Utbildningsutskottets betänkande

2019/20:UbU19

 

En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten

Sammanfattning

Utskottet ställer sig bakom regeringens förslag om ändringar i studiestödsdatalagen.

Förslagen syftar till att ge Centrala studiestödsnämnden (CSN) en mer ändamålsenlig dataskyddsreglering och därmed också bättre förutsättningar för myndigheten att utveckla sin verksamhet.

För det första föreslås att de tillåtna ändamålen för personuppgifts­behandling inte längre ska vara uttömmande reglerade. I stället ska den s.k. finalitetsprincipen utgöra den yttersta ramen för personuppgiftsbehandling i studiestödsverksamheten. Principen innebär att personuppgifter får vidare­behandlas för tillkommande ändamål men med begränsningen att dessa ändamål inte får vara oförenliga med de ursprungliga insamlingsändamålen.

För det andra föreslås att denna princip även ska gälla känsliga personuppgifter och personuppgifter om lagöverträdelser. Sådana uppgifter får dock bara vidarebehandlas i enlighet med finalitetsprincipen om det är absolut nödvändigt för syftet med behandlingen. Denna ytterligare begränsning syftar till att säkerställa att behandlingen sker med restriktivitet efter en noggrann prövning i det enskilda fallet.

För det tredje föreslås att den gallringsbestämmelse i lagen som innebär att CSN får bevara personuppgifter längre tid än de gallringsfrister som anges i lagen ska göras teknikneutral. För närvarande får sådant bevarande endast ske på papper eller annat medium som inte är elektroniskt.

Lagändringarna föreslås träda i kraft den 1 juli 2020.

Behandlade förslag

Proposition 2019/20:113 En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten.

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Ärendet och dess beredning

Bakgrund

Propositionens huvudsakliga innehåll

Utskottets överväganden

En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten

Bilaga 1
Förteckning över behandlade förslag

Propositionen

Bilaga 2
Regeringens lagförslag

Utskottets förslag till riksdagsbeslut

 

 

En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten

Riksdagen antar regeringens förslag till lag om ändring i studiestödsdatalagen (2009:287).

Därmed bifaller riksdagen proposition 2019/20:113.

Stockholm den 14 maj 2020

På utbildningsutskottets vägnar

Roger Haddad

Följande ledamöter har deltagit i beslutet: Roger Haddad (L), Caroline Helmersson Olsson (S), Daniel Riazat (V), Michael Rubbestad (SD), Maria Nilsson (L), Johan Hultberg (M), Mats Green (M), Erik Ottoson (M), Ola Johansson (C), Anna Johansson (S), Fredrik Lundh Sammeli (S), Helene Hellmark Knutsson (S), Niklas Karlsson (S), Adam Marttinen (SD), Tobias Andersson (SD), Maria Gardfjell (MP) och Camilla Brodin (KD).

 

 

 

 

Redogörelse för ärendet

Ärendet och dess beredning

I betänkandet behandlar utskottet regeringens proposition 2019/20:113 En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten. Centrala studiestödsnämnden (CSN) har i två skrivelser till Utbildningsdepartementet (U2019/00221/GV och U2011/01355/GV) efterfrågat en uppdatering i vissa avseenden av det dataskyddsregelverk som gäller vid behandling av personuppgifter i studiestödsverksamheten. En promemoria har därför utarbetats inom Regeringskansliet (Utbildningsdepartementet), och promemorian har remissbehandlats (U2019/01948/UH).

Regeringens förslag till riksdagsbeslut finns i bilaga 1. Regeringens lagförslag finns i bilaga 2. Lagförslaget har granskats av Lagrådet, som har lämnat förslaget utan erinran.

Bakgrund

Dataskyddsregelverket

I maj 2018 trädde EU:s s.k. dataskyddsförordning (GDPR, General Data Protection Regulation) i kraft. I den anges bl.a. vilka principer som gäller för behandling av personuppgifter. Förordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna, men medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna. Den svenska dataskyddslagen (2018:218) innehåller sådana bestämmelser. Lagen kan i sin tur kompletteras av registerförfattningar, dvs. sektorsspecifika författningar som reglerar behandling av personuppgifter inom olika avgränsade områden. Studiestödsdatalagen (2009:287) är den registerförfattning som tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. Propositionen Behandling av personuppgifter på utbildningsområdet (prop. 2017/18:218) innehöll förslag för att anpassa bl.a. studiestödsdatalagen till dataskyddsförordningen och dataskyddslagen. Riksdagen beslutade enligt regeringens förslag, och lagändringarna trädde i kraft den 1 augusti 2018 (bet. 2017/18:UbU28, rskr. 2017/18:431).

Behandling av personuppgifter

Vilka principer som gäller för behandling av personuppgifter, dvs. vilka allmänna krav som gäller för all personuppgiftsbehandling, anges i artikel 5.1 i dataskyddsförordningen. Den första principen, som slås fast i artikel 5.1 a, är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vidare anges i artikel 5.1 b att person­uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Av samma artikel framgår att personuppgifterna inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (finalitetsprincipen).

Det är vanligt att i en registerförfattning ta in bestämmelser som anger för vilka ändamål personuppgifter får behandlas. Sådana bestämmelser finns bl.a. i studiestödsdatalagen. Det finns olika sätt att utforma ändamålsregleringen i en registerförfattning. Ett sätt är att uttömmande ange de ändamål för vilka behandling får ske, som i 4 § studiestödsdatalagen. Ett annat sätt är att de ändamål som anges i lagen kompletteras med en möjlighet att behandla uppgifter även för ändamål som inte är oförenliga med de för vilka uppgifterna samlades in. Det senare alternativet innebär att finalitetsprincipen utgör den yttersta ramen för behandling av personuppgifter.

Propositionens huvudsakliga innehåll

I propositionen föreslås ändringar i studiestödsdatalagen (2009:287) som syftar till att ge Centrala studiestödsnämnden (CSN) en mer ändamålsenlig dataskyddsreglering och därmed också bättre förutsättningar för myndigheten att utveckla sin verksamhet.

För det första föreslås att de tillåtna ändamålen för personuppgifts­behandling inte längre ska vara uttömmande reglerade. I stället ska den s.k. finalitetsprincipen utgöra den yttersta ramen för personuppgiftsbehandling i studiestödsverksamheten. Principen innebär att personuppgifter får vidare­behandlas för tillkommande ändamål men med begränsningen att dessa ändamål inte får vara oförenliga med de ursprungliga insamlingsändamålen.

För det andra föreslås att denna princip även ska gälla känsliga personuppgifter och personuppgifter om lagöverträdelser. Sådana uppgifter får dock bara vidarebehandlas i enlighet med finalitetsprincipen om det är absolut nödvändigt för syftet med behandlingen. Denna ytterligare begränsning syftar till att säkerställa att behandlingen sker med restriktivitet efter en noggrann prövning i det enskilda fallet.

För det tredje föreslås att den gallringsbestämmelse i lagen som innebär att CSN får bevara personuppgifter längre tid än de gallringsfrister som anges i lagen ska göras teknikneutral. För närvarande får sådant bevarande endast ske på papper eller annat medium som inte är elektroniskt.

Lagändringarna föreslås träda i kraft den 1 juli 2020.

Utskottets överväganden

En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten

Utskottets förslag i korthet

Riksdagen antar regeringens förslag till ändringar i studiestödsdatalagen som innebär att det i lagen ska införas en bestämmelse som anger att personuppgifter får vidarebehandlas för ändamål som inte är oförenliga med de ursprungliga insamlingsändamålen (den s.k. finalitetsprincipen). Känsliga personuppgifter och personuppgifter om lagöverträdelser får dock bara vidarebehandlas om det är absolut nödvändigt för syftet med behandlingen. Dessutom ska lagens bestämmelse om hur länge personuppgifter får bevaras göras teknikneutral. Personuppgifter i ett ärende om studiestöd ska inte längre behöva bevaras i pappersform eller på annat medium som inte är elektroniskt. Ändringarna ska träda i kraft den 1 juli 2020.

 

Propositionen

Modernisering av dataskyddsregleringen på studiestödsområdet efterfrågas

Centrala studiestödsnämnden (CSN) har i två skrivelser till Utbildningsdepartementet (U2019/00221/GV och U2011/01355/GV) efterfrågat en uppdatering i vissa avseenden av det dataskyddsregelverk som gäller vid behandling av personuppgifter i studiestödsverksamheten.

CSN har framfört att studiestödsdatalagens restriktiva utformning när det gäller tillåtna ändamål för personuppgiftsbehandling innebär ett återkommande hinder mot utveckling och andra kvalitets- och effektivitetshöjande åtgärder i myndighetens verksamhet. För att CSN ska kunna fullgöra sitt uppdrag, tillhandahålla en säker it-infrastruktur, kontinuerligt söka förbättringspotential och effektiviseringsåtgärder samt utveckla myndighetens handläggning och service behöver personuppgifter som samlats in för handläggning av ärenden få behandlas även för andra ändamål. CSN har föreslagit att myndigheten ska få rätt att behandla uppgifter som samlats in för ändamål som anges i 4 § studiestödsdatalagen (2009:287) för ändamål som inte är oförenliga med de ändamål för vilka personuppgifterna samlats in. Förslaget innebär att finalitetsprincipen ska utgöra den yttersta ramen för behandling av personuppgifter i studiestödsverksamheten. Av 4 § framgår i dag att personuppgifter får behandlas i CSN:s studiestödsverksamhet om det behövs för att handlägga ärenden i den verksamheten, administrera handläggningen, förbereda handläggningen, informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner, ta fram och distribuera bevis om studiestöd för studier till studerande eller anmäla oegentligheter inom studiestödsverksamheten till ett offentligt organ som har till uppgift att utreda eller beivra oegentligheterna.

CSN har också framfört att om studiestödsdatalagen ändras behöver även ett ställningstagande göras om CSN:s rätt att behandla dels känsliga personuppgifter, dels uppgifter om fällande domar i brottmål och överträdelser (personuppgifter om lagöverträdelser) för de tillkommande ändamålen. I många fall kommer det avsedda syftet med behandlingen av personuppgifter enligt myndigheten att kunna uppnås utan att känsliga uppgifter eller personuppgifter om lagöverträdelser behöver behandlas. CSN föreslår dock att rätten att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser begränsas till att uteslutande avse fall där behandling av sådana uppgifter är absolut nödvändig för syftet med behandlingen.

CSN har även efterfrågat ändringar i 16 § studiestödsdatalagen, som innehåller gallringsbestämmelser. För ärenden där handläggning pågår efter de tidsfrister som gäller för gallring kan CSN i dag bevara personuppgifterna på papper eller annat medium som inte är elektroniskt. CSN har framfört att myndighetens ärendehantering är uppbyggd på en hantering i ett digitalt handläggningssystem. För att ha en realistisk möjlighet att avsluta de få ärenden som ännu inte har hunnit avslutas inom ramen för gallringsfristen föreslår CSN en ändring som innebär att uppgifterna ska få bevaras i elektroniskt format fram till dess att de inte längre behövs för handläggningen i ärendet.

Finalitetsprincipen ska utgöra den yttersta ramen för behandling av personuppgifter i studiestödsverksamheten

I samband med att studiestödsdatalagen sågs över för att anpassas till dataskyddsförordningen konstaterade regeringen att studiestödsdatalagens bestämmelser om ändamål med behandlingen var förenliga med dataskyddsförordningen och borde behållas (prop. 2017/18:218 s. 188). I den nu aktuella propositionen konstaterar regeringen att det inte gjordes något ställningstagande kring den uttömmande ändamålsregleringen eller finalitetsprincipen i samband med översynen. Enligt regeringen är det dock inte vanligt att en registerförfattning innehåller en sådan uttömmande ändamålsreglering som studiestödsdatalagen gör. I stället brukar finalitets­principen gälla (prop. 2019/20:113 s.10 och s. 21).

Enligt regeringen är det viktigt att CSN har rättsliga förutsättningar att bedriva studiestödsverksamheten på ett effektivt sätt. För att CSN ska ges goda förutsättningar att utveckla sin verksamhet behöver myndigheten ha nödvändiga och ändamålsenliga rättsliga verktyg för sin personuppgifts­behandling. Sådana verktyg måste vara rimliga i förhållande till myndighetens behov och verksamhetens komplexitet och till att CSN, precis som många andra myndigheter, behandlar en stor mängd personuppgifter i sin verksamhet. Som CSN har påtalat finns det behov att kunna behandla personuppgifter för att myndigheten ska kunna vidareutveckla sin verksamhet. Det råder dock viss osäkerhet om sådan behandling fullt ut ryms inom de i dag angivna ändamålen.

Vissa av de exempel som CSN nämner som skäl för att finalitetsprincipen bör utgöra den yttersta ramen för behandling av personuppgifter i studiestödsverksamheten avser uppgifter som har ett nära samband med CSN:s verksamhet i fråga om handläggning av ärenden eller andra ändamål som personuppgifter får behandlas för enligt studiestödsdatalagen. Det gäller t.ex. den kvalitetsutveckling av handläggning och service som myndigheten nämner. Andra exempel är att CSN har behov av att kunna ta fram statistik för myndighetsinterna syften och att använda personuppgifter för att ta fram s.k. predikativa analyser för att motverka felaktiga utbetalningar.

För att det inte ska finnas några frågetecken kring CSN:s rättsliga stöd för behandling av personuppgifter anser regeringen att finalitetsprincipen ska utgöra den yttersta ramen för behandling av personuppgifter.

En myndighets behov av att få behandla personuppgifter måste dock alltid vägas mot det skydd för enskilda som dataskyddsregleringen syftar till. Det integritetsintrång för enskilda som personuppgiftsbehandling innebär måste alltid stå i proportion både till de åtgärder som myndigheten vidtar och till åtgärder som föreslås på området. Regeringen konstaterar att finalitetsprincipen är en huvudprincip i dataskyddsförordningen och det normala är att den principen är tillämplig. Regeringen bedömer att förslaget att finalitetsprincipen ska göras tillämplig inte medför någon ökad risk för att personuppgifter hanteras på ett oacceptabelt sätt. Vid en avvägning mellan den inskränkning i den personliga integriteten som en tillämpning av finalitetsprincipen kan innebära och vikten av att CSN kan bedriva sin verksamhet på ett ändamålsenligt sätt utifrån de olika krav som ställs på myndigheten, bl.a. utifrån myndighetsförordningen och myndighetens instruktion, gör regeringen bedömningen att förslaget är förenligt med dataskyddsförordningen.

Regeringen föreslår således att ordet ”bara” ska strykas i 4 § studie­stödsdatalagen och att det ska införas en ny bestämmelse, 4 a §, om att personuppgifter som behandlas enligt 4 § får behandlas även för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Därutöver gör regeringen bedömningen att tester som avser utveckling av befintlig eller ny it-infrastruktur är en administrativ uppgift som CSN behöver utföra för att kunna sköta studiestödsverksamheten. Uppgiften har ett sådant samband med CSN:s studiestödsverksamhet i övrigt att någon särskild ändamålsbestämmelse inte behövs för den verksamheten.

Känsliga personuppgifter och personuppgifter om lagöverträdelser ska endast få vidarebehandlas om det är absolut nödvändigt

CSN har framfört att vid vidarebehandling av personuppgifter kommer i många fall de syften som avses med vidarebehandlingen av personuppgifter att kunna uppnås utan att några känsliga personuppgifter eller personuppgifter om lagöverträdelser behöver behandlas. Det kan i detta sammanhang också konstateras att känsliga personuppgifter är något som förekommer i förhållandevis liten utsträckning i CSN:s studiestödsverksamhet. När sådana uppgifter förekommer rör det sig i allmänhet om uppgifter om hälsotillstånd. Känsliga personuppgifter skulle dock enligt myndigheten kunna behöva vidarebehandlas bl.a. för att ta fram intern verksamhetsstatistik för att kunna utveckla handläggningen av ärenden om studiestöd under sjukdom. I undantagsfall kan det enligt myndigheten även finnas behov av att behandla personuppgifter om lagöverträdelser för tillkommande ändamål.

Det är viktigt att CSN fortlöpande kan bevaka effektiviteten och kvaliteten i verksamheten för att kunna vidareutveckla, effektivisera och förbättra myndighetens verksamhet. Detta förutsätter uppföljning och kontroll av olika slag och då kan känsliga personuppgifter eller personuppgifter om lagöverträdelser i vissa fall vara relevanta. Regeringen gör bedömningen att myndigheten har behov av att i vissa situationer få vidarebehandla sådana personuppgifter även när behandlingen inte hör samman med den direkta handläggningen av ett ärende. 

För att så långt som möjligt värna om den personliga integriteten finns det dock anledning att, precis som CSN har föreslagit, begränsa myndighetens möjligheter till vidarebehandling av dessa personuppgifter jämfört med vad som i övrigt gäller enligt studiestödsdatalagen. Regeringen föreslår därför att det ska införas en ny bestämmelse i studiestödsdatalagen, 6 § tredje stycket, som stadgar att vidarebehandling av känsliga personuppgifter och personuppgifter om lagöverträdelser ska tillåtas först om det är absolut nödvändigt för syftet med behandlingen.

Regeringen konstaterar att förslaget innebär att en terminologi som är vedertagen i andra registerförfattningar som kompletterar dataskydds­förordningen används. Regeringen bedömer även att den föreslagna bestämmelsen står i proportion till det eftersträvade syftet med behandlingen. Därutöver finns det skyddsåtgärder i regelverket för personuppgiftsbehandling i studiestödsverksamheten i form av bestämmelser om förbud mot användning av vissa sökbegrepp, reglering av intern elektronisk tillgång till personuppgifter och bestämmelser om när direktåtkomst till och annat elektroniskt utlämnande av personuppgifter är tillåten. Dessutom finns det sekretessbestämmelser som är tillämpliga oavsett i vilket sammanhang uppgifterna förekommer. Dessa skyddsbestämmelser kommer att vara tillämpliga också vid vidarebehandling av känsliga personuppgifter och personuppgifter om lagöverträdelser. De befintliga skyddsbestämmelserna bedöms därför även vid vidarebehandling i enlighet med finalitetsprincipen uppfylla de krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs enligt dataskyddsförordningen.

I propositionen Behandling av personuppgifter på utbildningsområdet (prop. 2017/18:218) ansåg regeringen att CSN alltjämt ska ha möjlighet att behandla känsliga personuppgifter för de ändamål som anges i studiestödsdatalagen (s. 174). I propositionen föreslogs att en hänvisning till artikel 9.1 i dataskyddsförordningen skulle införas i 6 § studiestödsdatalagen. Regeringen angav att även en hänvisning till 9.2 g skulle införas (s. 174 f.). Av förbiseende infördes dock inte den senare hänvisningen i det lagförslag som lämnades till riksdagen. Regeringen föreslår att en sådan hänvisning nu ska införas.

Gallringsbestämmelsen görs teknikneutral

CSN har framfört att det kan förekomma att personuppgifter i ett ärende kan ha betydelse för andra ärenden där handläggning fortfarande pågår efter de angivna gallringsfristerna. Det kan exempelvis handla om situationer där ett ärende granskas av en tillsynsmyndighet eller ett ärende där beslutet har överklagats men där överprövningen ännu inte är klar. I sådana fall är alltså myndigheten hänvisad till att bevara personuppgifter på papper eller annat medium som inte är elektroniskt. Som framgår av CSN:s skrivelse kan detta innebära en stor administration för myndigheten eftersom uppgifter kan finnas i flera databaser, vilket kan innebära utskrifter av ett stort antal uppgifter som efter en sådan utskrift riskerar att tappa sitt sammanhang.

För att göra CSN:s gallringsbestämmelser mer ändamålsenliga och för att undvika den onödiga administration som den nuvarande regleringen innebär i de få undantagsfall det handlar om föreslår regeringen att den aktuella bestämmelsen i 16 § tredje stycket ska göras teknikneutral. Personuppgifter i ett ärende om studiestöd ska inte längre behöva bevaras i pappersform eller på annat medium som inte är elektroniskt. Förslaget innebär inte att fler personuppgifter kommer att behöva behandlas utan handlar enbart om formen för bevarande till dess att uppgifterna gallras, dvs. att även elektronisk form godtas. Förslaget bedöms stå i proportion till det legitima mål som eftersträvas, dvs. en mer ändamålsenlig, effektiv och rättssäker personuppgiftsbehandling, och bidrar också till en likartad terminologi i förhållande till andra registerförfattningar.

Ikraftträdande

Lagändringarna föreslås träda i kraft den 1 juli 2020, som bedöms vara den tidigaste tidpunkten när det kan ske. Lagändringarna bör träda i kraft så snart som möjligt för att CSN ska ges bättre förutsättningar för en ändamålsenlig personuppgiftsbehandling i studiestödsverksamheten.

Utskottets ställningstagande

Utskottet instämmer i regeringens förslag om ändringar i studiestödsdatalagen och tillstyrker därmed proposition 2019/20:113.

I sammanhanget noterar utskottet att regeringen konstaterar att finalitetsprincipen är en huvudprincip i dataskyddsförordningen och att det normala är att den principen är tillämplig. Utskottet noterar också att det enligt regeringen finns anledning att begränsa möjligheterna till vidarebehandling av känsliga personuppgifter och personuppgifter om lagöverträdelser för att så långt som möjligt värna om den personliga integriteten. Regeringen föreslår därför att sådana uppgifter endast ska få vidarebehandlas enligt finalitetsprincipen om det är absolut nödvändigt.

Avslutningsvis vill utskottet betona vikten av att Centrala studiestöds­nämnden (CSN) kan bedriva sin verksamhet på ett ändamålsenligt sätt utifrån de olika krav som ställs på myndigheten.

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2019/20:113 En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten:

Riksdagen antar regeringens förslag till lag om ändring i studiestödsdatalagen (2009:287).

 

 

 

Bilaga 2

Regeringens lagförslag