visst ärende eller en viss person. Systemets struktur leder enligt regeringens bedömning till att hanteringsreglerna i personuppgiftslagen ska tillämpas även på de digitala bilder som skannas in och infogas i systemet. Utredningen har ansett att CSN:s behandling av personuppgifter i ostrukturerat material i studiestödsverksamheten inte bör undantas från tillämpningsområdet för studiestödsdatalagen. Regeringen delar den bedömningen. Bestämmelserna i en särskild registerlag för CSN:s studiestödsverksamhet ska enligt regeringens mening vara specialanpassade för myndighetens verksamhet och utformade så att de är ändamålsenliga och utan större tillämpningssvårigheter kan tillämpas även på automatisk behandling av personuppgifter i ostrukturerat material i den utsträckning sådana uppgifter förekommer. Av dessa skäl bör behandling av personuppgifter i ostrukturerat material i studiestödsverksamheten inte undantas från tillämpningsområdet för studiestödsdatalagen, om behandlingen är helt eller delvis automatiserad. Det innebär således att lagens ändamålsbestämmelser, liksom de särskilda bestämmelserna som gäller vid behandling av bl.a. känsliga personuppgifter och reglerna om förbud mot användning av vissa sökbegrepp m.m., ska tillämpas även när personuppgifter behandlas på sådant ostrukturerat sätt som avses i 5 a § personuppgiftslagen. Datainspektionen har ansett att det behövs ett förtydligande av om hanteringsreglerna i personuppgiftslagen, t.ex. bestämmelserna om information till den registrerade och överföring till tredjeland, ska vara tillämpliga vid ostrukturerad behandling enligt 5 a § när sådan behandling förekommer i CSN:s studiestödsverksamhet. Enligt regeringens mening ska bestämmelserna i 1 § och 2 § första stycket i den föreslagna lagen inte förstås så att 5 a § personuppgiftslagen inte alls ska kunna tillämpas i de fall då förutsättningarna för dess tillämpning i och för sig är uppfyllda. Dess räckvidd begränsas visserligen av det förhållandet att studiestödsdatalagens bestämmelser också ska tillämpas i sådana fall, men i den utsträckning speciallagen inte innehåller några från personuppgiftslagen avvikande bestämmelser ska de lättnader i hanteringen för den personuppgiftsansvarige som följer av 5 a § gälla. Det innebär t.ex. att bestämmelserna om information till den enskilde och bestämmelsen om förbud mot överföring av personuppgifter till tredjeland som inte tillförsäkrar en adekvat skyddsnivå för uppgifterna inte måste tillämpas. Eftersom bestämmelsen i 5 a § är fakultativ, finns det emellertid inte något som hindrar att CSN tillämpar även dessa hanteringsregler vid den behandling av personuppgifter i ostrukturerat material som kan aktualiseras. Det saknas enligt regeringen skäl att direkt i lagen ytterligare förtydliga detta förhållande. För att bestämmelsen i 5 a § ska vara undantagen från tillämpning får nämligen anses krävas att detta måste framgå uttryckligen av lagen. Behandling av personuppgifter som är tillåten enligt studiestödsdatalagen får ske även om den registrerade motsätter sig behandlingen I dataskyddsdirektivet regleras den enskildes rätt att motsätta sig behandling av personuppgifter som rör honom eller henne. Av artikel 14 första stycket b) framgår att den enskilde har en ovillkorlig rätt att motsätta sig sådan behandling om ändamålet med behandlingen rör direkt marknadsföring. I övrigt står det medlemsstaterna fritt att själva reglera frågan om den enskildes rätt i detta sammanhang. Om den nationella lagstiftningen inte föreskriver något annat, ska den registrerade dock enligt första stycket a) i samma artikel ha rätt att av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandlingen, åtminstone i de fall då uppgifterna behandlas endera med stöd av en intresseavvägning av det slag som framgår av 10 § f personuppgiftslagen eller för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning. I 12 § andra stycket personuppgiftslagen anges att en registrerad med ett par undantag inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen. Det finns behov av att i viss utsträckning kunna behandla personuppgifter inom CSN:s studiestödsverksamhet oberoende av den registrerades inställning. Därför ska sådan behandling av personuppgifter som enligt den föreslagna lagen får ske oberoende av den registrerades samtycke få ske även om den registrerade motsätter sig behandlingen (se vidare avsnitt 6.5). Med hänsyn till utformningen av bestämmelsen i artikel 14 dataskyddsdirektivet bör det i studiestödsdatalagen tas in en uttrycklig bestämmelse som föreskriver detta (jfr prop. 2000/01:33 s. 346). Bestämmelsen har utformats i enlighet med vad Lagrådet har förordat. I de fall där det enligt studiestödsdatalagen krävs den registrerades samtycke för att behandlingen ska få ske, ska den registrerade givetvis ha ett inflytande i den meningen att han eller hon ska kunna vägra att lämna ett efterfrågat samtycke. Den registrerade ska i dessa fall även ha rätt att när som helst återkalla ett lämnat samtycke och därmed förhindra att CSN därefter behandlar ytterligare personuppgifter om honom eller henne för det aktuella ändamålet. Lagrådet har ifrågasatt varför ett återkallat samtycke inte ska gälla också mera generellt för behandling av sådana "samtyckesuppgifter" som redan samlats in och inte bara träffa ytterligare insamling eller bearbetning eller komplettering av sådana uppgifter. Den föreslagna bestämmelsen i studiestödsdatalagen motsvaras av 12 § personuppgiftslagen. I förarbetena till den lagen (prop. 1997/98:44 s. 123) anges att bestämmelsen inte hindrar att behandlingen av redan insamlade uppgifter trots återkallelsen får fortsätta i enlighet med det ursprungligen lämnade samtycket. Regeringen anser att bestämmelsen i studiestödsdatalagen bör ha samma innebörd av följande skäl. Personuppgifter som har behandlats med stöd av samtycke från den registrerade kan förekomma i en rad olika sammanhang hos myndigheten. Uppgifterna kan ha införts i register eller förekomma i allmänna handlingar eller sammanställningar av uppgifter som förvaras eller har arkiverats hos myndigheten. Om den registrerade efter det att uppgifterna har behandlats återkallar sitt samtycke, är det ofta inte praktiskt möjligt för myndigheten att upphäva eller utradera den behandling av uppgifterna som redan har skett med stöd av samtycket. Det är inte heller lämpligt att myndigheten, när ett samtycke återkallas, i allmänna handlingar ska behöva utplåna personuppgifter som har behandlats med stöd av det därefter återkallade samtycket. Bestämmelsen har i enlighet med vad Lagrådet förordat placerats i en paragraf där vissa andra situationer där den registrerades samtycke har betydelse i studiestödsdatalagen regleras, se även avsnitt 6.5 och 6.6. Den registrerade bör inte ha möjlighet att motsätta sig behandling av personuppgifter för vissa enligt studiestödsdatalagen tillåtna ändamål Utredningen har ansett att det i vissa fall ska finnas ett visst utrymme för att ge den registrerade inflytande över frågan om behandling av personuppgifter ska få komma till stånd, trots att behandlingen enligt den föreslagna lagen ska kunna ske utan den registrerades samtycke. Det bör enligt utredningen komma i fråga i fall när behandlingen av personuppgifter inte är nödvändig för att CSN ska kunna fullgöra sin kärnverksamhet, som t.ex. handläggning av ärenden om studiestöd. Det gäller enligt utredningen dels behandling av personuppgifter som sker för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, dels behandling av personuppgifter som sker som ett led i myndighetens verksamhet att ta fram och till studerande distribuera bevis om studiestöd för studier, t.ex. det s.k. CSN-kortet. Utredningens bedömning är att dessa behandlingar inte är direkt nödvändiga för myndighetens handläggning av ärenden om studiestöd, även om den aktuella verksamheten delvis syftar till att underlätta CSN:s handläggning. Behandlingen har till vissa delar likheter med behandling av personuppgifter för ändamål som rör direkt marknadsföring men sker främst för att underlätta för den registrerade. Mot denna bakgrund kan det övervägas att ge registrerade som inte önskar information om studiestödsförmåner och studiesociala förmåner eller bevis om studiestöd för studier rätt att motsätta sig att deras personuppgifter behandlas för dessa ändamål. Det får dock antas att de allra flesta registrerade tycker att det är bra att CSN medverkar till att sådan information och sådant bevis distribueras och att således ganska få personer skulle utnyttja den rätten. Såsom utredningen har anfört förringar detta förhållande i och för sig inte värdet av att personer som inte önskar sådan distribution också ska ha rätt att motsätta sig att deras personuppgifter behandlas för detta ändamål. Samtidigt innebär en möjlighet för den registrerade att motsätta sig behandlingen ett administrativt merarbete för CSN. Enligt CSN ställer detta krav på kostsamma tekniska förändringar. Lagrådet har ifrågasatt om det är motiverat att på detta sätt ge personer som kan komma i fråga för studiestöd rätt att vägra att bli informerade om sina rättigheter och att ta emot bevis om studiestöd som de efter egen ansökan har tillerkänts. Lagrådet konstaterar att studiestöd är en av statsmakterna beslutad åtgärd som syftar till att höja utbildningsnivån i landet och stärka dess konkurrenskraft i den globala ekonomin. Det är vidare enligt Lagrådet CSN:s uppgift att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. De personuppgifter som CSN behandlar för att informera om förmåner och distribuera bevis om studiestöd för studier får anses vara av relativt harmlös karaktär. Behandlingen innebär ett begränsat intrång i de registrerades personliga integritet och görs för att de registrerade ska få väsentlig information eller bevis om studiestöd som är till den registrerades fördel. Regeringen anser sammanfattningsvis, med beaktande av vad Lagrådet och CSN har anfört, att det inte finns tillräckliga skäl för att som utredningen har föreslagit ge den registrerade rätt att motsätta sig behandling av personuppgifter för att informera om studiestödsförmåner och studiesociala förmåner och distribuering av bevis om studiestöd för studier. En sådan rättighet för den registrerade bör således inte införas. 6.4 Personuppgiftsansvar Regeringens förslag: CSN ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans har något att invända mot utredningens förslag. Skälen för regeringens förslag: Med personuppgiftsansvarig avses enligt 3 § personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Eftersom ändamålen med behandlingen anges och bestäms i den föreslagna studiestödsdatalagen, kan det inte heller anses följa direkt av 3 § personuppgiftslagen att CSN är personuppgiftsansvarig, även om CSN i och för sig ensam bestämmer om medlen för behandlingen. En särskild regel om att CSN ska ha detta ansvar föreslås därför införas i den nya lagen. 6.5 Ändamål som personuppgifter får behandlas för Regeringens förslag: Personuppgifter får behandlas i CSN:s studiestödsverksamhet bara om det behövs för att 1. handlägga ärenden i den verksamheten, 2. administrera handläggningen, 3. förbereda handläggningen, 4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, 5. ta fram och distribuera bevis om studiestöd för studier till studerande, eller 6. anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att bevisa eller beivra oegentligheten. Personuppgifter som behandlas enligt ovan ska även få behandlas genom att lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning som skyldighet att lämna uppgifter följer av lag eller förordning, till andra. Personuppgifter som inte direkt pekar ut den registrerade ska också få behandlas för att ge tillgång till vägledande avgöranden. Regeringen får meddela föreskrifter om begränsningar av ändamålen och om i vilka fall behandling får göras för att förbereda handläggningen av ärenden i studiestödsverksamheten. Regeringen meddelar föreskrifter om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. Personuppgifter får utöver vad som sägs ovan behandlas i CSN:s studiestödsverksamhet med den registrerades samtycke. Utredningens förslag: Överensstämmer i huvudsak med regeringens. Utredningen har dock föreslagit att det i bestämmelsen ska anges att utlämnande av uppgifter och behandling av personuppgifter för att anmäla oegentlighet inom studiestödsverksamheten endast får ske om sekretess inte hindrar det. Remissinstanserna: Malmö tingsrätt anser att bestämmelsen är svårläst och bör redigeras samt att det bör tydliggöras att ändamålsbestämmelsen är uttömmande och att finalitetsprincipen inte gäller annat än vid behandling som sker med den registrerades samtycke. Begreppet "oegentlighet" i bestämmelsens första stycke, sjätte punkten, bör enligt tingsrätten göras tydligare och mer stringent, exempelvis genom att skilja mellan brott och annan oegentlighet. CSN motsätter sig att behandlingen av personuppgifter i CSN:s studiestödsverksamhet ska vara uttömmande reglerad i studiestödsdatalagen, eftersom det inte är möjligt att förutse alla eventuella tillkommande typer av behandlingar som också bör få utföras. Det bör därför enligt CSN vara tillräckligt från integritetsskyddssynpunkt att i lagen ange att eventuella tillkommande ändamål inte får vara oförenliga med de ändamål som uttryckligen anges i lagen. Vidare föreslår CSN en annan formulering av bestämmelsen vad avser behandling av personuppgifter för att distribuera bevis om studier, eftersom denna behandling sker för att framställa bevis om att personen har beviljats studiestöd för att studera, inte för att bevisa att personen de facto studerar. Slutligen anser CSN att utredningens förslag vad gäller behandling av personuppgifter för att återsöka vägledande avgöranden är svår att tolka när det gäller den praktiska tillämpningen. Det bör förtydligas vilken behandling av personuppgifter som får ske för att återsöka vägledande avgöranden. Skälen för regeringens förslag Allmänna överväganden Enligt 9 § första stycket c och d personuppgiftslagen får personuppgifter samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna ska vara adekvata och relevanta i förhållande till de angivna ändamålen, och fler uppgifter får inte heller behandlas än vad som är nödvändigt med hänsyn till ändamålet. Uppgifterna får sedan inte behandlas för något ändamål som är oförenligt med det för vilka uppgifterna samlades in, den s.k. finalitetsprincipen. Vad som är oförenligt med insamlingsändamålen får bedömas från fall till fall. Enligt 9 § andra stycket anses dock behandling som utförs för historiska, statistiska eller vetenskapliga ändamål inte vara oförenlig med insamlingsändamålen. Eftersom personuppgiftslagen har karaktären av en ramlag som ska kunna tillämpas på ett stort antal olika verksamheter, har det varken varit möjligt eller önskvärt att i den lagen uttömmande ange för vilka ändamål personuppgifter får behandlas. De situationer i vilka personuppgifter över huvud taget får behandlas anges på ett övergripande sätt - dvs. efter samtycke från den registrerade eller när behandlingen är nödvändig i något av de fall som i övrigt framgår av 10 § - men det är upp till den personuppgiftsansvarige att precisera de särskilda och berättigade syften för vilka uppgifterna behandlas. Den yttre ramen för vad som sedan är tillåtet bestäms med utgångspunkt från vad som kan anses oförenligt med insamlingsändamålen. I en speciallag som riktar sig mot en särskilt angiven verksamhet faller det sig däremot naturligt att direkt i lagen ange för vilka ändamål personuppgifter får behandlas på det mer avgränsade område som lagen avser att täcka. Regeringen anser att det av principiella skäl är önskvärt att samtliga ändamål för vilka personuppgifter ska få behandlas om möjligt bör framgå av den lag om behandling av personuppgifter som ska gälla i CSN:s studiestödsverksamhet. I några tidigare lagstiftningsärenden har det, av hänsyn främst till omfattningen av de skiftande fall då personuppgifter behöver hanteras på olika verksamhetsområden, inte ansetts vara möjligt att uppfylla önskemålet om en uttömmande ändamålsreglering. Detta gällde t.ex. vid införandet av registerförfattningarna för Skatteverket, Kronofogdemyndigheten och Tullverkets verksamhet som inte avser brottsbekämpning (prop. 2000/01:33), liksom på området för socialförsäkringens administration (prop. 2002/03:135). Både skatteregler och socialförsäkringsförmåner av olika slag är föremål för ständig utveckling och förändring, vilket leder till stora svårigheter att på ett tydligt och uttömmande sätt reglera alla tänkbara fall då personuppgifter bör få behandlas. Regeringen har i sådana situationer ansett att finalitetsprincipen ytterst har fått sätta gränsen för vad som kan anses tillåtet. När den lagstiftning som gäller för behandlingen av personuppgifter inom Tullverkets brottsbekämpande verksamhet infördes (prop. 2004/05:164), liksom när patientdatalagen nyligen infördes (prop. 2007/08:126), var regeringens tydliga utgångspunkt dock att ändamålen för behandlingen av integritetsskäl skulle vara uttömmande angivna. CSN har motsatt sig att de tillåtna ändamålen för behandling av personuppgifter inom myndighetens studiestödsverksamhet ska vara uttömmande reglerade i studiestödsdatalagen och menar att det inte är möjligt att förutse alla eventuella tillkommande typer av behandlingar som bör få utföras. Regeringen konstaterar att de skäl som tidigare har motiverat förslag med ändamålsregleringar som inte varit uttömmande inte gör sig gällande med någon betydande styrka i detta lagstiftningsärende. De förmåner som ryms inom studiestödet är inte lika snabbt föränderliga som många av de förmåner som erbjuds inom t.ex. socialförsäkringens administration. Med hänsyn till detta och till vad som tidigare har anförts, anser regeringen att de tillåtna ändamålen för behandling av personuppgifter inom CSN:s studiestödsverksamhet ska vara uttömmande reglerade i studiestödsdatalagen. Detta hindrar naturligtvis inte att CSN behandlar personuppgifter även för andra ändamål, om den registrerade har lämnat sitt samtycke till behandlingen. Det sagda innebär således att CSN i sin studiestödsverksamhet inte får behandla personuppgifter för några andra ändamål än de som anges i studiestödsdatalagen, om inte ett samtycke har lämnats. Vilka dessa ändamål är utvecklas i det följande. Såvitt avser finalitetsprincipens tillämpning innebär detta ställningstagande vidare, som Malmö tingsrätt har framhållit, att en behandling av personuppgifter som inte har stöd i lagens ändamålsbestämmelser inte kan tillåtas även om behandlingens syfte i och för sig skulle kunna bedömas vara förenligt med de ändamål för vilka uppgifterna samlas in. Bestämmelsen har huvudsakligen utformats i enlighet med vad Lagrådet har förordat. Ändamål som personuppgifter får behandlas för Utgångspunkter Regeringen föreslår att de ändamål för vilka CSN i dag behandlar personuppgifter för att utföra de arbetsuppgifter som ankommer på myndigheten inom studiestödsverksamheten anges i studiestödsdatalagen som tillåtna ändamål. Vilka dessa ändamål är har utretts av utredningen. Uppräkningen av ändamålen syftar i enlighet med vad som sagts ovan till att uttömmande reglera de ändamål för vilka personuppgifter får behandlas, dock med undantag för vad som anges i det följande om utlämnande av allmänna handlingar enligt tryckfrihetsförordningen, om behandling genom utlämnande av uppgifter och om behandling för att ge tillgång till vägledande avgöranden. Avser behandlingen känsliga personuppgifter, personuppgifter om lagöverträdelser som innefattar brott m.m. eller personnummer eller samordningsnummer måste behandlingen dessutom vara tillåten enligt de särskilda bestämmelser i studiestödsdatalagen som reglerar behandling av sådana uppgifter, se nedan avsnitt 6.6 och 6.7. Även andra grundläggande krav på behandling av personuppgifter måste vara uppfyllda, bl.a. kraven avseende uppgifternas kvalitet enligt 9 § personuppgiftslagen och kraven på datasäkerhet enligt 31 § samma lag. Utöver de i den föreslagna studiestödsdatalagen uttryckligt utpekade ändamålen ska personuppgifter få behandlas i CSN:s studiestödsverksamhet även för andra ändamål om den registrerade samtycker till behandlingen, se vidare avsnittet nedan Den registrerades samtycke till behandling av personuppgifter. Handlägga ärenden För att kunna fullgöra sina arbetsuppgifter enligt studiestödslagen och andra författningar om studiestöd behöver CSN behandla en stor mängd personuppgifter. CSN ska få behandla personuppgifter om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten. Med handläggning avses inte bara åtgärder som direkt syftar till att kunna fatta beslut i ett ärende om studiestöd utan samtliga åtgärder i ärendet både före och efter beslutet. Administrera handläggning av ärenden För att kunna handlägga ärendena i studiestödsverksamheten behövs det en omfattande administration hos CSN. Denna administration innefattar viss behandling av personuppgifter som inte på ett naturligt sätt kan sägas ingå i den direkta handläggningen av ärenden i studiestödsverksamheten. Ett exempel på sådan behandling är förande av register över anmälda kontaktpersoner på olika läroanstalter. Ett sådant kontaktregister används bara för att underlätta handläggningen av ärendena om studiestöd. Det bör därför uttryckligen anges att CSN får behandla personuppgifter i studiestödsverksamheten om behandlingen behövs för att administrera handläggning av ärenden. Förbereda handläggning av ärenden CSN:s handläggning av ärenden avseende studiehjälp och beviljande av studiemedel utgör en masshantering där många beslut måste fattas och verkställas genom utbetalning vid ungefär samma tider varje år. CSN förbereder hanteringen genom att i förväg hämta in personuppgifter för alla 16-åringar om bl.a. personnummer, namn, adress, vårdnadshavare och betalningsmottagare för allmänt eller förlängt barnbidrag samt för personer som har antagits till någon utbildning som berättigar till studiemedel om bl.a. uppgifter om personnummer, namn och adress. Denna förberedande behandling av personuppgifter omfattar således även 16-åringar som inte fortsätter att studera respektive antagna studerande som väljer att inte ansöka om studiemedel. Personuppgifter rörande dessa personer behövs alltså inte för att handlägga ärenden som berör dem. Av praktiska skäl är det ändå nödvändigt för CSN att vidta de ovan nämnda förberedande åtgärderna avseende alla personer som kan bli aktuella för stöd för att myndigheten med rimliga resurser ska kunna handlägga ärendena för de 16-åringar som fortsätter att studera respektive antagna studerande som ansöker om studiemedel och betala ut studiehjälp och studiemedel i rimlig tid. Regeringen har bl.a. vid utformningen av den särskilda registerförfattningen för socialförsäkringens administration (se prop. 2002/03:135 s. 62 f.) ansett att sådana förberedande åtgärder bör hänföras till ett särskilt ändamål vid sidan av ändamålet att handlägga ärenden, eftersom det har bedömts att handläggning av ärenden kan förekomma först när ett ärende har anhängiggjorts. Det får anses särskilt integritetskänsligt att en myndighet behandlar personuppgifter om individer som inte alls berörs av arbetsuppgifter som myndigheten är skyldig att utföra. Samtidigt är det rimligt och proportionerligt att så får fortsätta att ske för att den majoritet av berörda personer som kommer att ha rätt till studiehjälp respektive ansöka om och beviljas studiemedel med rimliga resurser ska kunna få det på ett så lättadministrerat sätt som möjligt. För att få en lämplig garanti för integritetsskyddet föreslås att regeringen ska få meddela föreskrifter om i vilka fall behandling av uppgifter om personer som inte berörs av något ärende hos CSN ska få göras för att förbereda handläggningen av ärenden i studiestödsverksamheten. En bestämmelse av denna innebörd föreslås i 4 § tredje stycket. Därmed uppkommer en garanti för att det görs en konkret bedömning av att inte fler personer eller fler personuppgifter än vad som verkligen är nödvändigt berörs av de förberedande åtgärderna. Det blir också enklare att anpassa villkoren efter förändringar som bör påverka hanteringen. Informera om studiestödsförmåner och studiesociala förmåner Som ansvarig myndighet för studiesociala frågor, som inte hanteras av någon annan myndighet, ska CSN informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Regeringen föreslår därför att CSN i studiestödsverksamheten får behandla personuppgifter om behandlingen behövs för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Det är bara information till studiestödsberättigade som avses. Avser informationen studiestödsförmåner måste det kunna antas att informationsmottagarna i och för sig är berättigade till just den aktuella förmånen om de skulle börja studera på visst sätt, vilket är fallet med det brev som CSN skickar till vårdnadshavare till barn som fyller 16 år för att informera om studiehjälp, det s.k. 16-årsbrevet. Det krävs således inte att den registrerade redan studerar för att hans eller hennes personuppgifter ska få behandlas för ovanstående ändamål. Distribuera bevis om studiestöd En del av CSN:s verksamhet inom ramen för den studiesociala verksamheten består i att se till att studerande med studiestöd får olika rabatt- och förmånskort. Det är inte CSN som själv tar fram och distribuerar dessa kort, men personuppgifterna som därvid används kommer från CSN:s register och lämnas ut till olika företag för detta ändamål. CSN är personuppgiftsansvarig för den behandling av personuppgifter som utlämnandet av dem till kortföretagen innebär. För den övriga behandling av personuppgifter som behövs för att ta fram och distribuera korten är CSN personuppgiftsansvarig bara för den behandling avseende CSN-kortet som ett företag utför såsom personuppgiftsbiträde åt CSN. Regeringen anser att det är befogat och normalt till fördel för studiestödstagarna att behandla personuppgifter för att på det beskrivna sättet ta fram och distribuera bevis som kan användas för att styrka rätten till olika förmåner för studerande. Personuppgifter ska således få behandlas för detta ändamål. På skäl som CSN anfört bör bestämmelsen formuleras så att den anger att beviset avser studiestöd för studier. Anmäla oegentligheter I studiestödsverksamheten kan det förekomma att oegentligheter av skilda slag upptäcks. Det kan t.ex. röra sig om situationer när sökanden till en förmån i samband med ansökan lämnar felaktiga uppgifter om sina ekonomiska eller personliga förhållanden på ett sätt som innebär att det finns en risk för att en förmån felaktigt betalas ut eller betalas ut med för högt belopp. Risk för att en felaktig förmån ska betalas ut kan också uppkomma om den förmånsberättigade inte anmäler ändrade förhållanden på det sätt som krävs av honom eller henne. I vissa fall kan felaktigheter förklaras som rena misstag eller förbiseenden, medan det i andra fall kan misstänkas att de felaktiga uppgifterna lämnats helt avsiktligt. Det kan också förekomma oegentligheter i studiestödsverksamheten som begås av andra än sökande. Som exempel kan nämnas att personal vid CSN gör sig skyldiga till dataintrång. Andra exempel är mutbrott eller bestickning. I syfte att motverka bidragsfusk som rör bl.a. studiestödet har det nyligen införts en skyldighet för CSN att till polismyndighet eller Åklagarmyndigheten anmäla brott enligt bidragsbrottslagen (2007:612). En underrättelseskyldighet har också införts för CSN enligt lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen. Underrättelseskyldigheten omfattar situationer när det finns anledning att anta att ett bidrag eller en annan ekonomisk förmån för personligt ändamål från trygghetssystemen felaktigt har beviljats eller betalats ut till en enskild från vissa myndigheter. Det framstår som naturligt att CSN måste ha rätt att behandla personuppgifter för att fullgöra dessa lagstadgade skyldigheter att lämna upplysningar om misstänkta brott och andra oegentligheter. Som exempel på personuppgifter som kan behandlas för detta ändamål kan nämnas uppgifter om den registrerades namn och kontaktuppgifter samt uppgifter om vilka förmåner som den registrerade har ansökt om eller mottagit. I fall där det inte finns någon författningsreglerad anmälningsskyldighet, har CSN ofta en möjlighet att, om sekretess inte hindrar ett utlämnande, välja om en anmälan om misstänkt brott eller annan ifrågasatt oegentlighet ska göras till behörig myndighet eller inte. Om fängelse är föreskrivet för ett misstänkt brott och brottet kan antas föranleda annan påföljd än böter, får uppgifter nämligen utan hinder av sekretess normalt, med stöd av 14 kap. 2 § fjärde stycket sekretesslagen (1980:100), lämnas ut till polismyndighet, åklagarmyndighet eller annan myndighet som har att ingripa mot brottet. Enligt 14 kap. 3 § första stycket sekretesslagen får härutöver, med vissa begränsningar som följer av andra stycket, sekretessbelagd uppgift även lämnas ut om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Regeringen anser att det saknas vägande skäl för att, i en utsträckning som går längre än vad som följer av sekretesslagen, begränsa CSN:s möjligheter att lämna uppgifter till andra myndigheter för att vidta eventuella åtgärder med anledning av t.ex. misstänkt brott. Det är tvärtom rimligt att CSN tillåts att behandla personuppgifter även i fall när det saknas en uttrycklig anmälningsskyldighet i berörda situationer. Det bör för tydlighets skull av lagen klart framgå att sådan behandling av personuppgifter är tillåten. Regeringen föreslår därför att CSN i sin studiestödsverksamhet får behandla personuppgifter om behandlingen behövs för att anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheten. Utredningen har föreslagit att det i lagen ska anges att behandling av personuppgifter för att anmäla oegentlighet inom studiestödsverksamheten får ske om sekretess inte hindrar det. Att på detta sätt särskilt hänvisa till sekretessbestämmelser ligger enligt utredningen också i linje med vad Integritetsskyddskommittén förordat i sitt betänkande Skyddet för den personliga integriteten (SOU 2007:22, Del I, s. 464 f.). Regeringen konstaterar dock att de bestämmelser i sekretesslagen som tar sikte på CSN:s studiestödsverksamhet gäller parallellt med studiestödsdatalagen och att den nya lagen inte innebär någon inskränkning på sekretesslagens område. En sekretessprövning ska således alltid göras innan uppgifter av detta slag lämnas över till andra myndigheter. Regeringen anser det därför inte nödvändigt att i lagtexten särskilt ange att behandling endast får ske om sekretess inte hindrar det, eftersom detta gäller oberoende av om en erinran av detta slag förs in i studiestödsdatalagen. Att hänvisa till sekretessbestämmelser i studiestödsdatalagen skulle också innebära en avvikelse från vad som gäller enligt andra registerlagstiftningar. Malmö tingsrätt har invänt mot att använda begreppet oegentlighet. Regeringen anser dock att begreppet på ett bra sätt täcker in de olika förehavanden som bestämmelsen avser att träffa och föreslår därför inte någon ändring av begreppet. Behandling genom att lämna ut uppgifter I den utsträckning som CSN har en skyldighet enligt lag eller förordning att lämna ut uppgifter för annat än de tillåtna ändamålen bör den skyldigheten få fullgöras oberoende av den föreslagna studiestödsdatalagen, oavsett om den registrerade har samtyckt till utlämnandet. I lagen ska därför anges att CSN får behandla uppgifter genom att lämna ut dem till den registrerade, riksdagen och regeringen samt, i den utsträckning som skyldighet att lämna ut uppgifter till andra följer av lag eller förordning. Med andra avses såväl myndighet som enskild. Med skyldighet att lämna ut uppgifter avses dels uppgiftsskyldighet enligt 14 kap. 1 § sekretesslagen, dels andra författningsreglerade skyldigheter att lämna ut uppgifter. Utredaren har föreslagit att det i lagtexten ska anges att skyldigheten att lämna ut uppgifter förutsätter att sekretess inte hindrar ett utlämnande. Som regeringen anfört i det föregående gäller detta oavsett om det direkt anges i studiestödsdatalagen. Någon bestämmelse av denna innebörd behövs därför inte. Eftersom lag eller annan författning inte får meddelas i strid med grundlag, innebär det sagda givetvis inte att sådan behandling av personuppgifter som är nödvändig för att CSN ska kunna fullgöra sin skyldighet att lämna ut allmänna handlingar enligt 2 kap. tryckfrihetsförordningen är otillåten. Sådan behandling får alltid utföras, trots att det inte framgår uttryckligen av lagen (8 § personuppgiftslagen, se prop. 1997/98:44 s. 43 f.). Behandling för att ge tillgång till vägledande avgöranden För att kunna handlägga ärenden, utbilda handläggare och skriva vägledningar om regelverket och dess tillämpning, behöver CSN ha möjlighet att samla vägledande avgöranden från den egna verksamheten och från överprövnings- och tillsynsinstanser. Det är dock inte av intresse vilka individer som avgörandena avser, utan det centrala är vilka juridiska bedömningar som har gjorts i ärendena. Det finns därmed ett behov för CSN att ha en särskild praxisdatabas där vägledande avgöranden samlas. Regeringen anser i likhet med utredningen att personuppgifter som behandlas för de tillåtna ändamålen och som inte direkt pekar ut den registrerade får behandlas för att ge tillgång till vägledande avgöranden. Detta kan ske genom att CSN inrättar en eller flera praxisdatabaser eller på något annat sätt, t.ex. genom att avgörandena sammanställs på en webbplats. CSN har efterlyst ett förtydligande av vilken behandling av personuppgifter som får ske med stöd av bestämmelsen. Enligt regeringens uppfattning saknas det dock skäl att i det här avseendet i lag ange vilken behandling av personuppgifter som får ske för det angivna ändamålet. Så länge uppgifterna som behandlas inte direkt pekar ut den registrerade, är det upp till myndigheten att avgöra hur uppgifterna kan behandlas. Föreskrifter om ändamålen m.m. De tillåtna ändamålen med behandlingen anges i den föreslagna lagtexten på ett förhållandevis allmängiltigt sätt. Regeringen anser att det inte är lämpligt eller möjligt att i lag ställa upp bestämmelser som ger mer detaljerade upplysningar om ändamålen. Det kan emellertid inte uteslutas att det i vissa fall kan vara önskvärt att av integritetsskyddsskäl ytterligare precisera bestämmelserna om ändamål. Regeringen föreslår därför att regeringen ska få att meddela föreskrifter om begränsningar av de i studiestödsdatalagen angivna tillåtna ändamålen. Som anförts ovan ska regeringen också få meddela föreskrifter om i vilka fall behandling av personuppgifter får göras för att förbereda handläggningen av ärenden i studiestödsverksamheten. Vidare föreslås att regeringen meddelar föreskrifter om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. Den registrerades samtycke till behandling av personuppgifter I det föregående har det redogjorts för de ändamål för vilka CSN får behandla personuppgifter oavsett den registrerades samtycke. Utöver dessa ändamål kan CSN, i egenskap av ansvarig myndighet för studiesociala frågor som inte ska hanteras av någon annan myndighet, ha intresse av att erbjuda studiestödsberättigade service av olika slag. CSN erbjuder också i dag viss service till studiestödsberättigade. Som ett led i denna serviceverksamhet kan det finnas behov av att behandla registrerades personuppgifter för andra ändamål än de som anges i studiestödsdatalagen. En förutsättning för att sådan service ska kunna erbjudas de registrerade bygger dock på att de registrerade samtycker till att deras personuppgifter behandlas för detta ändamål. Regeringen anser att det inte finns några beaktansvärda integritetsskyddsskäl som talar mot att tillåta CSN att inom ramen för studiestödsverksamheten behandla personuppgifter för de ändamål som myndigheten finner angelägna så länge som den registrerade samtycker till behandlingen. Mot denna bakgrund bedömer regeringen också att det inte är nödvändigt med bestämmelser som förbjuder eller gör det möjligt att förbjuda en behandling inom ramen för studiestödsverksamheten som sker med den registrerades samtycke. Regeringen föreslår därför att personuppgifter alltid ska få behandlas i CSN:s studiestödsverksamhet med den registrerades samtycke. Det kan i sammanhanget anmärkas att personuppgifter som samlats in med stöd av den registrerades samtycke - till skillnad från vad gäller uppgifter som samlats in för de i studiestödsdatalagen angivna ändamålen - även får behandlas för andra ändamål än de som uppgifterna ursprungligen samlades in för, så länge det andra ändamålet inte är oförenligt med det ursprungliga ändamålet. Även när uppgifterna behandlas med stöd av den enskildes samtycke förutsätts dock att de närmare ändamålen för behandlingen är berättigade och uttryckligt angivna och att de grundläggande kraven på behandling av personuppgifter i övrigt är uppfyllda. I enlighet med vad Lagrådet har förordat har bestämmelsen om att behandling får ske med den registrerades samtycke placerats i en paragraf där vissa andra situationer där den registrerades samtycke har betydelse i studiestödsdatalagen regleras. Paragrafen har huvudsakligen utformats på det sätt som Lagrådet har förordat. Även personuppgifter som behandlas i CSN:s studiestödsverksamhet med den registrerades samtycke får - i likhet med vad som gäller för uppgifter som behandlas för de i studiestödsdatalagen uttryckligt angivna ändamålen - behandlas genom att lämnas ut till den registrerade, riksdagen och regeringen samt, i den utsträckning som skyldighet att lämna ut uppgifter till andra följer av lag eller förordning. Sådana personuppgifter får också, om de inte direkt pekar ut den registrerade, behandlas för att ge tillgång till vägledande avgöranden. 6.6 Begränsningar i rätten att behandla personuppgifter Regeringens förslag: Särskilda begränsningar ska gälla för personuppgifter som 1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, 2. avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, eller 3. rör hälsa eller sexualliv. Sådana personuppgifter får behandlas bara för att - handlägga ärenden i studiestödsverksamheten, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, - anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheten, - för att lämnas ut till den registrerade själv, riksdagen och regeringen samt i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra, och - för att ge tillgång till vägledande avgöranden, om uppgifterna inte direkt pekar ut den registrerade. Personuppgifter som omfattas av särskilda begränsningar får behandlas för andra ändamål än de ovan angivna bara med den registrerades uttryckliga samtycke. Utredningens förslag: Överensstämmer huvudsakligen med regeringens. Utredningens förslag innehåller dock ingen uppräkning av vilka slags personuppgifter som omfattas av bestämmelsen. Utredningen har i stället föreslagit att en hänvisning ska göras till 13 och 21 §§ personuppgiftslagen. Remissinstanserna: Malmö tingsrätt anser att bestämmelsen är svårläst. Det är enligt tingsrättens uppfattning lämpligt att i stället ange de fall då behandlingen av känsliga personuppgifter m.m. är tillåten i särskilda punkter. Datainspektionen pekar på de praktiska svårigheter att avgöra vad som direkt pekar ut den registrerade respektive vad som inte gör det. Uppsala universitet anser att det är viktigt att de grupper vars personuppgifter omfattas av regleringen har en rimlig möjlighet att själva uppfatta vad som gäller. Mot den bakgrunden bör enligt Uppsala universitet förslaget i 7 § ytterligare övervägas vad gäller själva formuleringen och det borde vara möjligt att här tydligare ange vad för slags känsliga personuppgifter paragrafen syftar på. Arbetsförmedlingen påpekar bl.a. att det är vanligt att det i registerförfattningar också finns starka begränsningar när det gäller känsliga personuppgifter som behandlas i vad som kallas databaser hos myndigheterna. Skälen för regeringens förslag: Studiestödsdatalagen ska enligt regeringens förslag reglera när känsliga personuppgifter enligt 13 § personuppgiftslagen och personuppgifter om lagöverträdelser m.m. enligt 21 § samma lag får behandlas inom CSN:s studiestödsverksamhet. Lagrådet har dock anfört att det är begripligt att bestämmelser om behandling av uppgifter som avslöjar ras, etniskt ursprung, filosofisk övertygelse, sexualliv m.m. behövs i personuppgiftslagen, eftersom den lagen gäller myndigheter, företag och enskilda utan någon begränsning till viss verksamhet eller liknande. Däremot anser Lagrådet att det inte är omedelbart klart om och därför inte heller i vilken omfattning sådana uppgifter kan förekomma på det begränsade område studiestödsdatalagen reglerar. Det är inte heller klart enligt Lagrådet vilken betydelse uppgifterna kan ha för handläggningen av ärenden om studiestöd, och vissa av uppgifterna, t.ex. de som rör hälsa, inkomst, förmögenhet och anledning till studieavbrott, förefaller mer relevanta än andra. Det bör därför enligt Lagrådet om möjligt klarläggas om det är lämpligt och möjligt att begränsa de uppgifter som ska anges i bestämmelsen. De uppgifter som anges i 13 och 21 §§ personuppgiftslagen är uppgifter som är extra känsliga att behandla ur ett integritetsskyddsperspektiv. Vissa av de angivna uppgifterna torde normalt inte heller förekomma i CSN:s studiestödsverksamhet. Det kan dock inte uteslutas att även uppgifter som avslöjar t.ex. ras eller filosofisk övertygelse kan förekomma i verksamheten. Även om CSN inte efterfrågar sådana uppgifter kan de ändå förekomma som information i t.ex. ansökningshandlingar eller intyg som lämnas in till myndigheten. Enligt regeringens mening bör det tydligt regleras i studiestödsdatalagen att behandling av sådana uppgifter omfattas av särskilda restriktioner. Regeringen föreslår därför att samtliga uppgifter som avses i 13 och 21 §§ personuppgiftslagen ska omfattas av den föreslagna bestämmelsen i studiestödsdatalagen. Med beaktande av vad Uppsala universitet och Malmö tingsrätt har anfört föreslås att paragrafen utformas så att de känsliga personuppgifter och andra personuppgifter som omfattas av bestämmelsen uttryckligen anges i paragrafen. Således ska det i paragrafen anges att de uppgifter som avses är sådana som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden eller uppgifter som rör hälsa eller sexualliv. Bestämmelsen som anger i vilka fall ovannämnda personuppgifter får behandlas ska utformas så att regleringen inte hindrar den nödvändiga handläggningen av ärenden i verksamheten. Inledningsvis anser regeringen i likhet med utredningen att sådana personuppgifter ska få behandlas om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten, under förutsättning att uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Regeringen har i avsnitt 6.5 föreslagit att personuppgifter ska få behandlas i studiestödsverksamheten när det behövs för att anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna. I sådana anmälningar kan det finnas behov att ange olika personuppgifter. Regeringen föreslår därför att det även ska vara tillåtet att behandla personuppgifter som anges i den nu aktuella paragrafen, dvs. sådana uppgifter som avses i 13 och 21 §§ personuppgiftslagen, om det behövs för att kunna anmäla oegentligheter inom studiestödsverksamheten till en myndighet som har att utreda eller beivra oegentligheterna. Även i de fall där utredningen föreslagit att behandlade personuppgifter får lämnas ut, kan utlämnandet behöva avse alla slags personuppgifter. Regeringen föreslår därför att det också ska vara tillåtet att behandla sådana personuppgifter som avses i 13 och 21 §§ personuppgiftslagen, om det behövs för att lämna ut personuppgifter till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. Regeringen har i avsnitt 6.5 föreslagit att personuppgifter som inte direkt pekar ut den registrerade får behandlas för att ge tillgång till vägledande avgöranden. De vägledande avgörandena i den avskilda praxisdatabasen kan innehålla alla slags personuppgifter. Regeringen föreslår därför att det även ska vara tillåtet att behandla sådana personuppgifter som avses i 13 och 21 §§ personuppgiftslagen i den avskilda samlingen av personuppgifter för att ge tillgång till vägledande avgöranden. För att behandlingen av känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. ska vara tillåten krävs det dessutom att behandlingen över huvud taget är tillåten enligt de angivna ändamålsbestämmelserna. För att behandlingen av dessa personuppgifter ska få genomföras krävs det givetvis också att övriga bestämmelser om behandlingen följs, t.ex. de föreslagna särskilda bestämmelserna med restriktioner i fråga om sökbegrepp och direktåtkomst och annat elektroniskt utlämnande. CSN ska även i andra fall än vad som har angetts ovan kunna behandla sådana personuppgifter som omfattas av särskilda begränsningar, om den registrerade ger sitt uttryckliga samtycke till behandlingen. Med den registrerades uttryckliga samtycke avses sådant samtycke som anges i 15 § personuppgiftslagen. I enlighet med vad Lagrådet har förordat har bestämmelsen om att behandling alltid får ske med den registrerades uttryckliga samtycke placerats i en paragraf där vissa andra situationer där den registrerades samtycke har betydelse i studiestödsdatalagen regleras. Även i övrigt har bestämmelsen utformats i enligt med vad Lagrådet har förordat. 6.7 Sökbegrepp Regeringens förslag: Som sökbegrepp ska inte få användas 1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, 2. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, 3. uppgifter som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott, eller 4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle. Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en avskild samling av personuppgifter som inte direkt pekar ut den registrerade ska dock sådana sökbegrepp få användas. Som sökbegrepp får också användas uppgifter som rör 1. hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och 2. inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende. Utredningens förslag: Överensstämmer i huvudsak med regeringens. Utredningen har dock inte föreslagit att inkomst och förmögenhet under vissa omständigheter får användas som sökbegrepp av behörig personal. Utredningen har inte heller föreslagit att sökbegränsningen ska omfatta personuppgifter som avses i 21 § personuppgiftslagen. Remissinstanserna: Malmö tingsrätt anser att bestämmelsen bör utformas så att en hänvisning görs till 13 § personuppgiftslagen samt att bestämmelsen kompletteras med övriga sökbegrepp som anges i det föreslagna lagrummet, dvs. inkomst, förmögenhet, anledning till studieavbrott eller uppgift om att det allmänna helt eller delvis till en väsentlig del bekostat en persons uppehälle. Detta enligt tingsrätten för att undvika en ändring av bestämmelsen till följd av en eventuell utvidgning eller inskränkning av förbudet mot behandling av känsliga personuppgifter i 13 § personuppgiftslagen. Datainspektionen anser att de sökbegränsningar som anges i lagen uttryckligen bör omfatta även personuppgifter som avses i 21 § personuppgiftslagen. Myndigheten anför vidare att en förutsättning för att uppgifter som rör hälsa ska få användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har åberopats bör vara att CSN har ett IT-behörighetssystem som möjliggör att denna sökmöjlighet endast ges till personal som behöver sådana uppgifter. CSN föreslår att även uppgifter som rör hälsa, inkomst och förmögenhet ska få användas som sökbegrepp för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende och att kunna ompröva beslut i ärendena. CSN menar att detta möjliggör utsökning av ärenden för att rätta till handläggningen så att inte enskilda lider onödiga rättsförluster. CSN förslår slutligen en annan utformning av sista meningen i utredningens förslag till 8 § i den föreslagna lagen med anledning av att de ärenden som där åsyftas initieras och prövas av CSN ex officio, dvs. ärenden initieras utan att parterna åberopat sjukdom. Arbetsförmedlingen är tveksam till att det finns behov av undantag från förbudet att använda känsliga personuppgifter som sökbegrepp vid sökning i ett visst ärende och i en viss handling, bl.a. av det skälet att bestämmelsen kan bli svår att tillämpa. Skälen för regeringens förslag: På vilket sätt uppgifter kan sammanställas är, vid sidan av vad ett register innehåller och vilka som har åtkomst till det, en av de viktigare frågorna från integritetssynpunkt. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet. Genom att i en registerförfattning ta in föreskrifter om att en myndighet inte får använda vissa s.k. sökbegrepp kan behovet av integritetsskydd för de personer som är registrerade tillgodoses utan att myndigheten behöver förbjudas att registrera vissa personuppgifter som behövs i verksamheten. Med hänsyn till den stora mängden registrerade uppgifter och förekomsten av personuppgifter av ömtålig natur inom studiestödsverksamheten, anser regeringen att det finns goda skäl att av integritetsskyddshänsyn införa begränsningar i studiestödsdatalagen som innebär att vissa särskilt känsliga kategorier av uppgifter som CSN inte behöver använda som sökbegrepp i sin studiestödsverksamhet inte heller får användas för detta ändamål. Detta innebär en viss inskränkning i offentlighetsprincipen, eftersom det inte blir möjligt för myndigheten att vid utlämnande sammanställa uppgifter enligt vissa spärrade sökkriterier. Begränsningarna innebär även en inskränkning i andra myndigheters möjligheter att få ut sammanställningar från CSN. Det finns normalt sett inte något behov för CSN att använda sådana känsliga uppgifter som avses i 13 § personuppgiftslagen och, som Datainspektionen påpekat, inte heller sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag som sökbegrepp. Lagrådet har, såsom framgått ovan i avsnitt 6.6, ifrågasatt om regleringen i den föreslagna studiestödsdatalagen behöver omfatta samtliga uppgifter som avses i 13 och 21 §§ personuppgiftslagen. Det faktum att uppgifterna normalt inte behövs i CSN:s studiestödsverksamhet hindrar dock, som regeringen utvecklat i avsnitt 6.6, inte att uppgifterna av någon anledning ändå kan förekomma i studiestödsverksamheten. För det fall att uppgifterna förekommer hos CSN bör de inte kunna användas som sökbegrepp. Regeringen föreslår därför att det i studiestödsdatalagen tas in ett förbud mot att använda sådana uppgifter som sökbegrepp, dvs. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden samt uppgifter om hälsa eller sexualliv. Som framgått ovan i avsnitt 4.2.2 finns det inte heller i dag några möjligheter att använda sökbegrepp av nu aktuellt slag i myndighetens IT-system STIS. Vidare upplevs uppgifter om ekonomiska förhållanden ofta vara av ömtålig natur. Som huvudregel ska det därför inte vara möjligt att som sökbegrepp använda uppgifter som rör inkomst eller förmögenhet. Anledningen till att en person gör ett studieavbrott kan variera. Information om anledningen till studieavbrott kan inrymma mycket integritetskänsliga uppgifter. Det ska därför inte heller vara möjligt att som sökbegrepp använda anledning till studieavbrott. En uppgift som avslöjar att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle är normalt känslig ur integritetsperspektiv. Det föreslås därför att det tas in ett förbud att använda sådan uppgift som sökbegrepp. CSN behöver normalt sett inte använda uppgifter som rör hälsa som sökbegrepp. CSN styr dock i sitt datoriserade handläggningssystem ärenden som avser avskrivning av studielån på grund av sjukdom till ett begränsat antal handläggare med särskild erfarenhet och behörighet. Dessa ärenden söks alltså fram för att kunna fördelas till rätt handläggare. Det är rimligt att sökning på uppgifter som rör hälsa ska vara tillåten för detta ändamål. Regeringen föreslår därför, med beaktande av vad CSN har anfört, att uppgifter som rör hälsa får användas som sökbegrepp för att ge behörig personal elektronisk tillgång till ärenden där sjukdom har betydelse. En central del i CSN:s uppgiftsinsamlande berör de registrerades ekonomiska förhållanden. Uppgifter om inkomst behövs t.ex. för att CSN ska kunna handlägga ärenden i studiestödsverksamheten. CSN har i sitt remissvar angett att myndigheten vid vissa tillfällen behöver använda inkomst och förmögenhet som sökbegrepp för att genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende och även för att kunna ompröva beslut i ärenden. Regeringen anser, med hänvisning till vikten av att i efterhand kunna kontrollera beslut om studiemedel, att det är rimligt att CSN kan göra de sökningar myndigheten behöver för att fullgöra sitt uppdrag. Regeringen föreslår därför att också uppgifter som rör inkomst och förmögenhet ska få användas som sökbegrepp för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för beslut i ett ärende. Det är dock viktigt att det inte är tillåtet att använda inkomst och förmögenhet som sökbegrepp för andra ändamål än det ovan nämnda. Sammanfattningsvis föreslår regeringen att som sökbegrepp inte får användas dels uppgifter som avses i 13 och 21 §§ personuppgiftslagen, dels uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott eller uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle. Som ovan angetts ska det dock för vissa ändamål vara tillåtet att som sökbegrepp använda uppgifter om hälsa, inkomst och förmögenhet. Avsikten med att införa begränsningar av vilka sökbegrepp som får användas är främst att förhindra att listor med flera personer som har en viss egenskap gemensam tas fram. Att den som väl hittat fram till ett visst ärende om studiestöd eller en viss befintlig handling söker inom ramen för det ärendet eller den handlingen efter olika uppgifter kan däremot utgöra en naturlig del av och förenkla handläggningen av ärendet. En sådan begränsad sökning kan inte heller anses innebära några särskilda integritetsrisker. Regeringen föreslår därför att alla slags sökbegrepp får användas vid sökning i ett visst ärende om studiestöd eller i en viss handling. Det ligger vidare i sakens natur att den som vill söka efter vägledande avgöranden i en särskild praxisdatabas med avidentifierade avgöranden kan behöva använda alla slags sökbegrepp. Med hänsyn till att praxisdatabasen ska hållas avskild från verksamhetsdatabaserna och bara innehålla ett urval avgöranden som inte innehåller personuppgifter som direkt pekar ut den registrerade kan en sådan sökning inte anses innebära några beaktansvärda integritetsrisker. Regeringen föreslår därför att alla slags sökbegrepp får användas vid sökning i den särskilda praxisdatabasen. Datainspektionen har anfört vikten av att det hos CSN finns ett behörighetssystem som möjliggör att enbart behörig personal kan göra de utsökningar som föreslås. Enligt vad regeringen erfar finns det ett behörighetssystem hos myndigheten som kan användas för ändamålet. CSN kan t.ex. inom ramen för studiestödets informationssystem åtkomstskydda dokument samt enbart tillåta att behörig personal tar del av uppgifter som rör personer med sekretessmarkering i folkbokföringsregistret. I den utsträckning det behövs har myndigheten möjlighet, och enligt med 31 § personuppgiftslagen också en skyldighet, att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Detta kan t.ex. ske genom att i interna föreskrifter reglera och begränsa möjligheterna att använda känsliga personuppgifter m.m. som sökbegrepp. Regeringen finner mot denna bakgrund inte skäl att särskilt föreskriva i studiestödsdatalagen om ett särskilt behörighetssystem. Studiestödsdatalagen föreslås dock innehålla bestämmelser om intern elektronisk tillgång till personuppgifter, se avsnitt 6.8. 6.8 Intern elektronisk tillgång till personuppgifter Regeringens förslag: Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som arbetar i CSN:s studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. CSN ska se till att elektronisk tillgång till personuppgifter dokumenteras och ska systematiskt och återkommande kontrollera om någon obehörig åtkomst till uppgifterna har förekommit. Regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om elektronisk tillgång och om dokumentation och kontroll. Utredningens förslag: Överensstämmer huvudsakligen med regeringens. I utredningens förslag anges dock att CSN ska bestämma villkoren för elektronisk tillgång till personuppgifter för den som deltar i myndighetens studiestödsverksamhet. Remissinstanserna: Datainspektionen anser att det mot bakgrund av den breda tillgång till personuppgifter som finns hos CSN är angeläget att ta fram detaljföreskrifter rörande den interna elektroniska tillgången till personuppgifter. Om det skulle bli aktuellt att låta CSN ta fram sådana föreskrifter, är det enligt Datainspektionen lämpligt att det finns en skyldighet för CSN att samråda med inspektionen. Sveriges förenade studentkårer (SFS) tycker det är positivt att utredningen föreslår systematiska och återkommande kontroller av den faktiska elektroniska tillgången till personuppgifter. Uppsala universitet anser att begreppet "den enskilde" bör förtydligas så det i lagen klart framgår vad som avses, eftersom begreppet används på ett sätt som enligt universitetets uppfattning avviker från den normala användningen i rättsliga sammanhang. Skälen för regeringens förslag: Utredningen har pekat på att det finns vissa brister i hanteringen av den interna tillgången till personuppgifter hos CSN. I princip alla handläggare vid myndigheten har möjlighet till elektroniskt tillgång till nästan all information i nästan samtliga ärenden om studiestöd. Det har visat sig att loggningen av när någon haft tillgång till information i en viss sökandes ärende inte är heltäckande. Kombinationen av en mycket vid möjlighet till elektronisk tillgång till personuppgifter för alla handläggare, som kan omfatta även inaktuella personuppgifter som ännu inte har gallrats, och avsaknaden av en effektiv loggning av vilken tillgång som har förekommit samt kontroll av loggarna inger betänkligheter från integritetsskyddssynpunkt. Regeringen anser mot bakgrund av ovanstående att det finns skäl att i den föreslagna studiestödsdatalagen precisera vad som ska gälla i fråga om intern elektronisk tillgång till personuppgifter i CSN:s studiestödsverksamhet. Det föreslås därför att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om villkoren för elektronisk tillgång till personuppgifter för den som arbetar i CSN:s studiestödsverksamhet. Den elektroniska tillgången till personuppgifter ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom verksamheten. Vidare föreslås att CSN ska se till att elektronisk tillgång till personuppgifter dokumenteras och att det systematiskt och återkommande kontrolleras om någon obehörig åtkomst till uppgifterna har förekommit. Den enskilde handläggaren hos CSN bör alltså inte ha elektronisk tillgång till personuppgifter i större utsträckning än vad som behövs för att handläggaren ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Behörigheten bör framgå av interna föreskrifter och bör lämpligen kompletteras med tekniska begränsningar som förhindrar att handläggaren elektroniskt kommer åt personuppgifter som han eller hon inte har behov av i sitt arbete och följaktligen inte ska ha behörighet till. I vilken omfattning som en enskild handläggare behöver ha tillgång till personuppgifter för att kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten och vilka enskilda uppgifter som han eller hon ska ha tillgång till får avgöras från fall till fall. Avsikten är emellertid inte att CSN på något genomgripande sätt ska behöva ändra sitt arbetssätt eller sin organisation. För att kunna utreda och beivra obehörig åtkomst som inte förhindras av tekniska begränsningar bör den faktiska elektroniska tillgången till personuppgifter dokumenteras i en logg. Dokumentationen ska avse alla former av elektronisk tillgång som har förekommit till personuppgifterna oavsett om det är anställda som internt berett sig tillgång eller om utomstående har gjort det t.ex. via direktåtkomst. Det krävs också att det systematiskt och återkommande kontrolleras om någon obehörig åtkomst till personuppgifterna har förekommit. Det räcker alltså inte att loggarna kontrolleras bara när CSN av någon orsak fått anledning att misstänka att obehörig åtkomst har förekommit. Det är i första hand upp till CSN att bedöma hur kontrollen bör genomföras. Avsikten är att myndigheten ska uppnå en lämplig säkerhetsnivå med beaktande av vad som anges i 31 § personuppgiftslagen, t.ex. utifrån vilka tekniska möjligheter som finns, vad åtgärderna kostar att genomföra, vilka särskilda risker som finns med behandlingen av personuppgifterna samt hur pass känsliga uppgifter som behandlas. Att loggning sker och att loggarna av CSN kontrolleras systematiskt och återkommande innebär inte bara att obehörig åtkomst kan upptäckas och beivras i efterhand utan torde också ha en avhållande effekt. Loggarna utgör vidare allmänna handlingar som registrerade och andra kan begära att få ta del av med stöd av offentlighetsprincipen. Det torde normalt inte gälla sekretess gentemot den registrerade för uppgifterna i loggarna. Det kan inte uteslutas att det på området kan behövas mer preciserade bestämmelser. Regeringen eller den myndighet som regeringen bestämmer föreslås därför meddela ytterligare föreskrifter om dokumentation och kontroll. Om sådana föreskrifter ska tas fram på myndighetsnivå, bör det ske i samråd med Datainspektionen. De nu berörda bestämmelserna i den föreslagna studiestödsdatalagen avviker inte från bestämmelserna om säkerheten vid behandling i 30-32 §§ personuppgiftslagen utan utgör preciseringar av dessa bestämmelser. CSN har således att i andra avseenden än som särskilt regleras i studiestödsdatalagen vidta lämpliga åtgärder enligt vad som följer av personuppgiftslagen för att skydda de personuppgifter som behandlas. 6.9 Direktåtkomst och annat elektroniskt utlämnande av personuppgifter 6.9.1 Informationsutbyte kräver samtycke eller författningsstöd Regeringens förslag: Direktåtkomst till och annat elektroniskt utlämnande utan den enskildes samtycke av personuppgifter som behandlas i CSN:s studiestödsverksamhet ska vara tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna om tillåtna ändamål, begränsningar av behandlingen m.m. och sökbegrepp följs. När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på något annat sätt lämnas ut elektroniskt till mottagaren. Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Kronofogdemyndigheten anser att begreppen direktåtkomst och utlämnande på medium för automatiserad behandling bör utmönstras ur samtliga registerförfattningar. Begreppen bygger enligt myndigheten på gammal teknik och skapar utan att ge avsett skydd omfattande problem bl.a. vid utvecklingen av en önskad e-förvaltning. Skatteverket framhåller att begreppsbildningen beträffande elektroniskt utlämnande är oklar och att det finns ett stort behov av förtydliganden i registerförfattningarna. Verket erinrar om att Informationsutbytesutredningen i sitt betänkande (SOU 2007:45) har fört fram att registerförfattningarna bör ses över för att skapa förutsättningar för ett samordnat och enhetligt regelverk som främjar utvecklingen av elektronisk förvaltning och minskar riskerna för oacceptabla intrång i den personliga integriteten. Malmö tingsrätt anser att begreppen direktåtkomst och utlämnande på medium för automatiserad behandling bör användas även i studiestödsdatalagen även om det är önskvärt att begreppen definieras tydligare. Detta bör dock enligt tingsrätten ske genom en generell översyn av utformningen och tillämpningen av dessa begrepp. CSN föreslår att samtliga myndigheter och arbetslöshetskassor ska ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet i de fall och i den mån det för CSN finns en uppgiftsskyldighet enligt lag eller förordning. Myndigheten anser att den föreslagna detaljregleringen inte uppfyller de krav på bl.a. effektivitet och service som har ställts på statsförvaltningen från statsmakternas sida, samtidigt som den snabba utveckling som sker inom statsförvaltningen medför att regleringen riskerar att snabbt bli föråldrad och hindrar myndigheterna i deras verksamhet. CSN menar därför att studiestödsdatalagen inte bör innehålla andra bestämmelser om direktåtkomst och annat elektroniskt utlämnande av personuppgifter än den grundläggande bestämmelse som utgörs av 10 § i utredningens förslag. För att möjliggöra en högre grad av flexibilitet bör enligt CSN de bestämmelser om direktåtkomst och annat elektroniskt utlämnande som härutöver bedöms nödvändiga meddelas på förordningsnivå. Att samtliga tillåtna fall av elektroniskt utlämnande regleras i förordningen skulle också bidra till en tydligare och mer lättöverskådlig lagstiftning. Datainspektionen anser i princip att frågan om när direktåtkomst får medges bör regleras i lag. Om direktåtkomst ska medges genom förordning, anser Datainspektionen att lagen i vart fall bör innehålla begränsningar för när detta kan tillåtas, t.ex. genom att det i lagen anges för vilka ändamål som direktåtkomst får föreskrivas i förordning. Uppsala universitet anser att direktåtkomstmöjligheten vad gäller CSN:s register enbart bör regleras genom lag och anför bl.a. följande. Direktåtkomst har i de flesta förekommande fall ansetts kräva reglering genom lag och inte enbart förordning. Som utredningen påpekar finns det exempel på fall där direktåtkomst kan medges genom förordning. Utredningen tar också fasta på det i sitt förslag med motiveringen att det yttrande från Datainspektionen som krävs i regeringens beredning torde vara tillfyllest för att integritetsskyddet ska tillgodoses i sammanhanget. Mot detta kan sägas att integritetsskyddsfrågan är central i hela personuppgiftslagstiftningen, såväl på nationell som på internationell nivå. De folkvalda bör därför ha möjlighet att avgöra i vilken utsträckning myndigheternas rationalitetssträvanden bör få överhanden över medborgarnas krav på skydd för uppgifter om personliga förhållanden. Skälen för regeringens förslag Begreppen direktåtkomst och annat elektroniskt utlämnande Personuppgifter kan lämnas ut på olika sätt, t.ex. via kopia av en handling eller en utskrift från dator. Utlämnande kan också göras i elektronisk form, dvs. på medium för automatiserad behandling eller via elektronisk kommunikation på annat sätt. Den elektroniska formen omfattar i sig ett stort antal variationer, t.ex. e-post, lagring på cd-rom, direktöverföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem. Alla varianter, elektroniska eller inte, utgör behandling av personuppgifter enligt 3 § personuppgiftslagen och någon åtskillnad mellan elektroniskt utlämnande av personuppgifter och utlämnande som sker manuellt på papper eller muntligen görs inte. I många registerförfattningar och andra författningar som reglerar personuppgiftsbehandling finns emellertid bestämmelser där det framgår inte bara i vad mån personuppgifter får behandlas genom att lämnas ut till en extern mottagare utanför myndigheten eller det personuppgiftsansvariga organet utan även när det får göras i elektronisk form till andra myndigheter eller till enskilda. Motivet för denna särreglering av sättet eller den särskilda tekniken för utlämnandet är att själva den elektroniska formen anses kunna medföra risker för otillbörliga integritetsintrång. Normalt innebär nämligen just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet sker på papper. Inom datalagstiftningen används för denna typ av utlämnande ofta begreppen direktåtkomst, elektronisk åtkomst och utlämnande på medium för automatiserad behandling. Direktåtkomst har traditionellt sett ansetts innebära att uppgifter lämnas ut utan att den utlämnande myndigheten eller det utlämnande organet i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut, varför det från integritetsskyddssynpunkt ansetts vara av stor betydelse att särskilt reglera frågor om tillgång till uppgifterna genom direktåtkomst i registerlagstiftning. I registerförfattningar har direktåtkomst ibland beskrivits som en möjlighet till direktåtkomst till uppgifter i register. I dag finns det dock i viss utsträckning även föreskrifter om direktåtkomst till uppgifter eller uppgiftssamlingar i sig. Utlämnande på medium för automatiserad behandling avser sådant utlämnande på elektronisk väg som inte utgör direktåtkomst. Den teknik som i dag används för sådan elektronisk informationsöverföring som inte utgör direktåtkomst innebär typiskt sett att data utbyts nattetid och att begärd information skickas från de interna registren hos den utlämnande myndigheten till en brevlåda hos uppgiftsmottagaren. Den fördröjning i uppgiftslämnandet som är inbyggd i tekniken innebär en teoretisk möjlighet för den utlämnande myndigheten att kontrollera vilken information som ska lämnas ut. För att särskilja denna form av elektroniskt utlämnande från direktåtkomst används samlingsbegreppet annat elektroniskt överlämnande. Oavsett om utlämnande sker genom direktåtkomst eller annat elektroniskt överlämnande sker sekretessprövningen, eller prövningen av vilka uppgifter som omfattas av en författningsreglerad uppgiftsskyldighet och som därmed ska lämnas ut utan någon sekretessprövning, i praktiken i samband med att förbindelsen upprättas. Den tekniska utvecklingen har lett till att skillnaderna mellan direktåtkomst och annat uppgiftslämnande på automatiserad väg blivit så små att kan vara svårt att dra en gräns mellan direktåtkomst och andra former för utlämnande. Vissa remissinstanser, däribland Kronofogdemyndigheten och Skatteverket, har uttalat kritik mot gällande registerförfattningar och särskilt mot de olika begrepp som används för elektroniskt utlämnande. Regeringen har förståelse för remissinstansernas påpekande att det kan behövas ett förtydligande av begreppen. Det är inte tillfredsställande att begreppsbildningen på området är oklar och registerförfattningarna saknar en enhetlig systematik. Det är dock inte möjligt att inom ramen för detta enskilda lagstiftningsarbete göra en översyn av författningsområdet som omfattar cirka 200 registerförfattningar. Mot denna bakgrund är det dock viktigt att den föreslagna studiestödsdatalagen inte skapar ytterligare oklarheter. Som överordnat begrepp används i den föreslagna studiestödsdatalagen begreppet elektroniskt utlämnande. Med detta avser regeringen alla former av utelämnande av personuppgifter i elektronisk form. För att skilja på de två huvudformerna av elektroniskt utlämnande används begreppen direktåtkomst och annat elektroniskt utlämnande. När direktåtkomst eller annat elektroniskt överlämnande får ske Vid utformning av bestämmelser om elektroniskt informationsutbyte bör utgångspunkten vara att utbyte kan tillåtas, men att det inte kan ske i större omfattning än vad som kan försvaras av effektivitetsskäl och att det kan ske med beaktande av den personliga integriteten. Den tekniska utvecklingen har medfört att det i dag finns förutsättningar för att på ett tekniskt säkert sätt överföra skiktad information, dvs. särskilt utvalda uppgifter. Den myndighet som har behov av vissa uppgifter i sin verksamhet kan därför på elektronisk väg få del av dessa uppgifter utan att övriga uppgifter som finns lagrade elektroniskt i ärendet behöver lämnas ut. Mot denna bakgrund ska enligt regeringens mening direktåtkomst endast tillåtas när nyttan av åtkomsten är klart påvisbar samtidigt som den inte innebär några beaktansvärda försämringar av skyddet för den personliga integriteten. I sammanhanget är också av betydelse vilka uppgifter som ska omfattas av en eventuell direktåtkomst och hur integritetskänsliga dessa uppgifter är. Andra former av elektroniskt utlämnande i större omfattning av personuppgifter som behandlas i CSN:s studiestödsverksamhet bör bedömas från samma utgångspunkt. Som exempel på annat elektroniskt utlämnande kan nämnas återkommande eller systematiskt utlämnande på medium för automatiserad behandling eller via elektronisk kommunikation såsom e-post. För det fall uppgiftslämnandet är författningsreglerat och förutsatt att ett elektroniskt uppgiftslämnande, t.ex. genom direktåtkomst, är möjligt enligt den särlagstiftning som gäller för behandling av personuppgifter i en viss verksamhet, är det - vilket följer av de sekretessbrytande bestämmelserna - upp till myndigheten att välja medium för utlämnande. I de fall då direktåtkomst är tillåten är det alltså även tillåtet att utlämna uppgifter t.ex. i skriftlig form. Den begränsningen ska dock givetvis gälla att myndigheternas tillgång till informationen om enskilda begränsas till vad som är nödvändigt för att de ska kunna utföra sina uppgifter. Även om myndigheterna, under angivna förutsättningar, formellt kan välja om uppgifterna ska lämnas ut manuellt eller elektroniskt, t.ex. genom direktåtkomst, måste förutsättas att myndigheterna väljer det mest effektiva sättet för informationsöverföring. Regeringen föreslår mot denna bakgrund att det i studiestödsdatalagen ska anges att CSN, i fall när personuppgifter får lämnas ut till någon genom direktåtkomst, också på något annat sätt får lämna ut personuppgifterna elektroniskt till mottagaren. Elektroniskt utlämnande ska regleras i lag eller förordning I andra registerförfattningar anges ofta i lag vilka myndigheter som får ha direktåtkomst, medan det överlåts till regeringen att närmare bestämma omfattningen av sådan direktåtkomst. Riksdagen har också vid tidigare tillfällen tagit ställning för att de integritetsrisker som ett tillåtande av direktåtkomst till uppgifter i en databas i regel innebär, bör medföra att frågan om direktåtkomst regleras i lag (jfr bet. 2001/02:KU3). Det förekommer dock i vissa registerförfattningar, t.ex. i lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration, att direktåtkomst tillåts i den utsträckning som anges i lag eller förordning. Utredningen har föreslagit att bestämmelser om direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet kan tas in inte bara i lag utan även i förordning. Till stöd för detta har utredningen anfört att frågan om elektroniskt utlämnande, såsom direktåtkomst i ett visst fall ska tillåtas utan den registrerades samtycke, normalt kräver sådana överväganden och detaljregler i det konkreta fallet att bestämmelser om detta som regel inte lämpligen bör tas in i den föreslagna studiestödsdatalagen. Utredningen konstaterar att befintliga registerlagstiftningar ger exempel på såväl fall där direktåtkomst regleras enbart i lag som fall där bestämmelser om direktåtkomst även kan meddelas i förordning, bl.a. genom den ovan nämnda regleringen på socialförsäkringsområdet. Uppsala universitet och Datainspektionen har i sina remissvar påpekat att direktåtkomst bör regleras i lag. När det gäller vissa former av direktåtkomst som avser en stor mängd uppgifter eller som annars är av väsentlig betydelse anser regeringen också att möjligheten till direktåtkomst ska regleras i studiestödsdatalagen. Det förekommer ett omfattande informationsutbyte mellan CSN och Försäkringskassan och arbetslöshetskassorna, som vid tillämpning av sekretesslagen jämställs med myndigheter. Försäkringskassan och arbetslöshetskassorna får redan i dag fortlöpande personuppgifter på elektronisk väg från CSN. Således ska det i studiestödsdatalagen anges att Försäkringskassan och arbetslöshetskassorna får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet (se avsnitt 6.9.2). Vidare ska det i studiestödsdatalagen anges att den registrerade själv får ha direktåtkomst till vissa uppgifter hos CSN (se avsnitt 6.9.3). Även vissa fall av elektroniskt utlämnande som inte sker genom direktåtkomst ska regleras i studiestödsdatalagen. Det gäller dels en generell bestämmelse om att enstaka personuppgifter alltid får lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation (se avsnitt 6.9.4.), dels att CSN har att fullgöra uppgiftsskyldighet gentemot Riksrevisionen (se avsnitt 6.9.5). När det gäller andra fall där direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet kan vara aktuell anser regeringen dock, liksom utredningen, att det kan vara tillräckligt att bestämmelser som tillåter direktåtkomst tas in i förordning. Enligt regeringens mening ska myndigheten dock inte ges möjlighet att själv besluta om direktåtkomst och annat elektroniskt utlämnande. Att bestämmelser om direktåtkomst får meddelas i förordning innebär att ändringar till följd av justeringar i myndighetsstrukturen och uppkommande nya behov av informationsutbyte kan komma till stånd på ett förhållandevis smidigt sätt, samtidigt som det finns tillräckliga garantier för att integritetsskyddsintressena uppmärksammas. Som ovan nämnts möjliggör även lagen om behandling av personuppgifter inom socialförsäkringens administration att bestämmelser om att direktåtkomst får ske meddelas i förordning. Regeringen konstaterar i likhet med utredningen att personuppgifter som behandlas med stöd av denna lag i socialförsäkringsdatabasen normalt sett får anses vara av mer känslig natur än de personuppgifter som behandlas inom CSN:s studiestödsverksamhet. Mot denna bakgrund föreslår regeringen att det ska vara möjligt att tillåta direktåtkomst till personuppgifter hos CSN genom förordning. I enlighet med det ovan sagda bör bestämmelser om direktåtkomst dock främst meddelas på förordningsnivå i fall där direktåtkomsten avser ett begränsat antal uppgifter eller annars är av mindre omfattning. Utöver de ovan nämnda situationerna där direktåtkomst till och annat elektroniskt utlämnande av personuppgifter hos CSN föreslås regleras i studiestödsdatalagen, har utredningen även redovisat vissa andra fall där CSN lämnar ut uppgifter elektroniskt. I dessa situationer sker utlämnandet i huvudsak inte genom direktåtkomst i traditionell mening, och de uppgifter som direktåtkomsten avser utgör också ett förhållandevis begränsat antal personuppgifter. Det handlar i dessa fall inte om att mottagarna får fri tillgång till alla de uppgifter som förekommer i CSN:s databaser. Det har t.ex. nyligen införts en möjlighet för skolor att via ett webbaserat gränssnitt rapportera uppgifter till CSN. I samband med att skolan rapporterar sådana uppgifter får den elektronisk tillgång till uppgifter som den uppgiftslämnande skolan tidigare har lämnat till CSN, vilket får anses vara en direktåtkomst till uppgifterna. Regeringen har från integritetsskyddssynpunkt inte något att erinra mot det elektroniska utlämnande av personuppgifter som därigenom sker så länge det avser bara de personuppgifter som behövs för respektive syfte, sker på ett tillräckligt säkert sätt och inte hindras av sekretess. När det gäller elektroniskt utlämnande av uppgifter som inte sker genom direktåtkomst kan inledningsvis nämnas utlämnande till Kronofogdemyndigheten, betalningsförmedlare, inkassoföretag, kortföretag, läroanstalter och Örebro kommun. Utlämnande till dessa mottagare sker inom ramen för och för att fullgöra de tillåtna ändamålen, medan utlämnande till Skatteverket, till myndigheter och organ som anges i bilagan till sekretesslagen och till kommuner avseende inackorderade elever i gymnasieskolan sker på grund av författningsreglerad uppgiftsskyldighet. Utlämnande till reseföretag och försäkringsmäklare sker, eller kan utan olägenhet ske, med den registrerades samtycke. De övriga fallen tas lämpligen in i en till lagen anslutande förordning, en studiestödsdataförordning, med nödvändiga preciseringar av vilka uppgifter som får lämnas ut i respektive fall. Det har redovisats att det inte så sällan förekommer att privata företag i andra fall än de ovan angivna begär att adressuppgifter ska lämnas ut till dem på elektronisk väg för utskick. CSN brukar i dessa fall inte lämna ut uppgifterna elektroniskt. Regeringen anser att det inte generellt utanför de tillåtna ändamålen med behandlingen bör tillåtas att personuppgifter lämnas ut elektroniskt till privata företag för utskick utan de registrerades samtycke. I samband med att CSN har direktåtkomst eller annan elektronisk tillgång till personuppgifter hos någon annan, måste CSN ofta lämna ut personuppgifter elektroniskt. Om CSN vid direktåtkomst till uppgifter hos någon annan inte elektroniskt anger vilka personuppgifter som önskas via direktåtkomsten, kan CSN ofta inte på det sättet få tillgång till uppgifter om den personen. Ofta krävs det alltså att CSN sänder en elektronisk fråga med personuppgifter, t.ex. personnummer, för att CSN via direktåtkomst eller på annat elektroniskt sätt ska få tillgång till uppgifter hos någon annan om den omfrågade personen. Sådant elektroniskt utlämnande av personuppgifter från CSN som behövs för att annan ska kunna lämna ut personuppgifter elektroniskt till CSN, t.ex. via direktåtkomst, bör rimligtvis vara tillåtet för att medge CSN en effektiv tillgång till personuppgifter för t.ex. kontroll i den utsträckning CSN har lagliga möjligheter till sådan tillgång. Bestämmelser om sådant elektroniskt utlämnande av personuppgifter från CSN tas lämpligen in i förordning. Sammanfattningsvis föreslår regeringen således att det i studiestödsdatalagen tas in en grundläggande bestämmelse om att direktåtkomst till och annat elektroniskt utlämnande utan den registrerades samtycke av personuppgifter som behandlas i CSN:s studiestödsverksamhet bara är tillåtet i den utsträckning som anges i lag eller förordning. Därmed kan detaljregler om t.ex. vilka personuppgifter som berörs meddelas i annan lag eller, om det anses lämpligare, i förordning. Vid elektroniskt utlämnande av personuppgifter i enlighet med bestämmelser i lag eller förordning måste givetvis övriga bestämmelser om behandlingen av personuppgifter följas. Bestämmelserna som anger när elektroniskt utlämnande av personuppgifter får ske anger således bara att ett sådant utlämnande får ske. Behandlingen förutsätter också att den är tillåten enligt övriga bestämmelser om behandlingen av personuppgifter. Bestämmelserna i den föreslagna studiestödsdatalagen om när en behandling av personuppgifter över huvud taget är tillåten måste således följas, liksom bestämmelserna i den föreslagna lagen om vilka sökbegrepp som inte får användas. En erinran om detta bör tas in i den grundläggande bestämmelsen om att elektroniskt utlämnande av personuppgifter är tillåtet bara i den utsträckning som anges i lag eller förordning. Även tillämpliga bestämmelser i personuppgiftslagen, t.ex. om säkerheten vid behandling av personuppgifter, måste givetvis följas. 6.9.2 Direktåtkomst för Försäkringskassan och arbetslöshetskassorna Regeringens förslag: Försäkringskassan och arbetslöshetskassorna ska, i den utsträckning CSN har uppgiftsskyldighet enligt lag eller förordning, få ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst. Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: CSN anser att de bestämmelser som utöver den av utredningen föreslagna 10 § behövs i fråga om direktåtkomst och elektroniskt utlämnande bör meddelas på förordningsnivå. Skälen för regeringens förslag: Genom 2002 års reform avseende ett utökat informationsutbyte mellan arbetslöshetsförsäkringen, socialförsäkringen och studiestödet infördes det en uttrycklig möjlighet för de dåvarande länsarbetsnämnderna, de dåvarande allmänna försäkringskassorna och dåvarande Riksförsäkringsverket att lämna ut uppgifter till de övriga aktörerna i informationsutbytet (arbetslöshetskassorna, länsarbetsnämnderna, CSN, försäkringskassorna och Riksförsäkringsverket) på elektronisk väg och att dessa övriga aktörer skulle få direktåtkomst till informationen. I anslutning till reformen infördes nödvändiga bestämmelser om uppgiftsskyldighet mellan de olika aktörerna på området. Statskontoret föreslog i rapporten Informationsutbyte kräver bra förutsättningar (2006:7) att det skulle införas en mer heltäckande utbetalningskontroll avseende de förmåner som administreras av de organ som i dag berörs av informationsutbytet. Statskontoret föreslog att denna kontroll uttryckligen skulle omfatta utbetalningar från CSN. Grundläggande bestämmelser om CSN:s uppgiftsskyldighet gentemot Försäkringskassan och arbetslöshetskassorna finns i 20 kap. 9 § lagen (1962:381) om allmän försäkring respektive 48 c § lagen (1997:238) om arbetslöshetsförsäkring. För personuppgifterna hos Försäkringskassan och arbetslöshetskassorna gäller ett sekretesskydd som motsvarar det som gäller för uppgifterna hos CSN (7 kap. 7 och 10 §§ sekretesslagen). Redan i dag förekommer det alltså i enlighet med intentionerna bakom 2002 års reform ett omfattande elektroniskt utlämnande av personuppgifter från CSN till Försäkringskassan och arbetslöshetskassorna. Enligt regeringens mening bör utgångspunkten vid elektroniskt informationsutbyte vara att det i största möjliga utsträckning ska ske genom att mottagaren har direktåtkomst till uppgifter hos utlämnaren. Skälet till detta är bl.a. att erfarenheten från tidigare informationsutbyten visar att antalet kontroller ökar markant när en myndighet får tillgång till information genom direktåtkomst. Regeringen föreslår därför att förutsättningar för direktåtkomst ska ges för det informationsutbytet som sker mellan CSN och Försäkringskassan och arbetslöshetskassorna genom att dessa ges direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet. Det bör dock noteras att det för behandlingen av personuppgifter i arbetslöshetskassornas verksamhet inom arbetslöshetsförsäkringen saknas en särskild författningsreglering. Eftersom informationsutbytet är etablerat och har stor omfattning samt då motsvarande elektroniska utlämnande från Försäkringskassan till CSN är reglerat i den särskilda registerlag som gäller för Försäkringskassan, lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration, är det lämpligt att grundläggande bestämmelser om det elektroniska utlämnandet till Försäkringskassan och arbetslöshetskassorna även förs in i studiestödsdatalagen. I lagen ska därför anges att Försäkringskassan och arbetslöshetskassorna får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet i den utsträckning uppgiftsskyldighet följer av lag eller förordning. Mot bakgrund av att CSN:s uppgiftsskyldighet är av vid omfattning är det nödvändigt att regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av direktåtkomsten i förordning. Den föreslagna bestämmelsen innebär inte i sig någon uppgiftsskyldighet för CSN eller någon skyldighet för CSN att faktiskt anordna den direktåtkomst som får förekomma enligt bestämmelsen. Innan CSN rent faktiskt medger direktåtkomst till uppgifter i sin databas för olika användare är det viktigt att myndigheten försäkrar sig om att mottagare tillgodoser de krav som följer av personuppgiftslagen med avseende på lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. 6.9.3 Direktåtkomst för den registrerade Regeringens förslag: Den registrerade får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet, om uppgifterna 1. avser honom eller henne själv, 2. finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, eller 3. avser dokumentation av den elektroniska tillgång som har förekommit till hans eller hennes personuppgifter, dock inte sådan information som avslöjar vilken enskild handläggare som haft tillgång till uppgifterna. Utredningens förslag: Överensstämmer i huvudsak med regeringens. Utredningens förslag innehåller dock inte någon begränsning vad gäller den registrerades rätt att få ut information om vilken enskild handläggare som haft tillgång till den registrerades uppgifter. Vidare anges i utredningens förslag att direktåtkomst enligt paragrafen endast är tillåten om sekretess inte hindrar det. Remissinstanserna: Datainspektionen efterfrågar en fördjupad analys av behovet av att i behandlingshistoriken som den registrerade kan få direktåtkomst till namnge personal eller presentera andra uppgifter som indirekt kan hänföras till en fysisk person. Datainspektionen ifrågasätter om det inte är tillräckligt för ändamålet att ge den registrerade kontroll över sina uppgifter att ange från vilken enhet eller motsvarande som åtkomsten härrör. Datainspektionen ställer sig tveksam till den intresseavvägning till förmån för den registrerade som utredningen gör i detta sammanhang. CSN anser att bestämmelsen bör meddelas på förordningsnivå. Skälen för regeringens förslag: Den direktåtkomst till CSN:s register som är aktuell för enskilda är direktåtkomst till uppgifter via Internet. Det är regeringens principiella uppfattning att den tekniska infrastrukturen för den offentliga förvaltningens kommunikation med medborgarna bör bygga på Internet. Myndigheterna bör använda Internet för att utveckla tjänster som förenklar kontakterna mellan medborgare och förvaltningen. Under förutsättning att säkerheten är tillräcklig anser regeringen att det inte finns några integritetsskäl som talar mot att enskilda kan ta del av uppgifter om sig själva via Internet. Regeringen föreslår därför att den registrerade får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet, om uppgifterna avser honom eller henne själv, finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan eller avser dokumentation av den elektroniska tillgång som har förekommit till hans eller hennes personuppgifter. Vad gäller det sistnämnda anser regeringen, mot bakgrund av bl.a. vad Datainspektionen har anfört, att det inte är nödvändigt att den registrerade ska kunna få direktåtkomst till uppgifter som avslöjar vilken enskild handläggare som har haft tillgång till uppgifterna. Det bör för ändamålet räcka med att det framgår från vilket kontor eller enhet som den elektroniska tillgången har utförts. Utredningen har föreslagit att det i paragrafen om direktåtkomst för den registrerade ska anges att sådan åtkomst endast är tillåten om sekretess inte hindrar det. Regeringen anser dock att detta inte behöver uttryckligen föreskrivas i lagen. Att den registrerade får direktåtkomst till personuppgifter i den utsträckning sekretess inte hindrar det gäller oberoende av om det särskilt anges i studiestödsdatalagen eller inte, jfr avsnitt 6.5 och 6.9.4. 6.9.4 Elektroniskt utlämnande av enstaka personuppgifter Regeringens förslag: Enstaka personuppgifter får alltid lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall. Utredningens förslag: Överensstämmer i huvudsak med regeringens. I utredningens förslag anges dock att utlämnande enligt bestämmelsen får ske om sekretess inte hindrar det. Remissinstanserna: Datainspektionen vill i sammanhanget lyfta fram att CSN har att följa personuppgiftslagens regler om säkerhet vid behandling av personuppgifter och anför bl.a. följande. Att lämna ut personuppgifter via sms eller chatt bör t.ex. endast kunna förekomma när det gäller från integritetssynpunkt helt okänslig information. Känsliga personuppgifter får lämnas ut via öppna nät endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som kryptering, engångslösenord eller motsvarande. Dessutom ska känsliga personuppgifter vara krypterade vid överföring. Skälen för regeringens förslag: Det är främst vid ett systematiskt eller återkommande elektroniskt utlämnande av en större mängd personuppgifter som begränsningar är nödvändiga av integritetsskyddsskäl. Regeringen anser därför att CSN ska få lämna ut enstaka personuppgifter på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall. Därmed underlättas bl.a. den i dag naturliga och vardagliga kommunikationen via e-post. Vid utlämnandet måste naturligtvis kraven på säkerhetsåtgärder i enlighet med personuppgiftslagen upprätthållas. Utlämnandet kan ske på någon form av fysiskt medium, såsom diskett, usb-minne, minneskort, cd- eller dvd-skiva eller via någon form av elektronisk kommunikation, såsom e-post, sms eller skriftlig dialog i realtid via Internet (chatt). Syftet med begränsningen till enstaka personuppgifter är att ett mer omfattande eller systematiskt uppgiftsutlämnande ska kräva särskilt författningsstöd. Ett helt register eller delar av ett register får således inte lämnas ut, t.ex. i form av en fil på diskett, med stöd av den nu berörda bestämmelsen. Däremot kan några enstaka handlingar och uppgifter lämnas ut via e-post som svar på en förfrågan eller på CSN:s eget initiativ. I uttrycket elektronisk kommunikation i enskilda fall ligger att utlämnandet ska ske genom en icke automatiserad process, där någon handläggare hos CSN är inblandad i varje utlämnande. Utredningen har föreslagit att det i lagen ska anges att uppgifter får lämnas ut enligt bestämmelsen, om sekretess inte hindrar det. Mot bakgrund av att bestämmelserna i sekretesslagen alltid ska tillämpas vid prövning av om uppgifter kan lämnas ut oavsett om det särskilt anges i studiestödsdatalagen anser regeringen att det inte är nödvändigt att särskilt ange detta i paragrafen, jfr avsnitt 6.5 och 6.9.3. 6.9.5 Elektroniskt utlämnande till Riksrevisionen Regeringens förslag: På begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling. Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Lämnar förslaget utan erinran. Skälen för regeringens förslag: Riksrevisionen är en myndighet under riksdagen med uppgift att granska den verksamhet som bedrivs av staten, inklusive den verksamhet som bedrivs av CSN såsom statlig myndighet. CSN ska enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. på begäran lämna Riksrevisionen den hjälp och de uppgifter och upplysningar som Riksrevisionen behöver för granskningen. Bestämmelsen innefattar således en uppgiftsskyldighet för CSN. Enligt förarbetena till bestämmelsen omfattar uppgiftsskyldigheten uppgiftslämnande på medium för automatiserad behandling. På begäran lämnar CSN en gång varje år Riksrevisionen uppgifter, inklusive personuppgifter, på fil. Den sekretess som gällde för personuppgifterna hos CSN gäller också hos Riksrevisionen enligt 13 kap. 1 § sekretesslagen. Den enligt förarbetena avsedda skyldigheten för CSN att till Riksrevisionen lämna ut begärda uppgifter på medium för automatiserad behandling anges emellertid inte uttryckligen i bestämmelsen om uppgiftsskyldighet i 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. Regeringen föreslår därför en uttrycklig bestämmelse i studiestödsdatalagen om att CSN på begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får lämna ut personuppgifter till Riksrevisionen på medium för automatiserad behandling. 6.10 Rättelse och skadestånd Regeringens förslag: Bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd ska gälla vid behandling av personuppgifter enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till lagen. Utredningens förslag: Överensstämmer med regeringens. Remissinstanserna: Lämnar förslaget utan erinran. Skälen för regeringens förslag: Reglerna i 28 § personuppgiftslagen om rättelse gäller endast för uppgifter som har behandlats i strid med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Uppgifter som behandlats i strid med den föreslagna studiestödsdatalagen omfattas således av bestämmelsen i personuppgiftslagen endast om behandlingen också strider mot personuppgiftslagen eller mot föreskrifter som meddelats med stöd av personuppgiftslagen. På motsvarande sätt gäller ett skärpt skadeståndsansvar enligt 48 § personuppgiftslagen endast för behandling av personuppgifter i strid med personuppgiftslagen. Enligt regeringens uppfattning bör bestämmelserna i 28 och 48 §§ personuppgiftslagen även omfatta behandlingar som utförs i strid med studiestödsdatalagen eller föreskrifter som har meddelats med stöd av denna lag. Studiestödsdatalagen föreslås därför ha en bestämmelse av denna innebörd. Lagrådet har påpekat att bestämmelsen om skadestånd i 48 § personuppgiftslagen endast gäller vid fall där uppgifter har behandlats i strid med personuppgiftslagen, medan bestämmelsen när det gäller studiestödsdatalagen föreslås vara tillämplig även när behandling sker i strid med föreskrifter som har meddelats i anslutning till lagen och att det alltså föreligger en skillnad mellan bestämmelserna i studiestödsdatalagen och personuppgiftslagen. Lagrådet anser att anledningen till denna skillnad bör förklaras. Regeringen konstaterar att bestämmelsen i 48 § personuppgiftslagen som Lagrådet funnit endast anger att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Enligt regeringens mening utesluter dock inte utformningen av 48 § personuppgiftslagen att hänsyn även tas till förordningsreglering vid prövning av förutsättningar för skadestånd enligt den bestämmelsen. Regeringen har i det föregående förklarat att bestämmelserna i studiestödsdatalagen avses att kompletteras med bestämmelser på förordningsnivå. Vidare torde lagen även komma att kompletteras med verkställighetsföreskrifter på myndighetsnivå. Enligt regeringens mening är det viktigt att bestämmelsen om skadestånd även omfattar fall där personuppgifter behandlas i strid med sådana föreskrifter som har meddelats i anslutning till studiestödsdatalagen. Detta ska uttryckligen anges i studiestödsdatalagen. 6.11 Gallring Regeringens förslag: Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag ska dock inte behöva gallras förrän de inte längre kan ha sådan betydelse. Personuppgifter som behandlas för att förbereda handläggningen av ärenden ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från studiestödsdatalagens gallringsbestämmelser. CSN får också i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt. Utredningens förslag: Överensstämmer i huvudsak med regeringens. Utredningen har dock inte föreslagit någon bestämmelse om att personuppgifter som kan ha betydelse för återkrav av studiestöd i form av bidrag inte behöver gallras förrän de inte längre kan ha sådan betydelse. Remissinstanserna: Riksarkivet anser att den föreslagna gallringsparagrafen bör tas bort, vilket innebär att arkivlagens (1990:782) regler i stället blir tillämpliga, och det blir då Riksarkivets uppgift att efter samråd med myndigheten fastställa gallringsregler. Detta möjliggör enligt Riksarkivet att reglerna för bevarande och gallring utformas efter förvaltningens behov och gör det möjligt att utveckla en rationell informationshantering med iakttagande av vad som är motiverat ur ett arkivperspektiv. CSN anser att studiestödsdatalagen bör ha en mer generellt utformad gallringsbestämmelse och anser att det är rimligt med en bestämmelse som anger en senaste tidpunkt för gallring av personuppgifter med hänsyn till den personliga integriteten. CSN menar att den föreslagna bestämmelsen är för omständligt formulerad samt i vissa delar svårtolkad och svårtillämpad exempelvis i fråga om återkrav i rena bidragsärenden. Den gallringsfrist som föreslås i 16 § första stycket första meningen i utredningens förslag är för kort enligt CSN, eftersom myndigheten kan behöva ompröva beslut på grund av att nya uppgifter har kommit fram efter det att tidsfristen för gallring har gått ut och grund för återkrav kan uppdagas långt efter den föreslagna gallringsfristen. CSN anser vidare att handlingar i pågående ärenden hos exempelvis Riksdagens ombudsmän, Justitiekanslern och överinstanser endast ska behöva skrivas ut på papper i den mån det är nödvändigt i kommunikationen med dessa myndigheter. I stället för undantaget i 16 § tredje stycket andra meningen i utredningens förslag, föreslår CSN att de fall som avses med föreskriften ska omfattas av första stycket. Bestämmelsen borde enligt CSN förenklas och i stället ange att personuppgifter i ärenden om studiestöd ska gallras senast tre år efter utgången av det år då de senast behövdes för de ändamål som anges i den föreslagna 4 § första och tredje styckena. Inom ramen för en sådan gallringsbestämmelse skulle enligt CSN myndigheten behöva besluta om gallringsfrister i interna gallringsföreskrifter. Sveriges förenade studentkårer (SFS) anser att det är bra att personuppgifter som inte längre är av intresse för CSN gallras bort men ställer sig tveksamma till bedömningen av när personuppgifter kan ha betydelse i ett nytt ärende om studiestöd. SFS anser att detta ska definieras tydligt så att det inte råder någon tvekan om vilka ärenden och i vilka situationer vissa uppgifter kan anses ha tillräcklig betydelse för att inte avidentifieras eller förstöras. Skälen för regeringens förslag Allmänt om gallring Med gallring avses att handlingar eller personuppgifter sorteras ut och förstörs eller utplånas. I personuppgiftslagen saknas uttryckliga regler om gallring. Däremot anges i 9 § första stycket i) personuppgiftslagen att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Samtidigt anges i 8 § andra stycket personuppgiftslagen att myndigheternas bevarande av allmänna handlingar inte hindras av personuppgiftslagen. Personuppgiftslagens reglering innebär alltså i den meningen en prioritering av intresset att bevara allmänna handlingar framför integritetsintresset. En sådan ordning medges också genom punkt 72 i ingressen till dataskyddsdirektivet, som stadgar att direktivet gör det möjligt att vid genomförandet av bestämmelserna i direktivet ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar. Grundläggande bestämmelser om bevarande och gallring av allmänna handlingar hos myndigheter finns i 2 kap. tryckfrihetsförordningen och i arkivlagen (1990:782). Av 3 § tredje stycket arkivlagen framgår att myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. Huvudregeln är alltså att de allmänna handlingar som utgör en myndighets arkiv ska bevaras i sin helhet. Undantag från detta medges genom bestämmelserna om bl.a. gallring i 10 § arkivlagen, som anger att vid gallring enligt arkivlagen ska alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose de ändamål som anges i 3 § tredje stycket samma lag. Av 10 § tredje stycket arkivlagen framgår att lagens bestämmelser om gallring inte ska tillämpas, om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. I de allra flesta fallen innehåller de särskilda registerförfattningarna bestämmelser om gallring som ersätter arkivlagens bestämmelser om gallring. Oftast är dessa gallringsbestämmelser utformade så att personuppgifterna i fråga ska gallras inom en viss tid efter att uppgifterna har samlats in eller att ärendet som uppgifterna tillhör har avslutats, om det inte finns särskilda föreskrifter om bevarande. Det förekommer dock även att gallringsreglerna i registerförfattningar, i likhet med regleringen i personuppgiftslagen, är ändamålsrelaterade (se t.ex. 7 § lagen [2001:617] om behandling av personuppgifter inom kriminalvården). Dessutom finns det exempel på registerförfattningar där särskilda gallringsregler saknas (lagen [2001:182] om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet), vilket innebär att arkivlagens regler blir styrande för gallringen av personuppgifter inom tillämpningsområdet för den registerlagen. Behovet av särskilda gallringsbestämmelser Med den för studiestödsdatalagens föreslagna lagstiftningstekniken blir personuppgiftslagens bestämmelser automatiskt tillämpliga för det fall särskilda bestämmelser om bevarande och gallring saknas i lagen. Om en gallringsbestämmelse inte tas in i studiestödsdatalagen, skulle följaktligen endast arkivlagens huvudregel om bevarande gälla, något som Riksarkivet anser skulle vara tillräckligt. Frågan är då om detta i tillräcklig utsträckning skulle tillgodose kravet på integritetsskydd, i synnerhet med beaktande av att gallringsbestämmelser regelmässigt återfinns i andra särskilda registerförfattningar. Behovet av gallringsbestämmelser måste avgöras efter en avvägning mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet. En inledande frågeställning är om det finns anledning att göra olika överväganden beträffande behovet av gallringsbestämmelser beroende på hur lagringen av personuppgifterna sker. Ett traditionellt pappersbaserat lagringssystem utgör på grund av de begränsade möjligheterna att söka, bearbeta och sammanställa uppgifter ett avsevärt mindre hot mot den personliga integriteten än lagring i ett system för automatiserad behandling av personuppgifterna. När personuppgifter behandlas automatiserat uppstår helt andra möjligheter att söka och sammanställa information, vilket ökar risken för integritetskränkningar. I fråga om sådan behandling av personuppgifter är det med hänsyn till integritetsintresset enligt regeringens uppfattning nödvändigt att ha regler om gallring. Regeringen kan inte se att det finns anledning att för den verksamhet som omfattas av studiestödsdatalagen göra avsteg från de principer som kommit till uttryck i andra särskilda registerförfattningar. Det kan inte anses tillräckligt att tillgodose skyddet för den personliga integriteten genom t.ex. sekretessbestämmelser. Sådana utgör visserligen en viss garanti för att känsliga personuppgifter inte når utanför myndigheterna. De minskar dock inte det intryck av integritetskränkning som kan framkallas hos den enskilde genom vetskapen om att känsliga personuppgifter kan behandlas automatiserat i myndighetens verksamhet under lång tid. Regeringen anser att gallring som huvudregel ska ske av personuppgifter som behandlas automatiserat inom CSN:s studiestödsverksamhet och, trots vad Riksarkivet har anfört, att bestämmelser om gallring ska tas in i studiestödsdatalagen. CSN har anfört att en gallringsbestämmelse bör vara mer generellt hållen och kunna få utfyllnad genom att myndigheten utfärdar egna gallringsföreskrifter. Det är dock regeringens uppfattning att en gallringsbestämmelse i möjligaste mån bör ange när personuppgifter ska gallras på ett mer preciserat sätt än vad myndigheten har föreslagit. Bestämmelsen ska så långt det är möjligt ange en specificerad tidsrymd inom vilken uppgifter senast ska gallras. Med hänsyn till att grunderna för hur myndigheters handlingar ska bevaras regleras i lag, anser regeringen det inte heller lämpligt att lagbestämmelser ska ersättas av föreskrifter på myndighetsnivå. Det sagda hindrar naturligtvis inte att det kan finnas behov av att meddela verkställighetsföreskrifter rörande gallringen. När gallring ska ske Gallringsbestämmelser i studiestödsdatalagen I CSN:s studiestödsverksamhet kan vissa personuppgifter ha betydelse för verksamheten under mycket lång tid. Exempelvis har uppgiften att en person vid ett tillfälle fått studiestöd betydelse vid prövning av om samma person har rätt till studiestöd vid ett senare tillfälle. Alla personuppgifter i ett ärende om studiestöd har dock inte betydelse för återbetalning, återkrav eller nya ärenden om studiestöd. Som det tidigare redovisats har i princip alla handläggare möjlighet till elektroniskt tillgång till nästan all information i nästan samtliga ärenden om studiestöd. Utredningen bedömer också att CSN hittills inte har gallrat i sina databaser i önskvärd omfattning. Den interna elektroniska tillgången till personuppgifter har behandlats tidigare i propositionen under avsnitt 6.8. Att personuppgifter som inte längre har någon betydelse för myndighetens verksamhet sparas - på papper eller i elektroniskt format - innebär integritetsrisker. Samtidigt är det viktigt för det nationella kulturarvet att vissa uppgifter sparas under i princip evig tid. Personuppgifter som inte längre kan ha betydelse i CSN:s studiestödsverksamhet bör av integritetsskyddsskäl som huvudregel förstöras. Hänsynen till det nationella kulturarvet gör dock att ett urval av personuppgifter bör få sparas för evigt i elektroniskt format, på papper eller i någon annan form. I enstaka fall bör närmast av rättssäkerhetsskäl också personuppgifterna i ett visst ärende kunna sparas på papper eller annat icke elektroniskt medium. Vidare bör det vara tillåtet att spara personuppgifter som har betydelse för den ekonomiska redovisningen inom staten. Några år efter det att ett ärende om en viss typ av studiestöd för en person slutligt har handlagts hos CSN, bör behovet för CSN:s studiestödsverksamhet att över huvud taget ha kvar personuppgifterna i ärendet normalt ha avklingat. I vissa fall kan dock personuppgifter i avslutade ärenden ha betydelse i nya ärenden om studiestöd enligt bestämmelserna i studiestödsförfattningarna. Regeringen anser därför i likhet med utredningen att personuppgifter i ett ärende om studiestöd ska gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs, under förutsättning att det inte är aktuellt med återbetalning eller återkrav av studiestödet. I fall där det är aktuellt med återbetalning eller återkrav ska gallring i stället ske senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Personuppgifter i ett ärende om studiestöd som kan komma att ha betydelse i ett nytt ärende om studiestöd, ska dock inte behöva gallras förrän de inte längre kan ha sådan betydelse. CSN har anfört att den föreslagna bestämmelsen är svårtolkad, bl.a. i förhållande till frågor om återkrav i rena bidragsärenden. Enligt myndigheten kan det t.ex. förekomma att grund för återkrav uppdagas mer än tre år efter det att studiestöd senast utbetalades. Den föreslagna bestämmelsen skulle således enligt CSN kunna innebära att personuppgifter som behövs vid återkrav har gallrats när myndigheten upptäcker att grund finns för återkrav. Inledningsvis kan det konstateras att den föreslagna bestämmelsen innebär att uppgifter i ett ärende ska gallras under förutsättning att det inte är aktuellt med återbetalning i ärendet. Så länge ett lån inte är fullt återbetalat ska uppgifterna således inte gallras. Som en följd av detta kommer alltså inte heller uppgifter om bidrag som har lämnats i kombination med studielånet att gallras förrän lånet är återbetalat, återbetalning inte längre är aktuell eller när återkrav inte längre är aktuellt. Någon risk för att gallringsbestämmelserna omöjliggör återkrav av bidrag som lämnats i kombination med studielån torde därför inte finnas. Vad gäller studiestöd som lämnats i form av enbart bidrag anser regeringen dock att det är viktigt att gallringsbestämmelserna inte försvårar myndighetens möjligheter att återkräva bidrag som av någon anledning betalats ut felaktigt. I studiestödsdatalagen bör det därför anges att personuppgifter i ett ärende om studiestöd som kan komma att ha betydelse för återkrav av studiestöd i form av bidrag inte ska behöva gallras förrän uppgifterna inte längre kan ha sådan betydelse. Med ärende om studiestöd avses ett ärende om en viss typ av studiestöd, såsom studiehjälp, studiemedel, bidrag enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan samt bidrag enligt förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar, för en viss person. Om en person förekommer hos CSN i ett ärende om studiehjälp och i ett ärende om studiemedel, förekommer personen alltså i två olika ärenden. I ett ärende om en viss typ av studiestöd kan det förekomma flera olika slags händelser, åtgärder och beslut, t.ex. beviljning, återkrav, utbetalning och återbetalning. Frågan om vilka personuppgifter i ett ärende om studiestöd som kan ha betydelse för ett nytt ärende om studiestöd, får bedömas utifrån de vid varje tidpunkt gällande studiestödsförfattningarna. Det är bara de uppgifter som kan ha betydelse i ett annat ärende som får undantas från gallring. Uppgifterna ska gallras när de inte längre kan ha sådan betydelse. Så kan t.ex. vara fallet när den registrerade uppnår den ålder då nytt studiestöd inte längre kan beviljas honom eller henne. Frågan om vilka personuppgifter som kan undantas från gallring på grund av att de kan ha betydelse i fråga om återkrav av studiestöd i form av bidrag får avgöras utifrån vilka uppgifter som är relevanta för aktuell bidragstyp. Enligt regeringens uppfattning bör det endast vara fråga om ett begränsat antal uppgifter som har sådan betydelse att de bör undantas från gallring. Som exempel kan nämnas uppgifter om uppgiven inkomst och genomförda studier. Även dessa uppgifter ska dock gallras när det inte längre kan komma i fråga att återkräva utbetalda bidrag. Detta är normalt fallet när möjligheten till eventuellt återkrav har preskriberats. Vad gäller personuppgifter som behandlas för att förbereda handläggningen av ärenden är det rimligt att dessa uppgifter inte sparas längre än vad som är nödvändigt för att avgöra om uppgifterna kommer att behövas i ett ärende om studiestöd. Regeringen föreslår därför att sådana uppgifter, såsom utredningen har föreslagit, ska gallras senast ett år efter det att uppgifterna registrerades, om de inte dessförinnan har tillförts ett ärende om studiestöd. CSN har ifrågasatt om gallringsbestämmelsen inte bör omformuleras så att den täcker in samtliga behandlingar som anges i 4 § första och tredje styckena. Det är dock regeringens bedömning att den föreslagna utformningen av gallringsbestämmelsen täcker in den behandling av personuppgifter som sker inom CSN:s studiestödsverksamhet som bör bli föremål för gallring. Gallring i vissa speciella situationer Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Den föreslagna paragrafen i studiestödsdatalagen innehåller sådana gallringsföreskrifter som finns i lag och som avses i 14 § arkivförordningen, och tillåter alltså gallring utan beslut eller föreskrift av Riksarkivet, och de angivna personuppgifterna får alltså gallras när som helst, dock senast vid utgången av de angivna gallringsfristerna. I vissa fall kan personuppgifterna i ärenden om studiestöd behöva sparas under en viss tid efter de föreslagna gallringstidpunkterna, eftersom de fortfarande kan ha betydelse i det aktuella ärendet eller i annat sammanhang. Av 45 § lagen (1996:1059) om statsbudgeten följer t.ex. att bokföring i staten ska ske på ett sätt som stämmer överens med god redovisningssed, vilket bl.a. för med sig att vissa personuppgifter i verifikationer behöver sparas under en längre tid. Det torde vidare i undantagsfall förekomma att personuppgifterna i ett ärende om studiestöd även efter de angivna gallringstidpunkterna har betydelse därför att handläggning avseende ärendet i en eller annan mening kan sägas fortsätta hos CSN eller annan myndighet. Det kan t.ex. gälla en granskning avseende ärendet hos någon myndighet eller liknande med tillsynsfunktioner eller motsvarande, t.ex. Riksdagens ombudsmän, Justitiekanslern, riksdagens utskott eller Riksrevisionen. Det kan också gälla ett beslut i ett ärende som överklagats och där överprövningen inte är klar ännu. Vidare kan det gälla anspråk på skadestånd som har framställts med anledning av handläggningen av ett ärende hos CSN. Även andra undantagsfall där personuppgifterna i ett ärende om studiestöd kan ha betydelse även efter gallringstidpunkterna torde kunna uppstå. Det föreslås därför att det ska vara möjligt för CSN att i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd trots de föreslagna gallringstidpunkterna ska bevaras på papper eller annat medium som inte är elektroniskt. Det ligger i sakens natur att beslut om bevarande ska fattas före de föreskrivna gallringstidpunkterna. Kravet på att personuppgifterna ska bevaras på ett icke elektroniskt medium innebär att uppgifterna måste föras över från datasystemet till ett sådant medium, t.ex. papper eller s.k. mikrokort. För det nationella kulturarvets skull är det vidare av betydelse att ett visst urval av personuppgifter bevaras för evigt. Därför bör det vara möjligt att meddela föreskrifter om att vissa personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål trots de föreslagna gallringsbestämmelserna. Härigenom kan rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov beaktas, dvs. de ändamål som arkivlagen syftar till att tillgodose. Regeringen eller den myndighet som regeringen bestämmer ska därför enligt regeringens förslag få meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Vad gäller personuppgifter som behandlats för att förbereda handläggningen av ärenden men som sedan inte lett fram till något ärende om studiestöd anser regeringen att det saknas skäl att tillåta att sådana personuppgifter bevaras efter den föreslagna gallringsfristen. 7 Förslagets konsekvenser Regeringens bedömning: Kostnaderna för genomförandet av studiestödsdatalagen bör täckas inom ramen för CSN:s ordinarie resursram. Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: CSN har analyserat och bedömt kostnaderna av framförallt fyra förslag som lämnas i utredningen och anför bl.a. följande. Kostnaderna för den systemutveckling som krävs till följd av de föreslagna gallringsbestämmelserna uppskattas till 15 miljoner kronor. Skälen för regeringens bedömning: En utgångspunkt för förslagen har varit att föreslå moderna, teknikneutrala och ändamålsenliga bestämmelser för behandling av personuppgifter i CSN:s studiestödsverksamhet. Särskild hänsyn har, så långt det är möjligt med hänsyn till verksamhetens art, tagits till de integritetsaspekter som följer av omfattande automatiserad behandling av personuppgifter i myndigheten verksamhet. Regeringens förslag innebär att det införs en särskild reglering av behandlingen av personuppgifter i CSN:s studiestödsverksamhet. I dag regleras den behandlingen i personuppgiftslagen. CSN har påtalat att det krävs tekniska förändringar för att genomföra de föreslagna reglerna om intern elektronisk tillgång till personuppgifter, loggning, gallring och den registrerades rätt att i vissa fall motsätta sig behandling. Vad gäller gallring har CSN redan inlett ett arbete med att utforma gallringsrutiner. Ett sådant förändringsarbete medför naturligtvis kostnader. Det är dock regeringens bedömning att förslagen i denna proposition inte kommer att medföra några nämnvärda extra kostnader utöver de kostnader som det av myndigheten initierade arbetet medför. Regeringens förslag avseende intern elektronisk tillgång till personuppgifter och loggning bygger på och utgör bara preciseringar av de bestämmelser om säkerhet i personuppgiftslagen som CSN redan i dag har att följa. Redan i dag krävs det alltså enligt personuppgiftslagen att CSN begränsar den interna elektroniska tillgången till personuppgifter och t.ex. kontrollerar loggar, och regeringens förslag innebär att CSN i stor utsträckning själv ska bestämma hur tillgången och loggningen ska ordnas. Regeringen gör utifrån detta bedömningen att propositionens förslag i denna del inte kräver någon särskild finansiering. Regeringens sammanfattande bedömning är alltså att ett införande av den föreslagna lagen inte kommer att innebära några kostnader som behöver finansieras utöver den ram myndigheten har. Det ska samtidigt påpekas att myndigheten nu står inför en period med en del utgifter för att anpassa verksamheten till den nya lagstiftningen och att informera om densamma. Regeringen kommer därför att noggrant följa utvecklingen och arbetet med detta. Förslagen i propositionen bedöms inte ha några konsekvenser när det gäller kostnader eller intäkter för kommuner, landsting, företag eller andra enskilda. Inte heller bedöms förslagen ha några konsekvenser för den kommunala självstyrelsen, brottsligheten och det brottsförebyggande arbetet, sysselsättningen, den offentliga servicen i olika delar av landet, små företags arbetsförutsättningar, konkurrensförmågan eller villkor i övrigt i förhållande till större företags. Detsamma gäller jämställdheten mellan män och kvinnor och möjligheterna att nå de integrationspolitiska målen. Införandet av studiestödsdatalagen bedöms inte heller ha någon påverkan på miljön. 8 Ikraftträdande Regeringens förslag: Studiestödsdatalagen ska träda i kraft den 1 januari 2010. Bestämmelserna om intern elektronisk tillgång till personuppgifter och gallring ska dock inte börja tillämpas förrän den 1 januari 2011. Utredningens förslag: Studiestödsdatalagen ska träda i kraft den 1 januari 2009. Bestämmelserna gällande gallring och begränsning av intern elektronisk tillgång till personuppgifter och gallring ska dock inte börja tillämpas förrän den 1 januari 2010. Remissinstanserna: CSN menar att det med hänsyn till de konsekvenser som de pågående utredningar, och då särskilt den studiesociala utredningen, kan komma att få på CSN:s verksamhet, finns skäl att avvakta resultatet av dessa utredningar innan lagstiftningen införs. Den föreslagna studiestödsdatalagen bör därför inte träda ikraft före den 1 januari 2010. För att medge tid för utrednings- och systemutvecklingsarbete m.m. för att genomföra de föreslagna bestämmelserna om gallring och begränsning av den interna direkta elektroniska tillgången till personuppgifter, bör dessa bestämmelser inte tillämpas före den 1 januari 2011. CSN har efter sitt remissvar uppgett till Regeringskansliet (dnr U2008/7391/SV) att bestämmelserna om intern elektronisk tillgång till personuppgifter och gallring bör tillämpas först från och med den 1 januari 2012. Till stöd för sin ändrade bedömning anför myndigheten att det tar tid att ändra i datasystemen samt att det krävs omfattande studier och utredningar för att införa gallring i enlighet med vad som anges i de föreslagna gallringsföreskrifterna. Skälen för regeringens förslag: Det finns i dag inte någon fullständig författningsreglering vad avser behandling av personuppgifter inom studiestödsområdet. Det är därför angeläget att den föreslagna studiestödsdatalagen träder ikraft så snart det är möjligt. Ett ikraftträdande redan den 1 januari 2009 är dock inte möjligt utan det föreslås i stället att lagen ska träda i kraft den 1 januari 2010. Som CSN har anfört kommer det att krävas visst utrednings- och systemutvecklingsarbete för att genomföra de föreslagna bestämmelserna om gallring och begränsning av den interna direkta elektroniska tillgången till personuppgifter. För att medge tid för sådant arbete föreslår regeringen i överensstämmelse med utredningens förslag att bestämmelserna om intern elektronisk tillgång till personuppgifter och gallring inte ska börja tillämpas förrän ett år efter ikraftträdandet av lagen, dvs. den 1 januari 2011. Enligt regeringens bedömning ger detta myndigheten en rimlig tid för att införa de nya rutinerna och genomföra de informations- och utbildningsinsatser som krävs. Vad CSN anfört under beredningen av den lagrådsremiss som har föregått denna proposition föranleder inte annan bedömning. 9 Författningskommentar 1 § Paragrafen anger lagens tillämpningsområde. Av första stycket framgår att lagen ska tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. Begreppen behandling och personuppgifter har samma betydelse som i personuppgiftslagen (1998:204). Det är endast behandling av personuppgifter som utförs av CSN som omfattas av lagens tillämpningsområde. Om någon annan aktör på studiestödsområdet behandlar personuppgifter, ska studiestödsdatalagen alltså inte tillämpas. Vidare är lagen endast tillämplig på CSN:s studiestödsverksamhet, vilket innebär att annan verksamhet vid CSN, t.ex. administration av hemutrustningslån, faller utanför lagens tillämpningsområde. Lagen är inte heller tillämplig på behandling av personuppgifter som CSN utför som ett led i myndighetens interna administration, t.ex. i personalärenden. Med studiestödsverksamhet avses beviljning av studiestöd, återkrav av felaktigt utbetalat studiestöd och återbetalning av studiestöd samt all hantering som sker i anslutning till ärenden om beviljning, återkrav och återbetalning av studiestöd, oavsett om hanteringen av ärendet leder till att studiestöd beviljas, avslås, återkrävs, avskrivs eller återbetalas. Med studiestöd avses allt offentligt stöd för enskildas egna studier som CSN enligt författning administrerar, således inte bara sådant stöd som regleras i studiestödslagen (1999:1395) och studiestödsförordningen (2000:655) utan även stöd som lämnas enligt förordningen (1995:667) om bidrag till vissa funktionshindrade elever i gymnasieskolan, förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar och regeringens förordning (CSNFS 1983:17) om bidrag till utlandsstuderande för dagliga resor. Vidare omfattas också administrering av äldre former av studiestöd som har upphört men som fortfarande kräver hantering av CSN, t.ex. i enlighet med övergångsbestämmelser. I andra stycket anges vilken behandling av personuppgifter som omfattas av lagen. Samma typer av behandling som anges i 5 § personuppgiftslagen avses. Paragrafen har behandlats i avsnitt 6.3. 2 § I bestämmelsen beskrivs studiestödsdatalagens förhållande till viss annan lagstiftning. Enligt första stycket ska, i den mån personuppgiftslagen innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i studiestödsdatalagen, personuppgiftslagen tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. Om CSN behandlar personuppgifter för ett ändamål som är tillåtet enligt studiestödsdatalagen, är det en särreglering i förhållande till personuppgiftslagen. Behandlingen kan då inte angripas med stöd av bestämmelsen i 5 a § personuppgiftslagen om att viss behandling inte får utföras om den innebär en kränkning av den enskildes personliga integritet. Av andra stycket följer att vid CSN:s behandling av personuppgifter för att framställa statistik ska lagen (2001:99) om den officiella statistiken och anslutande författningar tillämpas och, i den utsträckning det följer av lagen om den officiella statistiken, personuppgiftslagen. Studiestödsdatalagen omfattar alltså inte någon behandling av personuppgifter för att framställa statistik, oavsett om det är offentlig statistik eller annan statistik. Ett exempel på behandling av personuppgifter för att framställa statistik och som således inte omfattas av bestämmelserna i studiestödsdatalagen är när CSN lämnar uppgifter till Statistiska centralbyrån för att fullgöra sin uppgiftsskyldighet enligt 5 § regeringens förordning (CSNFS 1986:25) om register med vissa uppgifter i gymnasieskolan. Sådan behandling av personuppgifter får ske om den är tillåten med stöd av bl.a. lagen om den officiella statistiken och anslutande författningar samt personuppgiftslagen. Paragrafen har behandlats i avsnitt 6.2. 3 § I paragrafen anges att CSN är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Personuppgiftsansvaret innebär att myndigheten ska svara för de uppgifter som en personuppgiftsansvarig har enligt personuppgiftslagen. T.ex. är den personuppgiftsansvarige skyldig att se till att de grundläggande kraven på behandling av personuppgifter som anges i 9 § personuppgiftslagen iakttas samt att enligt 31 § personuppgiftslagen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (se även 9 § studiestödsdatalagen). Personuppgiftsansvaret innebär vidare att myndigheten ansvarar för att en behandling av personuppgifter faktiskt utförs när den ska ske, t.ex. att rättelse, blockering eller gallring sker i föreskriven tid och på rätt sätt. Det innebär också ett ansvar för att behandling av personuppgifter inte utförs när sådan inte får ske. Paragrafen har behandlats i avsnitt 6.4. 4 § Paragrafen anger när personuppgifter får behandlas i CSN:s studiestödsverksamhet. Paragrafen innebär en avvikelse från 10 § personuppgiftslagen. Den reglerar när personuppgifter får behandlas inom CSN:s studiestödsverksamhet. Personuppgifter får således bara behandlas om det behövs för de ändamål som anges i paragrafen eller, i andra fall, avser behandling genom utlämnande av uppgifter till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. Behandling får även ske för att ge tillgång till vägledande avgöranden, om personuppgifterna inte direkt pekar ut den registrerade. Med att behandlingen behövs för de angivna syftena avses samma sak som när det i 10 § personuppgiftslagen anges att behandlingen är nödvändig. Personuppgifter får dock enligt 7 § första stycket första meningen även behandlas inom CSN:s studiestödsverksamhet för andra ändamål än de i 4 § första stycket angivna, om den registrerade samtycker till sådan behandling. I första stycket anges att personuppgifter får behandlas i CSN:s studiestödsverksamhet bara om det behövs för de ändamål som anges i första stycket första till sjätte punkterna. Uppgifter som har samlats in för dessa tillåtna ändamål får inte behandlas för något annat ändamål, även om detta ändamål inte är oförenligt med de tillåtna ändamålen (jfr finalitetsprincipen i 9 § första stycket d personuppgiftslagen). Sådan behandling för andra ändamål är bara tillåten om den registrerade lämnar sitt samtycke till behandlingen enligt 7 § första stycket, eller om behandlingen sker för utlämnande av uppgifter enligt bestämmelserna i 4 § andra stycket. För att en behandling av personuppgifter som är tillåten enligt första till sjätte punkterna ska få äga rum krävs också att övriga bestämmelser i studiestödsdatalagen om behandlingen följs. De personuppgifter som för de tillåtna ändamålen får behandlas i CSN:s studiestödsverksamhet får dock anses insamlade för samtliga ändamål. Personuppgifter som samlats in för ett tillåtet ändamål får alltså, utan hinder av finalitetsprincipen, senare behandlas för ett annat tillåtet ändamål. Paragrafen innebär inte någon avvikelse från inskränkningarna i personuppgiftslagen vad gäller behandling av personuppgifter om personnummer och överföring av personuppgifter till tredje land, 22 och 33 §§ personuppgiftslagen. I första punkten anges att CSN får behandla personuppgifter, om det behövs för att handlägga ärenden i studiestödsverksamheten. Med handlägga ärenden avses inte bara åtgärder som vidtas i anslutning till att beslut fattas, utan samtliga åtgärder såväl före som efter beslutet. Som exempel kan nämnas att på begäran sända ut ansökningsblanketter, att sända ut förfrågningar, att utforma beslut och att administrera utbetalning av beviljat studiestöd. Även behandling av personuppgifter som innebär att ge den registrerade elektronisk eller annan tillgång till uppgifterna i ett ärende om studiestöd där den registrerade är part eller har rätt att få ut utbetalning av studiestöd för någon annan ingår i handläggningen av ärenden, likaväl som behandling som utförs för att kontrollera att studiestöd har beslutats och betalats ut på ett riktigt sätt. Av 6 § andra stycket följer att även personuppgifter av känslig natur m.m. får behandlas för att handlägga ärenden i studiestödsverksamheten, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Enligt andra punkten får CSN behandla personuppgifter om det behövs för att administrera handläggningen av ärenden i studiestödsverksamheten. Som exempel på sådan behandling kan nämnas förandet av register över anmälda kontaktpersoner på olika läroanstalter och den behandling av personuppgifter om såväl sökande som handläggare som sker när ärenden om studiestöd på automatiserat vis fördelas mellan CSN:s handläggare. Av tredje punkten framgår att CSN får behandla personuppgifter om det behövs för att förbereda handläggningen av ärenden i studiestödsverksamheten. Enligt tredje stycket får regeringen meddela föreskrifter om i vilka fall behandling av personuppgifter får göras för att förbereda handläggningen med stöd av denna bestämmelse. Den fjärde punkten anger att CSN får behandla personuppgifter om det behövs för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Bestämmelsen avser endast information till studiestödsberättigade. Om informationen rör studiestödsförmåner, måste det kunna antas att informationsmottagaren skulle kunna vara berättigad till aktuell form av studiestöd, om han eller hon inleder studier av ett visst slag. Det krävs alltså inte att informationsmottagaren redan studerar. Med studiestödsförmåner avses studiefinansiell verksamhet. Informationen kan t.ex. gälla olika former av stöd, vilka villkor som uppställs för dessa och liknande information. Med studiesociala förmåner avses studiesocial verksamhet som kan antas vara till förmån för den som studerar. Som exempel kan nämnas reserabatter för studerande, försäkringar som riktar sig till studerande och olika rabatt- och förmånskort som finns för studerande. I femte punkten anges att CSN får behandla personuppgifter om det behövs för att ta fram och distribuera bevis om studiestöd för studier till studerande. CSN behöver inte själv ta fram och distribuera bevisen utan kan lämna ut personuppgifter för detta ändamål till någon annan aktör. Bestämmelsen utgör alltså inte något hinder för att sådant utlämnande sker. CSN är personuppgiftsansvarig för den behandling av personuppgifter som utlämnandet innebär. CSN får enligt sjätte punkten behandla personuppgifter om det behövs för att anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna. Oegentligheter som upptäcks inom studiestödsverksamheten kan dels gälla sökanden som har fuskat eller försökt att fuska, t.ex. genom att lämna oriktiga uppgifter eller ge in förfalskade handlingar, eller att en sökande har fått en förmån utan att ha haft rätt till den. Det kan också gälla oegentligheter som har begåtts inom verksamheten av andra än sökanden, t.ex. dataintrång av CSN:s personal eller personal vid annan instans med direktåtkomst. Det kan också handla om mutbrott eller bestickning och försök till sådana brott. Anmälan ska ske till något offentligt organ som har att utreda eller beivra oegentligheten, t.ex. polismyndighet eller Åklagarmyndigheten. Av 6 § andra stycket framgår att även personuppgifter av känslig natur m.m. får behandlas för ändamål som avses i 4 § första stycket 6. I fall där anmälningsskyldighet saknas får myndigheten själv avgöra om oegentligheten ska anmälas eller inte. CSN måste dock först avgöra om sekretess kan hindra en anmälan. Bestämmelserna i 14 kap. 2 och 3 §§ sekretesslagen (1980:100) innebär ofta att sekretessen inte hindrar att sådan anmälan görs. Här bör också noteras att CSN omfattas av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen. Enligt 3 § denna lag ska myndigheten, om det finns anledning att anta att en ekonomisk förmån har beslutats eller betalats ut felaktigt eller med ett för högt belopp, lämna underrättelse om detta till den myndighet eller organisation som har fattat beslutet. Paragrafens andra stycke anger att personuppgifter som behandlas för något av de i första stycket angivna ändamålen även får behandlas genom att lämnas ut till den registrerade själv, riksdagen och regeringen samt, om skyldighet att lämna uppgifter följer av lag eller förordning, till andra. Endast personuppgifter om den registrerade själv får lämnas ut till honom eller henne med stöd av denna bestämmelse. Med skyldighet att lämna uppgifter avses till att börja med uppgiftsskyldighet enligt 14 kap. 1 § sekretesslagen. Sådan uppgiftsskyldighet kan avse utlämnande till såväl myndigheter som enskilda. Också skyldigheten enligt 4 kap. 11 § riksdagsordningen att på begäran lämna riksdagens utskott upplysningar och yttranden avses. Ett annat exempel är skyldigheten enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. att på begäran lämna Riksrevisionen den hjälp och de uppgifter och upplysningar som Riksrevisionen behöver för sitt arbete. Vidare avses även myndighetens utlämnande av uppgifter enligt de generella bestämmelserna i 15 kap. 4 och 5 §§ sekretesslagen om att myndigheter på begäran ska lämna ut uppgifter till enskilda och myndigheter. Det bör dock noteras att behandling av personuppgifter genom att lämna ut dem endast får göras om de aktuella uppgifterna inte omfattas av sekretess enligt sekretesslagen. Bestämmelsen inverkar inte på CSN:s skyldighet att lämna ut personuppgifter i enlighet med grundlag, såsom på begäran av enskild enligt offentlighetsprincipen. I vilken mån utlämnandet kan ske i elektronisk form regleras i 10-14 §§. Av 6 § andra stycket följer att även personuppgifter av känslig natur m.m. får behandlas genom att lämnas ut enligt denna bestämmelse. Vidare anges i andra stycket att personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får behandlas för att ge tillgång till vägledande avgöranden. Bestämmelsen möjliggör för CSN att t.ex. föra en särskild praxisdatabas med vägledande avgöranden som bara indirekt pekar ut den enskilde. Myndigheten kan även välja att lägga upp uppgifterna i flera olika sådana databaser eller att göra dem tillgängliga på annat sätt, såsom genom en webbplats. Personuppgifter som direkt pekar ut den enskilde är t.ex. namn och personnummer, medan uppgifter som ärendenummer och information om omständigheter hos den registrerade endast indirekt gör det. Uppgifter som ska behandlas i en praxisdatabas måste alltså vara rensade från direkt utpekande personuppgifter. Bestämmelsen innebär inte att verksamhetsdatabaserna - som innehåller icke avidentifierade avgöranden - får användas för att ge tillgång till vägledande avgöranden. I begreppet vägledande avgöranden ligger att det ska vara fråga om ett kvalitativt urval av avgöranden. Av 6 § andra stycket följer att även indirekta personuppgifter av känslig natur m.m. får behandlas för att ge tillgång till vägledande avgöranden. Enligt 8 § andra stycket får även personuppgifter av känslig natur m.m. användas som sökbegrepp vid sökningar i en sådan databas eller motsvarande sammanställning. Som framgår av 7 § andra stycket får även personuppgifter som behandlas av CSN med samtycke från den registrerade behandlas för ändamål som anges i 4 § andra stycket. Enligt tredje stycket får regeringen meddela föreskrifter om begränsningar av de i första stycket angivna tillåtna ändamålen och om i vilka fall behandling får göras med stöd av första stycket tredje punkten. Vidare anges i en upplysningsbestämmelse att regeringen meddelar föreskrifter om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. Paragrafen har behandlats i avsnitt 6.5. 5 § I paragrafen anges att behandling av personuppgifter som enligt studiestödsdatalagen är tillåten utan den registrerades samtycke även får utföras om den registrerade motsätter sig behandlingen. I situationer där den registrerades samtycke krävs enligt studiestödsdatalagen (7 § första stycket och 10 §) är behandlingen således inte tillåten utan sådant samtycke. I 7 § tredje stycket finns bestämmelser om den registrerades möjligheter att återkalla ett lämnat samtycke och innebörden av en sådan återkallelse. Paragrafen har behandlats i avsnitt 6.3. 6 § I paragrafen anges vissa begränsningar i rätten att behandla personuppgifter. Av första stycket följer att särskilda begränsningar gäller för behandling av sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag. I andra stycket anges inledningsvis att uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, dvs. för att handlägga ärenden i studiestödsverksamheten, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Vidare följer det av andra stycket att sådana personuppgifter också får behandlas om det behövs för att kunna anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheten (4 § första stycket sjätte punkten) eller om det behövs för att lämna ut personuppgifter till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra (4 § andra stycket första meningen). Uppgifter enligt första stycket som inte direkt pekar ut den registrerade får även behandlas för att ge tillgång till vägledande avgöranden (4 § andra stycket andra meningen). Av 7 § första stycket andra meningen följer att uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke. Bestämmelserna i paragrafen avser inte att påverka bestämmelserna om sekretess i sekretesslagen, inklusive tillämpningen av den s.k. generalklausulen i 14 kap. 3 § sekretesslagen. Bestämmelsen innebär avvikelser från vad som anges i 13-21 §§ personuppgiftslagen och gäller i stället för dessa bestämmelser. Paragrafen har behandlats i avsnitt 6.6. 7 § I paragrafen regleras vissa situationer där den registrerades samtycke till behandling av personuppgifter har betydelse. Enligt första stycket första meningen får personuppgifter, trots 4 § första stycket, behandlas i CSN:s studiestödsverksamhet med den registrerades samtycke. Om den registrerade samtycker, får således hans eller hennes personuppgifter behandlas av CSN för vilket ändamål som helst. Med samtycke avses samma sak som i 3 § personuppgiftslagen. Enligt 9 § personuppgiftslagen får personuppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål, och de insamlade uppgifterna får sedan inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in. CSN måste således vid insamlande av uppgifter som sker med den registrerades samtycke i enlighet med 9 § personuppgiftslagen ange ändamålet med behandlingen av dessa personuppgifter. Detta innebär att sådana med samtycke insamlade personuppgifter, till skillnad från uppgifter som inhämtats för ändamål som anges i studiestödsdatalagen, får användas även för andra ändamål så länge dessa inte är oförenliga med det ändamål för vilket de samlades in. Den registrerade kan också samtycka till att personuppgifter som redan har samlats in för ett ändamål får behandlas för något annat ändamål. Av första stycket andra meningen följer att sådana personuppgifter som avses i 6 § endast får behandlas av CSN med den registrerades uttryckliga samtycke. Med uttryckligt samtycke avses samma sak som i 15 § personuppgiftslagen. I andra stycket anges att uppgifter som behandlas med samtycke enligt första stycket också får behandlas enligt 4 § andra stycket. Uppgifter som behandlas med den registrerades samtycke får således även behandlas för att lämnas ut till den registrerade själv, riksdagen och regeringen samt, om skyldighet att lämna uppgifter följer av lag eller förordning, till andra. Likaså får sådana uppgifter, om de inte direkt pekar ut den registrerade, också behandlas för att ge tillgång till vägledande avgöranden. I tredje stycket anges att den registrerade, i de fall då behandling av personuppgifter i CSN:s studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke, har rätt att när som helst återkalla ett lämnat samtycke. Ett återkallande innebär att CSN därefter inte får behandla ytterligare personuppgifter om den registrerade för de aktuella ändamålen. Återkallelse kan göras muntligen eller skriftligen till CSN eller någon som på laglig grund företräder CSN, exempelvis personuppgiftsbiträden som för CSN:s räkning mottagit samtycket. Vid tvist är det den registrerade som har bevisbördan för att han eller hon har återkallat sitt samtycke till behandling och vid vilken tidpunkt detta skett. Bestämmelsen motsvarar och avser att ha samma innebörd som 12 § första stycket personuppgiftslagen (jfr prop. 1997/98:44 s. 123). Efter en återkallelse får behandling av dessförinnan inhämtade personuppgifter fortsätta i enlighet med det ursprungligen lämnade samtycket. Några ytterligare uppgifter får dock inte samlas in eller behandlas. Befintliga uppgifter får alltså inte uppdateras eller kompletteras för det aktuella ändamålet. Paragrafen har behandlats i avsnitt 6.3, 6.4, 6.5 och 6.6. 8 § Paragrafen behandlar vilka sökbegrepp som inte får användas. Enligt första stycket får som sökbegrepp inte användas 1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, 2. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, 3. uppgifter som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott, eller 4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle. De förbjudna sökbegreppen innefattar således uppgifter som bl.a. utgör känsliga personuppgifter enligt 13 § personuppgiftslagen och uppgifter om lagöverträdelser m.m. enligt 21 § samma lag. Med förbjudna sökbegrepp avses även bokstäver, koder eller siffror som avslöjar eller rör sådana uppgifter och med vars hjälp det i en sökmotor eller liknande funktion går att ta fram ett urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd eller sortera personuppgifterna i informationsmängden. I andra stycket anges vissa undantag från vad som sägs i första stycket. Enligt första meningen får de sökbegrepp som anges i första stycket användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som syftar till att ge tillgång till vägledande avgöranden som avses i 4 § andra stycket andra meningen. Den som hittat fram till ett visst ärende eller en viss handling kan alltså inom ramen för ärendet eller handlingen fritt söka efter olika uppgifter. Samma sak ska gälla i en särskild praxisdatabas eller motsvarande sammanställning. Avsikten är dock inte att CSN ska kunna upprätta en särskild handling eller ett särskilt ärende med uppgifter om många olika studiestödsberättigade för att möjliggöra användningen av sökbegrepp som är otillåtna enligt första meningen. I andra stycket första punkten anges att uppgifter som rör hälsa också får användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse. Med behörig personal avses personal som enligt CSN:s interna regler har behörighet att besluta om avskrivning av studielån på grund av sjukdom. Med pågående ärenden avses ett ärende där avskrivning av studielån på grund av sjukdom på något sätt har aktualiserats men där frågan om avskrivning ännu inte har avgjorts. Av andra stycket andra punkten framgår att uppgifter som avser inkomst och förmögenhet också får användas som sökbegrepp för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende. Med behörig personal avses här den personal som enligt CSN:s interna regler har behörighet att söka ut ärenden som bör bli föremål för efterkontroll och i det syftet överlämnas till andra handläggare. Med ärenden avses i detta sammanhang sådana ärenden där den registrerades inkomst eller förmögenhet har haft betydelse för beslut i ärendet. Paragrafen har behandlats i avsnitt 6.7. 9 § Paragrafen reglerar intern elektronisk tillgång till personuppgifter. I första stycket anges att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som arbetar i CSN:s studiestödsverksamhet. Tillgången ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten vid myndigheten. Den enskilde handläggaren får således inte ges elektronisk tillgång i större utsträckning än vad som är nödvändigt för att utföra sina arbetsuppgifter. Behörigheten till elektronisk tillgång bör framgå av interna regler eller beslut. Dessa bör kompletteras med tekniska begränsningar som för en enskild handläggare förhindrar elektronisk åtkomst till personuppgifter utöver de som han eller hon enligt regler eller beslut ska ha tillgång till. Vilken elektronisk tillgång till personuppgifter som en enskild handläggare behöver för att utföra sina arbetsuppgifter får avgöras från fall till fall. De med stöd av bestämmelsen föreskrivna villkoren för elektronisk tillgång kan ha betydelse vid tillämpningen av bestämmelsen om straff för dataintrång i 4 kap. 9 c § brottsbalken. Enligt andra stycket ska den faktiska elektroniska tillgången till personuppgifter dokumenteras, t.ex. i en logg (behandlingshistorik). Dokumentationen ska avse alla former av elektronisk tillgång som har förekommit, oavsett om det är personer som arbetar i CSN:s studiestödsverksamhet som internt har berett sig tillgång till uppgifterna eller om en utomstående har gjort det genom t.ex. direktåtkomst. CSN ska systematiskt och återkommande kontrollera om någon obehörig åtkomst till uppgifter har förekommit. Det är således inte tillräckligt att CSN endast kontrollerar loggarna när myndigheten av någon orsak har anledning att misstänka att obehörig åtkomst har förekommit. I tredje stycket upplyses om att regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om dokumentation och kontroll enligt andra stycket. Bestämmelserna i paragrafen avviker inte från bestämmelserna om säkerhet vid behandling i 30-32 §§ personuppgiftslagen utan utgör preciseringar av dessa bestämmelser. CSN ska alltså i andra avseenden än vad som särskilt regleras i studiestödsdatalagen vidta lämpliga åtgärder enligt vad som följer av personuppgiftslagen för att skydda de personuppgifter som behandlas. Paragrafen har behandlats i avsnitt 6.8. 10 § Paragrafen reglerar direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet. Sådant elektroniskt utlämnande är utan den registrerades samtycke bara tillåtet i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna i 4 och 6-8 §§ följs. Med elektroniskt utlämnande avses alla former av elektroniskt utlämnande av personuppgifter i binär form, dvs. såsom ettor och nollor. Som exempel kan nämnas e-post, lagring på cd-rom, direktöverföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem. Med direktåtkomst avses att en utomstående mottagare av uppgifter får möjlighet att ha egen åtkomst till och möjlighet att själv hämta ut personuppgifter som behandlas hos den utlämnande myndigheten. För sådant utlämnande krävs alltså stöd i lag eller förordning eller att den registrerade samtycker till utlämnandet. Med samtycke avses samma sak som i 3 § personuppgiftslagen. Författningsstöd för utlämnande finns i bl.a. 11-14 §§ studiestödsdatalagen. Därutöver kan bestämmelser om elektroniskt utlämnande finnas i andra lagar och i förordningar. Vid elektroniskt utlämnande av personuppgifter som anges i lag eller förordning måste övriga bestämmelser om behandling av personuppgifter i studiestödsdatalagen följas, liksom tillämpliga bestämmelser i personuppgiftslagen. Paragrafen har behandlats i avsnitt 6.9.1. 11 § Paragrafen reglerar direktåtkomst för Försäkringskassan och arbetslöshetskassorna. Dessa får enligt första meningen ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet i den utsträckning som CSN har uppgiftsskyldighet enligt lag eller förordning. Enligt 13 § får personuppgifter under samma förutsättning också lämnas ut till Försäkringskassan och arbetslöshetskassorna på annat sätt än genom direktåtkomst. Bestämmelser om CSN:s uppgiftsskyldighet gentemot Försäkringskassan och arbetslöshetskassorna finns i 20 kap. 9 § lagen (1962:381) om allmän försäkring respektive 48 c § lagen (1997:238) om arbetslöshetsförsäkring. Paragrafen innebär i sig inte någon uppgiftsskyldighet för CSN eller någon skyldighet för CSN att faktiskt anordna den direktåtkomst som får förekomma enligt paragrafen. I paragrafens andra mening har det tagits in en upplysningsbestämmelse om att regeringen meddelar föreskrifter om vilka uppgifter som får omfattas av direktåtkomsten. Paragrafen har behandlats i avsnitt 6.9.2. 12 § Paragrafen reglerar den registrerades direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet. Direktåtkomst är tillåten under förutsättning att sekretess inte hindrar det. Enligt första punkten får direktåtkomsten omfatta uppgifter om den registrerade själv som behandlas i CSN:s studiestödsverksamhet. Punkten ger inte stöd för att ge direktåtkomst till uppgifter om någon annan person än den registrerade själv. Av andra punkten framgår att direktåtkomsten får avse alla uppgifter om den registrerade själv eller andra, om uppgiften finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, t.ex. för en omyndig studiehjälpsberättigad som den registrerade är vårdnadshavare för. Enligt tredje punkten har den registrerade rätt till direktåtkomst till dokumentation av den elektroniska tillgång som har förekommit till hans eller hennes personuppgifter, dock inte information som avslöjar vilken enskild handläggare som haft tillgång till uppgifterna. Bestämmelsen hänger samman med CSN:s skyldighet enligt 9 § andra stycket att se till att elektronisk tillgång till personuppgifter dokumenteras. Informationen kan t.ex. avse vilket kontor eller vilken enhet inom myndigheten som har haft tillgång till personuppgifterna och när dessa haft tillgång till uppgifterna. Paragrafen har behandlats i avsnitt 6.9.3. 13 § I paragrafen finns bestämmelser om när elektroniskt utlämnande i annan form än direktåtkomst får ske. Av första meningen framgår att personuppgifter som får lämnas ut till någon genom direktåtkomst även på något annat sätt får lämnas ut elektroniskt till samma mottagare. Bestämmelsen innebär att det är upp till CSN att välja medium för utlämnande. Även om det är tillåtet att lämna ut uppgifterna genom direktåtkomst, kan myndigheten alltså välja att lämna ut uppgifterna genom elektroniskt utlämnande i någon annan form. Det är även möjligt för myndigheten att lämna ut uppgifterna på annat sätt, t.ex. i skriftlig form. Enligt andra meningen får enstaka personuppgifter alltid lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall. En grundläggande förutsättning för att utlämnande kan ske är naturligtvis att sekretess inte hindrar att uppgiften lämnas ut. En annan förutsättning för utlämnande enligt denna bestämmelse är att utlämnandet bara avser enstaka personuppgifter. Ett helt register eller delar av ett register får således inte lämnas ut elektroniskt enligt bestämmelsen, t.ex. i form av en fil på diskett. Däremot är det t.ex. möjligt att lämna ut några enstaka handlingar eller uppgifter via e-post som svar på förfrågan. Bestämmelsen omfattar elektroniskt utlämnande på medium för automatiserad behandling och utlämnande via elektronisk kommunikation. Utlämnandet kan alltså ske på någon form av fysiskt medium, t.ex. usb-minne, diskett, minneskort, cd- eller dvd-skiva eller via någon form av elektronisk kommunikation, t.ex. e-post eller sms. I kravet på att det ska vara fråga om elektronisk kommunikation i enskilda fall ligger att utlämnandet ska ske genom en icke automatiserad process där någon handläggare vid CSN är inblandad i varje utlämnande. Paragrafen har behandlats i avsnitt 6.9.1 och 6.9.4. 14 § I paragrafen anges att CSN på begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får lämna ut personuppgifter till Riksrevisionen på medium för automatiserad behandling. Utlämnande enligt paragrafen är tillåtet endast om och i den utsträckning som Riksrevisionen begär det med stöd av angiven bestämmelse. Paragrafen har behandlats i avsnitt 6.9.5. 15 § Paragrafen behandlar rättelse och skadestånd. Av paragrafen följer att bestämmelserna om rättelse i 28 § personuppgiftslagen ska tillämpas på personuppgifter som har behandlats i strid med studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till studiestödsdatalagen. Vidare följer det att bestämmelserna om skadestånd i 48 § personuppgiftslagen ska tillämpas på skada och kränkning av den personliga integriteten som har orsakats av en behandling av personuppgifter i strid med studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till lagen. En behandling av personuppgifter i strid med bestämmelserna i personuppgiftslagen, när dessa är tillämpliga, kan således föranleda rättelse m.m. och skadestånd enligt personuppgiftslagen. Paragrafen har behandlats i avsnitt 6.10. 16 § Paragrafen anger när gallring av personuppgifter som behandlas i CSN:s studiestödsverksamhet får och måste ske. I första stycket finns det gallringsföreskrifter. Bestämmelserna i stycket tillåter gallring utan beslut eller föreskrift av Riksarkivet. Bestämmelserna innebär att personuppgifterna får gallras när som helst, dock senast vid utgången av de angivna gallringsfristerna. Med gallring avses enligt paragrafen att personuppgifterna förstörs så att de inte kan återskapas. Det är alltså inte tillåtet för myndigheten att inför gallringen av de behandlade personuppgifterna föra över dem på annat medium, t.ex. papper. Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Med ärende om studiestöd avses i paragrafen ett ärende om en viss typ av studiestöd för en viss person. Om en person får såväl studiebidrag som studielån för vissa studier, har personen alltså fått studiestöd i ett ärende. Gör den personen vidare ett uppehåll i sina studier för att sedan få studiestöd för en ny studieperiod, så utgör det ändå samma ärende om studiestöd. Sådana personuppgifter i ett ärende om studiestöd som kan ha betydelse i ett nytt ärende om studiestöd behöver inte gallras förrän uppgifterna inte längre kan ha sådan betydelse. Som exempel på vad som är ett nytt ärende kan nämnas den situationen att en person som tidigare under en period har studerat med studiestöd och därefter avslutat sina studier efter ett antal år inleder nya studier och då på nytt ansöker om studiestöd. Ansökan om studiestöd för den nya studieperioden utgör då i detta sammanhang ett nytt ärende. Frågan om vilka personuppgifter som kan ha sådan betydelse får bedömas med utgångspunkt i vid varje tillfälle gällande författningar om studiestöd. Endast de personuppgifter som kan ha sådan betydelse får undantas från gallring. T.ex. är uppgiften att en registrerad har beviljats studiestöd i form av studiemedel i ett visst antal veckor av betydelse till dess att den registrerade uppnår den ålder då studiemedel inte längre får lämnas, eftersom studiemedel till en person endast får lämnas i ett visst antal veckor. Personuppgifter som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver inte gallras förrän uppgifterna inte längre kan ha sådan betydelse. Endast de personuppgifter som kan ha sådan betydelse får undantas från gallring. Exempel på sådana uppgifter är uppgifter om att en person under en period har mottagit ett visst bidrag och vilka uppgifter som har legat till grund för beslutet att bevilja detta bidrag. I andra stycket finns det en gallringsföreskrift som avser personuppgifter som behandlas för att förbereda handläggningen av ärenden i studiestödsverksamheten enligt 4 § första stycket 3. Enligt bestämmelsen ska sådana personuppgifter gallras senast ett år efter det att uppgifterna registrerades hos CSN. Sådana personuppgifter som vid gallringstillfället har tillförts ett ärende om studiestöd får dock inte gallras enligt denna bestämmelse, utan faller i stället under gallringsföreskrifterna i första stycket. Av tredje stycket framgår när undantag från gallringsföreskrifterna kan medges. Inledningsvis anges att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Med historiska, statistiska eller vetenskapliga ändamål avses samma sak som i 9 § tredje stycket personuppgiftslagen. Med bevarande för redovisningsändamål avses sådant bevarande som följer av god redovisningssed, jfr 45 § lagen (1996:1059) om statsbudgeten. Vidare anges i tredje stycket att CSN i enstaka fall får besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt. Det kan ske t.ex. när personuppgifterna i ett ärende om studiestöd även efter gallringstidpunkten i undantagsfall har betydelse därför att handläggning avseende ärendet i en eller annan mening kan sägas fortsätta hos CSN eller annan myndighet. Det kan t.ex. gälla ett ärende som har överklagats och där överprövningen ännu inte är klar. Begränsningen till enstaka fall innebär att CSN inte regelmässigt får besluta om bevarande bara för att personuppgifterna i en viss ärendetyp någon gång i framtiden kanske skulle kunna komma att ha betydelse. Beslut om bevarande ska fattas före den föreskrivna gallringstidpunkten. Kravet på att personuppgifterna ska bevaras på ett medium som inte är elektroniskt innebär att uppgifterna måste föras över från dator till ett sådant medium, exempelvis papper eller mikrokort, där uppgifterna lagras på ett statiskt vis som inte medger att uppgifterna sammanställs på elektroniskt väg. Paragrafen har behandlats i avsnitt 6.11. Sammanfattning av betänkandet Studiestödsdatalag (SOU 2007:64) Studiestödsdatalag Studiestödsdatautredningen har haft i uppdrag att kartlägga och granska regleringen och användningen av personregister och annan behandling av personuppgifter i studiestödsverksamheten inom främst Centrala studiestödsnämnden (CSN) och Överklagandenämnden för studiestöd och lämna förslag till nödvändig författningsreglering. Utredningen har kommit fram till att en särskild författningsreglering utöver den generellt gällande personuppgiftslagen bara behövs för den omfattande behandlingen av personuppgifter i CSN:s studiestödsverksamhet. Den behandling av personuppgifter för studiestöd som förekommer hos övriga aktörer är av förhållandevis ringa omfattning och kan utan olägenhet regleras av personuppgiftslagen. Utredningen lämnar förslag till en särskild studiestödsdatalag som ska gälla utöver personuppgiftslagen och innehålla specialbestämmelser för behandlingen av personuppgifter i CSN:s studiestödsverksamhet. Den nya lagen föreslås träda i kraft den 1 januari 2009. När personuppgifter får behandlas Förutom med den registrerades samtycke får personuppgifter bara behandlas för vissa i lagen uppräknade ändamål. CSN ska få behandla personuppgifter om det behövs för att 1. handlägga ärenden i studiestödsverksamheten, 2. administrera handläggningen, 3. i den utsträckning regeringen föreskriver det förbereda handläggningen, 4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, 5. ta fram och till studerande distribuera bevis om studier med studiestöd, eller 6. om sekretess inte hindrar det anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten. CSN ska även, i en avskild databas, få behandla personuppgifter som inte direkt pekar ut den registrerade för att återsöka vägledande avgöranden. Avsikten med bestämmelsen är att CSN ska kunna föra en särskild praxisdatabas med vägledande avgöranden där det inte förekommer namn eller personnummer. De personuppgifter som behandlas får CSN lämna ut till utomstående i den utsträckning en uppgiftsskyldighet för CSN följer av lag eller förordning. Personuppgifterna får också lämnas ut till den registrerade själv och till riksdagen och regeringen. Om sekretess hindrar det, kan något utlämnande inte ske. För elektroniskt utlämnande av personuppgifter gäller särskilda villkor (se nedan). Behandling av personuppgifter som är tillåten enligt lagen, får enligt huvudregeln utföras även om den registrerade motsätter sig behandlingen. Bara när det rör sig om behandling av personuppgifter enligt 4 och 5 ovan har den registrerade rätt att motsätta sig behandlingen. Dessutom kan den registrerade alltid återkalla ett samtycke som är nödvändigt för att behandlingen ska vara tillåten. I en anknytande studiestödsdataförordning anges det när CSN får behandla personuppgifter för att förbereda handläggningen av ärenden om studiestöd och vissa begränsningar av vilka personuppgifter som får behandlas. Behandling av personuppgifter av känslig natur Känsliga personuppgifter och personuppgifter om lagöverträdelser m.m., enligt definitionerna i personuppgiftslagen, ska bara få behandlas med den registrerades uttryckliga samtycke eller om behandlingen behövs för att handlägga ärenden i studiestödsverksamheten under förutsättning att uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter ska också få behandlas om det behövs för att kunna anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten. Sådana personuppgifter ska även få behandlas i CSN:s avskilda praxisdatabas. Sökbegrepp Som sökbegrepp får inte användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Vid sökning bara i ett visst ärende om studiestöd, i en viss handling eller i CSN:s avskilda praxisdatabas får dock sådana sökbegrepp användas. Uppgifter som rör hälsa får också användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats. Intern elektronisk tillgång till personuppgifter CSN ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i CSN:s studiestödsverksamhet. Dessa villkor ska bestämmas så att sådan tillgång begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Den faktiska elektroniska tillgången till personuppgifter som sker ska dokumenteras, t.ex. i en logg (behandlingshistorik). Dokumentationen ska avse alla former av elektronisk tillgång som förekommit till personuppgifterna. CSN ska vidare genomföra systematiska och återkommande kontroller av om obehörig åtkomst till personuppgifterna förekommit. I studiestödsdataförordningen finns det preciserande bestämmelserom att direkt elektronisk tillgång till personuppgifter, som normalt sett inte behövs för återbetalning eller återkrav av studiestöd, i ett ärende om studiestöd ska begränsas till ett fåtal personer senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. Behövs personuppgifterna för ett nytt ärende om studiestöd, ska begränsningen få upphävas. Avsikten är att gamla ärenden ska avföras till en särskild arkivdatabas med begränsad direkt elektronisk tillgång. Direktåtkomst och annat elektroniskt utlämnande av personuppgifter Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna om tillåtna ändamål m.m. och sökbegrepp följs. När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på annat sätt lämnas ut elektroniskt till denne, t.ex. via e-post. Enstaka personuppgifter ska också alltid få lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation, t.ex. e-post, i enskilda fall om sekretess inte hindrar det. Dessutom får CSN lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst i den utsträckning det behövs för att annan ska kunna lämna ut personuppgifter elektroniskt till CSN, t.ex. via direktåtkomst. Författningsstöd för vissa viktigare fall av tillåtet elektroniskt utlämnande, motsvarande vad som förekommer i dag, anges redan i studiestödsdatalagen och studiestödsdataförordningen. Det gäller bl.a. elektroniskt utlämnande till den registrerade själv, Försäkringskassan, arbetslöshetskassor, Riksrevisionen och läroanstalter som lämnat uppgifter till CSN. Gallring I studiestödsdatalagen finns det vissa gallringsföreskrifter. Personuppgifter i ett ärende om studiestöd som kan ha betydelse i ett nytt ärende om studiestöd behöver dock aldrig gallras (förstöras eller avidentifieras) förrän de inte längre kan ha sådan betydelse. CSN får också i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium. Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet i stället gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. Personuppgifter som behandlas för att förbereda handläggningen av ärenden ska i den utsträckning de inte tillförts ett ärende om studiestöd gallras senast ett år efter det att uppgifterna registrerades. Riksarkivet får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål samt för redovisningsändamål. Lagförslag i betänkandet Studiestödsdatalag (2007:64) Förslag till studiestödsdatalag Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet. Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får utom i fall som avses i 5 § utföras även om den registrerade motsätter sig behandlingen. Förhållandet till personuppgiftslagen och lagen om den officiella statistiken 2 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, om inte annat följer av denna lag. I fråga om Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik gäller bestämmelserna i lagen (2001:99) om den officiella statistiken och anslutande författningar i stället för denna lag. Personuppgiftsansvar 3 § Centrala studiestödsnämnden är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför. Ändamål 4 § Personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet förutom med den registrerades samtycke bara om behandlingen behövs för att 1. handlägga ärenden i den verksamheten, 2. administrera handläggningen, 3. i den utsträckning regeringen föreskriver det förbereda handläggningen, 4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, 5. ta fram och till studerande distribuera bevis om studier med studiestöd, eller 6. om sekretess inte hindrar det anmäla oegentlighet inom studiestödsverksamhet till ett offentligt organ som har att utreda eller beivra oegentligheten. Personuppgifter som behandlas enligt första stycket får dock om sekretess inte hindrar det lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas avskilt för att återsöka vägledande avgöranden. Regeringen får meddela föreskrifter om begränsningar av ändamålen i första stycket och om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. 5 § Behandling för ändamål som avses i 4 § första stycket 4 och 5 får utföras bara om den registrerade inte har motsatt sig behandlingen. Centrala studiestödsnämnden ska informera de registrerade om rätten att motsätta sig behandlingen. 6 § I de fall då behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. Behandling av känsliga personuppgifter m.m. 7 § Sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och sådana personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får förutom med den registrerades uttryckliga samtycke behandlas bara i enlighet med 4 § första stycket 1 om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende. Sådana personuppgifter får dock också behandlas i enlighet med 4 § första stycket 6 och andra stycket. Sökbegrepp 8 § Som sökbegrepp får inte användas uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle eller som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott. Vid sökning bara i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sådana sökbegrepp användas. Uppgifter som rör hälsa får också användas som sökbegrepp för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom åberopats. Intern elektronisk tillgång till personuppgifter 9 § Centrala studiestödsnämnden ska bestämma villkoren för elektronisk tillgång till personuppgifterna för den som deltar i nämndens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Centrala studiestödsnämnden ska se till att elektronisk tillgång till personuppgifter dokumenteras och genomföra systematiska och återkommande kontroller av om obehörig åtkomst till uppgifterna förekommit. Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om elektronisk tillgång enligt första stycket och om dokumentation och kontroll enligt andra stycket. Direktåtkomst och annat elektroniskt utlämnande av personuppgifter 10 § Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet är tillåtet utan den registrerades samtycke bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna i 4-6 och 8 §§ följs. 11 § Försäkringskassan och arbetslöshetskassorna får i den utsträckning uppgiftsskyldighet följer av lag eller förordning ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst. 12 § Den registrerade får i den utsträckning sekretess inte hindrar det ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, om uppgifterna 1. avser honom eller henne själv, 2. finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, eller 3. avser dokumentation av den elektroniska tillgång som förekommit till hans eller hennes personuppgifter. 13 § När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på annat sätt lämnas ut elektroniskt till denne. Enstaka personuppgifter får även i andra fall lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall om sekretess inte hindrar det. 14 § På begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling. Rättelse och skadestånd 15 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag. Gallring 16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd behöver dock inte gallras förrän de inte längre kan ha sådan betydelse. Personuppgifter som behandlas enligt 4 § första stycket 3 ska i den utsträckning de inte tillförts ett ärende om studiestöd gallras senast ett år efter det att uppgifterna registrerades. Trots första stycket får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Centrala studiestödsnämnden får också trots första stycket i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat icke elektroniskt medium. _________ 1. Denna lag träder i kraft den 1 januari 2009. 2. Bestämmelserna i 16 § ska inte börja tillämpas förrän den 1 januari 2010. Förteckning över remissinstanserna Remissyttrande har avgetts av följande remissinstanser: Riksdagens ombudsmän, Hovrätten för Västra Sverige, Malmö tingsrätt, Kammarrätten i Stockholm, Länsrätten i Västernorrlands län, Justitiekanslern, Åklagarmyndigheten, Migrationsverket, Datainspektionen, Försäkringskassan, Socialstyrelsens institut för särskilt utredningsstöd (SISUS), Skatteverket, Kronofogdemyndigheten, Statistiska centralbyrån, Statens skolverk, Uppsala universitet, Umeå universitet, Södertörns högskola, Centrala studiestödsnämnden, Överklagandenämnden för studiestöd, Riksarkivet, Arbetsmarknadsstyrelsen, Inspektionen för arbetslöshetsförsäkringen, Örebro kommun, Sveriges kommuner och landsting, Sveriges elevråd, Sveriges förenade studentkårer. Följande instanser har inte svarat eller angivit att de avstår från att lämna synpunkter: Riksrevisionen, Rikspolisstyrelsen, Ekonomistyrningsverket, Högskoleverket, Verket för högskoleservice, Malmö högskola, Sametinget. Vidare har Creditsafe i Sverige AB yttrat sig. Lagrådsremissens lagförslag Förslag till studiestödsdatalag Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet. Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får, utom i fall som avses i 5 §, utföras även om den registrerade motsätter sig behandlingen. Förhållandet till personuppgiftslagen och lagen om den officiella statistiken 2 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, om inte något annat följer av denna lag. Lagen (2001:99) om den officiella statistiken och anslutande författningar gäller i stället för denna lag i fråga om Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik. Personuppgiftsansvar 3 § Centrala studiestödsnämnden är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Ändamål 4 § Personuppgifter får alltid behandlas i Centrala studiestödsnämndens studiestödsverksamhet med den registrerades samtycke. I övrigt får personuppgifter bara behandlas om det behövs för att 1. handlägga ärenden i den verksamheten, 2. administrera handläggningen, 3. förbereda handläggningen, 4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, 5. ta fram och distribuera bevis om studiestöd för studier till studerande, eller 6. anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna. Personuppgifter som behandlas enligt första stycket får dock behandlas genom att lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas avskilt för att återsöka vägledande avgöranden. Regeringen får meddela föreskrifter om begränsningar av ändamålen i första stycket och om i vilka fall behandling får göras med stöd av första stycket 3. Regeringen meddelar föreskrifter om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. 5 § Behandling för ändamål som avses i 4 § första stycket 4 och 5 får utföras bara om den registrerade inte har motsatt sig behandlingen. Centrala studiestödsnämnden ska informera de registrerade om rätten att motsätta sig behandlingen. 6 § I de fall då behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke, har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. Behandling av känsliga personuppgifter m.m. 7 § Personuppgifter får, förutom med den registrerades uttryckliga samtycke, behandlas bara enligt 4 § första stycket 1 om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, om uppgifterna 1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, 2. avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, eller 3. rör hälsa eller sexualliv. Uppgifter som avses i första stycket får dock också behandlas enligt 4 § första stycket 6 och andra stycket. Sökbegrepp 8 § Som sökbegrepp får inte användas 1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, 2. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, 3. uppgifter som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott, eller 4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle. Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas uppgifter som rör 1. hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och 2. inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende. Intern elektronisk tillgång till personuppgifter 9 § Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som deltar i Centrala studiestödsnämndens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten. Centrala studiestödsnämnden ska se till att elektronisk tillgång till personuppgifter dokumenteras. Myndigheten ska också systematiskt och återkommande kontrollera om någon obehörig åtkomst till uppgifterna har förekommit. Regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om dokumentation och kontroll enligt andra stycket. Direktåtkomst och annat elektroniskt utlämnande av personuppgifter 10 § Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, utan den registrerades samtycke, är bara tillåtet i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna i 4-6 och 8 §§ följs. 11 § Försäkringskassan och arbetslöshetskassorna får, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst. 12 § Den registrerade får ha direktåtkomst till personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, om uppgifterna 1. avser honom eller henne själv, 2. finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan, eller 3. avser dokumentation av den elektroniska tillgång som har förekommit till hans eller hennes personuppgifter, dock inte sådan information som avslöjar vilken enskild handläggare som haft tillgång till uppgifterna. 13 § När personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på något annat sätt lämnas ut elektroniskt till mottagaren. Enstaka personuppgifter får även i andra fall lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall. 14 § På begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling. Rättelse och skadestånd 15 § Bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller föreskrifter som har meddelats i anslutning till denna lag. Gallring 16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse. Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också trots första stycket i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt. _____________ 1. Denna lag träder i kraft den 1 januari 2010. 2. Bestämmelserna i 9 och 16 §§ ska inte börja tillämpas förrän den 1 januari 2011. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2008-11-17 Närvarande: F.d. justitierådet Bo Svensson, f.d. regeringsrådet Leif Lindstam och justitierådet Lars Dahllöf. Behandling av personuppgifter inom studiestödsområdet Enligt en lagrådsremiss den 6 november 2008 (Utbildningsdepartementet) har regeringen beslutat att inhämta Lagrådets yttrande över förslag till studiestödsdatalag. Förslaget har inför Lagrådet föredragits av rättssakkunnige Daniel Wanhatalo. Förslaget föranleder följande yttrande av Lagrådet: Samtycke till behandling av personuppgifter Lagen innebär bl.a. att behandling av personuppgifter i Centrala Studiestödsnämndens (CSN:s) studiestödsverksamhet i vissa fall inte får utföras utan samtycke av den registrerade, i andra fall inte får utföras om den registrerade motsätter sig behandlingen och i ytterligare andra fall får utföras oavsett om den registrerade samtycker till eller motsätter sig behandlingen. Bestämmelserna i dessa avseenden, som finns 1 § tredje stycket och 4-7 §§, kan enligt Lagrådets mening ges en mer överskådlig utformning av följande skäl. Under rubriken "Lagens tillämpningsområde" anges i 1 § tredje stycket att behandling av personuppgifter som enligt lagen är tillåten utan samtycke av den registrerade får - utom i fall som avses i 5 § - utföras även om den registrerade motsätter sig behandlingen. Bestämmelsen bidrar inte till avgränsningen av tillämpningsområdet för lagen och bör därför utgå ur paragrafen. Lagrådet återkommer nedan till 5 §. Under rubriken "Ändamål" anges i 4 § första stycket första meningen att personuppgifter alltid får behandlas i CSN:s studiestödsverksamhet med den registrerades samtycke. Bestämmelsen avser inte något ändamål med behandlingen och bör därför utgå ur paragrafen. Enligt 5 § får behandling för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner (4 § första stycket 4) eller för att ta fram eller distribuera bevis om studiestöd för studier till studerande (4 § första stycket 5) utföras bara om den registrerade inte har motsatt sig behandlingen. Om paragrafen, som Lagrådet förordar nedan, utgår ur lagen bör paragrafen i stället innehålla den från 1 § tredje stycket i remissens lagförslag hämtade bestämmelsen om att behandling av personuppgifter, som får utföras utan samtycke av den registrerade, får utföras även om den registrerade motsätter sig behandlingen. I 6 § bör införas bestämmelser motsvarande dem som finns i 7 § i remissens lagförslag. Paragrafen bör föregås av en rubrik "Begränsningar i rätten att behandla personuppgifter". Bestämmelserna i 7 och 8 §§ i remissens lagförslag är grundade på 13 och 21 §§ personuppgiftslagen. Att bestämmelser om behandling av uppgifter som avslöjar ras, etniskt ursprung, filosofisk övertygelse, sexualliv m.m. behövs i personuppgiftslagen är begripligt, eftersom den lagen gäller myndigheter, företag och enskilda utan någon begränsning till viss verksamhet eller liknande. Det är inte omedelbart klart om och därför inte heller i vilken omfattning sådana uppgifter kan förekomma på det begränsade område som studiestödsdatalagen reglerar. Det är inte heller klart vilken betydelse uppgifterna kan ha för handläggningen av ärenden om studiestöd. Vissa av uppgifterna, t.ex. de som rör hälsa, inkomst, förmögenhet och anledning till studieavbrott, förefaller mer relevanta än andra. Enligt Lagrådets mening bör det om möjligt klarläggas i det fortsatta beredningsarbetet om det är lämpligt och möjligt att begränsa de uppgifter som ska anges i 7 och 8 §§. Rubriken närmast före 7 § i remissens lagförslag bör utgå. I 7 § bör tas in bestämmelser om rätten att med den registrerades samtycke utföra sådan behandling av personuppgifter som inte skulle vara tillåten utan samtycke. Närmast före paragrafen bör införas rubriken "Samtycke av den registrerade". Av den föreslagna 6 § framgår vad som ska gälla när den registrerade återkallar ett redan lämnat samtycke till behandling av sådana personuppgifter i CSN:s studiestödsverksamhet där samtycke krävs. Enligt sista meningen i paragrafen får sedan samtycket har återkallats ytterligare personuppgifter om den registrerade därefter inte behandlas. Detta innebär enligt författningskommentaren att efter en återkallelse av ett samtycke får ytterligare uppgifter inte samlas in eller behandlas. Inte heller får befintliga uppgifter uppdateras eller kompletteras. Däremot får enligt författningskommentaren behandling av dessförinnan inhämtade personuppgifter fortsätta i enlighet med det ursprungligen lämnade samtycket. Enligt Lagrådets mening kan ifrågasättas varför ett återkallat samtycke inte ska gälla också mera generellt för behandling av sådana "samtyckesuppgifter" som redan samlats in och inte bara träffa ytterligare insamling eller bearbetning eller komplettering av sådana uppgifter. Avgränsningen bör belysas närmare under den fortsatta beredningen av lagstiftningsärendet. Bestämmelserna om återkallelse av samtycke bör tas in som ett andra stycke i 7 §. De bestämmelser som Lagrådet hittills har behandlat föreslås få följande lydelse: 4 § Personuppgifter får behandlas i Centrala studiestödsnämndens studiestödsverksamhet bara om det behövs för att 1. handlägga ärenden i studiestödsverksamheten, 2. administrera handläggningen, 3. förbereda handläggningen, 4. informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, 5. ta fram eller distribuera bevis om studiestöd för studier till studerande, eller 6. anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna. Personuppgifter som behandlas enligt första stycket får lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyldighet för Centrala Studiestödsnämnden att lämna uppgifter följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas för att ge tillgång till vägledande avgöranden. Regeringen får meddela föreskrifter om begränsningar av ändamålen i första stycket och om i vilka fall behandling får göras med stöd av första stycket 3. Regeringen meddelar föreskrifter om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. 5 § Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får utföras även om den registrerade motsätter sig behandlingen. Begränsningar i rätten att behandla personuppgifter 6 § (motsvarar 7 § i remissens lagförslag) Särskilda begränsningar gäller för behandling av personuppgifter som 1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, 2. avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, eller 3. rör hälsa eller sexualliv. Uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket. Samtycke av den registrerade 7 § Utan hinder av 4 § första stycket får personuppgifter behandlas i Centrala studiestödsnämndens studiestödsverksamhet med den registrerades samtycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke. I de fall då behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet är tillåten bara när den registrerade har lämnat sitt samtycke, har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. Information om förmåner och distribution av studiestödsbevis Enligt 4 § i det remitterade förslaget får CSN behandla personuppgifter, om det behövs för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner eller för att ta fram och distribuera bevis om studiestöd för studier till studerande. Sådan behandling får emellertid enligt 5 § i det remitterade förslaget ske bara om den registrerade inte har motsatt sig behandlingen. Lagrådet vill ifrågasätta om det är motiverat att på detta sätt ge personer som kan komma ifråga för studiestöd rätt att vägra att bli informerade om sina medborgerliga rättigheter och att ta emot bevis om studiestöd som de efter egen ansökan har tillerkänts. Studiestöd är en av statmakterna beslutad åtgärd som syftar till att höja utbildningsnivån i vårt land och stärka vår konkurrenskraft i den globala ekonomin. Det är CSN:s uppgift att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Det framstår som närmast orimligt att skattebetalarnas pengar ska användas för att bygga upp en datarutin som ska förhindra att det med all sannolikhet mycket begränsade antalet studiestödsberättigade som anmäler sig till myndighetens "NIX-register" ska få myndighetens material med posten. Lagrådet föreslår därför att paragrafen utgår. 15 § Enligt paragrafen gäller bestämmelserna i 28 och 48 §§ personuppgiftslagen om rättelse och skadestånd vid behandling av personuppgifter enligt studiestödsdatalagen eller föreskrifter som har meddelats med anledning av den senare lagen. En skillnad mellan de två angivna paragraferna i personuppgiftslagen ligger däri att rättelse m.m. ska göras, om behandling av personuppgifter inte har gjorts enligt lagen eller föreskrifter som har utfärdats med stöd av lagen medan skadestånd kan komma i fråga bara om en behandling har skett i strid med lagen. Det föreligger alltså en skillnad mellan bestämmelserna i studiestödsdatalagen och personuppgiftslagen. Om skillnaden är avsedd bör anledningen till detta förklaras. Utbildningsdepartementet Utdrag ur protokoll vid regeringssammanträde den 11 december 2008 Närvarande: Statsrådet Olofsson, ordförande, och statsråden Odell, Ask, Husmark Pehrsson, Leijonborg, Larsson, Erlandsson, Torstensson, Hägglund, Björklund, Carlsson, Borg, Sabuni, Billström, Adelsohn Liljeroth, Tolgfors Föredragande: Statsrådet Leijonborg Regeringen beslutar proposition 2008/09:96 Behandling av personuppgifter inom studiestödsområdet Prop. 2008/09:96 Prop. 2008/09:00 4 5 1 Prop. 2008/09:96 Prop. 2008/09:96 Prop. 2008/09:96 Prop. 2008/09:96 10 9 107 Prop. 2008/09:00 Prop. 2008/09:00 Prop. 2008/09:00 Prop. 2008/09:96 107 11 107 Prop. 2008/09:00 Prop. 2008/09:00 Prop. 2008/09:96 Prop. 2008/09:96 20 21 107 Prop. 2008/09:96 Prop. 2008/09:96 26 27 107 Prop. 2008/09:96 Prop. 2008/09:96 68 69 107 Prop. 2008/09:96 Prop. 2008/09:96 107 75 107 Prop. 2008/09:96 Prop. 2008/09:96 76 107 107 Prop. 2008/09:96 Prop. 2008/09:96 88 87 107 Prop. 2008/09:00 Prop. 2008/09:00 Prop. 2008/09:96 Bilaga 1 Prop. 2008/09:96 Bilaga 1 92 91 107 Prop. 2008/09:00 Bilaga 1 Prop. 2008/09:00 Bilaga 1 Prop. 2008/09:96 Bilaga 2 Prop. 2008/09:96 Bilaga 2 96 95 107 Prop. 2008/09:00 Bilaga 2 Prop. 2008/09:00 Bilaga 2 Prop. 2008/09:96 Bilaga 3 Prop. 2008/09:96 Bilaga 3 107 97 107 Prop. 2008/09:00 Bilaga 3 Prop. 2008/09:00 Bilaga 3 Prop. 2008/09:96 Bilaga 4 Prop. 2008/09:96 Bilaga 4 102 101 107 Prop. 2008/09:00 Bilaga 4 Prop. 2008/09:00 Bilaga 4 Prop. 2008/09:96 Bilaga 5 Prop. 2008/09:96 Bilaga 5 106 105 107 Prop. 2008/09:96 Prop. 2008/09:96 107 107 107 Prop. 2008/09:00 Prop. 2008/09:00