Modernt dataskydd vid CSN (SOU 2024:95)

Sammanfattning

Digg välkomnar utredningens förslag till en mer modern registerförfattning med en anpassning till dagens rättsliga och tekniska förutsättningar.

Digg tillstyrker betänkandets förslag i sin helhet men vill särskilt lyfta fram förslaget om att bestämmelserna i den nya studiestödsdatalagen inte ska gälla vid CSN:s behandling av personuppgifter i EU:s gemensamma informationssystem. Det föreslagna undantaget minskar riskerna för eventuella konflikter och att myndigheter i olika medlemsstater agerar olika. Dock innebär också komplexiteten i sådana system att det kan vara svårt att dra tydliga gränser mellan en myndighets system och EU:s gemensamma informationssystem. Undantaget accentuerar också vikten av att kompletterande nationell lagstiftning utreds vid införandet av sådana system.

Särskilt om förslaget att bestämmelserna i den nya studiestödsdatalagen inte ska gälla vid CSN:s behandling av personuppgifter i EU:s gemensamma informationssystem.

Vi tillstyrker förslaget till 3 § i den nya studiestödsdatalagen, att bestämmelserna inte ska gälla vid CSN:s behandling av personuppgifter i EU:s gemensamma informationssystem. Grunderna och formerna för sådan behandling av personuppgifter följer direkt av aktuell unionslagstiftning och det föreslagna undantaget minskar riskerna för tillämpningsproblem och att myndigheter i olika medlemsstater agerar olika.

Dock påpekas i betänkandet (s. 195) att det inte är möjligt att på ett mer exakt sätt beskriva när CSN utför en specifik behandling i ett visst EU-gemensamt informationssystem på ett sätt som innebär att undantaget blir tillämpligt. I stället ska detta få avgöras i den praktiska tillämpningen av bestämmelsen. Digg instämmer i att förslaget kommer att medföra gränsdragningsproblematik mellan system som förvaltas nationellt och EU-gemensamma system samt kring när uppgifter övergår från ett system till ett annat. Gemensamma system av denna typ utgör komplicerade strukturer med många ingående komponenter och det framgår inte alltid av tillhörande unionslagstiftning hur ansvaret, ur såväl ett legalitets- och ett dataskyddsperspektiv, ska fördelas mellan de berörda myndigheterna på nationell nivå. Det blir därför viktigt vid nationell implementering av gemensamma system att det tydliggörs vilka svenska myndigheter som ansvarar för vilka komponenter. Vi vill som exempel lyfta fram att Digg i rapporten Förslag för den svenska anslutningen till EU:s tekniska system för gränsöverskridande utbyte av bevis (dnr 2024–2183) har föreslagit författningsändringar som syftar till att förtydliga ansvarsfördelningen mellan Digg och behöriga myndigheter. En effekt av dessa förslag, om de genomförs, är ett förtydligat rättsligt stöd för den personuppgiftsbehandling som behöriga myndigheter utför i komponenter som de ansvarar för men som också ingår i ett EU-gemensamt informationssystem.

Detta yttrande har beslutats av generaldirektör Anna Eriksson. I den slutliga handläggningen har också jurist Magnus Ivarsson, rättschef Linn Kempe och avdelningschef tillika ställföreträdande generaldirektör Chanett Edlund deltagit.

Föredragande har varit handläggare Alma Enkvist.