Utbildningsutskottets betänkande

2008/09:UbU12

Behandling av personuppgifter inom studiestödsområdet

Sammanfattning

I betänkandet behandlar utskottet proposition 2008/09:96 Behandling av personuppgifter inom studiestödsområdet. Propositionen har inte föranlett några motioner.

Utskottet ställer sig bakom propositionens förslag till en ny lag om behandling av personuppgifter i Centrala studiestödsnämndens (CSN) studiestödsverksamhet, studiestödsdatalagen.

Lagen ska gälla utöver personuppgiftslagens (1998:204) bestämmelser om skydd för den personliga integriteten vid behandling av personuppgifter. Förslaget innebär att personuppgiftsbehandlingen inom studiestödsområdet får en lagreglering som är anpassad till den tekniska utvecklingen.

Den föreslagna studiestödsdatalagen innehåller bestämmelser om lagens tillämpningsområde, tillåtna ändamål för behandling av personuppgifter och de begränsningar som ska gälla för användningen av uppgifterna.

Studiestödsdatalagen föreslås bara gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

I propositionen föreslås att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som arbetar i myndighetens studiestödsverksamhet.

Studiestödsdatalagen föreslås också innehålla särskilda bestämmelser om direktåtkomst och annat elektroniskt utlämnande av personuppgifter, rättelse, skadestånd och gallring.

Regeringen föreslår att studiestödsdatalagen ska träda i kraft den 1 januari 2010. Bestämmelserna om intern elektronisk tillgång till personuppgifter och gallring ska dock inte börja tillämpas förrän den 1 januari 2011.

Utskottets förslag till riksdagsbeslut

En ny lag om behandling av personuppgifter inom Centrala studiestödsnämndens studiestödsverksamhet

Riksdagen antar regeringens förslag till en ny lag om behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, studiestödsdatalagen. Därmed bifaller riksdagen proposition 2008/09:96.

Stockholm den 12 mars 2009

På utbildningsutskottets vägnar

Sofia Larsen

Följande ledamöter har deltagit i beslutet: Sofia Larsen (c), Marie Granlund (s), Margareta Pålsson (m), Mats Gerdau (m), Mikael Damberg (s), Betty Malmberg (m), Agneta Lundberg (s), Christer Nylander (fp), Lars Hjälmered (m), Peter Hultqvist (s), Gunilla Tjernberg (kd), Patrik Forslund (m), Rossana Dinamarca (v), Thomas Strand (s), Mats Pertoft (mp), Caroline Helmersson-Olsson (s) och Per Lodenius (c).

Redogörelse för ärendet

Ärendet och dess beredning

Regeringen lägger i proposition 2008/09:96 Behandling av personuppgifter inom studiestödsområdet fram förslag till en ny lag om behandling av personuppgifter i Centrala studiestödsnämndens (CSN) studiestödsverksamhet, studiestödsdatalagen.

Lagen ska gälla utöver personuppgiftslagens (1998:204) bestämmelser om skydd för den personliga integriteten vid behandling av personuppgifter. Förslaget innebär att personuppgiftsbehandlingen inom studiestödsområdet får en lagreglering som är anpassad till den tekniska utvecklingen. Regeringens lagförslag finns i bilaga 2.

Regeringen har inhämtat Lagrådets yttrande. De synpunkter Lagrådet framförde har beaktats i den föreslagna lagen.

Inga motioner har väckts med anledning av propositionen.

Bakgrund

Riksdagen har i skilda sammanhang påpekat att myndighetsregister som innehåller ett stort antal registrerade personer och som har ett särskilt känsligt innehåll ska regleras i lag (se bl.a. bet. 1990/91:KU11 s. 11; jfr prop. 1997/98:44 s. 41). Det har även från andra håll, bl.a. från Riksdagens ombudsmän, framhållits att det bör övervägas om inte behandlingen av personuppgifter i CSN:s verksamhet bör regleras i lag.

Mot denna bakgrund beslutade regeringen den 31 augusti 2006 att tillkalla en särskild utredare för att granska regleringen och användningen av personregister och annan behandling av personuppgifter vid CSN och andra myndigheter inom studiestödsområdet. Utredningen, som antog namnet Studiestödsdatautredningen, överlämnade den 28 september 2007 betänkandet Studiestödsdatalag (SOU 2007:64). Betänkandet har remissbehandlats.

Utskottets överväganden

En ny lag om behandling av personuppgifter inom Centrala studiestödsnämndens studiestödsverksamhet

Utskottets förslag i korthet

Riksdagen antar regeringens förslag om att behandlingen av personuppgifter i CSN:s studiestödsverksamhet ska regleras i en särskild lag. Lagen ska benämnas studiestödsdatalag. Lagen ska innehålla de grundläggande bestämmelserna om behandling av personuppgifter vid myndigheten.

Gällande rätt

Den grundläggande ramen för behandling av personuppgifter regleras i personuppgiftslagen (1998:204), som vid ikraftträdandet den 24 oktober 1998 ersatte datalagen (1973:289). Personuppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Propositionen

Personuppgiftslagen innehåller allmänna bestämmelser om integritetsskydd vid behandling av personuppgifter. Det går dock inte att generellt lösa alla problem och fullt ut beakta alla frågeställningar med utgångspunkt i personuppgiftslagens bestämmelser. Det behövs ofta en särskild författningsreglering för att anpassa och förstärka integritetsskyddet på särskilda områden.

Riksdagen och regeringen har vid flera tillfällen gett uttryck för att myndighetsregister med ett stort antal registrerade personer och med ett särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. prop. 1990/91:60 Om offentlighet, integritet och ADB s. 56 f. och bet. 1990/91:KU11 s. 11), vilket också framhölls i förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 41).

CSN:s verksamhet på studiestödsområdet avser ett mycket stort antal personer. Många låntagare är också registrerade hos CSN under mycket lång tid. I CSN:s register finns även uppgifter som de registrerade kan uppleva som känsliga, bl.a. uppgifter om ekonomiska förhållanden, sjukdomsperioder och skolk. Redan dessa omständigheter talar för att CSN:s behandling av personuppgifter bör regleras i en särskild lag. En särskild reglering för CSN möjliggör vidare att regelverket utformas så att största möjliga hänsyn tas till de särskilda integritetsrisker som myndighetens verksamhet innebär och till dess behov av ett tydligt författningsstöd med ändamålsenliga bestämmelser, samtidigt som regleringen kan utformas så att den inte i onödan hindrar myndighetens effektivitet.

Mot bakgrund av detta föreslår regeringen att behandlingen av personuppgifter i CSN:s studiestödsverksamhet ska regleras i en särskild lag. Lagen ska benämnas studiestödsdatalag. Lagen ska innehålla de grundläggande bestämmelserna om behandling av personuppgifter vid myndigheten.

Studiestödsdatalagen ska främst innehålla de centrala bestämmelser som anger för vilka ändamål personuppgifter får behandlas, vilka uppgiftskategorier som får behandlas, i vilken omfattning uppgifter får lämnas ut i elektronisk form, när uppgifter ska gallras och vilka rättigheter enskilda har (vilket redovisas närmare nedan).

Lagens bestämmelser ska i vissa fall vara ovillkorliga, t.ex. när det gäller för vilka ändamål personuppgifter får behandlas. Eftersom förhållanden som rör datoriserad behandling av personuppgifter ofta förändras, t.ex. när det gäller uppgifter för elektroniskt informationsutbyte, är det inte lämpligt att ha alltför detaljerade bestämmelser om detta i lagen. I stället bör det i det här avseendet vara möjligt för regeringen att i förordning meddela närmare föreskrifter som kompletterar lagen. Detta ska t.ex. gälla frågan om vilka personuppgifter som CSN får lämna ut i elektronisk form. Även i andra fall bör det vara möjligt för regeringen att meddela kompletterande bestämmelser i förordning.

Förhållandet till personuppgiftslagen och annan lagstiftning

I den utsträckning personuppgiftslagen (1998:204) innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i studiestödsdatalagen ska personuppgiftslagen tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet.

När CSN behandlar personuppgifter för att framställa statistik ska lagen (2001:99) om den officiella statistiken och anslutande författningar tillämpas i stället för studiestödsdatalagen.

Lagens tillämpningsområde

Studiestödsdatalagen ska tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. Lagen ska bara tillämpas om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Behandlingen av personuppgifter, som ska vara tillåten enligt studiestödsdatalagen utan den registrerades samtycke, får utföras även om den registrerade motsätter sig behandlingen.

I de fall då behandling av personuppgifter i CSN:s studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke ska den registrerade ha rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade ska därefter inte få behandlas.

Personuppgiftsansvar

CSN ska vara personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.

Ändamål som personuppgifter får behandlas för

Personuppgifter får behandlas i CSN:s studiestödsverksamhet bara om det behövs för att

1. handlägga ärenden i den verksamheten,

2. administrera handläggningen,

3. förbereda handläggningen,

4. informera studiestödsberättigade om studiestödsförmåner och studie-sociala förmåner,

5. ta fram och distribuera bevis om studiestöd för studier till studerande eller

6. anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att bevisa eller beivra oegentligheten.

Personuppgifter som behandlas enligt ovan ska även få behandlas genom att de lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning som skyldighet att lämna uppgifter följer av lag eller förordning, till andra. Personuppgifter som inte direkt pekar ut den registrerade ska också få behandlas för att man ska få tillgång till vägledande avgöranden.

Regeringen får meddela föreskrifter om begränsningar av ändamålen och om i vilka fall behandling får göras för att förbereda handläggningen av ärenden i studiestödsverksamheten. Regeringen meddelar föreskrifter om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål.

Personuppgifter får utöver vad som sägs ovan behandlas i CSN:s studiestödsverksamhet med den registrerades samtycke.

Utskottets ställningstagande

Utskottet föreslår att riksdagen antar regeringens förslag om att behandling av personuppgifter i CSN:s studiestödsverksamhet ska regleras i en särskild lag, studiestödsdatalagen.

Utskottet instämmer i regeringens bedömning att det behövs en särskild författningsreglering av behandlingen av personuppgifter i CSN:s studiestödsverksamhet. Utskottets uppfattning är att den nya studiestödsdatalagen ger ett förstärkt integritetsskydd för det stora antal personer som berörs redan nu och som kommer att beröras i framtiden.

Begränsningar i rätten att behandla personuppgifter m.m.

Utskottets förslag i korthet

Riksdagen antar regeringens förslag om att särskilda begränsningar ska gälla för känsliga personuppgifter och personuppgifter om lagöverträdelser m.m.

Personuppgifter som omfattas av särskilda begränsningar får behandlas för andra ändamål än de ovan angivna bara med den registrerades uttryckliga samtycke.

Propositionen

Särskilda begränsningar

Särskilda begränsningar ska gälla för personuppgifter som

1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,

2. avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden eller

3. rör hälsa eller sexualliv.

Sådana personuppgifter får behandlas bara för att

–     handlägga ärenden i studiestödsverksamheten, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende,

–     anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har att utreda eller beivra oegentligheten,

–     lämnas ut till den registrerade själv, riksdagen och regeringen, samt i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra och

–     ge tillgång till vägledande avgöranden, om uppgifterna inte direkt pekar ut den registrerade.

Personuppgifter som omfattas av särskilda begränsningar får behandlas för andra ändamål än de ovan angivna bara med den registrerades uttryckliga samtycke.

Sökbegrepp

Som sökbegrepp ska inte få användas

1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,

2. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,

3. uppgifter som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott eller

4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.

Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en avskild samling av personuppgifter som inte direkt pekar ut den registrerade ska dock sådana sökbegrepp få användas. Som sökbegrepp får också användas uppgifter som rör

1. hälsa, för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse och

2. inkomst och förmögenhet, för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.

Intern elektronisk tillgång till personuppgifter

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som arbetar i CSN:s studiestödsverksamhet.

Sådan tillgång ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten.

CSN ska se till att elektronisk tillgång till personuppgifter dokumenteras och ska systematiskt och återkommande kontrollera om någon obehörig åtkomst till uppgifterna har förekommit.

Regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om elektronisk tillgång och om dokumentation och kontroll.

Utskottets ställningstagande

Utskottet föreslår att riksdagen antar regeringens förslag om särskilda begränsningar i rätten att behandla personuppgifter, sökbegrepp och intern elektronisk tillgång till personuppgifter. Utskottet anser liksom regeringen att dessa frågor är viktiga från integritetssynpunkt och att det därför finns goda skäl att av integritetsskyddshänsyn införa sådana begränsningar i lagen.

Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter

Utskottets förslag i korthet

Riksdagen antar regeringens förslag om att direktåtkomst till och annat elektroniskt utlämnande utan den enskildes samtycke av personuppgifter som behandlas i CSN:s studiestödsverksamhet ska vara tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna om tillåtna ändamål, begränsningar av behandlingen m.m. och sökbegrepp följs.

När personuppgifter får lämnas ut till någon genom direktåtkomst får personuppgifterna också på något annat sätt lämnas ut elektroniskt till mottagaren.

Propositionen

Direktåtkomst till och annat elektroniskt utlämnande utan den enskildes samtycke av personuppgifter som behandlas i CSN:s studiestödsverksamhet ska vara tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att bestämmelserna om tillåtna ändamål, begränsningar av behandlingen m.m. och sökbegrepp följs.

När personuppgifter får lämnas ut till någon genom direktåtkomst får personuppgifterna också på något annat sätt lämnas ut elektroniskt till mottagaren.

Direktåtkomst för Försäkringskassan och arbetslöshetskassorna

Försäkringskassan och arbetslöshetskassorna ska, i den utsträckning CSN har uppgiftsskyldighet enligt lag eller förordning, få ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst.

Direktåtkomst för den registrerade

Den registrerade får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet, om uppgifterna

1. avser honom eller henne själv,

2. finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan eller

3. avser dokumentation av den elektroniska tillgång som har förekommit till hans eller hennes personuppgifter, dock inte sådan information som avslöjar vilken enskild handläggare som haft tillgång till uppgifterna.

Elektroniskt utlämnande av enstaka personuppgifter

Enstaka personuppgifter ska i enskilda fall alltid få lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation.

Elektroniskt utlämnande till Riksrevisionen

På begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling.

Utskottets ställningstagande

Utskottet föreslår att riksdagen antar regeringens förslag om direktåtkomst till och annat elektroniskt utlämnande av personuppgifter. Utskottet delar regeringens bedömningar vad gäller utformningen av bestämmelser om elektroniskt informationsutbyte.

Rättelse, skadestånd och gallring

Utskottets förslag i korthet

Riksdagen antar regeringens förslag om att bestämmelserna om rättelse och skadestånd i 28 och 48 §§ personuppgiftslagen (1998:204) ska gälla vid behandling av personuppgifter enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till lagen.

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde.

Propositionen

Rättelse och skadestånd

Bestämmelserna om rättelse och skadestånd i 28 och 48 §§ personuppgiftslagen (1998:204) ska gälla vid behandling av personuppgifter enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till lagen.

Gallring

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag ska dock inte behöva gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas för att förbereda handläggningen av ärenden ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från studiestödsdatalagens gallringsbestämmelser. CSN får också i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.

Utskottets ställningstagande

Utskottet föreslår att riksdagen antar regeringens förslag om rättelse, skadestånd och gallring. Utskottet anser – i likhet med regeringen – att de föreslagna bestämmelserna är väl avvägda och följer de principer som kommit till uttryck i personuppgiftslagen och i andra särskilda registerförfattningar.

Ikraftträdande m.m.

Utskottets förslag i korthet

Riksdagen antar regeringens förslag om att studiestödsdatalagen ska träda i kraft den 1 januari 2010. Bestämmelserna om intern elektronisk tillgång till personuppgifter och gallring ska dock inte börja tillämpas förrän den 1 januari 2011.

Propositionen

Det finns i dag inte någon fullständig författningsreglering av behandling av personuppgifter inom studiestödsområdet. Det är därför enligt regeringen angeläget att den föreslagna studiestödsdatalagen träder i kraft så snart det är möjligt. Lagen föreslås träda i kraft den 1 januari 2010.

Det kommer emellertid att krävas visst internt utrednings- och systemutvecklingsarbete hos CSN för att genomföra de föreslagna bestämmelserna om gallring och begränsning av den interna direkta elektroniska tillgången till personuppgifter. För att medge tid för sådant arbete föreslår regeringen att bestämmelserna om intern elektronisk tillgång till personuppgifter och gallring inte ska börja tillämpas förrän ett år efter att lagen trätt i kraft, dvs. den 1 januari 2011. Enligt regeringens bedömning ger detta CSN rimlig tid att införa de nya rutinerna och genomföra de informations- och utbildningsinsatser som krävs.

Regeringen bedömer att kostnaderna för genomförandet av studiestödsdatalagen bör täckas inom ramen för CSN:s ordinarie resurser.

Utskottets ställningstagande

Utskottet föreslår att riksdagen antar regeringens förslag om datum för ikraftträdande.

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2008/09:96 Behandling av personuppgifter inom studiestödsområdet:

Riksdagen antar förslaget till studiestödsdatalag.

Bilaga 2

Regeringens lagförslag