Prop. 2017/18:218
Behandling av personuppgifter på utbildningsområdet
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 5 april 2018
Stefan Löfven
Gustav Fridolin (Utbildningsdepartementet)
Propositionens huvudsakliga innehåll
Propositionen innehåller förslag till lagändringar på utbildningsområdet som innebär kompletteringar och anpassningar till – Europaparlamentets och rådets förordning (EU) 2016/679 av den
27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), – den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna
lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, och – föreskrifter som meddelas med stöd av den lagen.
De kompletterande bestämmelser inom utbildningsområdet som här föreslås syftar till att möjliggöra en fortsatt ändamålsenlig behandling av personuppgifter på detta område samtidigt som den enskildes fri- och rättigheter skyddas, oavsett om behandlingen utförs av offentliga eller enskilda aktörer. Ändringar föreslås i – lagen (1993:792) om tillstånd att utfärda vissa examina, – lagen (2009:128) om yrkeshögskolan, – studiestödsdatalagen (2009:287), och – skollagen (2010:800).
Lagändringarna föreslås träda i kraft den 1 augusti 2018.
1. Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina,
2. lag om ändring i lagen (2009:128) om yrkeshögskolan,
3. lag om ändring i studiestödsdatalagen (2009:287),
4. lag om ändring i skollagen (2010:800).
2. Lagförslag
Regeringen har följande förslag till lagtext.
2.1. Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina
Härigenom föreskrivs i fråga om lagen (1993:792) om tillstånd att utfärda vissa examina1
dels att nuvarande 5 och 6 §§ ska betecknas 6 och 5 §§,
dels att det ska införas fem nya paragrafer, 10–14 §§, och närmast före 10 § en ny rubrik av följande lydelse,
dels att det ska införas en ny rubrik närmast före 1 § som ska lyda ”Tillstånd att utfärda examina”, en ny rubrik närmast före den nya 6 § som ska lyda ”Uppföljning och utvärdering”, en ny rubrik närmast före 7 § som ska lyda ”Återkallelse av tillstånd” och en ny rubrik närmast före 8 § som ska lyda ”Utfärdande av examina utan tillstånd”.
Nuvarande lydelse Föreslagen lydelse
Behandling av personuppgifter
10 §
Bestämmelserna i 13 och 14 §§ tillämpas vid behandling av personuppgifter i verksamhet hos en enskild utbildningsanordnare som har fått tillstånd att utfärda examina och som bedrivs med stöd av denna lag, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.
11 §
Bestämmelserna i 13 och 14 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om
1 Senaste lydelse av 5 § 2000:1371 6 § 2000:1371.
upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i 13 och 14 §§ har samma betydelse som i EU:s dataskyddsförordning.
12 §
Bestämmelser om behandling av personuppgifter finns även i lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.
13 §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare
1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller
2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För vissa enskilda utbildningsanordnare som jämställs med myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.
14 §
Personuppgifter som rör fällande domar i brottmål får be-
handlas av en enskild utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning.
För enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv finns det även bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen.
Denna lag träder i kraft den 1 augusti 2018.
2.2. Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan
Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögskolan ska införas fem nya paragrafer, 19 a–19 e §§, och närmast före 19 a § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Behandling av personuppgifter
19 a § Bestämmelserna i 19 d och 19 e §§ tillämpas vid behandling av personuppgifter i verksamhet inom yrkeshögskolan som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.
19 b § Bestämmelserna i 19 d och 19 e §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Termer och uttryck i 19 d och 19 e §§ har samma betydelse som i EU:s dataskyddsförordning.
19 c § Bestämmelser om behandling av personuppgifter finns även i lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.
19 d § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare
1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller
2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. För myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.
19 e § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en studerande från utbildning. För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § första stycket dataskyddslagen.
Denna lag träder i kraft den 1 augusti 2018.
2.3. Förslag till lag om ändring i studiestödsdatalagen (2009:287)
Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287)
dels att 7 och 15 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 7 och 15 §§ ska utgå,
dels att 2, 5, 6, 8, 10 och 16 §§ och rubriken närmast före 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.
Nuvarande lydelse
Förhållandet till personupp-
giftslagen och lagen om den officiella statistiken
Föreslagen lydelse
Förhållandet till
annan
reglering
2 §
I den mån personuppgiftslagen (1998:204) innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i denna lag, ska personuppgiftslagen tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet.
Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen ( 2001:99 ) om den officiella statistiken och anslutande författningar tillämpas i stället för denna lag.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.
2 a §
Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.
Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik
ska lagen ( 2001:99 ) om den officiella statistiken och anslutande författningar tillämpas i stället för denna lag.
5 §
Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får utföras även om den registrerade motsätter sig behandlingen.
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
6 §
Särskilda begränsningar gäller för behandling av personuppgifter som
1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, eller
3. rör hälsa eller sexualliv. Uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och personuppgifter som avses i artikel 10 i samma förordning får behandlas av Centrala studiestödsnämnden för ändamål som avses i 4 § första stycket 1 och 6 och andra stycket.
8 §
Som sökbegrepp får inte användas
1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,
3. uppgifter som rör hälsa, sex-
Det är förbjudet att använda sökbegrepp som avslöjar
1. känsliga personuppgifter,
2. personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning,
3. uppgifter som rör inkomst,
ualliv, inkomst, förmögenhet eller anledning till studieavbrott, eller
förmögenhet eller anledning till studieavbrott, eller
4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.
Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas uppgifter som rör
1. hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och
2. inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.
Sökbegrepp som avslöjar uppgifter som anges i första stycket får dock användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen.
Sökbegrepp får också användas om de avslöjar uppgifter som rör
1. hälsa, om det är nödvändigt för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och
2. inkomst och förmögenhet, om det är nödvändigt för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.
10 §
Direktåtkomst till och annat elektroniskt utlämnande utan den registrerades samtycke av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4 och 6–8 §§ följs.
Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4, 6 och 8 §§ följs.
16 §
Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.
Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
Denna lag träder i kraft den 1 augusti 2018.
2.4. Förslag till lag om ändring i skollagen (2010:800)
Härigenom föreskrivs i fråga om skollagen (2010:800)
dels att 1 kap. 12 § ska ha följande lydelse,
dels att det ska införas ett nytt kapitel, 26 a kap., av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
12 §2
Lagen är uppdelad i 29 kapitel. Lagen är uppdelad i 30 kapitel.
Dessa är – inledande bestämmelser (1 kap.), – huvudmän och ansvarsfördelning (2 kap.), – barns och elevers utveckling mot målen (3 kap.), – kvalitet och inflytande (4 kap.), – trygghet och studiero (5 kap.), – åtgärder mot kränkande behandling (6 kap.), – skolplikt och rätt till utbildning (7 kap.), – förskolan (8 kap.), – förskoleklassen (9 kap.), – grundskolan (10 kap.), – grundsärskolan (11 kap.), – specialskolan (12 kap.), – sameskolan (13 kap.), – fritidshemmet (14 kap.), – gymnasieskolan (15–17 a kap.), – gymnasiesärskolan (18 och 19 kap.), – kommunal vuxenutbildning (20 kap.), – särskild utbildning för vuxna (21 kap.), – entreprenad och samverkan (23 kap.), – särskilda utbildningsformer (24 kap.), – annan pedagogisk verksamhet (25 kap.), – tillsyn, statlig kvalitetsgranskning och nationell uppföljning och utvärdering (26 kap.),
– behandling av personuppgifter (26 a kap.),
– Skolväsendets överklagandenämnd och Lärarnas ansvarsnämnd (27 kap.),
– överklagande (28 kap.), och – övriga bestämmelser (29 kap.).
2 Senaste lydelse 2015:482.
26 a kap. Behandling av personuppgifter
1 §
Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.
Detta kapitel ska inte tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården.
Förhållande till annan dataskyddsreglering
2 §
Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i detta kapitel har samma betydelse som i EU:s dataskyddsförordning.
3 § Bestämmelser om behandling av personuppgifter finns även i lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.
Känsliga personuppgifter
4 §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas hos en enskild huvudman enligt 2 kap. eller hos en enskild aktör enligt 24 eller 25 kap.
1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller
2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För myndigheter och vissa andra organ finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.
5 §
Regeringen får meddela föreskrifter om undantag från de sökbegränsningar som avses i 4 § andra stycket denna lag och i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om hälsa i verksamhet hos en huvudman för
1. grundsärskola,
2. specialskolan,
3. gymnasiesärskola,
4. särskild utbildning för vuxna,
5. gymnasieskola med Rh-anpassad utbildning,
6. utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har
en språkstörning, och
7. förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd.
Regeringen får också meddela föreskrifter om undantag från sökbegränsningen i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om
1. etniskt ursprung i verksamhet hos en huvudman för sameskolan, och
2. hälsa och etniskt ursprung i verksamhet hos en kommun.
Personuppgifter som rör lagöverträdelser
6 §
Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas i verksamhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet
1. i löpande text inom elevhälsan, och
2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 §.
För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Där finns det även bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv.
Denna lag träder i kraft den 1 augusti 2018.
3. Ärendet och dess beredning
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen, som börjar tillämpas den 25 maj 2018, finns i svensk lydelse i bilaga 1.
Regeringen beslutade den 30 juni 2016 att tillkalla en särskild utredare som bl.a. fick i uppdrag att undersöka vilken reglering av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dels regleringen i dataskyddsförordningen, dels den generella reglering som den redan tillsatta Dataskyddsutredningen (Ju 2016:04) hade i uppdrag att föreslå med anledning av dataskyddsförordningen. Den nya utredningen, som tog sig namnet Utbildningsdatautredningen (U 2016:03), överlämnade i juni 2017 betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49). En sammanfattning av betänkandet finns i bilaga 2. Utredningens lagförslag finns i bilaga 3. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissyttrandena och en sammanställning av dessa finns tillgängliga i Utbildningsdepartementet (U2017/02586/RS).
Datainspektionen har
beretts tillfälle yttra sig över ett utkast till
lagrådsremiss. Utkastet överensstämmer i allt väsentligt med lagrådsremissen. Vissa myndigheter och enskilda har beretts tillfälle att yttra sig över delar av utkastet till lagrådsremiss. Dessa är Statens skolverk, Statens skolinspektion, Specialpedagogiska skolmyndigheten, Sameskolstyrelsen, Sveriges Kommuner och Landsting, Friskolornas Riksförbund, Lärarförbundet, Lärarnas riksförbund Sveriges skolledarförbund, Riksförbundet FUB (avsnitt 2.4, 9.1, 13.3) Myndigheten för yrkeshögskolan (avsnitt 2.2, 20.2), Chalmers tekniska högskola AB (avsnitt 2.1, 20.1), Sveriges förenade studentkårer (avsnitt 9.2.7) Statistiska centralbyrån, Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna (avsnitt 5, 5.4, 9.4, 13.6) och Centrala Studiestödsnämnden (avsnitt 9.5, 13.7, 15, 18.2). Yttranden har inkommit från samtliga utom Lärarförbundet, Lärarnas riksförbund, Sveriges skolledarförbund, Riksförbundet FUB och Myndigheten för yrkeshögskolan. Chalmers tekniska högskola har avstått från att yttra sig. Synpunkterna behandlas i respektive avsnitt. Inkomna yttranden finns tillgängliga i Utbildningsdepartementet (U2017/02586/RS).
Lagrådet
Regeringen beslutade den 1 mars 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Lagrådets synpunkter behandlas i avsnitt 16 och i författningskommentaren. I förhållande till lagrådsremissens lagförslag har vissa språkliga och redaktionella ändringar gjorts.
Förslaget till följdändring i 1 kap. 12 § skollagen (2010:800) är författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets hörande skulle sakna betydelse. Regeringen har därför inte inhämtat Lagrådets yttrande över det förslaget.
4. Ändringar i EU-rätten medför behov av ändringar i den svenska regleringen av behandling av personuppgifter
4.1. Dataskyddsdirektivet ska ersättas av en dataskyddsförordning
När myndigheter och enskilda behandlar personuppgifter inom utbildningsområdet sker det i huvudsak med stöd av personuppgiftslagen (1998:204), förkortad PUL. Med utbildningsområdet avses bl.a. skolväsendet och annan verksamhet som regleras i skollagen (2010:800), den verksamhet som bedrivs av universitet och högskolor, yrkeshögskolan, folkbildningen och studiestödet.
PUL är en lag som har tillkommit i syfte att genomföra Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Syftet med direktivet är åstadkomma en likvärdig skyddsnivå i alla medlemsstater i fråga om fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter och därigenom eliminera hindren mot det fria flödet av personuppgifter mellan medlemsstaterna (artikel 1 och skäl 7–9). Direktivet utgör i sin tur en precisering av Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konventionen kompletteras av ett antal rekommendationer som har antagits av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. Under 2010 inledde Europarådet en översyn av dataskyddskonventionen. Hur lång tid det kommer att ta innan översynen är klar är svårt att förutse.
Dataskyddsdirektivet har ett begränsat tillämpningsområde. Det är inte tillämpligt på t.ex. behandling som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. PUL har dock, till skillnad från direktivet, gjorts generellt tillämplig och är därför tillämplig även utanför EU-rättens område. Skälet för detta är att den svenska dataskyddsreglering som gällde före införandet av PUL i princip var generellt tillämplig på all automatisk behandling av personregister, med vissa undantag. När den dåvarande datalagen (1973:289) skulle ersättas av PUL, ansågs det lämpligt att även den nya lagen skulle omfatta sådan verksamhet som faller utanför EU-rätten (prop. 1997/98:44 s. 40 f.). PUL ska dock inte tillämpas om avvikande bestämmelser finns i annan lag eller förordning, dvs. PUL är subsidiär i förhållande till annan författningsreglering.
Sedan dataskyddsdirektivet beslutades har den ekonomiska och sociala integrationen på EU:s inre marknaden lett till en betydande ökning av gränsöverskridande flöden av personuppgifter. Vidare har den snabba tekniska utvecklingen och globaliseringen skapat nya utmaningar i fråga om skyddet av personuppgifter. Dessa förändringar har av EU:s med-
lemsstater ansetts kräva en stark och mer sammanhängande ram för dataskyddet inom EU. Dataskyddsdirektivet har inte heller förhindrat bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter har ansetts förhindra det fria flödet av personuppgifter och anses därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.
Av bl.a. ovan nämnda skäl antogs den 27 april 2016 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Den nya rättsakten, som i det följande benämns dataskyddsförordningen, syftar till att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen syftar även till att skapa rättslig säkerhet och öppenhet för ekonomiska aktörer, ge fysiska personer i alla medlemsstater samma rättigheter och skyldigheter och ålägga dem som ansvarar för personuppgifterna samma ansvar. På så sätt avses övervakningen av behandling av personuppgifter bli enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt (skäl 10 och 13 till dataskyddsförordningen).
Dataskyddsförordningen har i likhet med dataskyddsdirektivet ett begränsat tillämpningsområde. Vid sidan av dataskyddsförordningen gäller Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.
Dataskyddsförordningen ska tillämpas från och med den 25 maj 2018 då dataskyddsdirektivet upphör att gälla (artikel 99.2 och 94.1 i dataskyddsförordningen). Dataskyddsförordningen kommer alltså att ersätta dataskyddsdirektivet. Denna förändring innebär att PUL kommer att upphävas och att det även i övrigt kommer att behöva göras ändringar i svensk rätt.
4.2. Dataskyddsförordningen är direkt tillämplig men kan kompletteras i nationell rätt
Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2 i dataskyddsförordningen). Att en EUförordning ska ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat framgår också av Fördraget om Europeiska unionens funktionssätt (artikel 288 andra stycket). Till skillnad från EU-direktiv ska alltså EU-förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av en-
skilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser.
Även om dataskyddsförordningen, till skillnad från dataskyddsdirektivet, är direkt tillämplig i medlemsstaterna, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Sådana bestämmelser måste dock vara förenliga med dataskyddsförordningen och avse en fråga som får regleras genom nationell rätt. Möjligheten till kompletterande nationella bestämmelser gäller framför allt för bestämmelser som reglerar förhållandena inom den offentliga sektorn i respektive medlemsstat. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. när det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2 i dataskyddsförordningen). Förordningen har därmed i vissa delar en direktivliknande karaktär. Om förordningen föreskriver att förtydliganden eller begränsningar av dess bestämmelser kan eller ska göras i medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8 till dataskyddsförordningen).
4.3. Dataskyddsförordningen ska kompletteras av en ny svensk övergripande lag och förordning om dataskydd
Till följd av att dataskyddsdirektivet upphävs och ersätts av dataskyddsförordningen beslutade regeringen den 15 februari 2018 propositionen Ny dataskyddslag (prop. 2017/18:105). I propositionen, som baseras på ett betänkande från den i avsnitt 3 nämnda Dataskyddsutredningen (SOU 2017:39), föreslås att PUL ska upphävas. I stället ska bestämmelser som kompletterar dataskyddsförordningen och är av generell karaktär samlas i en ny övergripande lag om dataskydd. För att betona att lagen inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen, föreslås den benämnas lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Den föreslagna nya lagen förkortas i det följande dataskyddslagen.
På motsvarande sätt som PUL har ett vidare tillämpningsområde än dataskyddsdirektivet, föreslås en bestämmelse i dataskyddslagen som utsträcker dataskyddsförordningens tillämpningsområde (1 kap. 2 §). Dataskyddslagen innehåller bl.a. bestämmelser som upplyser om innehållet i dataskyddsförordningen, förtydligar innehållet i dataskyddsförordningens bestämmelser och kompletterar dataskyddsförordningen i vissa delar. Det anges också att bestämmelser i annan lag eller förordning som rör behandling av personuppgifter och som avviker från dataskyddslagen ska ha företräde framför dataskyddslagen (1 kap. 6 § dataskyddslagen), dvs. dataskyddslagen är subsidiär till andra författningar. Det innebär att dataskyddslagen, på motsvarande sätt som PUL, kommer att kunna kompletteras av s.k. registerförfattningar, dvs. författningar som
reglerar behandling av personuppgifter på ett avgränsat område. För närvarande kompletteras PUL av ca 200 registerförfattningar. På utbildningsområdet gäller t.ex. studiestödsdatalagen (2009:287), studiestödsdataförordningen (2009:321) och förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor.
4.4. Dataskyddsförordningen behöver även kompletteras genom svenska bestämmelser på utbildningsområdet
För att den behandling av personuppgifter som i dag sker på utbildningsområdet ska kunna fortsätta när dataskyddsförordningen och dataskyddslagen börjar gälla finns det även behov av kompletterande bestämmelser om personuppgiftsbehandling på utbildningsområdet. De frågor som aktualiseras på utbildningsområdet och där regeringen ser behov att lämna förslag till riksdagen eller informera om sin bedömning gäller förekomsten av rättslig grund för att behandla personuppgifter (avsnitt 9), behandling av känsliga personuppgifter (avsnitt 13), behandling av personuppgifter som rör lagöverträdelser (avsnitt 14) och att studiestödsdatalagen ska anpassas till dataskyddsförordningen (avsnitt 15).
Nedan ges först en kortfattad redogörelse för gällande rätt då den nya dataskyddsförordningen till stor del baseras på dataskyddsdirektivets struktur och innehåll (avsnitt 4.5). Därefter ges en kort beskrivning av vilka nyheter dataskyddsförordningens reglering innebär (avsnitt 4.6).
4.5. Närmare om gällande rätt
Dataskyddsdirektivet
Dataskyddsdirektivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter. Det syftar även till att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma.
Huvuddragen i direktivet är följande. Direktivet gäller för sådan behandling av personuppgifter som helt eller delvis sker på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (artikel 2 b och 3.1 i dataskyddsdirektivet).
Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, t.ex. behandling som gäller allmän
säkerhet, statens säkerhet eller statens verksamhet på straffrättens område.
Direktivet är inte heller tillämpligt på behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål undantas från direktivets materiella bestämmelser (artikel 3.2 och 9).
Medlemsstaterna ska enligt direktivet föreskriva vissa principer för uppgifternas kvalitet. Dessa innebär bl.a. följande. Personuppgifter ska behandlas på ett korrekt och lagligt sätt. Uppgifterna får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och de får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses oförenligt med det ursprungliga ändamålet, förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder.
Medlemsstaterna ska vidare föreskriva att personuppgifter endast får behandlas i bl.a. följande fall: när samtycke lämnats, när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det finns en i författning reglerad förpliktelse att behandling av uppgifterna skall ske, när det är nödvändigt för att skydda den enskildes grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller som ett led i myndighetsutövning eller efter en intresseavvägning mellan de berättigade intressen som finns för behandlingen och den registrerades rättigheter (artikel 6 och 7).
Så kallade känsliga uppgifter, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt uppgifter som rör hälsa och sexualliv. får som huvudregel inte behandlas. Det finns dock vissa undantag, bl.a. om den enskilde uttryckligen samtycker, för ideella föreningars medlemsregister, för hälso- och sjukvårdens administration och vid författningsreglerade skyldigheter. Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet än dem som anges i direktivet, dock endast under förutsättning att det sker av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtas. Medlemsstaterna ska vidare bestämma på vilka villkor nationella identifikationsnummer får behandlas. Vidare får uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder bara behandlas i vissa angivna fall (artikel 8).
Med registeransvarig avses den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Med registerförare avses den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning (artikel 2 d och 2 e).
När personuppgifter samlas in ska de registrerade informeras bl.a. om vem som är registeransvarig och vad uppgifterna ska användas till. All behandling av personuppgifter ska enligt huvudregeln anmälas till en tillsynsmyndighet. Behandling av personuppgifter som innebär särskilda integritetsrisker får inte förekomma utan att tillsynsmyndigheten först
gett tillstånd till detta. Den registrerade ska ha rätt att få sina rättigheter enligt den nationella lagen prövad av tillsynsmyndigheten och domstol. Överföring av personuppgifter till ett tredje land får i princip endast ske om det mottagande landet har en acceptabel skyddsnivå (se bl.a. artikel 10, 18–20, 22 och 25).
Dataskyddsdirektivet har, som angetts ovan, genomförts i svensk rätt huvudsakligen genom PUL. Bestämmelserna i PUL har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. PUL följer i princip dataskyddsdirektivets struktur. Liksom direktivet innehåller PUL bestämmelser om behandling av personuppgifter som helt eller delvis är automatiserad, men även annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. PUL gäller både myndigheter och enskilda som behandlar personuppgifter på detta sätt. Lagen gäller dock inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (5 och 6 §§ PUL). Vidare anges att PUL inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen samt att vissa angivna bestämmelser inte ska tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §). Det anges även att PUL inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter samt att bestämmelserna inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 §).
Liksom direktivet innehåller PUL bl.a. grundläggande krav på behandling av personuppgifter, när behandling av personuppgifter är tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m. och skyldighet att lämna information till den registrerade. De som i direktivet benämns som registeransvarig och registerförare motsvaras i PUL av personuppgiftsansvarig och personuppgiftsbiträde (3 §).
4.6. Likheter och skillnader mellan dataskyddsdirektivet och dataskyddsförordningen
Som nämnts baseras dataskyddsförordningen till stor del på dataskyddsdirektivets struktur och innehåll. Precis som dataskyddsdirektivet, ska dataskyddsförordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1).
Definitionerna av begreppen personuppgifter och behandling i dataskyddsförordningen har, jämfört med dataskyddsdirektivets definitioner, endast justerats något redaktionellt och kompletterats med något ytterligare exempel på vad som utgör personuppgifter respektive behandling (artikel 4 punkt 1 och 2 i dataskyddsförordningen).
Definitionerna av personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen motsvarar definitionerna av registeransvarig och registerförare i dataskyddsdirektivet (artikel 4 punkt 7 och 8).
I likhet med dataskyddsdirektivet innehåller dataskyddsförordningen grundläggande principer för behandling av personuppgifter som i stort sett är oförändrade, en reglering av när behandling av personuppgifter är tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud i vissa fall, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m. och bestämmelser om information till den registrerade (t.ex. artikel 5, 6, 9 10 och 12–15.)
Jämfört med dataskyddsdirektivet medför dock dataskyddsförordningen bl.a. följande förändringar.
Det territoriella tillämpningsområdet utvidgas
Dataskyddsförordningen ska i likhet med dataskyddsdirektivet tillämpas på behandling av personuppgifter som sker inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen. Vidare ska dataskyddsförordningen, i likhet med dataskyddsdirektivet, också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerade i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten (artikel 3.1 och 3.3 i dataskyddsförordningen).
En skillnad jämfört med dataskyddsdirektivets ordalydelse är dock att förordningen under vissa omständigheter även ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förutsättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen (artikel 3.2 i dataskyddsförordningen).
De registrerades rättigheter förstärks
Den registrerades rättigheter har förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade har preciserats och utvidgats och det anges bl.a. uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form (artikel 12–23).
Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20).
Vidare har en tydligare rätt till radering (”rätt att bli bortglömd”) införts (artikel 17).
Ett krav på samtycke införs för situationer när informationssamhällets tjänster erbjuds barn
När det gäller barn införs ett krav på att samtycke ges eller behandlingen godkänns av barnets vårdnadshavare när informationssamhällets tjänster erbjuds direkt till ett barn under 16 år. Medlemsstaterna får dock föreskriva en lägre ålder, men inte under 13 år (artikel 8). I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås en åldersgräns på 13 år (2 kap. 4 § dataskyddslagen). Barns särställning och särskilda utsatthet poängteras också på flera ställen i förordningen.
En skyldighet att anmäla personuppgiftsincidenter införs
Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter (artikel 33).
Ett krav på konsekvensanalyser ersätter en allmän anmälningsskyldighet
Genom dataskyddsförordningen införs även ett krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter (artikel 35). Den allmänna anmälningsskyldigheten till tillsynsmyndigheten tas däremot bort.
Det finns ingen missbruksregel och vissa förändringar görs när det gäller de rättsliga grunderna för personuppgiftsbehandling
När dataskyddsförordningen börjar tillämpas kommer den så kallade missbruksregeln i 5 a § PUL inte längre att finnas kvar. Såväl dataskyddsdirektivet som PUL innebär att behandling av personuppgifter förutsätter tillämpning av ett antal s.k. hanteringsregler. Missbruksregeln innebär att vissa av dessa hanteringsregler inte behöver tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Detta gäller dock endast under förutsättning att behandlingen inte innebär en kränkning av den registrerades personliga integritet. Bestämmelsen har tillkommit för att förenkla regleringen om personuppgiftsbehandling och bestämmelsen har ett relativt vitt tillämpningsområde (jfr HFD 2015 ref 3). Någon motsvarighet till missbruksregeln finns dock inte i dataskyddsförordningen.
Enligt dataskyddsförordningen är det vidare inte tillåtet för myndigheter att, när de fullgör sina uppgifter, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan de berättigade intressen som finns för behandlingen och den registrerades rättigheter och intressen (intresseavvägning, artikel 6.1 i dataskyddsförordningen). I skäl 43 till dataskyddsförordningen förtydligas också att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är begränsat.
Ett nytt krav är vidare att den rättsliga grund som personuppgiftsbehandlingen stödjer sig på i vissa fall ska vara fastställd i enlighet med
unionsrätten eller i nationell rätt. Detta gäller om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Hur rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning fastställs i enlighet med svensk rätt förtydligas i 2 kap. 1–3 §§ i den föreslagna dataskyddslagen. Frågan om rättsliga grunder för behandling av personuppgifter på utbildningsområdet behandlas i avsnitt 9.
Förändringar när det gäller känsliga personuppgifter och lagöverträdelser
Det har också skett vissa ändringar i fråga om vilka uppgifter som omfattas av förbudet mot behandling av känsliga personuppgifter och i fråga om vilka uppgifter om lagöverträdelser m.m. som får behandlas. Det redogörs närmare för dessa förändringar i avsnitt 13.1 och 14.1.
Kompletterande nationella bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser samt personnummer och samordningsnummer föreslås i 3 kap. dataskyddslagen. Frågan om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser på utbildningsområdet behandlas i avsnitt 13 och 14.
Förhållandet till offentlighetsprincipen blir tydligare
Utrymmet för att ge offentlighetsprincipen företräde framför dataskyddsregleringen blir tydligare, genom en uttrycklig och direkt tillämplig bestämmelse i artikel 86 i dataskyddsförordningen. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Härigenom möjliggörs alltså en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter. Ett tydliggörande av bl.a. detta föreslås i 1 kap. 7 § dataskyddslagen.
Administrativa sanktionsavgifter och andra åtgärder som syftar till en enhetlig tillämpning införs
Genom förordningen införs ett nytt gemensamt system med administrativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förordningen. Kompletterande nationella bestämmelser om sanktionsavgifter föreslås i 6 kap. 2–7 §§ dataskyddslagen. Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, till exempel genom åtgärder som godkännande av uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra. Det införs också en ny princip om en enda kontaktpunkt, som ska underlätta för personuppgiftsansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen även i enskilda fall (t.ex. artikel 40, 43, 57, 68– 76 och 83).
4.7. Regeringsformen avgör om kompletterande svensk reglering ska införas på lag- eller förordningsnivå
När det gäller införande av svensk reglering som kompletterar dataskyddsförordningen behöver regeringsformens (RF) grundläggande bestämmelser till skydd för den personliga integriteten beaktas.
Tidigare gällde att varje medborgare, i den utsträckning som närmare anges i lag, skulle skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling (tidigare 2 kap. 3 § andra stycket RF). Bestämmelsen gav dock inte något individuellt rättighetsskydd för enskilda, utan innebar enbart att lagstiftaren var skyldig att i lag upprätthålla någon form av skydd för den personliga integriteten i fråga om automatiserad behandling av personuppgifter.
Till följd av en grundlagsändring som trädde i kraft den 1 januari 2011 gäller numer att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd kan dock begränsas genom lag (2 kap. 6 § andra stycket och 20 § första stycket 2 RF).
Vid införandet av nya bestämmelser som avser behandling av personuppgifter behöver därmed bedömas om regleringen utgör ett sådant betydande intrång som kräver lagform, eller om regleringen kan införas på förordningsnivå. Förarbetena till grundlagsbestämmelsen ger ledning vid en sådan bedömning (propositionen En reformerad grundlag [prop. 2009/10:80 s. 171 f.]).
5. Vad avses med utbildningsområdet?
Utbildningsområdet omfattar bl.a. skolväsendet och annan verksamhet som regleras i skollagen, den verksamhet som bedrivs av universitet och högskolor, yrkeshögskolan, folkbildningen och studiestödet. Området omfattar utbildning hos offentliga och enskilda utbildningsanordnare som är erkända av det allmänna, t.ex. genom tillstånd, offentlig finansiering eller genom att utbildningen berättigar till studiestöd. Däremot omfattas inte rent privaträttslig utbildning. I propositionen behandlas inte behandling av personuppgifter på utbildningsområdet som sker med stöd av lagen om den officiella statistiken (2001:99) och förordningen om den officiella statistiken (2001:100). Nedan redogörs närmare för olika delar av utbildningsområdet.
5.1. Skollagsreglerad verksamhet
Skolväsendet regleras i skollagen (2010:800) och anslutande förordningar och omfattar skolformerna förskola, förskoleklass, grundskola,
grundsärskola, specialskola, sameskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild utbildning för vuxna. I skolväsendet ingår också fritidshem som kompletterar utbildningen i förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan och vissa särskilda utbildningsformer (1 kap. 1 § skollagen). I skollagen finns även bestämmelser om vissa särskilda utbildningsformer och annan pedagogisk verksamhet som bedrivs i stället för utbildning inom skolväsendet (1 kap. 2 §, 24 kap. och 25 kap.skollagen). Som exempel kan nämnas internationella skolor, utbildning vid särskilda ungdomshem, utbildning för barn och elever som vårdas på sjukhus, öppen förskola och omsorg under tid då förskola eller fritidshem inte erbjuds.
Utbildning inom skolväsendet anordnas av både offentliga och enskilda aktörer. Kommuner är huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem. Staten är huvudman för specialskola och sameskola och för förskoleklass och fritidshem vid en skolenhet inom dessa skolformer. I viss utsträckning får ett landsting vara huvudman för gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild utbildning för vuxna. Efter ansökan som prövas av Statens skolinspektion, eller i vissa fall av kommunen där utbildningen ska bedrivas, får en enskild godkännas som huvudman för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola och fritidshem (2 kap. skollagen).
Det finns också vissa möjligheter för huvudmän inom skolväsendet att sluta avtal om att någon annan enskild fysisk eller juridisk person utför vissa uppgifter enligt skollagen, s.k. entreprenad (23 kap. skollagen).
I det följande används begreppet skollagsreglerad verksamhet som samlingsbegrepp för de verksamheter som regleras i skollagen.
Inom den skollagsreglerade verksamheten kan vissa utbildningar både på grundläggande och gymnasial nivå berättiga till studiestöd (se vidare avsnitt 5.5).
5.2. Universitet och högskolor
Vid universitet och högskolor ges eftergymnasial utbildning på grundnivå, avancerad nivå och forskarnivå. Examina utfärdas på grundnivå, avancerad nivå och forskarnivå. I vissa fall krävs tillstånd för att utfärda examina.
De flesta universitet och högskolor har staten som huvudman och omfattas av högskolelagen (1992:1494) och högskoleförordningen (1993:100). Universitetskanslersämbetet prövar frågor om examenstillstånd. Tillstånd att utfärda examina kan också ges av regeringen till enskilda utbildningsanordnare enligt lagen (1993:792) om tillstånd att utfärda vissa examina.
I det följande används högskolor som samlingsbegrepp för universitet och högskolor, oavsett om det är fråga om statliga eller enskilda utbildningsanordnare.
Statliga högskoleutbildningar och ett stort antal utbildningar vid enskilda utbildningsanordnare som har tillstånd att utfärda examina
enligt lagen om tillstånd att utfärda vissa examina berättigar till studiestöd (se vidare avsnitt 5.5).
5.3. Yrkeshögskolan och andra eftergymnasiala utbildningar
Yrkeshögskolan inrättades 2009 som en fristående utbildningsform med ett gemensamt regelverk för eftergymnasiala yrkesutbildningar vid sidan av högskolan. Yrkeshögskolan regleras i lagen (2009:128) om yrkeshögskolan. Myndigheten för yrkeshögskolan (MYH) är förvaltningsmyndighet för yrkeshögskolan och beslutar vilka utbildningar som får ingå där. Utbildning inom yrkeshögskolan får anordnas av statliga universitet och högskolor, andra statliga myndigheter, kommuner, landsting och enskilda fysiska eller juridiska personer. Ett beslut om att en utbildning får ingå i yrkeshögskolan kan innebära att anordnaren kan få statsbidrag eller särskilda medel för utbildningen. En yrkeshögskoleutbildning berättigar också de studerande till studiestöd. Det finns också utbildningar där anordnarna i stället för att få statsbidrag eller särskilda medel kan ta ut studerandeavgifter. Även dessa utbildningar berättigar de studerande till studiestöd. En utbildning inom yrkeshögskolan ska svara mot behov av kvalificerad arbetskraft i arbetslivet som inte tillgodoses genom en utbildning enligt högskolelagen (1992:1434) eller en utbildning som kan leda fram till en examen enligt lagen (1993:792) om tillstånd att utfärda vissa examina. En anordnare av utbildning inom yrkeshögskolan får efter anmälan bedriva sådan utbildning även som uppdragsutbildning.
Även konst- och kulturutbildningar är en eftergymnasial utbildningsform. Utbildningarna finns inom exempelvis dans, musik, teater, film, konst och mode. De bedrivs av enskilda fysiska eller juridiska personer men står under statlig tillsyn. MYH prövar frågor om stöd enligt förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Både utbildning inom yrkeshögskolan enligt lagen om yrkeshögskolan som inte är uppdragsutbildning och utbildning som har förklarats berättiga till studiestöd genom beslut av Myndigheten för yrkeshögskolan enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar berättigar till studiestöd (se avsnitt 5.5).
5.4. Folkbildningen
Folkbildningen har traditionellt sett innefattat fyra grenar: folkbibliotek, folkhögskolor, föreläsningsföreningar och studieförbund. Folkbibliotekets verksamhet regleras i bibliotekslagen (2013:801). Det statliga anslaget för stöd till folkbildningen tilldelas enbart folkhögskolor och studieförbund och deras verksamhet.
De flesta folkhögskolor drivs av folkrörelser eller andra organisationer. Övriga folkhögskolor ägs och drivs av regioner eller landsting. Folkhögskolan är huvudsakligen en utbildningsform för vuxna. De flesta studie-
förbunden är ideella organisationer. Studieförbunden driver bl.a. studiecirkelverksamhet och kulturverksamhet.
Folkbildningen finansieras huvudsakligen. genom statsbidrag enligt förordningen (2015:218) om statsbidrag till folkbildningen. Folkbildningsrådet (FBR), som är en ideell organisation där organisationer som företräder folkhögskolor och studieförbund är medlemmar, beslutar vilka folkhögskolor, studieförbund och studerandeorganisationer inom folkhögskolan som ska få del av statsbidraget och fördelar tillgängliga medel mellan dem. Folkhögskolor och studieförbund som FBR fördelar statsbidrag till enligt den nämnda förordningen kan även få statsbidrag enligt förordningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk och förordningen (2015:521) om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända invandrare. Vidare kan folkhögskolorna ansöka hos Specialpedagogiska skolmyndigheten om statsbidrag för kostnader för särskilt utbildningsstöd som erbjuds deltagare med funktionsnedsättningar enligt förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd. Specialpedagogiska skolmyndigheten beviljar det statsbidraget enbart till de folkhögskolor som av FBR har tilldelats statsbidrag till folkbildningen. Det finns även andra statsbidrag som folkhögskolor och studieförbund kan ansöka om för att genomföra olika typer av verksamhet. Det är t.ex. fallet med statsbidrag enligt förordningen (2016:1364) om statsbidrag till verksamheter för asylsökande m.fl. som beviljas av länsstyrelsen. Den del av folkbildningsverksamhet som finansieras genom olika former av statsbidrag benämns i denna proposition statsbidragsfinansierad folkbildning.
Folkbildningen kan dessutom finansieras på annat sätt. Det kan t.ex. handla om bidrag för uppdragsutbildningar, bidrag från kommun och landsting eller region samt bidrag från privata aktörer. Den delen av folkbildningsverksamheten benämns i propositionen folkbildning som finansieras på annat sätt än genom statsbidrag.
Statsbidrag enligt förordningen om statsbidrag till folkbildningen och förordningen om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända invandrare får också direkt lämnas till Studieförbundet SISU Idrottsutbildarna (SISU) för idrottens studie-, bildnings- och utbildningsverksamhet. SISU beslutar vilka som bedriver sådan verksamhet som ska få statsbidrag och fördelar tillgängliga medel mellan dem. Även SISU mottar andra former av finansiering för sin verksamhet.
Att fördela statsbidrag är en förvaltningsuppgift som innefattar myndighetsutövning. En sådan uppgift får bara överlämnas till enskilda med stöd av lag (12 kap. 4 § RF). FBR och SISU fördelar statsbidrag med stöd av lagen (1976:1046) om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde. Av 2 kap. 4 § offentlighets- och sekretesslagen (2009:400, OSL) och bilagan till den lagen framgår att FBR och SISU i deras verksamhet att fördela statsbidrag ska tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter samt att de i den verksamheten också ska jämställas med myndigheter vid tillämpning av OSL.
Kvalifikationer från folkbildningen kan vara behörighetsgivande vid ansökan till t.ex. högskolan eller yrkeshögskolan. Vissa utbildningar som anordnas av folkhögskolor berättigar till studiestöd (se avsnitt 5.5).
5.5. Studiestödet
Till utbildningsområdet hör även studiestödet. Studiestödet består framför allt av ekonomiskt stöd till enskilda i form av bl.a. studiehjälp och studiemedel. Sedan den 2 juli 2017 finns också ett nytt studiestöd, studiestartsstöd, som ett komplement till studiemedelssystemet. Studiestödet administreras av Centrala studiestödsnämnden (CSN).
Bestämmelser som avser studiestödet finns framförallt i studiestödslagen (1999:1395), studiestödsförordningen (2000:655), lagen (2017:527) om studiestartsstöd, förordningen (2017:532) om studiestartsstöd, studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321).
En förteckning över de läroanstalter och utbildningar vid vilka studiestöd kan lämnas finns i en bilaga till studiestödsförordningen.
5.6. Den nationella referensramen för livslångt lärande
Den 23 april 2008 beslutade Europaparlamentet och rådet en rekommendation om en europeisk referensram för kvalifikationer för livslångt lärande (rekommendationen om EQF, EUT C 111, 6.5.2008). Syftet med rekommendationen är att bidra till att modernisera utbildningssystemen inom Europa samt stärka kopplingarna mellan utbildning och arbetsliv (ingresspunkt 13). Syftet med den europeiska referensramen, som finns intagen som bilaga II till rekommendationen, är att främja livslångt lärande och förbättra anställbarhet, rörlighet och social integrering för arbetstagare och studerande inom EU (ingresspunkt 12). Referensramen består av åtta nivåer som beskriver det resultat av lärande i form av kunskaper, färdigheter och kompetenser som är av betydelse för respektive nivå. Resultat av lärande är ett centralt begrepp i rekommendationen och kan utryckas som det en individ vet, förstår och kan göra när en lärandeprocess är avslutad. Enligt rekommendationen definieras en kvalifikation som ett formellt resultat av en bedömnings- och valideringsprocess som ges när ett behörigt organ fastställer att en person har uppnått resultat av lärande som motsvarar fastställda kriterier (bilaga I till rekommendationen). Med kvalifikation avses således ett dokumenterat resultat av lärande i form av kunskaper, färdigheter och kompetenser, t.ex. utbildningsbevis, examina, certifikat och diplom. Referensramen omfattar alla typer av kvalifikationer från såväl utbildningssystemet som arbetslivet. Referensramen beskriver inte enskilda personers meriter utan ska fungera som ett översättningsverktyg som på systemnivå kan beskriva olika kvalifikationer i form av resultat av lärande. Det innebär att den ska underlätta jämförelser mellan de kvalifikationer som utfärdas i olika medlemsstater. För att bidra till att skapa förtroende för de
kvalifikationer som utfärdas rekommenderas medlemsstaterna att tillämpa de principer för kvalitetssäkring inom högre och yrkesinriktad utbildning som är framtagna till stöd för genomförandet av den europeiska referensramen för kvalifikationer (bilaga III till rekommendationen). För att underlätta jämförelse mellan ländernas kvalifikationer bör medlemsstaterna införa nationella referensramar som kan kopplas till den europeiska referensramen. Detta ska ske genom att medlemsstaterna på ett tydligt sätt hänvisar nivåerna i de nationella referensramarna till de nivåer som anges i den europeiska referensramen i bilaga II till rekommendationen om EQF. Medlemsstaterna rekommenderas också att se till att alla nya bevis på kvalifikationer och Europassdokument som utfärdas av behöriga myndigheter innehåller en tydlig hänvisning till den relevanta nivån i den europeiska referensramen för kvalifikationer. På så sätt kan man öka användarvänligheten och underlätta för arbetsgivare att förstå nivån på ett kvalifikationsbevis som en arbetssökande uppvisar. Rekommendationen har ersatts av rådets rekommendation av den 22 maj 2017 om den europeiska referensramen för kvalifikationer för livslångt lärande och om upphävande av Europaparlamentets och rådets rekommendation av den 23 april 2008 om en europeisk referensram för kvalifikationer för livslångt lärande (EUT C 189, 15.6.2017). Rekommendationen syftar till att stärka den europeiska referensramen som gemensam referensram med åtta uttryckta nivåer i form av läranderesultat, som fungerar som ett verktyg för översättning mellan olika referensramar eller system för kvalifikationer och deras olika nivåer (ingresspunkt 28).
I Sverige har den nationella referensramen reglerats i förordningen (2015:545) om referensram för kvalifikationer för livslångt lärande. Syftet med referensramen är enligt 1 § att underlätta jämförelser nationellt och internationellt av vilka nivåer sådana kvalifikationer motsvarar i fråga om kunskaper, färdigheter och kompetenser för att därigenom främja livslångt lärande och förbättra anställningsbarhet, rörlighet och social integration för arbetstagare och studerande inom EU. Referensramen består av åtta nivåer som finns i bilaga 1 till förordningen. En kvalifikation ska anses motsvara den nivå i referensramen som bäst överensstämmer med de kunskaper, färdigheter och kompetenser som kvalifikationen representerar. Kvalifikationer vars resultat av lärande är författningsreglerade motsvarar de nivåer som anges i bilaga 2 (3 §). Den som utfärdar en kvalifikation som inte anges i bilaga 2 får ansöka om att få ett beslut om vilken nivå kvalifikationen motsvarar i referensramen. En förutsättning för att en kvalifikation ska kunna motsvara en nivå i referensramen är att den som utfärdar kvalifikationen bedriver ett systematiskt kvalitetsarbete där kvalitetssäkring av kvalifikationen ingår. Ansökan prövas av Myndigheten för yrkeshögskolan. Ett beslut gäller i tio år (4 §).
I bilaga 2 till förordningen har kvalifikationer, vars resultat av lärande är författningsreglerade, från samtliga i detta avsnitt behandlade delar av utbildningsområdet nivåplacerats. Som exempel kan nämnas att slutbetyg från grundsärskolan och slutbetyg från särskild utbildning för vuxna på grundläggande nivå har placerats på nivå 1. På nivå 2 återfinns bl.a. slutbetyg från grundskolan, specialskolan, kommunal vuxenutbildning på grundläggande nivå, gymnasiesärskolebevis från gymnasiesärskolan,
gymnasiesärskolebevis från särskild utbildning för vuxna på gymnasial nivå, betyg från utbildning i svenska för invandrare kurs D, eller motsvarande utbildning som bedrivs vid folkhögskola, betyg från kommunal vuxenutbildning i svenska för invandrare kurs D, eller motsvarande utbildning som bedrivs vid folkhögskola samt i intyg om godkänt resultat från allmän kurs på grundskolenivå från folkhögskola. Det finns inga kvalifikationer inplacerade på nivå 3. På nivå 4 finns bl.a. gymnasieexamen från gymnasieskolan, gymnasieexamen från kommunal vuxenutbildning och intyg om godkänt resultat från allmän kurs på gymnasial nivå från folkhögskola. Nivå 5 innehåller gymnasieingenjörsexamen från gymnasieskolan och yrkeshögskoleexamen från yrkeshögskolan. På nivå 6 har bl.a. examina på grundnivå enligt bilaga 2 till högskoleförordningen och kvalificerad yrkeshögskoleexamen från yrkeshögskolan placerats. Examina på avancerad nivå enligt bilaga 2 till högskoleförordningen, bilagan till förordningen (1993:221) för Sveriges lantbruksuniversitet och bilagan till förordningen (2007:1164) för Försvarshögskolan finns på nivå 7 och slutligen finns på nivå 8 examina på forskarnivå enligt bilaga 2 till högskoleförordningen och bilagan till förordningen för Sveriges lantbruksuniversitet.
5.7. Behandling av personuppgifter hos myndigheter som inte själva bedriver utbildning behandlas med ett undantag inte i denna proposition
Behov av behandling av personuppgifter finns hos myndigheter vars verksamhet anknyter till det skollagsreglerade området men som inte själva anordnar eller bedriver utbildning, såsom Statens skolinspektion, Statens skolverk, Skolväsendets överklagandenämnd och Lärarnas ansvarsnämnd. På motsvarande sätt har myndigheter, vars verksamhet anknyter till högskoleområdet men som inte anordnar eller bedriver utbildning, behov av att behandla personuppgifter. Det gäller t.ex. Universitets- och högskolerådet (UHR), Universitetskanslersämbetet, Överklagandenämnden för högskolan och Högskolans avskiljandenämnd.
När det gäller yrkeshögskolan har Myndigheten för yrkeshögskolan (MYH), som är förvaltningsmyndighet för yrkeshögskolan och som är den myndighet som beslutar om stöd enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, behov av att behandla personuppgifter, även om MYH inte själv anordnar eller bedriver utbildning.
I propositionen Ny dataskyddslag görs bedömningen att den rättsliga grunden uppgift av allmänt intresse i artikel 6.1. e i dataskyddsförordningen är tillämplig på den verksamhet som myndigheterna bedriver inom ramen för sin befogenhet. (prop. 2017/18:105 s. 57). Vidare föreslås i den propositionen generella bestämmelser för behandling av personuppgifter som bl.a. gäller myndigheters behandling av känsliga personuppgifter och lagöverträdelser (3 kap. 3–4 §§ och 8 § dataskydds-
lagen). Regeringen bedömer mot denna bakgrund att det i fråga om personuppgiftsbehandling hos ovan nämnda myndigheter redan har lämnats förslag och bedömningar i propositionen Ny dataskyddslag som medför att det saknas anledning att även i denna proposition behandla samma frågor. I de fall det därutöver finns behov av anpassningar till den nya dataskyddsregleringen i fråga om ovan nämnda myndigheter bedöms detta kunna ske inom ramen för det fortsatta förordningsarbetet.
När det gäller studiestödet kan konstateras att CSN visserligen inte bedriver utbildning. Som nämnts i avsnitt 4.3. finns det dock registerförfattningar på studiestödsområdet och dessa behöver anpassas till den nya dataskyddsförordningen och den nya dataskyddslagen. Frågor om studiestödet behandlas därför i denna proposition.
6. För att personuppgiftsbehandling ska vara laglig krävs en rättslig grund
Som framgått av avsnitt 4 får behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde bara ske om det finns en tillämplig rättslig grund. Dessa är enligt artikel 6.1 att – den registrerade har lämnat sitt samtycke till att dennes person-
uppgifter behandlas för ett eller flera specifika ändamål (samtycke, artikel 6.1 a), – behandlingen är nödvändig för att fullgöra ett avtal i vilket den
registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (avtal, artikel 6.1 b), – behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som
åvilar den personuppgiftsansvarige (rättslig förpliktelse, artikel 6.1 c), – behandlingen är nödvändig för att skydda intressen som är av grund-
läggande betydelse för den registrerade eller för en annan fysisk person (skydda intressen, artikel 6.1 d), – behandlingen är nödvändig för att utföra en uppgift av allmänt
intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (uppgift av allmänt intresse och myndighetsutövning, artikel 6.1 e), eller – behandlingen är nödvändig för ändamål som rör den personupp-
giftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning, artikel 6.1.f).
Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.
Som framgått av avsnitt 4 förtydligas i skäl 43 till dataskyddsförordningen att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är
begränsat. Vidare är skillnaderna mot gällande rätt att det inte är tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning, och att de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt skäl 41 i dataskyddsförordningen bör den rättsliga grunden vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.
Nedan ges en närmare redogörelse för de rättsliga grunderna samtycke, uppgift av allmänt intresse, myndighetsutövning, rättslig förpliktelse och intresseavvägning.
6.1. Samtycke som rättslig grund
Om en behandling grundar sig på samtycke ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (artikel 6.1 a och 7.1).
Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11).
Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).
En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).
Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).
Artikel 29-gruppen, som är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet bestående av en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna, en företrädare för EU-kommissionen och den europeiske datatillsynsmannen, har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de be-
handlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en uppgift av allmänt intresse snarare än samtycke (yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 13–14 och 16–17).
Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. I propositionen Ny dataskyddslag gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (s. 58).
6.2. Uppgift av allmänt intresse som rättslig grund
Enligt artikel 6.1.e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för behandlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av artikel 6.3 sista meningen framgår att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Vilka uppgifter är av allmänt intresse?
Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte har definierats vare sig i dataskyddsdirektivet eller i dataskyddsförordningen och innebörden har heller inte ännu utvecklats av EU-domstolen.
Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 till dataskyddsförordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det kan konstateras att begreppet förekommer i motsvarande bestämmelser i dataskyddsdirektivet (artikel 7 e) och personuppgiftslagen (10 § d) och att ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser.
Som anförts i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 56) gör regeringen bedömningen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. På motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och landsting att utföra av allmänt intresse. Detta måste enligt regeringens mening gälla även i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse.
Begreppet uppgifter av allmänt intresse omfattar inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i dataskyddsförordningen (den rättsliga grunden rättslig förpliktelse) behöver den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid enligt kommunallagen (2017:725) begränsad till angelägenheter av just allmänt intresse. Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna. Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas tillhandahållande av bostäder och fritids- och idrottsanläggningar, åtgärder för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obligatorisk uppgift).
Vissa myndigheter, t.ex. Lantmäteriet, har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet måste enligt regeringens mening anses vara motiverad av ett allmänt intresse.
Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är således av allmänt intresse. Det är därmed den rättsliga grunden uppgift av allmänt intresse som vanligen bör tillämpas av myndigheter. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.
Vid tillämpningen av den rättsliga grunden allmänt intresse spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör.
I propositionen Ny dataskyddslag anser regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse (prop. 2017/18:105 s. 56). Detta för att myndigheternas verksamhet ska kunna fungera även i fortsättningen mot bakgrund av dataskyddsförordningens begränsningar för myndigheter att tillämpa såväl samtycke som intresseavvägning som rättsliga grunder för att behandla personuppgifter inom ramen för sin verksamhet. Ytterligare en väsentlig förändring i förhållande till gällande rätt är att det enligt dataskyddsförordningen inte räcker med att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med unionsrätten eller nationell rätt.
Vad avses med att den rättsliga grunden ska vara fastställd i nationell rätt?
I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 48 f.) framhålls att kraven i artikel 6.3 på att grunden för behandlingen ska fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, inte innebär att det krävs en reglering i den nationella rätten av den personuppgiftsbehandling som ska ske med stöd av art. 6.1.e utan det som måste ha stöd i rättsordningen i stället är uppgiften av allmänt intresse. Något motsvarande krav på att grunden för
behandlingen ska vara fastställd i unionsrätt eller nationell rätt finns inte i dataskyddsdirektivet. Det har därför t.ex. ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om uppgiften inte är fastställd i författning eller liknande. Detta har bl.a. inneburit att grunden uppgift av allmänt intresse har kunnat åberopas av enskilda som utför sådana uppgifter utan författningsstöd. I detta avseende innebär dataskyddsförordningen en väsentlig förändring i förhållande till vad som gäller idag.
Att grunden för en behandling ska vara fastställd i nationell rätt är visserligen en nyhet i förhållande till dataskyddsdirektivet, men i nämnda proposition konstateras att det inte är någon nyhet när det gäller svenska myndigheters behandling av personuppgifter då legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat (s. 50). Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26 s. 59). Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.
När det gäller den bestämmelse i artikel 6.3 som anger att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas konstateras i propositionen Ny dataskyddslag att bestämmelsen motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att dataskyddsförordningens krav i artikel 6.3 är uppfyllt i fråga om bl.a. de uppgifter av allmänt intresse som fastställs i enlighet med svensk rätt.
Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Statliga myndigheter får sina uppdrag och befogenheter av riksdag och regering – i myndighetsinstruktioner, regleringsbrev och andra regeringsbeslut. På motsvarande sätt följer de kommunala myndigheternas obligatoriska uppgifter av åligganden som fastställts i lag eller förordning. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden. En behandling av personuppgifter måste dock i det enskilda fallet vara nödvändig i förhållande till uppgiften av allmänt intresse och följa de
grundläggande principer som gäller för personuppgiftsbehandling i art. 5 (se mer om nödvändighetsrekvisitet nedan och om nämnda principer i avsnitt 7.1). Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen (2017:900), där det anges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.
Såväl offentliga som privata aktörer kan tillämpa den rättsliga grunden uppgift av allmänt intresse
Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns det en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det saknar då betydelse om en privat aktör utför verksamheten på direkt uppdrag av en myndighet eller på eget initiativ.
Avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende förskoleverksamhet och skola, hälso- och sjukvård samt stöd och service till personer med funktionsnedsättning. Inom den traditionellt statliga sektorn kan nämnas rikstäckande infrastruktur, kommunikation och energiförsörjning. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fri stående från den offentliga sektorn. I flera av dessa fall är verksamheten av kommersiell karaktär och bygger i viss utsträckning på avtal med den registrerade. I den mån behandling av personuppgifter är nödvändig kan den i sådana fall ske med stöd av artikel 6.1 b i dataskyddsförordningen (den rättsliga grunden avtal), även om uppgiften inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs dock uppgiften i bl.a. hälso- och sjukvårdslagen (2017:30). På motsvarande sätt regleras uppgiften att tillhandahålla stöd och service till personer med funktionsnedsättning av lagen (1993:387) om stöd och service till vissa funktionshindrade och uppgiften att tillhandahålla insatser inom socialtjänsten av socialtjänstlagen (2001:453). Skolväsendets uppgifter fastställs i skollagen, som gäller för både offentliga och enskilda anordnare av utbildning. I avsnitt 5 beskrivs kortfattat på vilket sätt även andra uppgifter på utbildningsområdet har fastställts i svensk rätt.
De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande måste anses vara av denna karaktär oavsett om de faktiskt utförs i myndighetens egen regi eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig
myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså även den privata utföraren, entreprenören eller det kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet avseende en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.
Det bör noteras att en uppdragstagare som är personuppgiftsbiträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen. När det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen eller att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten.
Reglering i dataskyddslagen
Av skäl 41 till dataskyddsförordningen kan man dra slutsatsen att den rättsliga grunden inte måste fastställas i en av riksdagen beslutad lag men däremot att grunden måste vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt. Vad detta konkret innebär i svensk rätt när det gäller uppgift av allmänt intresse har preciserats i förslaget till dataskyddslag (2 kap. 2 § 1). Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Av skäl 41 framgår också att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart.
Nödvändighetsrekvisitet
Som nämnts ovan får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (art. 6 1 e). Syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse (art. 6.3).
Nödvändighetsrekvisitet gäller redan enligt artikel 7 dataskyddsdirektivet och 10 § PUL. Enligt Svenska Akademiens Ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan
underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta innebörd. Nödvändighetsrekvisitet i artikel 7 i dataskyddsdirektivet har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av nödvändighetsrekvisitet i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.
Att det ska vara nödvändigt att behandla en uppgift ska enligt regeringens bedömning således inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resultatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening. Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (prop. 2017/18:105 s. 60).
Hänvisningar till S6-2
6.3. Myndighetsutövning som rättslig grund
Enligt dataskyddsförordningen får personuppgifter även behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. För att grunden ska kunna tillämpas krävs att rätten att utöva myndighet är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Den personuppgiftsansvarige behöver inte vara skyldig att utföra uppgiften för att den rättsliga grunden ska vara tillämplig, men behandlingen måste vara nödvändig (artikel 6.1 e andra ledet och 6.3). Vad som avses med att en rättslig grund ska vara fastställd i nationell rätt och att en behandling ska vara nödvändig har behandlats i avsnitt 6.1.2.
Begreppet myndighetsutövning har en EU-gemensam innebörd. I propositionen Ny dataskyddslag (prop. 2017/18:105) anges att utgångspunkten i svensk rätt är att det som i Sverige brukar anses som myndig-
hetsutövning faller under begreppet och att detta bör gälla även fortsättningsvis (s. 62). Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde.
Av naturliga skäl är det i första hand statliga och kommunala myndigheter som ägnar sig åt myndighetsutövning. Även juridiska och fysiska personer kan dock med stöd av lag anförtros förvaltningsuppgifter som innefattar myndighetsutövning (12 kap. 4 § RF). I propositionen Ny dataskyddslag noteras att den rättsliga grunden myndighetsutövning kan tillämpas av alla personuppgiftsansvariga som har tilldelats myndighetsutövande befogenheter (prop. 2017/18:105, s. 63
)
.
Liksom i fråga om den rättsliga grunden uppgift av allmänt intresse, får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att efterleva den rättliga grunden myndighetsutövning. Detta får ske genom att närmare fastställa specifika krav för personuppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling (artikel 6.2 i dataskyddsförordningen).
I propositionen Ny dataskyddslag föreslås att det i dataskyddslagen tydliggörs hur den rättsliga grunden myndighetsutövning kan vara uttryckt. Enligt förslaget i 2 kap. 2 § 2 dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
6.4. Rättslig förpliktelse som rättslig grund
Dataskyddsförordningen tillåter även behandling av personuppgifter om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. För att grunden ska kunna tillämpas krävs att den rättsliga förpliktelsen är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.1 c och 6.3 första stycket).
Till skillnad från de rättsliga grunderna uppgift av allmänt intresse och myndighetsutövning, ska syftet med behandlingen fastställas i den rättsliga grunden (artikel 6.3 andra stycket). I propositionen Ny dataskyddslag anges att kravet torde innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår av den reglering som förpliktelsen grundas på eller det beslut där förpliktelsen anges. Det ska alltså vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifter ska ske (prop. 2017/18:105 s. 54).
I fråga om den rättsliga grunden rättslig förpliktelse gör dataskyddsförordningen inte skillnad på offentliga eller privata organ.
Liksom i fråga om de rättsliga grunderna uppgift av allmänt intresse och myndighetsutövning, får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att efterleva den rättliga grunden rättslig förpliktelse. Detta får ske genom att närmare fastställa specifika krav för personuppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling (artikel 6.2 i dataskyddsförordningen).
I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att det anges i 2 kap. 1 § dataskyddslagen att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag eller annan författning, följer av kollektivavtal, eller följer av beslut som har meddelats med stöd av lag eller annan författning.
6.5. Intresseavvägning som rättslig grund
Behandling av personuppgifter är enligt dataskyddsförordningen även laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (artikel 6.1 f första stycket)
Som nämnts tidigare gäller denna grund inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter (artikel 6.1 f andra stycket).
I propositionen Ny dataskyddslag gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (prop. 2017/18:105 s. 59).
7. Principer som måste följas vid behandling av personuppgifter
7.1. Allmänna principer för personuppgiftsbehandling
Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen innebär inte att behandling kan ske av vilka upp-
gifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen.
Dataskyddsförordningen innehåller ett antal principer som gäller och ska tillämpas vid all behandling av personuppgifter. Dessa principer är i stort sett desamma enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna efterlevs. Principerna framgår av artikel 5 i dataskyddsförordningen.
För det första ska uppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet, artikel 5.1 a).
Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska emellertid inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning, artikel 5.1 b).
Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering, artikel 5.1 c).
Uppgifterna ska dessutom vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet, artikel 5.1.d).
Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering, artikel 5.1.e).
Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet, artikel 5.1 f).
7.2. Det finns en särskild reglering för s.k. känsliga personuppgifter
Dataskyddsförordningen innehåller, i likhet med dataskyddsförordningen, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL används benämningen känsliga uppgifter för de personuppgifter som omfattas av denna särskilda reglering. Dessa är enligt dataskyddsdirektivet och PUL upp-
gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I dataskyddsförordningen utvidgas den särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Förbudet ska enligt artikel 9.2 inte tillämpas i någon av de situationer som beskrivs i artikel 9.2 a–j. Förbudet gäller t.ex. inte om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionslagstiftningen eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).
Ska uppgifterna benämnas särskilda kategorier av personuppgifter eller känsliga personuppgifter?
I såväl det nuvarande dataskyddsdirektivet som i dataskyddsförordningen benämns de personuppgifter som omfattas av förbudet som särskilda kategorier av personuppgifter i artikeltexten. I dataskyddsförordningens beaktandeskäl omnämns de på ett par ställen som känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL har särskilda kategorier av personuppgifter kallats känsliga personuppgifter utan att detta närmare har kommenterats i förarbetena. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslår regeringen att begreppet känsliga personuppgifter fortsatt bör användas som samlingsbenämning i dataskyddslagen för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen. Bakgrunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext.
7.3. Den finns även en särskild reglering om personuppgifter om lagöverträdelser
Dataskyddsförordordningen innehåller även en artikel om behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder (artikel 10). Behandling av sådana personuppgifter får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
Artikel 10 i dataskyddsförordningen skiljer sig något från regleringen i artikel 8.5 dataskyddsdirektivet. Förordningens bestämmelse har begränsats till enbart fällande brottmålsdomar och överträdelser eller därmed sammanhängande säkerhetsåtgärder. En annan skillnad i förord-
ningen jämfört med direktivet är att hänvisningen till personuppgifter om avgöranden i tvistemål och administrativa sanktioner har tagits bort.
8. Anordnande av utbildning är både en uppgift av allmänt intresse och ett viktigt allmänt intresse
Regeringens bedömning: Anordnande och bedrivande av utbildning är en uppgift av allmänt intresse enligt artikel 6.1. e i dataskyddsförordningen. Anordnande och bedrivande av utbildning är även ett sådant viktigt allmänt intresse som krävs för behandling av känsliga personuppgifter enligt artikel 9.2 g i dataskyddsförordningen.
Utredningens bedömning: Överensstämmer med regeringens bedömning att utbildning är en uppgift av allmänt intresse. Utredningen har dock inte redovisat sin bedömning i detta avseende på ett samlat sätt för hela utbildningsområdet. Utredningen har inte heller redovisat någon samlad bedömning i frågan om utbildning är ett viktigt allmänt intresse, utan har redovisat en bedömning i fråga om några delar av utbildningsområdet samt lämnat förslag till ändringar i skollagen och lagen om yrkeshögskolan som utgår från att anordnande av utbildning enligt dessa lagar är ett viktigt allmänt intresse.
Remissinstanserna: Datainspektionen delar bedömningen att anordnande och bedrivande av utbildning i och för sig kan uppfylla ett allmänt intresse. Remissinstanserna i övrigt har inte haft några synpunkter på om anordnande och bedrivande av utbildning i och för sig utgör en uppgift av allmänt intresse. Det stora flertalet remissinstanser har inte heller några synpunkter på eller har inget att erinra mot utredningens bedömningar rörande utbildning som ett viktigt allmänt intresse
.
Datainspektionen ifrågasätter om utredningens förslag till undantag som möjliggör behandling av känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen uppfyller artikelns krav på viktigt allmänt intresse.
Skälen för regeringen bedömning: Av principerna för behandling av personuppgifter i dataskyddsförordningen framgår att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet, artikel 5.1 a). För att en behandling ska vara laglig krävs att det finns en rättslig grund för behandlingen. Som framgår av avsnitt 6 krävs för att den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 ska kunna åberopas att grunden för behandlingen ska fastställas i unionsrätten eller i nationell rätt som den personuppgiftsansvarige omfattas av.
I artikel 14.1 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fortbildning.
I Fördraget om Europeiska unionens funktionssätt anges också att EU ska bidra till utvecklingen av en utbildning av god kvalitet genom att
främja samarbetet mellan medlemsstaterna och genom att vid behov stödja och komplettera deras insatser, och genomföra en yrkesutbildningspolitik som ska understödja och komplettera medlemsstaternas insatser (artikel 165.1 och 166.1). På EU-nivå har det även på flera sätt kommit till uttryck att utbildning ur flera perspektiv tillskrivs en viktig roll inom unionen. Några exempel på detta är följande.
En viktig del i Europa 2020-strategin, som är EU:s agenda för tillväxt och jobb fram till 2020, är kvantitativa mål på EU-nivå inom fem områden, varav utbildning utgör ett område. Målen fastställdes av Europeiska rådet i juni 2010 och ska vara uppfyllda senast 2020. Medlemsstaterna har även fastställt nationella mål inom samma områden, dvs. bland annat på utbildningsområdet. Uppnådda framsteg avseende de nationella målen redovisas årligen till EU-kommissionen.
I rådets slutsatser av den 12 maj 2009 om en strategisk ram för europeiskt utbildningssamarbete (Utbildning 2020) betonas dels att utbildning är av avgörande betydelse när det gäller att möta de många socioekonomiska, demografiska, miljömässiga och tekniska utmaningar som Europa och dess medborgare står inför i dag och kommer att stå inför under kommande år, dels att effektiv investering i humankapital genom förbättrade utbildningssystem är en väsentlig del av den europeiska strategin för att skapa den höga hållbara och kunskapsbaserade tillväxt och sysselsättning som utgör kärnan i Lissabonstrategin, samtidigt som självförverkligande, social sammanhållning och aktivt medborgarskap främjas (EUT C 119, 28.5.2009).
Som nämnts i avsnitt 5.6 beslutade vidare Europaparlamentet och rådet den 23 april 2008 en rekommendation om en europeisk referensram för kvalifikationer för livslångt lärande (rekommendationen om EQF, EUT C 111, 6.5.2008). Syftet med rekommendationen är att bidra till att modernisera utbildningssystemen inom Europa samt stärka kopplingarna mellan utbildning och arbetsliv (ingresspunkt 13). Med kvalifikation avses ett dokumenterat resultat av lärande i form av kunskaper, färdigheter och kompetenser, t.ex. utbildningsbevis, examina, certifikat och diplom. För att underlätta jämförelse mellan ländernas kvalifikationer bör medlemsstaterna införa nationella referensramar som kan kopplas till den europeiska referensramen. I Sverige har den nationella referensramen reglerats i förordningen (2015:545) om referensram för kvalifikationer för livslångt lärande. Syftet med referensramen är enligt 1 § att underlätta jämförelser nationellt och internationellt av vilka nivåer sådana kvalifikationer motsvarar i fråga om kunskaper, färdigheter och kompetenser för att därigenom främja livslångt lärande och förbättra anställningsbarhet, rörlighet och social integration för arbetstagare och studerande inom EU. I bilaga 2 till förordningen har kvalifikationer vars resultat av lärande är författningsreglerade nivåplacerats. Som framgått har kvalifikationer från såväl skollagsreglerad verksamhet, universitet och högskolor, yrkeshögskolan och folkbildningen nivåplacerats i den bilagan. I övrigt kan en kvalifikation nivåplacerats efter beslut av Myndigheten för yrkeshögskolan.
Vikten av utbildning framhålls också i den svenska grundlagen. I regeringsformen (RF) anges att det allmänna särskilt ska trygga rätten till bl.a. utbildning, att alla barn som omfattas av den allmänna skolplikten har rätt till kostnadsfri grundläggande utbildning i allmän skola och att
det allmänna också ska svara för att högre utbildning finns (1 kap. 2 § andra stycket och 2 kap. 18 § första stycket RF). I Europeiska konventionen till skydd för de mänskliga rättigheterna anges att ingen får förvägras rätten till undervisning (artikel 2 i protokollet till konventionen). Konventionen gäller enligt lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna, som svensk lag
Regeringen anser att det redan i EU-rätten finns stöd för att utbildning utgör såväl en uppgift av allmänt intresse som ett viktigt allmänintresse. Det faktum att rätten till utbildning också lyfts fram i svensk grundlag och i Europakonventionen om mänskliga rättigheter bekräftar detta. Även förekomsten av den europeiska referensramen för kvalifikationer för livslångt lärande och de till den referensramen anslutande nationella referensramarna bekräftar detta.
Nedan kommer regeringen i avsnitt 9 att redogöra för andra mer specifika författningar inom de olika delarna av utbildningsområdet som bidrar till att anordnande och bedrivande av utbildning inom respektive del av utbildningsområdet anses vara en fastställd uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. I anslutning till detta redogörs även för vilka andra rättsliga grunder i artikel 6.1 som skulle kunna vara aktuella att tillämpa inom olika delar av utbildningsområdet.
Frågan vilken kompletterande reglering som behövs i svensk rätt för att känsliga personuppgifter och uppgifter om lagöverträdelser ska kunna behandlas på utbildningsområdet i den utsträckning som är nödvändigt återkommer regeringen till i avsnitt 13 och 14.
9. Rättsliga grunder för personuppgiftsbehandling inom utbildningsområdet
9.1. Skollagsreglerad verksamhet
9.1.1. Vilka personuppgifter behandlas inom skollagsreglerad verksamhet?
Nedan ges en översiktlig beskrivning av de huvudsakliga behandlingar av personuppgifter som sker på det skollagsreglerade området. En närmare redogörelse för behandlingar av känsliga personuppgifter och uppgifter om lagöverträdelser ges i avsnitt 13.3.1 och 14.3.1.
Behandling vid mottagande och erbjudande av plats
Inom kommunernas organisation för bl.a. mottagande och erbjudande av plats i de olika skolformerna behandlas bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa. Sådan behandling förekommer även när andra huvudmän prövar frågor om mottagande, såsom Specialpedagogiska skolmyndigheten som prövar frågor om mottagande i specialskolan, och Sameskolstyrelsen som prövar frågor
om mottagande i sameskolan. Inför mottagandet i vissa skolformer, t.ex. grundsärskolan (som är avsedd för barn med en utvecklingsstörning), specialskolan (som är avsedd för barn med vissa funktionsnedsättningar) och särskild utbildning för vuxna (som är avsedd för vuxna med en utvecklingsstörning) behandlas också känsliga personuppgifter. Inför mottagandet av elever i sameskolan behandlas uppgifter som kan avslöja etniskt ursprung.
Behandling inom skolväsendet
Personuppgifter om barn och elever behandlas i skolväsendet för administrativa ändamål för att kunna planera, genomföra och följa upp elevernas utbildning. Inom skolornas elevadministration behandlas uppgifter om bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa. Vid skapandet av klasslistor behandlas personuppgifter i form av namn och adress. I skolorna behandlas också elevens personuppgifter i samband med registrering av elevers frånvaro respektive närvaro. Personuppgifter behandlas i dokumentation inför bl.a. utvecklingssamtal, vid upprättandet av skriftliga individuella utvecklingsplaner i låg- och mellanstadiet och vid upprättande av individuella studieplaner i gymnasieskolan, gymnasiesärskolan och vuxenutbildningen. Personuppgifter behandlas också under och vid dokumentation av olika typer av utredningar, t.ex. om särskilt stöd eller vid kränkande behandling. Vid upprättandet av t.ex. en lista över elevers ämnesval, såsom språkval och modersmålsundervisning, behöver också personuppgiftsbehandling ske. Även vid dokumentation inför betygssättning och av själva betygssättningen, t.ex. i betygsregister, behandlas elevernas personuppgifter i form av namn, personnummer och betyg i ämnen, kurser och gymnasiearbete (t.ex. 3 kap.8 och 13 §§, 6 kap. 10 §, 7 kap. 17 §, 10 kap.7, 12 och 13 §§, 15 kap.19 och 20 §§ och 16 kap. 25 §skollagen).
Även vid lämnande av information till eleven eller elevens vårdnadshavare kan personuppgiftsbehandling bli aktuell beroende på hur informationen lämnas t.ex. genom ett e-postmeddelande (3 kap. 4 § skollagen).
Beroende av val av it-lösning kan det administrativa systemet vara integrerat med funktioner för det dagliga pedagogiska och administrativa arbetet för lärarna med t.ex. närvarohantering, betygssättning, provscheman, planeringar, nyheter, elevinlämningar och kommunikation mellan lärare och elev respektive vårdnadshavare.
Elevernas personuppgifter kan även behandlas automatiskt i undervisningen genom att t.ex. en lärare anvisar eleverna till att lämna in en uppsats via en lärplattform eller via e-post. En annan situation där det sker personuppgiftsbehandling är om eleverna får ett konto på skolans server eller får en bärbar dator och eleverna använder dessa till att t.ex. skriva sina elevarbeten eller leta efter information på internet.
Personuppgiftsbehandling förekommer också i form av att eleverna fotograferas av personalen i syfte att dokumentera verksamheten och vid skolfotografering. Personuppgiftsbehandling i form av ljud- och filminspelningar kan även förekomma i undervisningssammanhang, vid elevarbeten och för bedömning.
Även i skolbiblioteken behandlas elevernas personuppgifter för att personalen ska kunna ha kontroll över vilka böcker som är utlånade till vem.
Skolorna behandlar även elevernas personuppgifter vid resultatuppföljningar som görs för huvudmannens systematiska kvalitetsarbete och för nationell uppföljning och utvärdering (4 kap. 3 § och 26 kap. 25 §skollagen, förordningen [1992:1083] om viss uppgiftsskyldighet för huvudmännen inom skolväsendet m.m. och Skolverkets föreskrifter [SKOLFS 2011:142] om uppgiftsinsamling från huvudmännen inom skolväsendet m.m., ändrad genom [SKOLFS 2017:18]).
Särskilt om behandling i förskolan, fritidshemmet och pedagogisk omsorg
I förskolorna, fritidshemmen och pedagogisk omsorg behandlas barnens och elevernas personuppgifter i form av i vart fall namn för att kunna planera och genomföra respektive uppdrag att stimulera barnens och elevernas utveckling och lärande. Personalen i respektive verksamhet behöver även kunna notera när ett barn eller en elev kommit respektive gått för dagen. Personuppgiftsbehandling förekommer också i form av att barnen fotograferas av personalen i syfte att dokumentera verksamheten och barnens lärande och inför samtal med vårdnadshavare. Även inom dessa verksamheter kan det finnas behov av att kunna behandla känsliga personuppgifter, t.ex. uppgifter om allergier.
Särskilt om fristående förskolors och skolors behandling
Huvudmän för fristående förskolor och skolor har behov av att behandla samma uppgifter som offentliga huvudmän. Därutöver behandlar enskilda huvudmän även barnens och elevernas personuppgifter i samband med att de informerar kommunen om att de tagit emot ett barn eller en elev för att huvudmannen ska få bidrag från hemkommunen. I de fall en elev har ett omfattande behov av särskilt stöd eller ska erbjudas modersmålsundervisning ska hemkommunen betala ett tilläggsbelopp. I ansökan om tilläggsbelopp förekommer känsliga personuppgifter om eleven, t.ex. uppgift om funktionsnedsättning och behov av tekniska hjälpmedel (9 kap.19 och 21 §§ och 10 kap.37 och 39 §§skollagen). Sådana uppgifter kan även förekomma om en ansökan om tilläggsbelopp överklagas med stöd av 28 kap. 5 § skollagen.
Särskilt om behandling av känsliga personuppgifter
Känsliga personuppgifter kan förekomma vid vissa personuppgiftsbehandlingar, t.ex. i uppgiftssamlingar om allergier inom elevhälsan och i samband med skolmåltider, uppgifter om funktionsnedsättning och olika diagnoser inom elevhälsan, elevhälsoteam och åtgärdsprogram. I elevernas individuella utvecklingsplaner kan integritetskänsliga omdömen och bedömningar av elevernas möjligheter att nå kunskapskraven förekomma.
När en skola utreder och beslutar om särskilt stöd respektive åtgärdsprogram behandlas också personuppgifter som kan vara känsliga (3 kap. skollagen). Sådan behandling av personuppgifter kan även förekomma
inom elevhälsans psykosociala och specialpedagogiska verksamhet som inte omfattas av patientdatalagen.
Känsliga personuppgifter om hälsa kan även behöva behandlas i samband med att skolbibliotek förfogar över upphovsrättsligt skyddade verk som elever med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.
Om disciplinära åtgärder vidtas ska dessa dokumenteras skriftligt varvid personuppgiftsbehandling sker (3 kap.5 a, 8 och 9 §§ och 5 kap. 24 §skollagen).
Som har nämnts ovan behandlas vidare känsliga personuppgifter om hälsa vid prövning av mottagande i grundsärskolan, specialskolan, gymnasiesärskolan, och särskild utbildning för vuxna enligt 7, 18 och 21 kap. skollagen. Även en uppgift om att en elev går i en sådan skola är en känslig uppgift. Motsvarande gäller känsliga personuppgifter om etnicitet vid mottagande och fullgörande av skolplikt i sameskolan.
Behovet av behandling av känsliga personuppgifter på det skollagsreglerade området redogörs för närmare i avsnitt 13.3.
9.1.2. Den rättsliga grunden uppgift av allmänt intresse kan användas inom skollagsreglerad verksamhet
Regeringens bedömning: Genom bestämmelser i skollagen med anslutande föreskrifter och beslut fattade med stöd av dessa är tillhandahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet en i svensk rätt fastställd uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.
Utredningens bedömning:
Överensstämmer med regeringens bedöm-
ning.
Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,
Barnombudsmannen, Askersunds kommun, Eskilstuna kommun, Eslövs kommun och Halmstads kommun har inte några synpunkter på bedömningen. Sveriges Kommuner och Landsting, Friskolornas riksförbund och Specialpedagogiska skolmyndigheten delar uttryckligen utredningens bedömning.
Även Stockholms kommun delar bedömningen, men är tveksam till om den rättsliga grunden fullt ut täcker digitala läromedel som är molnbaserade antingen genom olika typer av webbtjänster eller genom applikationer. Vissa av dessa tjänster skulle kunna hanteras på sådant sätt att det innebär att personuppgifter inte behöver behandlas och därmed kan det ifrågasättas om det uppfyller kravet på nödvändighet enligt artikel 6.1 e i fördraget. Även Luleå kommun pekar på svårigheten att avgöra om en applikation är nödvändig för att fullgöra en undervisningsuppgift.
Datainspektionen anser att utredningens redovisning är bristfällig.
Inspektionen anser att den behöver kompletteras med en analys som visar
vilken behandling som är nödvändig utifrån skolornas verksamhet och en redovisning som visar att skollagen och därtill hörande bestämmelser ger stöd för den behandlingen och att dessa är tydliga, precisa och dess
tillämpning förutsägbar för personer som omfattas av den.
Inspektionen
anser vidare att det inte möjligt att presumera att de åtgärder som myndigheterna vidtar i syfte att utföra sina uppdrag och åligganden och som antagits i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre i sig har en legal grund som offentliggjorts genom tydliga, precisa och förutsägbara regler. Enligt Datainspektionen har utredningen inte visat att det kommer att finnas rättsligt stöd för all behandling av personuppgifter som är av betydelse för skolverksamheterna. Vilhelmina kommun delar bedömningen att det saknas tillräcklig analys.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning
Som framgått av föregående avsnitt finns det behov av att behandla en rad personuppgifter på det skollagsreglerade området. Som anges i avsnitt 6 förutsätter personuppgiftsbehandlingen en i EU-rätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskyddsförordningen).
Tillhandahållande, anordnande och bedrivande av utbildning är en uppgift av allmänt intresse
Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.2.
Som framgår av avsnitt 8 anser regeringen att det av såväl EU-rätten som regeringsformen framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. Skolväsendet, som beskrivs i avsnitt 5.1, regleras i skollagen med anslutande föreskrifter. I förarbetena till den nuvarande skollagen anförs att utbildningen är av betydelse både för den enskilda individens utveckling och för samhällsutvecklingen (prop. 2009/10:165 s. 634). Regeringen har i två propositioner från i mars 2017 ansett att undervisning inom skolväsendet får anses vara en uppgift av allmänt intresse i den mening som avses i 10 § PUL (prop. 2016/17:156 s. 43 och prop. 2016/17:161 s. 21).
Skollagen innehåller förutom bestämmelser om skolväsendet och särskilda utbildningsformer även bestämmelser om bl.a. annan pedagogisk verksamhet i form av pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds (25 kap.). Även om annan pedagogisk verksamhet i strikt mening inte skulle inrymmas i begreppet utbildning så erbjuds sådan verksamhet huvudsakligen i stället för eller som komplement till förskola eller fritidshem. Enligt regeringens bedömning bör därför även annan pedagogisk verksamhet vara en uppgift av allmänt intresse i dataskyddsförordningens mening. Detsamma gäller för öppen fritidsverksamhet som erbjuds av en huvudman.
I egenskap av hemkommun har en kommun enligt skollagen ansvar för en rad viktiga uppgifter i samband med utbildningen. Det handlar t.ex. om att se till att utbildning i olika skolformer kommer till stånd för alla barn i kommunen, att tillhandahålla skolskjuts eller att lämna bidrag till enskilda huvudmän för fristående förskolor och fristående skolor. Dessa uppgifter utgör viktiga förutsättningar för en fungerande skolverksamhet och bör därför enligt regeringens bedömning anses som uppgifter av allmänt intresse i dataskyddsförordningens mening.
Regeringens bedömning är således att tillhandahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet enligt skollagen med anslutande föreskrifter är en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Även det förhållandet att vissa utbildningar på grundläggande och gymnasial nivå kan berättiga till studiestöd enligt studiestödslagen och studiestödsförordningen kan enligt regeringens uppfattning läggas till grund för bedömningen om att anordnande och bedrivande av dessa utbildningar är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.
Den rättsliga grunden är fastställd i bl.a. skollagen
Av artikel 6.3 dataskyddsförordningen framgår att när det är fråga om behandling av personuppgifter som är nödvändiga för att utföra en uppgift av allmänt intresse ska grunden för behandlingen fastställas i enlighet med unionsrätten eller nationell rätt. I förslaget till dataskyddslag tydliggörs att den rättsliga grunden uppgift av allmänt intresse kan vara fastställd i svensk rätt om uppgiften följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 2 §). Av kommentaren paragrafen framgår att även privaträttsligt bedriven verksamhet av allmänt intresse omfattas av formuleringen (prop. 2017/18:105 s. 190).
Av 2 kap. skollagen framgår att huvudmän inom skolväsendet är kommuner, landsting, staten och, efter godkännande, enskilda. Skolväsendets, de särskilda utbildningsformernas och annan pedagogisk verksamhets samt hemkommunernas uppdrag och åligganden framgår av skollagen men även av flera förordningar som alla antagits i enlighet med grundlagens bestämmelser om normgivningskompetens.
Skollagen anger vilka ramar som gäller för all skolverksamhet. Där finns de övergripande målen och riktlinjerna för skolan. Vidare framgår att det ska finnas en läroplan för varje skolform och fritidshemmet som utgår från bestämmelserna i skollagen av (1 kap. 11 § skollagen). Läroplanerna, som är förordningar, ska tillsammans med skollagen styra verksamheten i skolan. I ämnes- och kursplanerna står vilket syfte och mål undervisningen i varje ämne ska ha. Kursplanerna talar inte om hur undervisningen ska läggas upp eller vilka arbetssätt som ska användas. Däremot anger kursplanerna vilka kunskapskvalitéer som ska utvecklas hos eleverna.
Av 2 kap. 8 § skollagen framgår att huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i denna lag, föreskrifter som har meddelats med stöd av lagen och de bestämmelser för
utbildningen som kan finnas i andra författningar. Detta gäller såväl offentliga som enskilda huvudmän.
Skollagen är en omfattande lag som är ca 150 sidor lång. Den närmare innebörden av uppdragen och åliggandena inom olika skolformer framgår av 2–21 kap. skollagen och föreskrifter som har sin grund i lagen. Dessa är t.ex. skolförordningen (2011:185), gymnasieförordningen (2010:2039), förordningen (SKOLFS 2010:37) om läroplan för grundskolan, förskoleklassen och fritidshemmet, förordningen (SKOLFS 2011:144) om läroplan för gymnasieskolan, förordningen (SKOLFS 2010:14) om examensmål för gymnasieskolans nationella program, förordningen (SKOLFS 2010:261) om ämnesplaner för de gymnasiegemensamma ämnena och Skolverkets föreskrifter (SKOLFS 2011:19) om kunskapskrav för grundskolans ämnen.
En uppgift som åligger huvudmännen är själva undervisningen. Med undervisning avses sådana målstyrda processer som under ledning av lärare och förskollärare syftar till utveckling och lärande genom inhämtande och utvecklande av kunskaper och värden (1 kap. 3 § skollagen). Med utbildning avses enligt samma bestämmelse den verksamhet inom vilken undervisning sker utifrån bestämda mål. Av förarbetena (prop. 2009/10:165 s. 217 f.) framgår att begreppet undervisning fått en definition som är anpassad för såväl förskola och fritidshem som skola och vuxenutbildning. Begreppet har getts en vid tolkning i dessa verksamheter. Med undervisning avses inte bara så kallad katederundervisning, utan även t.ex. förmedlande och undersökande undervisningsmetodik. Det är centralt i den kunskapssyn som genomsyrar skolväsendets samtliga styrdokument att undervisningen syftar till att eleverna ska inhämta samt utveckla både kunskaper och värden. I förskolan bildar omsorg, utveckling och lärande en helhet i undervisningen.
I förarbetena anges vidare att begreppet utbildning utgör en övergripande term som beskriver all den verksamhet som omfattas av de övergripande målen i skolförfattningarna. Begreppet utbildning är ett vidare begrepp än undervisning och kan omfatta annan verksamhet än undervisning både i den inre och den yttre miljön, t.ex. på skolgården, i matsalen eller i form av organiserat lärande förlagt till en arbetsplats. Utbildning kan dessutom omfatta annan verksamhet som äger rum t.ex. vid lägerskolor, utflykter eller olika former av praktik eller annan verksamhetsförlagd verksamhet. I förskolan har utbildningsbegreppet ett brett pedagogiskt perspektiv där omsorg, utveckling och lärande bildar en helhet. I begreppet utbildning omfattas också de frivilliga konfessionella inslag som förskolor och skolor med enskild huvudman kan ha (1 kap. 7 § skollagen).
De ovannämnda föreskrifterna anger mål med undervisningen, men inte exakt i minsta detalj hur undervisningen ska läggas upp eller vilka arbetssätt som ska användas. Läraren har ett visst mått av bestämmande över undervisningens innehåll men måste hålla sig inom vissa ramar. Kursplanerna tillsammans med de övergripande målen i läroplanen är grunden för planering och genomförande av en lärares undervisning. Enligt läroplanen ska läraren svara för att eleverna får pröva olika arbetssätt och arbetsformer. Av läroplanen framgår att läraren ska svara för att alla elever får ett reellt inflytande på arbetssätt, arbetsformer och undervisningens innehåll samt se till att detta inflytande ökar med
stigande ålder och mognad. En lärare kan dock bestämma t.ex. vilka läromedel eleverna ska använda, vilka uppgifter som de ska lösa och vilka hjälpmedel som eventuellt ska användas, t.ex. dator eller miniräknare. Detta innebär emellertid inte att själva undervisningen inte är fastställd i svensk rätt. Den undervisning som bedrivs av lärarna i skolorna har sitt stöd i skollagen med anslutande föreskrifter eftersom dessa sätter ramarna för undervisningen. Även själva undervisningen är enligt regeringens bedömning fastställd genom skollagen och anslutande föreskrifter och därigenom tydlig, precis och förutsägbar (jfr skäl 41 till dataskyddsförordningen).
Som exempel på personuppgiftsbehandling som kan anses nödvändig på grund av huvudmännens uppgifter enligt skollagen kan t.ex. nämnas elevregister för administration av elevernas närvaro (7 kap. 17 § skollagen), dokumentation av elevernas kunskaper inför ett utvecklingssamtal, uppgifter i en skriftlig individuell utvecklingsplan (t.ex. 10 kap.12 och 13 §§skollagen) och betygssättning (3 kap. 13 § skollagen). Det finns vidare tydliga dokumentationskrav i skollagen. Som exempel kan nämnas
att ö
verenskommelser vid utvecklingssamtal i de obligatoriska
skolformerna ska dokumenteras i elevens skriftliga individuella utvecklingsplan (10 kap. 13 §, 11 kap. 16 §, 12 kap. 13 § och 13 kap. 13 §skollagen). Om en elev är i behov av särskilt stöd ska det upprättas ett åtgärdsprogram. Av programmet ska framgå hur behovet av särskilt stöd ska tillgodoses, när åtgärderna ska följas upp och utvärderas och vem som är ansvarig för uppföljningen respektive utvärderingen. (3 kap. 9 § skollagen). De disciplinära åtgärder och andra särskilda åtgärder som vidtas för att tillförsäkra trygghet och studiero i skolan ska dokumenteras skriftligen (5 kap. 24 § skollagen). Även planen mot kränkande behandling (6 kap. 8 § skollagen) och det systematiska kvalitetsarbetet (4 kap. 6 § skollagen) ska dokumenteras.
Även de övriga skyldigheter som enligt skollagen åligger hemkommunen är enligt regeringens bedömning sådana uppgifter av allmänt intresse som är fastställda genom bestämmelserna i skollagen som reglerar just den aktuella uppgiften. Det gäller t.ex. att ansvara för att utbildning i grundskolan kommer till stånd (10 kap. 24 skollagen) och att lämna bidrag till enskilda huvudmän för fristående förskolor och fristående skolor (8 kap. 21 § och 10 kap. 37 §skollagen).
Mot denna bakgrund har enligt regeringens bedömning de åtgärder som huvudmännen och hemkommunerna vidtar i syfte att utföra uppdragen eller uppfylla åligganden enligt skollagen och anslutande föreskrifter en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler som står i proportion till de mål som eftersträvas. Uppgiften av allmänt intresse, dvs. att tillhandahålla, anordna och bedriva utbildning, är således fastställd genom skollagen med anslutande föreskrifter.
I det följande utvecklas också närmare hur den rättsliga grunden för nödvändig personuppgiftsbehandling är fastställd i fråga om utbildning i särskilda utbildningsformer och annan pedagogisk verksamhet.
Det finns fastställda uppgifter av allmänt intresse i fråga om utbildning i särskilda utbildningsformer…
I 24 kap. skollagen finns bestämmelser om s.k. särskilda utbildningsformer som bedrivs i stället för utbildning inom skolväsendet. Bestämmelserna gäller bl.a. utbildning vid särskilda ungdomshem, utbildning för intagna i kriminalvårdsanstalt, internationella skolor, utbildning vid folkhögskola som motsvarar kommunal vuxenutbildning i svenska för invandrare, utbildning för barn och elever som vårdas på sjukhus eller en institution som är knuten till ett sjukhus och utbildning i hemmet eller på annan lämplig plats. Nedan redogörs för regeringens bedömning av hur den rättsliga grunden för personuppgiftsbehandling är fastställd i fråga om dessa utbildningsformer.
…i form av särskilda ungdomshem…
Utbildning vid särskilda ungdomshem ska för skolpliktiga barn som vistas där och inte lämpligen kan fullgöra sin skolplikt på annat sätt, anordnas genom försorg av huvudmannen för hemmet. De barn som inte längre är skolpliktiga och inte lämpligen kan fullgöra sin skolgång på annat sätt ska genom huvudmannens försorg ges möjlighet att delta i utbildning (24 kap.8 och 9 §§skollagen).
Barn som genom en brottmålsdom dömts till sluten ungdomsvård placeras på särskilt ungdomshem. Dessa barn omfattas också av nämnda bestämmelser (32 kap. 5 § brottsbalken samt 1 och 12 §§ lagen [1998:603] om verkställighet av sluten ungdomsvård). Statens institutionsstyrelse (SiS) ansvarar för verkställigheten (3 § lagen om verkställighet av sluten ungdomsvård). I den del av myndighetens verksamhet som avser verkställighet av sluten ungdomsvård ska enligt Utredningen om 2016 års dataskyddsdirektiv förslaget till brottsdatalag (2018:000) tillämpas, eftersom det är fråga om en straffrättslig påföljd (SOU 2017:29, Brottsdatalag, avsnitt 8.4.2). I lagrådsremissen Brottsdatalag delar regeringen de bedömningar som utredningen gjort när det gäller tillvägagångssätt i gränsdragningsfrågor. I den lagrådsremissen anges också att ytterligare vägledning kring enskilda verksamheter inom myndigheterna kan fås genom de bedömningar som utredningen redovisar i delbetänkandet (s. 111–112).
Däremot är den föreslagna brottsdatalagens bestämmelser inte tillämpliga på personuppgiftsbehandling som inte är en följd av att den dömde överlämnats till sluten ungdomsvård, utan sker inom ramen för skolplikten. Det beror på att det inte är fråga om verkställighet av en påföljd. Detsamma gäller barn vars personuppgifter behandlas med anledning av att de får utbildning vid särskilda ungdomshem och som placerats där med stöd av socialtjänstlagen (2001:453) eller lagen (1990:52) om särskilda bestämmelser om vård av unga. Inte heller då är den föreslagna brottsdatalagens bestämmelser tillämpliga, eftersom det inte är fråga om verkställighet av en påföljd. Det är således dataskyddsförordningens bestämmelser som ska tillämpas på personuppgiftsbehandlingen i dessa fall. Genom bestämmelserna i t.ex. 24 kap. 8 § skollagen är SiS anordnande av utbildning för skolpliktiga barn som vistas i ungdomshemmet om de inte lämpligen kan fullgöra sin skolplikt på annat sätt en fastställd uppgift av allmänt intresse. Vidare anges i bestämmelsen att relevanta
bestämmelser i skollagen rörande grundskolan eller i förekommande fall grundsärskolan eller specialskolan ska tillämpas med nödvändiga avvikelser. SiS kan alltså i dess fall grunda nödvändig personuppgiftsbehandling på att den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen är fastställd i svensk rätt.
…internationella skolor…
Med en internationell skola avses en skola där utbildningen följer ett annat lands läroplan eller en internationell läroplan och som i första hand riktar sig till elever som är bosatta i Sverige för en begränsad tid 24 kap. 2 § skollagen).
En elev får under vissa förutsättningar fullgöra sin skolplikt i en internationell skola på grundskolenivå (24 kap.2–4 §§skollagen). De internationella skolorna på grundskolenivå är ålagda att följa vissa föreskrifter i förordningen (2015:801) om internationella skolor så länge som godkännandet för den enskilde respektive medgivandet för den kommunala huvudmannen gäller. Av föreskrifterna framgår bl.a. att utbildningen ska vara utformad så att den som helhet betraktad är likvärdig med utbildningen i grundskolan. Elever som är bosatta i Sverige för en begränsad tid ska ges undervisning i svenska och om Sverige i den omfattning som de behöver. Undervisning i svenska för övriga skolpliktiga elever ska bedrivas enligt läroplanen för grundskolan och kursplanen i svenska (4–6 §§). Av 24 kap.3 och 4 §§skollagen framgår att barn under vissa förutsättningar får fullgöra sin skolplikt i en internationell skola på grundskolenivå. Regeringen bedömer mot denna bakgrund att den utbildning som de internationella skolorna på grundskolenivå bedriver är en uppgift av allmänt intresse. Denna uppgift är fastställd i svensk rätt genom bestämmelserna i 24 kap.2, 3 a och 4 a §§skollagen, tillsammans med relevanta bestämmelser i förordningen om internationella skolor och Statens skolinspektions beslut om antingen ett godkännande eller förklaring som huvudman för en internationell skola på grundskolenivå. Enligt regeringens bedömning kan en internationell skola på grundskolenivå således tillämpa den rättsliga grunden uppgift av allmänt intresse för nödvändig personuppgiftsbehandling.
En internationell skola på gymnasienivå har en enskild huvudman och följer en utländsk eller internationell läroplan. Det finns inga bestämmelser om att huvudmannen ska ha ett godkännande för att få bedriva utbildningen, men för att vara berättigad till bidrag för elever från deras hemkommuner måste huvudmannen få en förklaring om rätt till bidrag från Skolinspektionen (24 kap.6 och 6 a §§skollagen). För att en enskild huvudman för en internationell skola på gymnasienivå ska förklaras berättigad till bidrag enligt skollagen krävs bl.a. att utbildningen är utformad så att den som helhet betraktad är likvärdig med utbildningen i gymnasieskolan. Dess allmänna mål och värdegrund får inte strida mot de allmänna mål och den värdegrund som gäller för utbildning inom skolväsendet (7 § förordningen [2015:801] om internationella skolor).
Regeringen bedömer att den utbildning som den internationella skolan bedriver är en uppgift av allmänt intresse som är fastställd i svensk rätt genom bestämmelserna i 24 kap.2, 6 och 6 a §§skollagen tillsammans
med relevanta bestämmelser i förordningen om internationella skolor och ett beslut från Skolinspektionen om förklaring om rätt till bidrag. Den internationella skolan är dock inte bunden av t.ex. skollagens bestämmelser om betygssättning (se 3 kap. 13 § skollagen som särskilt räknar upp vilka skolformer som omfattas). Skolan måste inte heller ansöka om tillstånd att sätta betyg, anordna prövning samt utfärda betyg, gymnasieexamen och intyg enligt de bestämmelser som gäller för gymnasieskolan (förordningen [2012:509] om betygsrätt för viss utbildning vid internationella skolor). Att eleverna ska få betyg kan dock framgå av den utländska eller internationella läroplanen som skolan följer. Om behandling av personuppgifter för att kunna betygsätta eleverna inom den internationella skolan är nödvändig för att utföra uppgiften av allmänt intresse, dvs. anordna utbildning, bör sådan behandling kunna ske med stöd av den rättsliga grunden utföra uppgift av allmänt intresse fastställd i skollagen, förordningen om internationella skolor och beslutet från Skolinspektionen.
…folkhögskolans vuxenutbildning i svenska för invandrare…
Om en folkhögskola har getts rätt att sätta betyg, anordna prövning samt utfärda betyg och intyg och förklarat sig ha för avsikt att ta emot den sökande till utbildningen har den som har rätt att delta i kommunal vuxenutbildning i svenska för invandrare rätt att i stället delta i folkhögskolans motsvarande vuxenutbildning i svenska för invandrare (24 kap. 11 § skollagen). En folkhögskola som väljer att bedriva sådan utbildning utför genom anordnandet av just den utbildningen en uppgift av allmänt intresse som är fastställd genom 24 kap. 11 § skollagen. Om folkhögskolan bedömer att behandlingen av personuppgifter är nödvändig för att den ska kunna bedriva utbildningen i svenska för invandrare kan den tillämpa den rättsliga grunden i artikel 6.1 e för att behandla personuppgifter som hör till just den delen av folkhögskolans verksamhet.
…barn och elever som vårdas på sjukhus eller annan motsvarande institution…
Skollagen innehåller även bestämmelser om utbildning för barn och elever som vårdas på sjukhus eller annan motsvarande institution. Huvudmannen för institutionen ska svara för att barn som vårdas på sjukhus eller en institution som är knuten till ett sjukhus, får tillfälle att delta i utbildning som så långt det är möjligt motsvarar den som erbjuds i förskola, förskoleklass eller fritidshem (24 kap. 16 § skollagen). Enligt regeringens bedömning kan huvudmannen för institutionen grunda nödvändig personuppgiftsbehandling för att utföra uppgiften utbildning motsvarande den som erbjuds i förskola, förskoleklass eller fritidshem på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fastställd genom bestämmelsen i 24 kap. 16 § skollagen tillsammans med de bestämmelser om den aktuella utbildningen som huvudmannen anordnar.
Under vissa förutsättningar kan en elev t.ex. i grundskolan få särskild undervisning på sjukhus eller på en institution som är knuten till ett sjukhus (24 kap.17–19 §§skollagen). Det är kommunen där institu-
tionen finns som ska anordna denna. Undervisningen ska så långt möjligt motsvara den undervisning som eleven inte kan delta i. Regeringen bedömer att kommunen kan grunda den behandling av personuppgifter som är nödvändig för att utföra uppgiften särskild undervisning på den rättsliga grunden uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap.17–19 §§skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola.
… och särskild undervisning i hemmet eller annan lämplig plats
En kommun kan enligt regeringens bedömning även på motsvarande vis grunda nödvändig personuppgiftsbehandling för att utföra särskild undervisning i hemmet eller annan lämplig plats på den rättsliga grunden uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap.20–22 §§skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola.
Rättslig grund för utbildning för intagna på kriminalvårdsanstalt regleras i brottsdatalagen
Kriminalvården ansvarar för utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna på kriminalvårdsanstalt (24 kap. 10 § skollagen). Kriminalvården får enligt 3 kap.1 och 2 §§fängelselagen (2010:610) bestämma att en intagen ska ha studier som sysselsättning. Någon åldersgräns gäller inte för sådan verksamhet. När studier är anvisad sysselsättning ingår de som ett led i verkställigheten av utdömda fängelsestraff. Enligt Utredningen om 2016 års dataskyddsdirektiv bör därför den föreslagna brottsdatalagen tillämpas på behandlingen av personuppgifterna med anledning av studierna (SOU 2017:29, s 217). I lagrådsremissen Brottsdatalag delar regeringen de bedömningar som utredningen gjort när det gäller tillvägagångssätt i gränsdragningsfrågor. I den lagrådsremissen anges också att ytterligare vägledning kring enskilda verksamheter inom myndigheterna kan fås genom de bedömningar som utredningen redovisar i delbetänkandet (s. 111–112). Bestämmelser om rättslig grund för behandling av personuppgifter som behövs för att en behörig myndighet ska kunna verkställa en straffrättslig påföljd föreslås i 2 kap. 1 § brottsdatalagen.
Det finns fastställda uppgifter av allmänt intresse för annan pedagogisk verksamhet…
I 25 kap. skollagen finns bestämmelser om s.k. annan pedagogisk verksamhet som bedrivs i stället för utbildning inom skolväsendet. Bestämmelserna gäller pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds. Nedan redogörs för regeringens bedömning av hur den rättsliga grunden för personuppgiftsbehandling är fastställd i fråga om dessa verksamheter.
…i form av pedagogisk omsorg…
Enligt 25 kap. 2 § skollagen ska kommunen sträva efter att i stället för förskola eller fritidshem erbjuda ett barn pedagogisk omsorg om barnets vårdnadshavare önskar det. Med pedagogisk omsorg avses främst familjedaghem och flerfamiljslösningar. Sådan verksamhet utförs ofta i den privata aktörens egna hem (SOU 2016:62 s. 171). Genom att pedagogisk verksamhet är reglerad i skollagen bör en sådan verksamhet anses vara en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelsen i 25 kap. 2 § skollagen. Kommunen har således stöd för den behandling av personuppgifter som är nödvändig för att kunna efterleva bestämmelsen.
…öppen förskola…
Som komplement till förskola och pedagogisk omsorg får en kommun anordna öppen förskola (25 kap. 3 § skollagen). Den öppna förskolan ska erbjuda barn en pedagogisk verksamhet i samarbete med medföljande vuxna samtidigt som de vuxna ges möjlighet till social gemenskap. Barn och föräldrar har ingen formell plats att ta i anspråk och barnen är inte inskrivna i den öppna förskolan. Verksamheten vänder sig till barn och föräldrar som är hemma på dagarna, t.ex. under föräldraledigheten. För dessa är verksamheten en viktig social träffpunkt, där barnen ges tillfälle att tillsammans med en förälder eller annan vuxen delta i en verksamhet i gruppens form, som syftar till att ge pedagogisk stimulans (prop. 2009/10:165 s. 528). Genom bestämmelsen i 25 kap. 3 § skollagen och kommunens beslut att anordna öppen förskola är enligt regeringens bedömning uppgiften av allmänt intresse, dvs. att anordna öppen förskola, fastställd.
…öppen fritidsverksamhet…
Öppen fritidsverksamhet får erbjudas elever i de utbildningsformer där skolplikt kan fullgöras, i stället för fritidshem från och med höstterminen det år eleven fyller 10 år till och med vårterminen det år eleven fyller 13 år. Verksamheten ska genom pedagogisk verksamhet komplettera utbildningen i de olika utbildningsformer i vilka skolplikt kan fullgöras och erbjuda eleven möjlighet till utveckling och lärande samt en meningsfull fritid och rekreation (14 kap. 7 § och 25 kap. 4 §skollagen). Den öppna fritidsverksamheten är en enklare form av verksamhet som inte erbjuder samma grad av omsorg och tillsyn, och elevgrupperna kan vara mer flexibla än på fritidshemmen. Genom att verksamheten regleras i skollagen är den enligt regeringens bedömning en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom den aktuella bestämmelsen. Huvudmännen har därför stöd för behandling av personuppgifter som är nödvändig för verksamheten, såsom t.ex. personuppgifter som behövs för att planera verksamheten.
…omsorg för barn under tid då förskola eller fritidshem inte erbjuds…
Av 25 kap. 5 § skollagen framgår att kommunen ska sträva efter att erbjuda omsorg för barn under tid då förskola eller fritidshem inte erbjuds i den omfattning det behövs med hänsyn till föräldrars förvärvsarbete och
familjens situation i övrigt. Av förarbetena till bestämmelsen framgår att omsorg för barn under s.k. obekväma arbetstider inte ska betraktas som en skolform, till skillnad från förskolan, och inte heller åläggas de krav som ställs på en sådan verksamhet (prop. 2009/10:165 s. 532). Utgångspunkten är att omsorgen ska erbjudas i den omfattning det behövs med hänsyn till föräldrarnas förvärvsarbete eller familjens situation i övrigt, om föräldrarna inte själva kan ordna omsorgen. Att ”sträva efter” innebär att kommunen inte utan vidare kan avstå från att tillhandahålla sådan omsorg. Ambitionen måste vara att tillhandahålla omsorg även under s.k. obekväm arbetstid åt familjer som har behov av det. Om kommunen vid en viss tidpunkt inte har någon efterfrågan måste kommunen ändå planera för att tillhandahålla omsorg, när situationen förändras. Eftersom kommunerna genom bestämmelsen i skollagen ges ett uppdrag att ordna barnomsorg under s.k. obekväm arbetstid får sådan verksamhet anses vara en uppgift av allmänt intresse som är fastställd genom bestämmelsen. Kommunerna kan således behandla personuppgifter som är nödvändiga för att kunna utföra uppgiften att tillhandahålla barnomsorg på obekväm arbetstid.
…och vid entreprenad
Entreprenad enligt skollagen innebär att en huvudman med bibehållet huvudmannaskap sluter avtal med någon annan om att denne utför uppgifter inom utbildning eller annan verksamhet enligt skollagen (23 kap. 1 § första stycket skollagen). Om en enskild med stöd av bestämmelserna i 23 kap. skollagen och avtal anordnar t.ex. pedagogisk omsorg eller annan verksamhet på entreprenad anses denne utföra uppgiften av allmänt intresse på uppdrag av kommunen. Även i dessa fall är enligt regeringens bedömning uppgiften av allmänt intresse fastställd i författning (se även avsnitt 6.2).
Sammanfattningsvis kan nödvändig personuppgiftsbehandling ske med stöd av den fastställda rättsliga grunden uppgiften av allmänt intresse
Utöver vad som anges ovan om hur den rättsliga grunden är fastställd har regeringen också, som nämnts i avsnitt 6.2, i propositionen Ny dataskyddslag bedömt att den grad av tydlighet och precision som krävs i fråga om den rättsliga grunden enligt skäl 41 i dataskyddsförordningen måste bedömas från fall till fall, utifrån behandlingens karaktär. Det torde stå klart att en behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten, såsom när det gäller behandling av elevers namn i reguljär skolverksamhet, kan ske med stöd av en rättslig grund som är allmänt hållen. Vidare anges att utgångspunkten bör vara att dataskyddsförordningens krav på proportionalitet i artikel 6.3 andra stycket är uppfyllt i fråga om rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning som fastställs i enlighet med svensk rätt (prop. 2017/18:105 s. 51). Mot denna bakgrund och med stöd av analysen ovan konstaterar regeringen att den verksamhet som sker med stöd av skollagen och anslutande föreskrifter är uppgifter av allmänt intresse som har legala grunder som, till skillnad mot vad Datainspektionen har anfört, har fastställts genom tydliga, precisa och förutsebara regler i nationell rätt som är proportionerliga mot
det mål som eftersträvas. Behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på skollagen och anslutande föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.
När det gäller frågan om vilken behandling som är nödvändig, t.ex. vid användningen av sådana digitala läromedel som uppmärksammats av
Stockholms kommun och Luleå kommun, kan konstateras att den personuppgiftsansvarige ansvarar för att bedöma om syftet med behandlingen är nödvändigt för att utföra en uppgift av allmänt intresse (artikel 5.2 och 6.3 i dataskyddsförordningen), se vidare avsnitt 6.2.
9.1.3. Den rättsliga grunden myndighetsutövning kan användas i vissa fall
Regeringens bedömning: Huvudmän inom området som regleras av skollagen vidtar vissa åtgärder med stöd av skollagen som innefattar myndighetsutövning, t.ex. betygssättning och beslut om särskilt stöd.
Den behandling av personuppgifter som är nödvändig för myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,
Barnombudsmannen, Askersunds, Eskilstuna, Eslövs och Halmstads kommuner, har inte några synpunkter på bedömningen. Sveriges Kommuner och Landsting, Friskolornas riksförbund, Specialpedagogiska skolmyndigheten och Stockholms kommun delar utredningens bedömning.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: Den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.3. Som anges där, framgår det av propositionen Ny dataskyddslag (prop. 2017/18:105) att utgångspunkten i svensk rätt är att det som i
Sverige brukar anses som myndighetsutövning faller in under dataskyddsförordningens begrepp och att detta bör gälla även fortsättningsvis (s. 62).
Den största delen av skolornas verksamhet, undervisning, utgörs av faktiskt handlande. Bara en liten del av verksamheten i förskolor och skolor utgör ärendehandläggning som innebär myndighetsutövning mot enskild. Det kan handla om ärenden som rör mottagande av elever, särskilt stöd, avstängning av elever eller befrielse från sådana inslag i undervisningen som är obligatoriska (t.ex. 3 kap. 9 §, 5 kap. 14 § och 7 kap.5 och 19 §§skollagen). Även betygssättning av elevernas kunskaper är en form av myndighetsutövning. De allmänna bestämmelserna om betyg-
sättning finns i bl.a. 3 kap. 13 § skollagen, de olika skolformskapitlen i skollagen och i förordningarna för de olika skolformerna såsom t.ex. gymnasieförordningen (2010:2039).
Enligt regeringens bedömning är grunden för behandlingen redan i dag fastställd i skollagen och anslutande föreskrifter. Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna utföra nödvändig behandling av personuppgifter som ingår i myndighetsutövningen med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen.
När det gäller frågan om vilken behandling som är nödvändig kan konstateras att det ankommer på den personuppgiftsansvarige att bedöma om syftet med behandlingen är nödvändigt för att utföra en uppgift av allmänt intresse (artikel 5.2 och 6.3 i dataskyddsförordningen), se vidare avsnitt 6.2.
Regeringen anser vidare att även artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa ingår i uppgiften att anordna utbildning.
9.1.4. Den rättsliga grunden rättslig förpliktelse kan användas i vissa fall
Regeringens bedömning:Skollagen innehåller bestämmelser som gör det nödvändigt för verksamhetsutövarna att behandla personuppgifter. Behandlingen kan i dessa fall göras med stöd av den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i dataskyddsförordningen.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,
Barnombudsmannen, Askersunds, Eskilstuna, Eslövs och Halmstads kommuner har inte några synpunkter på bedömningen. Sveriges Kommuner och Landsting, Friskolornas riksförbund, Specialpedagogiska skolmyndigheten och Stockholms kommun delar utredningens bedömning.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: Den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i dataskyddsförordningen har beskrivits i avsnitt 6.4.
Utredningen om offentlighet och sekretess i skolan (2002:10) ansåg att skolmyndigheter enligt den då gällande skollagen och andra författningar hade en rättslig skyldighet i PUL:s mening att fullgöra sina åligganden gentemot eleverna i fråga om såväl undervisning som elevvård (SOU 2003:103 s. 199).
Datainspektionen har ansett att den skyldighet för myndigheter som följer av offentlighetsprincipen är en sådan rättslig skyldighet som avses
i motsvarande bestämmelse i PUL (Datainspektionens rapport 2005:3 Övervakning i arbetslivet. Kontroll av de anställdas Internet och epostanvändning m.m., s. 15.)
En skillnad mellan PUL och dataskyddsförordningen är dock att dataskyddsförordningen kräver att den rättsliga förpliktelsen ska vara fastställd i svensk rätt och att syftet med behandlingen ska vara fastställt i den rättsliga grunden.
Skollagen innehåller många rättsliga förpliktelser för de huvudmän som bedriver skolverksamhet enligt lagen. Exempel på sådana är att eleven och elevens vårdnadshavare fortlöpande ska informeras om elevens utveckling (3 kap. 4 §), ett åtgärdsprogram ska utarbetas för en elev som ska ges särskilt stöd (3 kap. 9 §), att elevens kunskaper ska betygsättas i vissa skolformer (3 kap. 13 §), att grundskolan och gymnasieskolan och motsvarande skolformer ska erbjuda modersmålsundervisning under vissa förutsättningar (10 kap. 7 §, 11 kap. 10 §, 12 kap. 7 §, 13 kap. 7 §, 15 kap. 19 § och 18 kap. 19 §), och att rektorn ska se till att vårdnadshavaren till en elev i vissa skolformer, t.ex. grundskolan, samma dag informeras om eleven utan giltigt skäl uteblir från den obligatoriska verksamheten (7 kap. 17 §). Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden i artikel 6.1 c för sin nödvändiga personuppgiftsbehandling.
Regeringen bedömer att även artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa ingår i uppgiften att anordna utbildning.
9.1.5. Intresseavvägning kan användas men blir sällan aktuell
Regeringens bedömning: Enskilda huvudmän inom området som regleras av skollagen kan behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen. Den förutsätter att – behandlingen är nödvändig för ändamål som rör den person-
uppgiftsansvariges eller en tredje parts berättigade intressen, och – att inte den registrerades intressen eller grundläggande rättigheter
och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Eftersom även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 f i dataskyddsförordningen är tillämplig, behöver dock intresseavvägning sällan eller aldrig användas.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,
Sveriges Kommuner och Landsting, Barnombudsmannen, Askersunds, Eskilstuna, Eslövs, Halmstads och Stockholms kommuner har inte några synpunkter på bedömningen. Friskolornas riksförbund och Specialpedagogiska skolmyndigheten delar utredningens bedömning.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: Den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen har beskrivits i avsnitt 6.5. Grunden gäller inte för behandling av personuppgifter som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom skolor med staten, en kommun eller ett landsting som huvudman är myndigheter som fullgör sina uppgifter när de tillhandahåller utbildning enligt skollagen, är det endast skolor med enskild huvudman som kan tillämpa grunden intresseavvägning till stöd för sin personuppgiftsbehandling.
Som framgått ovan i avsnitt 8, är bedömer regeringen att artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för anordnande av utbildning enligt skollagen och anslutande föreskrifter, oavsett om huvudmannen är offentlig eller enskild. Enligt regeringens uppfattning bör enskilda skolhuvudmän i skollagsreglerad verksamhet därför sällan eller aldrig behöva använda den rättsliga grunden intresseavvägning i artikel 6.1 f. Den enskilda huvudman som avser att tillämpa den rättsliga grunden intresseavvägning har dock vid intresseavvägningen särskilt att beakta barns rätt till integritetsskydd (artikel 6.1 f i dataskyddsförordningen).
9.1.6. Den rättsliga grunden samtycke kan användas i begränsad utsträckning
Regeringens bedömning: Huvudmän inom det skollagsreglerade området kan i begränsad utsträckning använda sig av den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen för sin personuppgiftsbehandling.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,
Barnombudsmannen, Askersunds, Eskilstuna, Eslövs och Halmstads kommuner har inte några synpunkter på bedömningen. Datainspektionen, Sveriges Kommuner och Landsting, Friskolornas riksförbund, Specialpedagogiska skolmyndigheten och Stockholms kommun delar utredningens bedömning.
Datainspektionen framhåller dock att samtycke förutsätter att det rör sig om sådant som inte är relaterat till själva kärnverksamheten och där vårdnadshavaren eller eleven faktiskt kan säga nej utan problem. Friskolornas riksförbund och Sveriges Kommuner och Landsting anser att det, utöver de situationer som utredningen nämnt, även finns andra likartade situationer där samtycke bör kunna utgöra rättslig grund. Stockholms kommun anger digitala läromedel och tjänster som exempel, då det i dessa fall finns risk för att det saknas annan rättslig grund.
Förvaltningsrätten i Linköping bedömer att det i praktiken kan uppstå gränsdragningssvårigheter för den personuppgiftsansvariga i den dagliga
verksamheten, såsom svårigheter att bedöma om en viss personuppgiftsbehandling, som är nödvändig för elevers deltagande i en viss aktivitet på skolan, även är nödvändig enligt artikel 6.1 c eller e i dataskyddsförordningen. Likaså innebär det svårigheter för den personuppgiftsansvariga att i ett sådant skede bedöma om ett samtycke kan användas på ett lagenligt sätt. Införandet av en uppförandekod är därför enligt förvaltningsrätten av stor betydelse för efterlevnaden av regleringen. Uppsala universitet framför också att det är oklart i vilken utsträckning barn, utan vårdnadshavares inblandning, kan samtycka till personuppgiftsbehandling och anser att det bör utredas ytterligare. Möjligen bör det även övervägas om inte regleringen av de rättsliga grunderna, däribland samtycke inom utbildningsverksamhet, och eventuellt principerna för tillåten personuppgiftsbehandling bör tas in i det nya kapitel som föreslås i skollagen.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1. När det gäller uppgifter om barn och specialfallet skolor har artikel 29-gruppen uttalat sig i ett yttrande. I yttrandet anges beträffande behandling av barns personuppgifter i skolan bl.a. att samtycke till behandling av alla uppgifter som kan ge upphov till diskriminering måste vara otvetydigt och att överföring till tredje part i marknadsföringssyfte är beroende av om vårdnadshavarna på förhand har underrättats och gett sitt samtycke. (Yttrande 2/2009 om skydd för uppgifter om barn [Allmänna riktlinjer och specialfallet skolor] s. 12 f.) Artikel 29-gruppen synes således anse att samtycke kan användas som rättslig grund för personuppgiftsbehandling inom skolor, i vart fall i vissa fall.
Enligt regeringens bedömning är det möjligt att för viss personuppgiftsbehandling använda sig av samtycke även i förhållandet mellan ett barns vårdnadshavare och en förskola samt mellan en elevs vårdnadshavare, eller eleven själv beroende på ålder, och en skola. Ett exempel på när samtycke skulle kunna vara lämplig grund för behandling av personuppgifter är inför fotografering av eleverna i syfte att skapa elektroniska skolkataloger eller för att dokumentera verksamheten i förskola och skola, inte minst i syfte att kunna redogöra för den för barnens vårdnadshavare. I sammanhanget kan även nämnas att artikel 29-gruppen anser att samtycke från vårdnadshavarna ska inhämtas om en skola har för avsikt att t.ex. lägga ut individuella foton av eleverna med uppgift om deras identitet på internet (Yttrande 2/2009 om skydd för uppgifter om barn [Allmänna riktlinjer och specialfallet skolor] s. 18). Genom att samtycke hämtas in har berörda parter möjlighet att säga nej till att eleverna tas med på fotona.
Såsom Friskolornas riksförbund, Sveriges Kommuner och Landsting och Stockholms kommun framfört skulle det kunna även uppstå andra likartade situationer där samtycke skulle kunna användas som rättslig grund. Denna möjlighet är dock något som får bedömas från fall till fall av huvudmannen.
När det gäller gränsdragningen mellan olika rättsliga grunder, som
Förvaltningsrätten i Linköping uppmärksammar, menar regeringen att det varken finns anledning eller är möjligt att hämta in samtycke om behandlingen av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse eller för myndighetsutövning eller om behandlingen är en rättslig förpliktelse, eftersom samtycke enligt skäl 43 inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Det gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Detta får anses gälla även fristående skolor när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller myndighetsutövning eller behandlingen är en rättslig förpliktelse, se vidare avsnitt 6.1.
Att personuppgifter som rör barn anses särskilt skyddsvärda framgår av flera av dataskyddsförordningens bestämmelser och betonas i skälen. En närmare redogörelse för detta finns i dataskyddsutredningens betänkande SOU 2017:39 s. 140 f. Som nämnts i avsnitt 4.6 föreslås vidare i propositionen Ny dataskyddslag (prop. 2017/18:105) att det ska införas en bestämmelse i 2 kap. 4 § dataskyddslagen som innebär att vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke om barnet är minst 13 år. Som regeringen återkommer till i avsnitt 11 avser också regeringen att ge en lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet. Regeringen bedömer att några ytterligare åtgärder som rör barns samtycke specifikt i utbildningssammanhang inte är påkallade för närvarande.
När det gäller Uppsala universitets synpunkt att det möjligen bör övervägas om regleringen av de rättsliga grunderna, däribland samtycke inom utbildningsverksamhet, bör tas in i skollagen kan det konstateras att frågan i vilken utsträckning de rättsliga grunderna i dataskyddsförordningen bör återges i svensk rätt redan har behandlats i avsnitt 8 i propositionen Ny dataskyddslag (prop. 2017/18:105). Det saknas därför anledning att här ytterligare överväga frågan.
9.2. Universitets- och högskolesektorn
9.2.1. Vilka personuppgifter behandlas inom högskolesektorn?
Nedan ges en översiktlig beskrivning av de huvudsakliga behandlingar av personuppgifter som sker inom högskolesektorn. En beskrivning av behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål m.m. på området lämnas i avsnitt 13.4.1 och 14.4.1.
Behandling i studieadministrativt syfte
För behandling av personuppgifter på högskoleområdet gäller, utöver PUL, även förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor. Av förordningen följer att varje högskola ska dokumentera uppgifter om studenter och föra ett studieregister där uppgifter anges individuellt för varje student. I studieregistret behandlas uppgifter om namn, personnummer, behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet, examen och sådana uppgifter som krävs för att uppgifter ska kunna lämnas till Statistiska centralbyrån (SCB) och UHR. Registret får också innehålla de uppgifter om studenter som behövs för resultatredovisning.
Ändamålet med studieregistret är att säkra att uppgifter om sökande till utbildning, genomgångna studier, betyg över utbildningar och examina bevaras. Utöver det ska uppgifterna kunna ligga till grund för uppföljning och utvärdering, för antagning av studenter, för beslut om anmälningsavgift och studieavgift, för avstängning av studieavgiftsskyldiga studenter, för administration inom respektive högskola, för utlämnande i vissa fall till andra myndigheter, för sådan officiell statistik som avses i 3 kap. samt för resurstilldelning (2 kap. 1–3, och 5–6 och 8 §§ förordningen om redovisning av studier m.m. vid universitet och högskolor).
För studieadministration använder samtliga statliga högskolor och några av de enskilda utbildningsanordnarna sig bl.a. av det nationella systemet Ladok. Ladok används även för utbyte av information mellan högskolor och andra myndigheter.
Behandling vid antagning till utbildning
I förordningen om redovisning av studier m.m. vid universitet och högskolor finns även bestämmelser om ett antagningsregister. Ett sådant register, där uppgifter anges individuellt för varje student, får föras av UHR. Ändamålet med registret är att vara till hjälp för högskolor vid antagning av studenter. Uppgifterna i antagningsregistret får hämtas in från högskolornas studieregister. Antagningsregistret får, precis som studieregistret, omfatta uppgifter om namn, personnummer, behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet och examen. Registret får även omfatta behörighetsgrundande meriter, urvalsgrundande meriter och uppgifter och, med vissa undantag, de uppgifter i övrigt som en student åberopar i samband med antagning till en utbildning (4 kap. 1 och 3 §§ förordningen om redovisning av studier m.m. vid universitet och högskolor).
För handläggningen vid antagningsförfarandet använder sig UHR av ett system som heter NyA. UHR registrerar, granskar och bedömer de sökandes meriter. Bedömningen leder till att sökande blir antagna, reservplacerade eller strukna om de är obehöriga. En högskolas beslut om att en sökande inte uppfyller kraven på behörighet för att bli antagen till utbildning får överklagas (12 kap. 2 § 2 högskoleförordningen).
Behandling i samband med högskoleprovet
En möjlighet att antas till högskoleutbildning på grundnivå och avancerad nivå är genom resultat på högskoleprovet. UHR ansvarar för att provet tas fram och beslutar om resultat på provet. De statliga högskolor som ska använda provet som urvalsgrund ska genomföra provet. Provet får även genomföras av UHR (7 kap.12, 20 och 26 §§högskoleförordningen).
För genomförandet av högskoleprovet finns det två webbplatser, dels hogskoleprov.nu där provdeltagare anmäler sig och då anger namn, personnummer, adress och telefonnummer, dels hpadmin.uhr.se, som är ett system där handläggare på lärosätena administrerar lokaler, personal och provdeltagare samt skickar placeringsbesked till personalen och kallelser till provdeltagare. UHR förvaltar webbplatserna men det är lärosätena som är personuppgiftsansvariga. UHR är dock personuppgiftsansvarig för det register där resultaten från högskoleprovet finns samlade, HP-registret.
Behandling i utbildningen
Som hjälpmedel i undervisningen används s.k. läroplattformar. Plattformarna är webbaserade och i dessa samlats sådana specifika moment som krävs för genomförandet av en kurs, t.ex. hämtning av kursmaterial och inlämnande av uppgifter. Genom plattformarna underlättas dessutom kommunikationen mellan lärare och studenter och information kan spridas på ett snabbt och enkelt sätt. I plattformarna behandlas personuppgifter som hämtas från det aktuella lärosätets Ladoksystem. I läroplattformarna behandlas personuppgifter i form av t.ex. namn, e-post, personnummer, användar-id kopplat till lärosätets övriga it-system, uppgifter om betyg och uppgifter över studentens användning av läroplattformen.
Behandling i samband med tillgodoräknande av tidigare utbildning och verksamhet
En student kan under vissa förutsättningar få tillgodoräkna sig tidigare utbildning eller verksamhet. En högskolas beslut om tillgodoräknande av utbildning eller yrkesverksamhet kan överklagas (6 kap. 6–8 §§ och 12 kap. 2 § 3 högskoleförordningen [1993:100]). När en person ansöker om tillgodoräknande ska denne ange namn, personnummer och aktuella kontaktuppgifter. Sökanden ska även lämna en utförlig beskrivning av hur denne uppfyller lärandemålen.
Behandling i högskolebibliotekens verksamhet
Vid alla universitet och högskolor som omfattas av högskolelagen (1992:1434) ska det finnas tillgång till bibliotek. Dessa bibliotek ska svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid högskolan. Ett högskolebibliotek ska avgiftsfritt ställa litteratur ur de egna samlingarna till andra högskolebiblioteks förfogande (12 § bibliotekslagen och 2 kap. 16 § högskoleförordningen). I denna verksamhet behandlas personuppgifter i syfte att hålla reda på utlånade böcker. Känsliga personuppgifter om hälsa kan
även behöva behandlas i samband med att biblioteket förfogar över upphovsrättsligt skyddade verk som personer med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.
Behandling som avser alumner
Hos lärosätena finns databaser där tidigare studenter, s.k. alumner, kan registrera sig. Genom registreringen kan alumner t.ex. komma i kontakt med andra alumner eller högskolan. Genom alumnverksamheten kan även kontakterna med näringslivet öka och förbättras. Vid registreringen förs personuppgifter i form av namn, personnummer och utbildning över från Ladok. Därutöver kan alumnen lägga till uppgifter om sitt nuvarande arbete m.m. Alumnen kan själv välja i vilken omfattning vissa uppgifter ska synas. Att registrera sig i en alumndatabas vid ett lärosäte är helt frivilligt och vid registreringen godkänner alumnen att dennes personuppgifter behandlas.
Studentkårernas behandling
Vissa bestämmelser som rör studentkårer finns i högskolelagen (1992:1434). Ett statligt universitet eller en statlig högskola ska besluta att en sammanslutning av studenter vid högskolan får ställning som studentkår för en viss tid, om sammanslutningen uppfyller vissa i lagen angivna krav. En studentkår ska ha som huvudsakligt syfte att bevaka och medverka i utvecklingen av utbildningen och förutsättningarna för studier vid högskolan. Verksamhetsområdet för en studentkår får inte täcka mer än en högskola och ska sammanfalla med minst en organisatorisk eller geografiskt avgränsad del av högskolan. En studentkår ska vara demokratiskt uppbyggd och kunna representera studenterna inom kårens verksamhetsområde. Alla studenter inom en studentkårs verksamhetsområde ska ha rätt att vara medlemmar i kåren, om de uppfyller de krav som ställs för medlemskap i kåren. Den student som är medlem i studentkåren ska ha rösträtt vid val till studentkårens högsta beslutande organ (4 kap.8–12 §§högskolelagen).
En studentkår vid ett statligt universitet eller en statlig högskola får utse sådana ledamöter i högskolans styrelse som studenterna enligt 2 kap. 4 § högskolelagen (1992:1434) har rätt att utse. En studentkår vid en högskola får också utse och entlediga sådana representanter som har rätt att vara representerade när beslut fattas eller beredning sker som har betydelse för utbildningen eller studenternas situation vid högskolan. Statliga universitet och högskolor får meddela föreskrifter om hur en studentkår vid högskolan ska redovisa sin verksamhet och sitt medlemsantal (6 och 7 §§ studentkårsförordning [2009:769]).
Av ovannämnda följer att studentkårerna har visst behov av att hantera uppgifter om studenter som är medlemmar i kåren, t.ex. i form av ett medlemsregister. Såvitt regeringen kan bedöma har studentkårerna inte något omedelbart behov av att behandla känsliga personuppgifter.
9.2.2. Den rättsliga grunden uppgift av allmänt intresse kan användas av högskolorna
Regeringens bedömning: Genom bestämmelser i högskolelagen med anslutande föreskrifter, lagen om tillstånd att utfärda vissa examina och beslut fattade med stöd av dessa är anordnande och bedrivande av utbildning och annan pedagogisk verksamhet en i svensk rätt fastställd uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Karlstads universitet, Göteborgs universitet, Högskolan i Skövde, Stiftelsen Högskolan i Jönköping och Överklagandenämnden för högskolan, har inte några synpunkter på eller har inget att erinra mot bedömningen. Luleå tekniska universitet delar utredningens bedömning.
Stiftelsen Högskolan i Jönköping efterfrågar dock ett förtydligande av om även enskilda utbildningsanordnare kan utföra personuppgiftsbehandling motsvarande den som statliga lärosäten är rättsligt förpliktade att göra enligt förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, men med tillämpning av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.
Datainspektionen saknar en analys som visar vilken behandling som är nödvändig utifrån universitet och högskolors verksamhet, särskilt i själva utbildningsverksamheteten. Datainspektionen noterar att den digitala tekniken är en självklar del av utbildningen, men att det inte fördjupas vad detta kan innehålla. Enligt Datainspektionen har utredningen inte visat att det finns en i nationell rätt fastställd grund som uppfyller kraven i dataskyddsförordningen. Karlstads universitet anser att det hade varit värdefullt med en grundlig genomgång av studenters behandling av personuppgifter.
Skälen för regeringens bedömning
Som framgår av avsnitt 9.2.1 finns det behov av att behandla en rad personuppgifter på högskoleområdet. Regeringen anser, till skillnad mot
Datainspektionen, att den redogörelse som lämnats av utredningen och som motsvaras av avsnitt 9.2.1 utgör en i detta sammanhang tillräcklig analys av universitets och högskolors behov av att behandla personuppgifter.
Som anges i avsnitt 6 förutsätter personuppgiftsbehandlingen en i EUrätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskyddsförordningen). Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.2.
Anordnande och bedrivande av statlig högskoleutbildning är en uppgift av allmänt intresse
Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. Därtill finns högskolelagen (1992:1434) med anslutande författningar, såsom högskoleförordningen (1993:100) som innehåller närmare bestämmelser om högskoleutbildning. Av högskolelagen framgår t.ex. att ett tillstånd att utfärda examina bara lämnas om det bl.a. i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas (1 kap. 10 a och 13 §§). Vidare uttalas bl.a. följande i förarbetena till högskolelagen (prop. 1992/93:1 s. 9 f.).
Genom högre utbildning och forskning kan de kulturella och humanistiska värden som är en del av det goda samhället förstärkas. Det är också bara genom en avancerad utbildning och forskning som Sverige kan hävda sig i en hårdnande internationell konkurrens. Att både öka antalet högskoleutbildade och att höja kvaliteten inom utbildningen och forskningen blir i detta perspektiv avgörande för Sveriges framtida utveckling.
[…] I ökande utsträckning kommer vi att leva i en internationell miljö där kunskapsmässig kompetens är avgörande för vårt lands välstånd.
Regeringens bedömning är således att statliga högskolors anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Även det förhållandet att högskoleutbildningar hos både offentliga och privata utbildningsanordnare berättigar till studiestöd enligt studiestödslagen och studiestödsförordningen kan enligt regeringens uppfattning läggas till grund för bedömningen om att anordnande och bedrivande av dessa utbildningar är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.
Den rättsliga grunden för statliga högskolor är fastställd i svensk rätt
Vad anordnande och bedrivande av högskoleutbildning innebär för statliga högskolor preciseras i högskolelagen och högskoleförordningen. För Sveriges lantbruksuniversitet och Försvarshögskolan finns ytterligare bestämmelser i förordningen (1993:221) för Sveriges lantbruksuniversitet och förordningen (2007:1164) för Försvarshögskolan.
Enligt högskolelagen ska staten som huvudman anordna högskolor för utbildning och forskning. I högskolornas uppgift ingår även att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta (1 kap. 2 § högskolelagen).
I 1 kap. högskolelagen preciseras ytterligare vad uppgiften att anordna och bedriva högskoleutbildning innebär. Av bestämmelserna där framgår bl.a. följande. Utbildningen ska ges på grundnivå, avancerad nivå och forskarnivå. Utbildning på t.ex. grundnivå ska väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Utbildningen ska utveckla studenternas förmåga att göra självständiga och kritiska bedömningar samt deras förmåga att
självständigt urskilja, formulera och lösa problem. Utbildningen ska även utveckla studenternas beredskap att möta förändringar i arbetslivet. Inom det område som utbildningen avser ska studenterna, utöver kunskaper och färdigheter, utveckla förmåga att söka och värdera kunskap på vetenskaplig nivå, följa kunskapsutvecklingen och utbyta kunskaper även med personer utan specialkunskaper inom området.
Ytterligare precisering av vad uppgiften att anordna och bedriva högskoleutbildning innebär framgår av 6 kap. högskoleförordningen. All utbildning på grundnivå och avancerad nivå ska bedrivas i form av kurser. För en kurs ska det finnas en kursplan. I kursplanen ska anges kursens nivå, antal högskolepoäng, mål, krav på särskild behörighet, formerna för bedömning av studenternas prestationer och de övriga föreskrifter som behövs (6 kap. 13–15 §§). I kursplanerna finns således den mest konkreta preciseringen av vad en specifik utbildning innebär i form av bl.a. former för undervisning och bedömning. Vidare får kurser sammanföras till utbildningsprogram. För utbildningsprogrammen ska det finnas en utbildningsplan. Utbildningsplanen ska ange de kurser som programmet omfattar, kraven på särskild behörighet och de övriga föreskrifter som behövs (6 kap. 13, 16 och 17 §§). De angivna bestämmelserna i högskoleförordningen gäller även för Sveriges lantbruksuniversitet och Försvarshögskolan (se 5 kap. 2 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 2 § förordningen för Försvarshögskolan).
Enligt 6 kap. 4 § högskoleförordningen får det inom utbildningen vidare bara avläggas de examina som anges i bilaga 2 till högskoleförordningen (examensordningen). I examensordningen anges det på vilken nivå en viss examen ska avläggas och vilka krav som ska uppfyllas för en viss examen (6 kap. 5 §). Motsvarande bestämmelser finns i 5 kap. 1 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 1 § förordningen för Försvarshögskolan.
I examensordningen i bilagan till högskoleförordningen finns således en förteckning över vilka examina som får avläggas på grundnivå, avancerad nivå och forskarnivå. För respektive examen finns också en beskrivning av vilka krav som ska uppfyllas i fråga om t.ex. antal högskolepoäng, kunskaper och färdigheter samt självständiga arbeten. I examensbeskrivningarna anges vidare att också de preciserade krav som varje högskola själv bestämmer inom ramen för kraven i examensbeskrivningen ska gälla. Motsvarande bestämmelser finns i bilagorna till förordningen för Sveriges lantbruksuniversitet och förordningen för Försvarshögskolan.
På en genomgången kurs ska det vidare sättas ett betyg och en student som har fått en kurs godkänd ska på begäran få ett kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få ett examensbevis av högskolan (6 kap.9, 18 och 20 §§högskoleförordningen). Även dessa bestämmelser gäller för Sveriges lantbruksuniversitet och Försvarshögskolan enligt 5 kap. 2 § respektive 4 kap. 2 § i de förordningar som särskilt reglerar deras verksamhet.
Härutöver kan uppgifter och åligganden för de statliga högskolorna även framgå av andra författningar, t.ex. förordningen om redovisning av studier m.m. vid universitet och högskolor. Som angetts i avsnitt 6.2 föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) en bestämmelse i 2 kap. 2 § 1 dataskyddslagen som anger att personupp-
gifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen bl.a. om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer beslut som meddelats med stöd av lag eller annan författning. Uppgifter och åligganden kan således även framgå av t.ex. regleringsbrev till de statliga högskolorna. Som nämnts ovan ska det för en kurs och ett utbildningsprogram vidare finnas en kursplan respektive en utbildningsplan. Beslut om fastställande av sådana planer ska fattas av personer med vetenskaplig eller konstnärlig kompetens (2 kap. 5 § högskolelagen och prop. 2009/10:149 s. 35 f.).
I avsnitt 6.2 finns det en redogörelse för regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105) i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportionalitetsbedömningen i artikel 6.3 i dataskyddsförordningen. Med stöd av analysen ovan konstaterar regeringen att det genom högskolelagen, högskoleförordningen och förordningarna för Sveriges lantbruksuniversitet och Försvarshögskolan, men även genom andra författningar och beslut, finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva högskoleutbildning innebär för statliga högskolor och som är proportionerliga mot de mål som eftersträvas.
Till skillnad mot Datainspektionen bedömer därför regeringen att det för statliga högskolor finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning, och att nödvändig personuppgiftsbehandling därmed kan ske med stöd av artikel 6.1 e i dataskyddsförordningen.
Även enskilda utbildningsanordnares anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse som är fastställd i svensk rätt
Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. I förarbetena till högskolelagen uttalar regeringen också att statligt huvudmannaskap i myndighetsform bara är en av många möjliga verksamhetsformer för universitet och högskolor. Det behövs också alternativ till den statliga verksamheten om mångfald och konstruktiv konkurrens ska befordras (prop. 1992/93:1 s. 24).
Även enskilda utbildningsanordnare kan få tillstånd att utfärda sådana examina som regeringen, enligt vad som anges i högskolelagen, meddelat föreskrifter om. Tillstånd lämnas av regeringen, men endast om utbildningen vilar på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivs så att den i övrigt uppfyller de krav som ställs på utbildning i 1 kap. högskolelagen. Detta innebär bl.a. att en förutsättning för tillstånd att utfärda examina är att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. För varje examen som tillståndet avser ska utbildningen också svara mot de särskilda krav som enligt förordningsbestämmelser gäller för denna examen vid de universitet och högskolor som omfattas av högskolelagen (1, 2 och 6 §§ lagen [1993:792] om tillstånd att utfärda vissa examina). Regeringen bedömer således att även högskoleutbildning som anordnas och bedrivs av enskilda utbildningsanordnare med tillstånd att utfärda examen enligt
lagen om tillstånd att utfärda vissa examina är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningens som i enlighet med artikel 6.3 är fastställd i svensk rätt.
Som nämnts tidigare föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) en bestämmelse i dataskyddslagen som anger att en uppgift av allmänt intresse även kan framgå av ett beslut förutsatt att beslutet har meddelats med stöd av lag eller annan författning. Detta innebär att även de preciserade krav som enskilda utbildningsanordnarna beslutar fastställer den rättsliga grunden uppgift av allmänt intresse. Uppgifter och åligganden för enskilda utbildningsanordnares kan även framgå av regeringens beslut att bevilja tillstånd att utfärda examina. Som exempel kan nämnas att ett examenstillstånd får förenas med villkor om rätt för enskilda att ta del av handlingar hos utbildningsanordnaren (4 § lagen om tillstånd att utfärda vissa examina). Av 2 kap. 4 § offentlighets- och sekretesslagen (2009:400, OSL) och lagens bilaga framgår att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos bl.a. Chalmers tekniska högskola AB och Stiftelsen Högskolan i Jönköping, som är en enskild utbildningsanordnare. Dessa ska vid tillämpningen av OSL då jämställas med myndigheter.
I avsnitt 6.2 har redogjorts för regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105) i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportionalitetsbedömningen i artikel 6.3 i dataskyddsförordningen. Med stöd av analysen ovan anser regeringen att det genom lagen om tillstånd att utfärda vissa examina, med dess hänvisningar till bestämmelser i högskolelagen och högskoleförordningen, men även andra författningar och beslut, finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva högskoleutbildning innebär för enskilda utbildningsanordnare och som är proportionerliga mot de mål som eftersträvas.
Regeringen bedömer därför, till skillnad från Datainspektionen, att det även för enskilda utbildningsanordnare med tillstånd enligt lagen om tillstånd att utfärda vissa examina finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning, och att nödvändig personuppgiftsbehandling därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen.
Det kan dock konstateras att regleringen av de statliga högskolornas verksamhet är mer omfattande än den som finns för de enskilda utbildningsanordnarnas verksamhet. Som Stiftelsen Högskolan i Jönköping noterar gäller t.ex. inte förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor för enskilda utbildningsanordnare. För enskilda utbildningsanordnare saknas också preciserade bestämmelser om t.ex. antagningsförfarandet, studieadministration, tillgodoräknande av tidigare utbildning och verksamhet, disciplinära åtgärder och avskiljande. Men detta utesluter enligt regeringens bedömning inte att artikel 6.1 e i dataskyddsförordningen kan tillämpas av enskilda på behandling för sådana uppgifter och ändamål. Enligt dataskyddsförordningen ska behandlingen vara nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.3 andra stycket första meningen). Till skillnad mot vad som gäller grunden rättslig förpliktelse, behöver
ändamålet således inte framgå av den författning eller det beslut där själva uppgiften har fastställts. Av artikel 5.2 i dataskyddsförordningen följer också att det är den personuppgiftsansvarige som ska kunna visa att uppgifter behandlas för nödvändiga ändamål.
9.2.3. Den rättsliga grunden myndighetsutövning kan användas i vissa fall av högskolorna
Regeringens bedömning: Statliga högskolor kan vidta vissa åtgärder med stöd av högskolelagen som innefattar myndighetsutövning gentemot en student, t.ex. vid beslut om antagning, tillgodoräknande av utbildning eller yrkesverksamhet, examination och disciplinära åtgärder. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i EU:s dataskyddsförordning.
Även enskilda utbildningsanordnare kan vidta åtgärder som innefattar myndighetsutövning, nämligen utfärdande vissa examina enligt lagen om tillstånd att utfärda sådan. Den behandling av personuppgifter som ingår i myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.
Skälen för regeringens bedömning
Den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.3.
Statliga högskolor kan i vissa fall använda den rättsliga grunden myndighetsutövning
Statliga högskolor ska sätta betyg på en student som genomgått en kurs, om inte högskolan föreskriver något annat. Betyget ska beslutas av en av högskolan särskilt utsedd lärare, en så kallad examinator (6 kap. 18 § högskoleförordningen). En student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få examensbevis av högskolan (6 kap.9 och 20 §§högskoleförordningen). En högskolas beslut att avslå en students begäran att få examensbevis eller kursbevis är överklagbart (12 kap. 2 § 6 högskoleförordningen). Betygsättning och examination är således exempel på statliga högskolors myndighetsutövning som fastställts i svensk rätt.
Även beslut om antagning, tillgodoräknande av utbildning eller yrkesverksamhet och disciplinpåföljd enligt 6, 7 och 10 kap. högskoleförordningen är för statliga högskolors del myndighetsutövning. Beslut om att en sökande inte uppfyller kraven på behörighet för att bli antagen, om tillgodoräknande av utbildning eller yrkesverksamhet och om disciplinpåföljderna avstängning och varning får också överklagas (12 kap. 2 § 2
och 3 samt 3 § högskoleförordningen). Även på dessa områden sker alltså myndighetsutövning som är fastställd i svensk rätt.
Statliga högskolor kan därmed i dessa fall använda sig av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen för nödvändig personuppgiftsbehandling.
Enskilda utbildningsanordnares möjlighet att använda rättsliga grunden myndighetsutövning är mycket begränsad
Förvaltningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Om uppgiften innefattar myndighetsutövning får ett överlämnande dock endast göras med stöd av lag (12 kap. 4 § andra stycket regeringsformen).
När det gäller överlämnande av förvaltningsuppgifter som utgör myndighetsutövning till enskilda utbildningsanordnare, framgår det av 1 och 6 §§ lagen (1993:792) om tillstånd att utfärda vissa examina att en enskild utbildningsanordnare endast efter tillstånd av regeringen får utfärda sådana examina som regeringen med stöd av högskolelagen meddelat föreskrifter om. Detta omfattar även så kallade gemensamma examina enligt 2 a och 2 b §§ i samma lag. En enskild utbildningsanordnare som har fått tillstånd att utfärda examina får, under vissa förutsättningar, utfärda en sådan gemensam examen i vilken en examen som tillståndet avser ingår, tillsammans med vissa andra kategorier av lärosäten (2 a och 2 b §§ lagen om tillstånd att utfärda vissa examina). I högskolelagen anges också att en gemensam examen får utfärdas av en högskola som anges i bilagan till högskolelagen tillsammans med bl.a. en enskild utbildningsanordnare. En högskola som får utfärda en sådan examen får också besluta att i viss utsträckning överlåta förvaltningsuppgifter i fråga om antagning till och tillgodoräknande av utbildning till bl.a. en enskild utbildningsanordnare (1 kap.17 och 18 §§högskolelagen).
9.2.4. Den rättsliga grunden rättslig förpliktelse kan användas i vissa fall av högskolorna
Regeringens bedömning: Det finns fastställda rättsliga förpliktelser som gör det nödvändigt för statliga högskolor att behandla personuppgifter.
Även för vissa enskilda utbildningsanordnare kan det finnas sådana rättsliga förpliktelser. Behandlingen kan i dessa fall göras med stöd av den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i EU:s dataskyddsförordning.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.
Skälen för regeringens bedömning: Den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i dataskyddsförordningen har beskrivits i avsnitt 6.4.
Ett exempel på en rättslig förpliktelse för statliga högskolor som enligt regeringens bedömning är tillräckligt tydlig för att ligga till grund för nödvändig personuppgiftsbehandling är att en student som har fått en
kurs godkänd på begäran ska få kursbevis av högskolan (6 kap. 20 § första stycket högskoleförordningen). Ett annat, liknande exempel, är att en student som uppfyller fordringarna för en examen på begäran ska få examensbevis av högskolan (6 kap. 9 § högskoleförordningen). Båda dessa exempel förutsätter att i vart fall namn och personnummer behandlas för att kurs- och examensbeviset ska kunna utfärdas. Ytterligare ett exempel på en rättslig förpliktelse är enligt regeringens bedömning att de statliga högskolorna ska dokumentera uppgifter om studenter och föra ett studieregister där vissa uppgifter ska dokumenteras (2 kap. 1 § förordningen [1993:1153] om redovisning av studier m.m. vid universitet och högskolor).
Eftersom personuppgiftsbehandlingen på högskoleområdet till största delen dock bör kunna ske med stöd av den rättsliga grunden uppgift av allmänt intresse saknas anledning att göra en mer ingående analys av vilka av de bestämmelser som gäller för högskolorna som kan anses vara så tydliga att de anses utgöra rättsliga förpliktelser.
9.2.5. Intresseavvägning kan användas men blir sällan aktuell för högskolorna
Regeringens bedömning: Enskilda utbildningsanordnare kan behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i EU:s dataskyddsförordning. Den förutsätter att – behandlingen är nödvändig för ändamål som rör den person-
uppgiftsansvariges eller en tredje parts berättigade intressen, och – att inte den registrerades intressen eller grundläggande rättigheter
och friheter väger tyngre och kräver skydd av personuppgifter. Eftersom även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 f i dataskyddsförordningen är tillämplig, behöver dock intresseavvägning sällan eller aldrig användas.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.
Skälen för regeringens bedömning: Den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen har beskrivits i avsnitt 6.5. Grunden gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom statliga högskolor är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt högskolelagen med anslutande föreskrifter, är det endast enskilda utbildningsanordnare som kan tillämpa grunden intresseavvägning till stöd för sin personuppgiftsbehandling.
Som framgått ovan i avsnitt 9.2.2, bedömer regeringen att artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för anordnande och bedrivande av högskoleutbildning, och att det gäller både för statliga högskolor och för enskilda utbildningsanordnare. Enligt regeringens uppfattning bör enskilda utbildningsanordnare därför sällan eller aldrig behöva använda den rättsliga grunden
intresseavvägning i artikel 6.1.f för att kunna behandla personuppgifter i sådan verksamhet som omfattas av tillståndet att utfärda examina.
9.2.6. Den rättsliga grunden samtycke kan användas i begränsad utsträckning av högskolorna
Regeringens bedömning: Statliga högskolor och enskilda utbildningsanordnare kan i begränsad utsträckning använda sig av den rättsliga grunden samtycke i artikel 6.1 a i EU:s dataskyddsförordning för sin personuppgiftsbehandling.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot bedömningen.
Luleå tekniska universitet påpekar att oavsett om det är fråga om en statlig högskola eller en enskild utbildningsanordnare råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Användningen av samtycke som rättslig grund är därmed tämligen begränsat, vilket kan tydliggöras ytterligare genom att formulera bedömningen som att samtycke kan användas i begränsad utsträckning.
Skälen för regeringens bedömning: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen beskrivs i avsnitt 6.1. Som anges där är möjligheten att använda samtycke som rättslig grund begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Om behandlingen av personuppgifter grundar sig på samtycke från den registrerade ska den personuppgiftsansvarige kunna visa detta (artikel 7.1 i dataskyddsförordningen). Ett exempel på när såväl en statlig högskola som en enskild utbildningsanordnare kan använda samtycke som rättslig grund är, enligt regeringens bedömning, vid registrering av tidigare studenter i alumndatabaser. I detta fall är det fråga om en tjänst som är helt frivillig, utan direkt koppling till den lagstadgade rätten att studera för den som uppfyller behörighetskraven. Det kan även uppstå andra likartade situationer där samtycke skulle kunna användas som rättslig grund, men denna möjlighet är dock något som får bedömas från fall till fall av utbildningsanordnaren.
När det gäller Luleå tekniska universitets förslag till formulering i fråga om möjligheten att använda den rättsliga grunden samtycke, noterar regeringen att utredningen ömsom uttryckt det som att grunden kan användas i viss utsträckning, ömsom som att den kan användas i begränsad utsträckning. Regeringen antar att utredningen med de båda formuleringarna har avsett detsamma, nämligen att uttrycka den restriktivitet som även enligt regeringen bör gälla för användningen av samtycke som rättslig grund.
9.2.7. De rättsliga grunderna uppgift av allmänt intresse, samtycke och intresseavvägning kan användas av studentkårerna
Regeringens bedömning: Genom bestämmelser i högskolelagen och studentkårsförordningen är det i svensk rätt fastställt att studentkårerna vid statliga universitet och högskolor bedriver verksamhet som är en uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.
Studentkårerna kan även använda sig av den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen för sin personuppgiftsbehandling.
Studentkårerna kan även behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen. Det kräver dock att kåren först gör en avvägning mellan behovet av behandlingen och den registrerades intressen.
Utredningens bedömning: Utredningen har inte gjort någon bedömning i fråga om stundkårerna.
Remissinstanserna: Sveriges förenade studentkårer (SFS) beklagar att utredningen har förbisett studentkårernas roll för utbildningsområdet och inte gjort någon bedömning av hur dataskyddsförordningen kommer att påverka dem. SFS anser vidare att kårerna bör få det stöd eller resurser de behöver för att hantera kraven från den nya dataskyddsförordningen utan att deras förutsättningar att utföra sitt uppdrag försämras. Övriga remissinstanser har inte yttrat sig i fråga om studentkårerna roll.
Som nämnts i avsnitt 3 har SFS beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. SFS har inga synpunkter på bedömningen.
Skälen för regeringens bedömning
De rättsliga grunderna uppgift av allmänt intresse, samtycke och intresseavvägning i artikel 6.1 a och f i dataskyddsförordningen har beskrivits i avsnitt 6.
Studentkårerna vid statliga universitet och högskolor kan använda uppgift av allmänt intresse som rättslig grund i offentligt reglerad verksamhet
Av 4 kap.9 och 11 §§högskolelagen (1992:1434) följer att en studentkår ska ha som huvudsakligt syfte att bevaka och medverka i utvecklingen av utbildningen och förutsättningarna för studier vid högskolan. Den ska också vara demokratiskt uppbyggd och kunna representera studenterna inom kårens verksamhetsområde. Vissa specifika uppgifter inom högskolans verksamhet som studentkåren ansvarar för enligt studentkårsförordningen (2009:769) har också redogjorts för i avsnitt 9.2.1. Alla studenter inom en studentkårs verksamhetsområde har rätt att bli medlemmar i kåren, om de uppfyller de krav som ställs för medlemskap.
Den student som är medlem i studentkåren ska ha rösträtt vid val till studentkårens högsta beslutande organ (4 kap.12 §§högskolelagen). Statliga universitet och högskolor får meddela föreskrifter om hur en studentkår vid högskolan ska redovisa sin verksamhet och sitt medlemsantal (6 § studentkårsförordningen).
Studentkårerna utför således vissa uppgifter av allmänt intresse som är fastställda genom tillräckligt tydliga, precisa och förutsägbara bestämmelser. De kan därmed utföra behandling av personuppgifter som är nödvändig för att utöva offentligt reglerad verksamhet som grundas på nämnda föreskrifter med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.
Studentkårerna kan använda samtycke och intresseavvägning som rättslig grund
Av regeringens proposition Frihet och inflytande – kårobligatoriets avskaffande framgår att synen på studentsammanslutningarnas ställning har varit omdiskuterad, men att regeringen inte ser några alternativ till att betrakta studentsammanslutningarna som privaträttsliga organ (prop. 2008/09:154 s 19).
Enligt regeringens bedömning råder inte en sådan betydande ojämlikhet mellan studentkåren och en student att ett samtycke till behandling av personuppgifter inte kan anses lämnas frivilligt enligt skäl 43 i dataskyddsförordningen. Regeringen bedömer därför att studentkårer både vid statliga universitet och högskolor och vid enskilda utbildningsanordnare, kan använda den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen för sin personuppgiftsbehandling.
Eftersom studentkårerna är privaträttsliga organ kan de även behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen. Det kräver dock att kåren först gör en avvägning mellan behovet av behandlingen och den registrerades intressen enligt artikel 6.1 f i dataskyddsförordningen.
9.3. Yrkeshögskolan och andra eftergymnasiala utbildningar
9.3.1. Vilka personuppgifter behandlas inom yrkeshögskolan och andra eftergymnasiala utbildningar?
Nedan ges en översiktlig beskrivning av de huvudsakliga behandlingar av personuppgifter som sker inom yrkeshögskolan och inom konst- och kulturutbildningar och vissa andra utbildningar. En närmare redogörelse för behandlingar av känsliga personuppgifter och uppgifter om lagöverträdelser ges i avsnitt 13.5.1 och 14.5.1.
Behandling inom yrkeshögskolan
En utbildning inom yrkeshögskolan ska vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Om inte alla behöriga sökande
till en utbildning kan tas emot, ska ett urval göras bland de sökande (15 och 17 §§ lagen om yrkeshögskolan). Av bestämmelser om behörighet och urval framgår bl.a. att tillämpliga urvalsgrunder är betyg, särskilt prov, tidigare utbildning och yrkeserfarenhet (3 kap. 1–7 §§ förordningen [2009:130] om yrkeshögskolan). I samband med antagning till utbildning inom yrkeshögskolan behandlas därmed personuppgifter i form av namn, personnummer, kontaktuppgifter och den sökandes olika utbildningar och meriter.
Utbildningen inom yrkeshögskolan ska bedrivas i form av en eller flera kurser. Betyg ska sättas på en genomförd kurs med något av uttrycken icke godkänt, godkänt och väl godkänt. I den obligatoriska kursplanen ska anges vilka principer för betygssättning och former för kunskapskontroll som ska tillämpas (2 kap. 4, 9–11 §§ förordningen om yrkeshögskolan). I bedrivandet av själva utbildningen behandlas således personuppgifter i form av i vart fall namn, personnummer och genomförda moment i undervisningen och den studerandes då erhållna resultat.
En studerande inom yrkeshögskolan ska, under vissa förutsättningar, för en del av utbildningen kunna få tillgodoräkna sig annan genomgången utbildning eller motsvarande kunskaper, färdigheter och kompetenser som har förvärvats i yrkesverksamhet eller på annat sätt (2 kap. 12 § förordningen om yrkeshögskolan). I fråga om prövning av tillgodoräknande behandlas därmed personuppgifter i form av namn, personnummer och sökandens tidigare meriter.
Utbildningsanordnaren får utfärda utbildningsbevis och examensbevis. För att en studerande ska få avsluta utbildningen med en yrkeshögskoleexamen respektive en kvalificerad yrkeshögskoleexamen behöver vissa angivna krav vara uppfyllda. En studerande som uppfyller kraven för en examen ska på begäran få ett examensbevis av den ansvariga utbildningsanordnaren. En studerande som inte har fullgjort vad som krävs för en examen eller som inte begär att få ett examensbevis ska på begäran få ett utbildningsbevis (14 § lagen om yrkeshögskolan och 2 kap. 13–16 §§ förordningen om yrkeshögskolan). För att nämnda bevis ska kunna utfärdas behöver det behandlas personuppgifter i form av namn, personnummer, genomförda kurser och betyg.
Utbildning inom yrkeshögskolan, för vilken utbildningsanordnaren får statsbidrag eller särskilda medel, ska vara avgiftsfri för de studerande. Enstaka inslag som de studerande får betala ett obetydligt belopp för får dock förekomma. Anordnare av utbildningar som inte får statsbidrag eller särskilda medel får ta ut skäliga studerandeavgifter (9 § lagen om yrkeshögskolan). Behandling av personuppgifter kan därmed förekomma för att fastställa skyldighet att betala vissa avgifter och att betalning har skett.
Vidare har Myndigheten för yrkeshögskolan (MYH) ett bemyndigande att meddela föreskrifter om att den ansvariga utbildningsanordnaren ska lämna uppgifter till MYH om de studerande och deras studieresultat, betyg och examina. MYH får även meddela föreskrifter om på vilket sätt och när uppgifterna ska lämnas (2 kap. 17 § förordningen om yrkeshögskolan). Med stöd av bemyndigandet har MYH meddelat föreskrifter om studiedokumentation (MYHFS 2016:8). Av dessa framgår att utbildningsanordnarna för varje utbildning ska lämna uppgifter om de studerandes fullständiga personnummer, förnamn och efternamn. Uppgifterna
ska rapporteras till myndigheten genom en av myndigheten tillhandahållen digital plattform eller tjänst. För detta ändamål använder MYH sig av ett studiedokumentationssystem. Vidare ska uppgifter om de studerandes resultat rapporteras till MYH löpande och utan dröjsmål. Om betyg inte kan sättas ska detta rapporteras. Om en kurs har tillgodoräknats ska det framgå av rapporteringen. Kopior på examensbevis och utbildningsbevis skickas in till MYH. Ett examensbevis ska innehålla uppgifter i form av bl.a. den studerandes fullständiga personnummer, förnamn och efternamn, examensarbete, betyg och eventuella tillgodoräknanden. Samma uppgifter, med undantag för uppgift om examensarbete, ska också finnas i ett utbildningsbevis (3–9 §§ MYHFS 2016:8).
Behandling inom konst- och kulturutbildningar och vissa andra utbildningar
Bestämmelser om eftergymnasiala konst- och kulturutbildningar och vissa andra utbildningar finns i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Behörig att antas till utbildningen är den som har genomgått gymnasieskolan eller gymnasiesärskolan eller motsvarande utbildning. Behörig att antas är också den som annars bedöms kunna tillgodogöra sig utbildningen (24 §) För varje utbildning ska det finnas en utbildningsplan. Av denna ska framgå bl.a. de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen. Av planen ska även framgå hur bl.a. behörighetsbedömningar, urval och antagning ska dokumenteras (13 §). I samband med antagning till utbildning behandlas därmed personuppgifter i form av namn, personnummer, kontaktuppgifter och den sökandes olika utbildningar och meriter.
Utbildningen ska bedrivas i form av en eller flera kurser. För varje kurs ska det finnas en kursplan. Av kursplanen ska framgå bl.a. de former för kunskapskontroll som ska tillämpas. Det ska även framgå om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas. Efter en genomförd kurs ska betyg sättas eller ett intyg utfärdas. En studerande som avslutat en utbildning ska på begäran få ett utbildningsbevis av den ansvariga utbildningsanordnaren där utbildningens innehåll och den studerandes resultat anges (12 och 14–16 §§). I bedrivandet av själva utbildningen och för utfärdandet av intyg och utbildningsbevis behandlas således personuppgifter i form av i vart fall namn, personnummer och genomförda moment i undervisningen och den studerandes då erhållna resultat.
Om det finns särskilda skäl får utbildningsanordnaren i enskilda fall besluta att den som är antagen till utbildningen får anstånd med att påbörja studierna eller fortsätta sina studier efter studieuppehåll (24 a §). I samband med sådana beslut kan därmed personuppgifter behöva behandlas.
Utbildningsanordnarna får ta ut studerandeavgifter. Dessa ska dock vara skäliga i förhållande till utbildningens karaktär och de kostnader som utbildningsanordnaren har för utbildningen (10 §
)
. Behandling av personuppgifter kan därmed förekomma för att fastställa skyldighet att betala vissa avgifter och att betalning har skett.
MYH ska svara för ett register över uppgifter om de studerande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis (2 § 6 förordningen med instruktion för Myndigheten för yrkeshögskolan). Behandling av personuppgifter behöver därmed ske när utbildningsanordnarna lämnar nyss nämnda uppgifter till MYH.
9.3.2. Den rättsliga grunden uppgift av allmänt intresse kan användas
Regeringens bedömning: Genom bestämmelser i lagen om yrkeshögskolan med anslutande föreskrifter och beslut fattade med stöd av dessa är anordnande och bedrivande av utbildning inom yrkeshögskolan en i svensk rätt fastställd uppgift av allmänt intresse.
Genom bestämmelser i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande myndighetsföreskrifter och beslut meddelade med stöd av dessa är det i svensk rätt fastställt att anordnande och bedrivande av sådana utbildningar också är en uppgift av allmänt intresse.
Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot bedömningen.
Datainspektionen saknar en analys som visar vilken behandling som är nödvändig utifrån yrkeshögskolans verksamhet och en redovisning som visar att lagen om yrkeshögskolan och därtill hörande bestämmelser ger stöd för den behandlingen. Det visas inte i betänkandet att de bestämmelser som utredningen bedömer vara tillräckliga för att kunna åberopa uppgift av allmänt intresse uppfyller kraven i skäl 41 på att den rättsliga grunden bör vara tydlig, precis och förutsägbar och att lagstiftningen är proportionerligt mot det mål som eftersträvas enligt artikel 6.3 sista meningen i dataskyddsförordningen.
Skälen för regeringens bedömning
Som framgått av avsnitt 9.3.1 finns det behov av att behandla en rad personuppgifter inom yrkeshögskolan, inom konst- och kulturutbildningar och inom vissa andra utbildningar. Regeringen anser, till skillnad mot Datainspektionen, att den redogörelse som lämnas där utgör en i detta sammanhang tillräcklig analys av behovet av att behandla personuppgifter inom yrkeshögskolan.
Som anges i avsnitt 6 förutsätter personuppgiftsbehandlingen en i EUrätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskyddsförordningen). Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.2.
Anordnande och bedrivande av utbildning inom yrkeshögskolan är en uppgift av allmänt intresse
Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. Lagen om yrkeshögskolan med anslutande föreskrifter innehåller närmare bestämmelser om utbildning inom yrkeshögskolan. I förarbetena till den lagen uttalas bl.a. följande (prop. 2008/09:68 s. 14 f., 17 f. och 20).
Utbyggnaden av högre utbildning i Sverige har under de senaste åren varit stor och är en viktig del av utbildningspolitiken. Andelen personer med eftergymnasial utbildning som är tre år lång eller längre har sedan 1990 ökat från 11 till 21 procent. Trots detta finns det från arbetslivet en efterfrågan på kvalificerad yrkeskompetens som inte tillgodoses av högskolans nuvarande utbildningsutbud. Denna efterfrågan finns inom samhällets alla sektorer och den har stadigt ökat under de senaste åren. För att möta denna efterfrågan har det inom andra statliga utbildningsformer och utanför det offentliga utbildningsväsendet utvecklats utbildningar som kombinerar teori med praktik och aktivt lärande i arbetslivet. De kunskaper och färdigheter som en studerande förvärvar i sådan utbildning bidrar till utveckling av produktionen av varor och tjänster och därmed till ekonomisk tillväxt. Kunskaperna och färdigheterna ökar även den enskildes möjligheter till ett mera aktivt samhällsliv.
[…] Det är regeringens uppfattning att utbildningssektorn behöver en utbildningsform på eftergymnasial nivå där arbetslivsgenererad kunskap är en huvudkomponent.
[…] En utbildning inom yrkeshögskolan bör normalt ge en specialiserad utbildning med inriktning mot ett definierat yrkesområde och vara grundad på faktiskt definierade behov på kort sikt. Högskoleutbildning har i jämförelse en större bredd och ett större djup, och därmed ett betydligt längre perspektiv i förhållande till arbetsmarknadens behov. Båda utbildningsformerna fyller viktiga funktioner, men på olika nivåer och med olika långa perspektiv.
Regeringen bedömer således att anordnande och bedrivande av utbildning inom yrkeshögskolan är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Även det förhållandet att utbildningar inom yrkeshögskolan enligt lagen om yrkeshögskolan som inte är uppdragsutbildningar berättigar till studiestöd enligt studiestödslagen och studiestödsförordningen kan enligt regeringens uppfattning läggas till grund för bedömningen att anordnande och bedrivande av dessa utbildningar är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.
Den rättsliga grunden är fastställd i bl.a. lagen om yrkeshögskolan
Vad det innebär att anordna och bedriva eftergymnasiala yrkesutbildningar preciseras i lagen om yrkeshögskolan och förordningen om yrkeshögskolan. Med ett fåtal undantag gäller bestämmelserna i dessa författningar för såväl offentliga som enskilda utbildningsanordnare.
Bestämmelserna i lagen om yrkeshögskolan syftar bl.a. till att inom yrkeshögskolan säkerställa att eftergymnasiala yrkesutbildningar som svarar mot arbetslivets behov kommer till stånd. Vidare ska en utbildning inom yrkeshögskolan väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Den ska vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Om inte alla behöriga sökande kan tas emot ska ett urval göras (1, 5, 15 och 17 §§ lagen om yrkeshögskolan). I förordningen om yrkeshögskolan finns det mer preciserade bestämmelser om behörighet och urval (3 kap.).
I lagen om yrkeshögskolan anges de allmänna målen för utbildningen. Utbildningen har sin grund i kunskap som genererats dels i produktionen av varor och tjänster, dels i vetenskap. Den ska utformas så att en hög kvalitet och yrkesrelevans nås. Utbildningen ska vidare ge sådana teoretiska, praktiska och erfarenhetsbaserade kunskaper som krävs för att självständigt och i arbetslag kunna utföra kvalificerade uppgifter i arbetslivet. Den ska präglas av såväl stark arbetslivsanknytning som teoretisk förankring. Utbildningen ska utvecklas och bedrivas i samverkan mellan arbetsliv och utbildningsanordnare. Slutligen ska den bidra till att bryta traditioner i fråga om könsbundna utbildnings- och yrkesval (6 §).
MYH beslutar om en utbildning ska ingå i yrkeshögskolan (1 kap. 4 § förordningen om yrkeshögskolan). I 2 kap. förordningen om yrkeshögskolan finns mer preciserade bestämmelser om utbildningen, bl.a. om utbildningens omfattning och kurser, utbildningsplan, kursplan, betyg, tillgodoräknande, examen, examens- och utbildningsbevis. MYH får utfärda föreskrifter om utbildningsplan och kursplan. MYH har i MYHFS 2009:1 fastställt vad som ska gälla för utbildningsanordnarnas kursplaner.
I avsnitt 6.2 finns en redogörelse för regeringens bedömning i propositionen Ny dataskyddslag i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportionalitetsbedömningen i artikel 6.3 i dataskyddsförordningen. Mot bakgrund av analysen ovan anser regeringen att det genom lagen och förordningen om yrkeshögskolan, anslutande myndighetsföreskrifter samt bl.a. MYH:s beslut att en utbildning ska ingå i yrkeshögskolan, till vilket det ska bifogas bl.a. en utbildningsplan (1 kap. 4 och 5 §§ förordningen om yrkeshögskolan), finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva eftergymnasiala yrkesutbildningar innebär och som är proportionerliga mot de mål som eftersträvas. Regeringen bedömer därför, till skillnad mot Datainspektionen, att det för utbildningsanordnarna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva eftergymnasiala yrkesutbildningar. Detta innebär att samtliga åtgärder som utbildningsanordnarna företar i syfte att bedriva utbildningsverksamhet som har sin grund i nu nämnda författningar och beslut är att anse som utförande av en uppgift av allmänt intresse enligt dataskyddsförordningen.
Anordnande av konst- och kulturutbildningar och vissa andra utbildningar är en uppgift av allmänt intresse
Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. Artikel 6.1 e i dataskyddsförordningen är inte begränsad till offentliga aktörer, utan även privaträttsliga organ kan utföra en uppgift av allmänt intresse. Konst- och kulturutbildningar och vissa andra utbildningar som anordnas av enskilda fysiska och juridiska personer omfattas av förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Enligt denna förordning ska utbildningen bedrivas på en eftergymnasial nivå, även om det vid behov får förekomma inslag av gymnasial karaktär (5 §). Det är således fråga om huvudsakligen eftergymnasiala studier. En av förutsättningarna för att få stöd enligt förordningen är att utbildningen är en av tre olika typer (3 och 4 §§).
Den första typen avser utbildningar som förbereder för högskoleutbildningar som kan leda fram till konstnärliga examina. Av avsnitt 9.2.2 framgår att regeringen bedömer att anordnande och bedrivande av högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse. Utbildningar enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska således bl.a. förbereda för högskoleutbildning som kan leda fram till en konstnärlig examen som det enligt svensk rätt finns ett allmänt intresse av att utfärda. I MYH:s statistiska årsrapport 2016 anges bl.a. att konkurrensen om platserna på konstnärliga utbildningar inom högskolan är så hög att de sökande i praktiken måste ha genomgått någon slags förberedande utbildning för att klara antagningsproven som ofta består av arbetsprover eller auditions (s. 90). Enligt regeringens bedömning är anordnande och bedrivande av sådana utbildningar som förbereder för högskoleutbildningar som kan leda fram till konstnärliga examina därmed en uppgift av allmänt intresse.
En andra typ av utbildning som omfattas av bestämmelserna i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är sådan utbildning som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området (4 §). Det är således en form av eftergymnasial yrkesutbildning som, liksom övriga utbildningar enligt förordningen, kan berättiga till stöd i form av tillsyn, en förklaring att de studerande är berättigade till studiestöd eller statsbidrag (25 §). Enligt regeringens bedömning är även anordnande och bedrivande av sådana utbildningar som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området därmed en uppgift av allmänt intresse.
Den tredje typen av utbildningar som omfattas av bestämmelserna i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är sådana som har ett innehåll som syftar till att bevara eller utveckla kulturarvet (4 §). I fråga om kulturarvet uttalar regeringen i förarbetena till förslag till museilag bl.a. följande (prop. 2016/17:116 s. 63 f.).
Utöver dess kollektiva funktioner är kulturarvet också en outtömlig resurs i enskilda människors strävan efter att förstå sig själva i större sammanhang och i tiden. Kulturarvet kan användas för att utveckla
kunskaper och förmågor som berikar livet och gör det möjligt att förhålla sig till den egna samtiden på nya sätt. Ett aktivt utbildnings- och bildningsarbete behövs också för att ge enskilda möjlighet att skapa reflekterande förhållningssätt till samhällets kollektiva minnen och till de berättelser om ursprung och tillhörighet vi alla är omgivna av. I kulturarvsarbetet skapas kontinuerligt ny kunskap om det förflutna, om samtiden och om vart vi som samhälle är på väg.
[…] På ett personligt plan framträder kulturarvets värden egentligen först genom försök att tillägna sig det. För att alla ska få förutsättningar att möta kulturarvet på detta sätt är det centralt att barn och unga, oavsett föräldrarnas bakgrund, får en god grund att stå på redan under utbildningstiden. I vuxen ålder är det viktigt att ha förvärvat vissa kunskaper och färdigheter för att det inte ska finnas höga trösklar att ta sig över för att få tillgång till den gemensamma historien. Vidare är det centralt att studenter fortsätter att söka sig till ämnesområden som i särskilt hög grad bidrar till en förståelse av kulturarvets betydelse – typiskt sett de traditionella humanistiska ämnena – vid landets universitet och högskolor.
[…] Ett aktivt förhållningssätt till kulturarvet kan dock bidra till bildning i kvalificerad bemärkelse just genom att det – utöver sakkunskaper om äldre tid – öppnar upp nya perspektiv, vidgar horisonter och sätter det invanda i fråga. På så vis övar det förmågor som för den enskilde är till nytta i många sammanhang och som bidrar till samhällets utveckling.
[…] Det har ofta påpekats att kulturarvet i Sverige inte enbart ligger i svenska medborgares intresse, utan att dessa kulturuttryck snarare måste ses som en del av den samlade kulturella mångfalden och rikedomen i världen.
Av uttalandena framgår att kulturarvets bevarande och utvecklande är av mycket stort värde och att det är mycket viktigt att studerande söker sig till sådana utbildningar. Anordnande och bedrivande av sådana utbildningar är det därmed enligt regeringens bedömning en uppgift av allmänt intresse.
Regeringen anser således att anordnande och bedrivande av de tre olika typer av utbildningar som kan få stöd genom bestämmelserna i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en uppgift av allmänt intresse. Även det förhållandet att utbildningar enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar efter beslut av Myndigheten för yrkeshögskolan kan berättiga till studiestöd, kan enligt regeringens uppfattning läggas till grund för bedömningen att anordnande och bedrivande av dessa utbildningar är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.
Den rättsliga grunden är fastställd i bl.a. förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar
I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar preciseras vad det innebär att anordna och bedriva utbild-
ningarna. Utbildningen ska bl.a. ge en teoretisk förankring inom det konstnärliga eller kulturella området och vila på vetenskaplig eller konstnärlig grund eller på beprövad erfarenhet (5 §). Behörig att antas till utbildningen är den som har genomgått gymnasieskolan eller gymnasiesärskolan eller motsvarande utbildning samt den som annars bedöms kunna tillgodogöra sig utbildningen. Därutöver får utbildningsanordnaren ställa krav på särskilda förkunskaper (24 §).
Vidare ska utbildningen bedrivas i form av en eller flera kurser. För varje utbildning ska det finnas en utbildningsplan. Av planen ska bl.a. utbildningens mål och inriktning framgå samt de kurser som ingår i utbildningen, antalet timmar lärar- eller handledarledd verksamhet som utbildningen omfattar I förekommande fall ska planen även beskriva de krav på särskilda förkunskaper som ställs upp, de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen, hur behörighetsbedömningar, urval, antagning, kunskapskontroll och studieresultat samt arkivering av studieresultat ska dokumenteras. För varje kurs ska det vidare finnas en kursplan. Av kursplanen ska framgå kursens benämning, målen för kursen, kursens huvudsakliga innehåll, om kursen helt eller delvis ges på engelska, de former för kunskapskontroll som ska tillämpas, och om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas (12–14 §§). Förordningen innehåller också bestämmelser om betyg, intyg och utbildningsbevis (15–17 §§). Det är MYH som fattar beslut om utbildning ska ges stöd i form av tillsyn, en förklaring att de studerande är berättigade till studiestöd eller statsbidrag (25 §).
MYH får också meddela föreskrifter om utbildningsplaner och kursplaner, betyg, intyg och utbildningsbevis samt verkställigheten av förordningen (40 §). Föreskrifter om kurs- och utbildningsplaner har MYH meddelat i MYH 2015:2 och MYH 2016:16.
I avsnitt 6.2 finns en redogörelse för regeringens bedömning i propositionen Ny dataskyddslag i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportionalitetsbedömningen i artikel 6.3 i dataskyddsförordningen. Med stöd av analysen ovan anser regeringen att det i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande föreskrifter finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva sådana utbildningar innebär och som är proportionerliga mot de mål som eftersträvas. Regeringens bedömning är därför att det för utbildningsanordnarna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva dessa utbildningar. Samtliga åtgärder som utbildningsanordnarna vidtar i syfte att bedriva utbildningsverksamhet som har sin grund i den nämnda författningen, anslutande myndighetsföreskrifter och beslut meddelade med stöd av dessa är därmed att anse som utförande av en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
9.3.3. Den rättsliga grunden myndighetsutövning kan användas i vissa fall
Regeringens bedömning: Utbildningsanordnarna inom yrkeshögskolan kan vidta vissa åtgärder med stöd av lagen om yrkeshögskolan och anslutande föreskrifter som innefattar myndighetsutövning gentemot en studerande, t.ex. examination. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i EU:s dataskyddsförordning.
Enskilda som anordnar och bedriver utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar saknar däremot möjlighet att tillämpa den rättsliga grunden myndighetsutövning.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.
Skälen för regeringens bedömning
Vissa åtgärder inom yrkeshögskolan utgör myndighetsutövning
Den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.3. Som också anges där, framgår det av propositionen Ny dataskyddslag att utgångspunkten i svensk rätt är att det som i Sverige brukar anses som myndighetsutövning faller in under dataskyddsförordningens begrepp och att detta bör gälla även fortsättningsvis (prop. 2017/18:105 s. 62).
Anordnare av yrkeshögskoleutbildning får utfärda utbildningsbevis och examensbevis. Regeringen eller den myndighet som regeringen bestämmer har också bemyndigats att meddela föreskrifter om utbildningsbevis och examensbevis (14 § andra stycket lagen om yrkeshögskolan). Den studerande ska under vissa förutsättningar få ett examensbevis eller ett utbildningsbevis. Bevisen utfärdas av ledningsgruppen. Ett beslut av ansvarig utbildningsanordnare om avslag på en studerandes begäran att få examensbevis eller utbildningsbevis får överklagas till Överklagandenämnden för högskolan (2 kap. 15 och 16 §§, 4 kap. 2 § och 8 kap. 2 § första stycket förordningen om yrkeshögskolan). Ytterligare exempel på myndighetsutövning är statliga universitets och högskolors beslut om antagning och tillgodoräknande, som får överklagas till Överklagandenämnden för högskolan (8 kap. 2 § andra stycket förordningen om yrkeshögskolan).
Verksamheten hos dem som anordnar och bedriver utbildning inom yrkeshögskolan omfattar därmed i vissa delar myndighetsutövning som är fastställd i svensk rätt. Den behandling av personuppgifter som är nödvändig i samband med dessa moment kan därmed grunda sig på den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen.
Anordnande av konst- och kulturutbildningar och vissa andra utbildningar innefattar inte myndighetsutövning
Enskilda som anordnar och bedriver sådan utbildning som omfattas av förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska sätta betyg eller utfärda intyg. De ska vidare utfärda utbildningsbevis om en studerande begär det (15–17 §§). Även i dessa utbildningsanordnares verksamhet finns således inslag som är att likna vid myndighetsutövning.
Förvaltningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Innefattar uppgiften myndighetsutövning får ett överlämnande dock endast göras med stöd av lag (12 kap. 4 § andra stycket regeringsformen). Bestämmelserna om konst- och kulturutbildningar och vissa andra utbildningar finns inte i lag utan i en förordning. Enligt regeringens bedömning är det därmed inte i svensk rätt fastställt att anordnarna av sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har getts myndighetsutövande befogenheter. Dessa utbildningsanordnare kan därmed inte tillämpa den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen för sin personuppgiftsbehandling. Som framgår av avsnitt 9.3.2 har de dock i stället möjlighet att tillämpa den rättsliga grunden uppgift av allmänt intresse i artikel 6.1. e i dataskyddsförordningen. Vidare kan de tillämpa den rättsliga grunden rättslig förpliktelse i vissa fall, se nästa avsnitt.
9.3.4. Den rättsliga grunden rättslig förpliktelse kan användas i vissa fall
Regeringens bedömning: Det finns fastställda rättsliga förpliktelser som gör det nödvändigt för dem som anordnar och bedriver utbildning inom yrkeshögskolan att behandla personuppgifter. Behandlingen kan i dessa fall göras med stöd av den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i EU:s dataskyddsförordning.
Detsamma gäller för den som bedriver utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.
Skälen för regeringens bedömning: Den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i dataskyddsförordningen har beskrivits i avsnitt 6.4.
En studerande inom yrkeshögskolan ska på begäran under vissa förutsättningar få ett examensbevis eller ett utbildningsbevis (2 kap. 15 och 16 §§ förordningen [2009:139] om yrkeshögskolan. Även en studerande som avslutat en utbildning som omfattas av förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska på begäran få ett utbildningsbevis av den ansvariga utbildningsanordnaren (17 §).
Nämnda förpliktelser för utbildningsanordnarna förutsätter att i vart fall namn och personnummer behandlas för att respektive bevis ska kunna utfärdas. Detta är enligt regeringens bedömning exempel på rättsliga förpliktelser som är tillräckligt tydliga för att nödvändig personuppgiftsbehandling ska kunna ske med stöd av artikel 6.1 c i dataskyddsförordningen.
Ytterligare exempel på rättsliga förpliktelser finns i Myndigheten för yrkeshögskolans (MYH:s) föreskrifter om studiedokumentation (beslutade med stöd av 2 kap. 17 § andra stycket förordningen om yrkeshögskolan). Av föreskrifterna framgår att utbildningsanordnarna inom yrkeshögskolan ska dokumentera ett flertal uppgifter om de studerande och deras studieresultat och rapportera dessa uppgifter till MYH.
Utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har därmed vissa rättsliga förpliktelser. Förpliktelserna är fastställda genom bestämmelser i svensk rätt och av dem framgår det för vilka syften det är nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c är därmed tillämplig på sådana behandlingar.
Som framgått ovan i avsnitt 9.3.2, bedömer regeringen att även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen kan tillämpas för den behandling av personuppgifter som är nödvändig i sammanhanget, eftersom fullgörandet av förpliktelserna också ingår i uppgiften att anordna och bedriva utbildningar inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
9.3.5. Intresseavvägning kan användas men blir sällan aktuell
Regeringens bedömning: Enskilda utbildningsanordnare inom yrkeshögskolan och de som anordnar utbildningar som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i EU:s dataskyddsförordning. Den förutsätter – att behandlingen är nödvändig för ändamål som rör den person-
uppgiftsansvariges eller en tredje parts berättigade intressen, och – att inte den registrerades intressen eller grundläggande rättigheter
och friheter väger tyngre och kräver skydd av personuppgifter. Eftersom även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen är tillämplig, behöver dock intresseavvägning sällan eller aldrig användas.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.
Skälen för regeringens bedömning: Den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen har beskrivits i avsnitt
6.4. Grunden gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom offentliga utbildningsanordnare inom yrkeshögskolan är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt lagen om yrkeshögskolan med anslutande föreskrifter, kan de inte tillämpa den rättsliga grunden intresseavvägning i artikel 6.1 f för sin personuppgiftsbehandling. Det är således endast de enskilda utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar som kan använda sig av artikel 6.1 f som grund för sin personuppgiftsbehandling. I avsnitt 9.3.2 bedömer regeringen att anordnande och bedrivande av utbildning inom yrkeshögskolan och enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en i svensk rätt fastställd uppgift av allmänt intresse. Även om den rättsliga grunden intresseavvägning i artikel 6.1 f kan användas av enskilda, bör enskilda utbildningsanordnare enligt regeringens uppfattning därmed sällan eller aldrig behöva tillämpa den grunden.
9.3.6. Den rättsliga grunden samtycke kan användas i begränsad utsträckning
Regeringens bedömning: De som anordnar och bedriver utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, kan i begränsad utsträckning behandla personuppgifter utifrån den rättsliga grunden samtycke i artikel 6.1 a i EU:s dataskyddsförordning.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot bedömningen.
Datainspektionen delar utredningens bedömning att det kan finnas utrymme för samtycke när det rör sig om sådant som inte är relaterat till själva kärnverksamheten. Datainspektionen påpekar att det utifrån den enskildes perspektiv är samma beroendeställning som gör sig gällande oavsett om det rör sig om privat eller offentlig utbildningsverksamhet, när det är fråga om samma typ av verksamhet. I detta fall är det dessutom huvudsakligen frågan om offentlig finansierad verksamhet.
Skälen för regeringens bedömning: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1. Som anges där aktualiseras samtycke främst inom områden som inte är offentligrättsligt reglerade.
Såvitt avser yrkeshögskolan finns dock en omfattande reglering för verksamheten. Även för utbildningar som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns det en tydlig reglering. Behovet av att använda samtycke som rättslig grund torde, enligt regeringens bedömning, därmed vara begränsat för utbildningsanordnarna. Som Datainspektionen påpekar finns det inte anledning att i detta avseende göra skillnad på privat och offentlig ut-
bildningsverksamhet, när det är fråga om samma typ av verksamhet och beroendeställning för den enskilde.
9.4. Folkbildningen
9.4.1. Behandling av personuppgifter inom statsbidragsfinansierad folkbildning
Behandling inom folkhögskolan
Folkhögskolornas verksamhet är en utbildningsform som av tradition har beskrivits med orden fri och frivillig. Som framgått av avsnitt 5.4 finansieras folkbildningen till stor del av allmänna medel. Folkbildningsrådet (FBR), som är en ideell förening, prövar med stöd av 7 b § lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde och 5 § förordningen om statsbidrag till folkbildningen, frågor om fördelning av statsbidrag mellan folkhögskolor och studieförbund. Vidare anges i nämnda förordning och i de villkor och riktlinjer som FBR har fastställt för verksamheten, vissa ramar för den verksamhet som kan få statsbidrag, t.ex. beträffande studieomdömen. Någon särskild reglering för folkhögskolornas personuppgiftsbehandling finns inte. I dagsläget är det således bestämmelserna i PUL som folkhögskolorna har att tillämpa vid behandling av personuppgifter.
Folkhögskolorna inhämtar normalt ett samtycke till behandlingen från den enskilde. Det är därmed den rättsliga grunden samtycke som folkhögskolorna tillämpar som stöd för sin behandling av personuppgifter.
Nästan samtliga 154 folkhögskolor använder administrationsprogrammet SchoolSoft anpassat för folkhögskolan för sin behandling av deltagarnas personuppgifter. Respektive folkhögskola väljer vilka personuppgifter den vill registrera, men för- och efternamn är obligatoriska uppgifter. I samband med ansökan om statsbidrag sker inte någon behandling av personuppgifter. Folkhögskolorna behandlar personuppgifter för att t.ex. kunna handlägga anmälningar och utfärda intyg.
Folkhögskolorna använder olika läroplattformar, t.ex. Ping Pong och itslearning, men även Google drive och SharePoint. De personuppgifter som behandlas är bl.a. personnummer, adress och telefonnummer.
De folkhögskolor som bedriver internat registrerar på gruppnivå uppgifter om allergi. Det förekommer även att vissa folkhögskolor som anordnar kontakttolkutbildning antecknar tolkspråk i sitt register.
Behandling inom studieförbunden
Studieförbunden tillhandahåller ett brett utbud av studiecirklar, kulturprogram och annan folkbildningsverksamhet. Som framgått av avsnitt 5.4 prövar FBR och Studieförbundet SISU Idrottsutbildarna (SISU) frågor om fördelning av statsbidrag mellan folkhögskolor och studieförbund med stöd 7 b och 8 §§ lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde samt 5 och 6 §§ förordningen om statsbidrag till folkbildningen. Liksom i fråga om folkhögskolorna, anges i nämnda förordning vissa ramar för studieförbund som kan få statsbidrag. Någon särskild reglering för
studieförbundens personuppgiftsbehandling finns inte. I dagsläget är det således bestämmelserna i PUL som studieförbunden har att tillämpa vid behandling av personuppgifter.
Studieförbunden inhämtar samtycke från deltagaren och tillämpar samtycke som rättslig grund för sin personuppgiftsbehandling. I samband med ansökan om statsbidrag sker inte någon behandling av personuppgifter. Ändamålen med behandlingen av personuppgifterna är bl.a. administration av studieverksamhet efter att statsbidrag har lämnats.
Nio av de tio studieförbunden som FBR fördelar statsbidrag till använder sig av ett administrativt system som Gustavgruppen utvecklat. Gustav är en akronym för gemensam utveckling av studieförbundens administrativa verksamhetssystem. Gustav är ett samarbete mellan studieförbunden och sker inom ramen för Studieförbunden i samverkan (Studieförbunden) som är studieförbundens bransch- och intresseorganisation. I det administrativa systemet behandlas uppgift om ålder, kön, adress, telefonnummer och personnummer. På individnivå behandlas inte några känsliga personuppgifter. I ett noteringsfält kan uppgifter om allergier eller funktionsnedsättning förekomma som en information för att nödvändiga förberedelser och val av lokal m.m. ska kunna göras.
Det förekommer att vissa studieförbund som anordnar kontakttolkutbildning antecknar tolkspråk i sitt register.
Inom SISU anordnas utbildning på både nationell nivå och på distriktsnivå. Oavsett på vilken nivå utbildningen anordnas inhämtas samtycke från deltagarna till stöd för behandlingen av deras personuppgifter.
FBR:s och SISU:s behandling av personuppgifter för fördelning och redovisning av statsbidrag
Utöver att pröva frågor om fördelning av statsbidrag mellan folkhögskolor och studieförbund ska FBR och SISU kontinuerligt följa upp och utvärdera verksamheten i förhållande till folkbildningens syften och de villkor som har föreskrivits för att statsbidrag ska lämnas. FBR och SISU ska också, i enlighet med de riktlinjer som regeringen meddelar, lämna regeringen sådana sakuppgifter om verksamheten och sådan verksamhetsredovisning som behövs för uppföljning och utvärdering (15 § förordningen om statsbidrag till folkbildningen).
Regeringen beslutar årligen om riktlinjer för FBR och SISU. I riktlinjerna för FBR anges bl.a. att det totala antalet deltagare, antalet utrikes födda deltagare och deltagarnas utbildningsbakgrund ska redovisas till regeringen. Enligt riktlinjerna för SISU ska bl.a. antalet deltagardagar och deltagare framgå av SISU:s redovisning. Någon redovisning till regeringen av deltagares personuppgifter krävs dock inte (se t.ex. regeringens beslut 2017-12-13, Riktlinjer för 2018 för Folkbildningsrådet i fråga om användningen av anslagen 14:1 och 14:3 inom utgiftsområde 17 Kultur, medier trossamfund och fritid, U2017/04974/UF, och regeringens beslut 2017-12-13, Riktlinjer för 2018 för studieförbundet SISU Idrottsutbildarna i fråga om användningen av anslagen 14:1 och 14:3 inom utgiftsområde 17 Kultur, medier, trossamfund och fritid, U2017/04975/UF).
Vid sin fördelning och redovisning av statsbidrag kan FBR och SISU använda sig av aggregerade uppgifter från den statistik som tas fram en-
ligt förordningen (2001:100) om den officiella statistiken. Det är Statistiska centralbyrån (SCB) som är statistikansvarig myndighet för statistikområdet Folkhögskola och Myndigheten för kulturanalys som är statistikansvarig myndighet för statistikområdet Studieförbund. I den utsträckning som det uppstår ett behov av att FBR och SISU behandlar uppgifter på individnivå för att fördela och redovisa statsbidrag kan den behandlingen av personuppgifter enligt regeringens bedömning utföras med den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e EU:s dataskyddsförordning. Genom bestämmelser i lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde och förordningen om statsbidrag till folkbildningen och regeringens årliga beslut med riktlinjer för FBR och SISU är det fastställt att FBR:s och SISU:s fördelning och redovisning av statsbidrag till folkbildning är en uppgift av allmänt intresse. Mot den bakgrunden anser regeringen att den behandling av personuppgifter om deltagare i folkbildningsverksamheten som utförs av FBR och SISU och som är nödvändig för fördelning och redovisning av statsbidrag till folkbildning kan utföras med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.
9.4.2. Den rättsliga grunden uppgift av allmänt intresse kan användas vid bedrivandet av utbildning inom statsbidragsfinansierad folkbildning
Regeringens bedömning: Genom bestämmelser i förordningen om statsbidrag till folkbildningen är det fastställt i svensk rätt att folkhögskolornas och studieförbundens bedrivande av utbildnings-, bildnings- och kulturverksamhet är en uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i
EU:s dataskyddsförordning.
Utredningens bedömning: Utredningen har bedömt att folkhögskolorna och studieförbunden bör använda den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen som rättslig grund för sin personuppgiftsbehandling. Enligt utredningen bör folkhögskolor som anordnar utbildning motsvarande kommunal vuxenutbildning i svenska för invandrare, vilken regleras av skollagen med anslutande föreskrifter, kunna behandla personuppgifter om studerande i den verksamheten även med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen. Utredningen anser att den reglering av folkhögskolorna och studieförbunden som finns i föreskrifter och andra styrande dokument i och för sig även i övrigt skulle kunna anses utgöra en i nationell rätt fastställd uppgift av allmänt intresse, men att det är tveksamt hur behandling av personuppgifter inom folkhögskolorna utan samtycke skulle kunna förenas med ledorden ”fri och frivillig” som gäller för folkbildningen. Enligt utredningen bör det inte vara aktuellt för de icke offentligt drivna folkhögskolornas eller studieförbund att tillämpa
den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsdirektivet.
Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig har tillstyrkt eller inte haft något att invända mot bedömningen. Detta gäller bl.a. Statens skolverk, Statens skolinspektion, Myndigheten för yrkeshögskolan, Sveriges Kommuner och Landsting (SKL), Jönköpings läns landsting, Folkbildningsrådet, Lärarnas Riksförbund, Lärarförbundet och Studieförbundet SISU Idrottsutbildarna.
SKL delar utredningens bedömning, men anser att det är bekymmersamt om den uppfattningen inte delas av de rättsliga instanser som har att pröva myndigheternas tillämpning av bestämmelserna i dataskyddsförordningen. SKL anser att regeringen bör beakta att utredningen avstått från att utreda möjligheterna för folkhögskolorna att tillämpa den rättsliga grunden uppgift av allmänt intresse.
Datainspektionen delar inte uppfattningen att folkhögskolor och studieförbunden kan stödja sin personuppgiftsbehandling på samtycke och ifrågasätter om det finns rättsligt stöd för den behandling av personuppgifter som är nödvändig för folkhögskolornas verksamhet. Studieförbunden i samverkan anser att nödvändiga personuppgifter ska behandlas av folkhögskolor och studieförbunden med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt.
Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna och Statistiska centralbyrån tillstyrker eller har inga synpunkter på bedömningen. Studieförbunden i samverkan anser att det genom 2 § förordningen (2015:218), där det framgår att folkhögskolorna och studieförbunden bedriver utbildnings-, bildnings- och kulturverksamhet, även är fastställt att folkhögskolornas och studieförbundens bildnings- och kulturverksamhet är en uppgift av allmänt intresse.
Skälen för regeringens bedömning
Folkhögskolorna och studieförbunden bör inte använda samtycke som rättslig grund
Som framgått finns det inom folkbildningen ett visst behov av att behandla personuppgifter. Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1.
Folkhögskolorna och studieförbunden tillämpar i dagsläget samtycke som rättslig grund för sin personuppgiftsbehandling. Utredningen har också föreslagit att samtycke bör användas som rättslig grund även efter det att dataskyddsförordningen har trätt i kraft. Som skäl har utredningen bl.a. angett att deltagande i en studiecirkel eller annan folkbildningsverksamhet som anordnas av ett studieförbund är frivilligt. Enligt utredningen råder det inte en sådan betydande ojämlikhet mellan den de enskilda vars personuppgifter behandlas och folkhögskolorna eller studieförbunden att ett samtycke till behandling av personuppgifter inte kan anses ha lämnats frivilligt.
Datainspektionen anser dock att det inte är möjligt att dra en parallell mellan att folkhögskolans och studieförbundens studieform är frivillig
och att det skulle innebära att även behandlingen av personuppgifterna är frivillig. Vad dataskyddsförordningen anger om frivillighet i samband med samtycke i skäl 42 och 43 visar att det är i förhållande till behandlingen av personuppgifter frivilligheten ska bedömas.
Enligt Datainspektionen kan utbildningen som en folkhögskola kan ge många gånger vara av vikt för den enskilde, t.ex. om det är fråga om en yrkesutbildning, en komplettering av grund- eller gymnasieskolan eller en förberedande studie för att kunna söka en högskoleutbildning. Det innebär att den enskilde mycket väl kan vara lika beroende av en utbildning som folkhögskolan ger som av annan utbildningsverksamhet. Enligt artikel 7 punkt 3 i dataskyddsförordningen ska den registrerade ha rätt att när som helst återkalla sitt samtycke och i skäl 42 anges att samtycke inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. Resultatet av att inte ge eller att återkalla samtycket i dessa sammanhang innebär enligt Datainspektionen förmodligen att personen inte kan gå utbildningen eller får avbryta sina studier.
Även när det gäller studieförbunden anser Datainspektionen att trots att deltagande i studieförbundet må vara frivilligt är det inte valbart för studiedeltagaren att registreras. Den enskilde måste bli registrerad för att verksamheten ska kunna få bidrag. Verksamheten har också en uppgiftsskyldighet. Verksamheten blir således beroende av att den enskilde lämnar ett samtycke för att den ska kunna fullgöra sin uppgiftsskyldighet och erhålla statsbidrag.
Av ovan angivna skäl anser Datainspektionen att folkhögskolor och studieförbund inte kan stödja sin personuppgiftsbehandling på samtycke annat än i speciella situationer, t.ex. vid fotografering som ligger utanför kärnverksamheten.
Regeringen delar Datainspektionens uppfattning och anser att folkhögskolorna och studieförbunden på grund av de av Datainspektionen angivna skälen inte bör använda den rättsliga grunden samtycke.
Folkhögskolorna och studieförbunden kan använda den rättsliga grunden uppgift av allmänt intresse
Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.2. Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse och dessutom ett viktigt allmänt intresse.
Därtill kommer att både folkhögskolor och studieförbund som ansöker om och får statsbidrag omfattas av bestämmelser i förordningen om statsbidrag till folkbildningen. Av förordningen framgår att folkhögskolor och studieförbund bedriver utbildnings-, bildnings- och kulturverksamhet samt att Studieförbundet SISU Idrottsutbildarna bedriver utbildnings- och bildningsverksamhet (2 och 3 §§). Syftet med statens stöd till folkbildningen är att stödja verksamhet som bidrar till att stärka och utveckla demokratin och bidra till att göra det möjligt för en ökad mångfald människor att påverka sin livssituation och skapa engagemang att delta i samhällsutvecklingen. Syftet med statsbidraget är även att bidra till att utjämna utbildningsklyftor och höja bildnings- och utbildningsnivån i
samhället samt att bidra till att bredda intresset för och öka delaktigheten i kulturlivet. För att statsbidrag ska lämnas till folkhögskola eller ett studieförbund ska verksamheten ha en inriktning som överensstämmer med syftet med statsbidraget (1 och 7 §§ förordningen om statsbidrag till folkbildningen).
När det gäller folkhögskolorna förutsätter statsbidrag bl.a. att undervisningen är avgiftsfri och att allmänna kurser avsedda främst för dem som saknar grundskole- och gymnasieutbildning årligen ska utgöra minst 15 procent av verksamheten. Kraven på resultat av lärande på allmän kurs ska motsvara de krav som ställs på motsvarande utbildning inom grund- och gymnasieskolan och intyg om godkänt resultat på allmän kurs på grundskolenivå respektive gymnasial nivå ska utfärdas till dem som bedöms kunna tillgodogöra sig studier på gymnasial nivå respektive uppnår de krav som ställs för grundläggande behörighet till högskolestudier eller yrkehögskolestudier (8 och 9 §§). De studerande som sedan söker till högskolan söker i en egen urvalsgrupp bara för folkhögskolestuderande (bilaga 3 till högskoleförordningen [1993:100]).
Som nämnts prövar FBR frågor om fördelning av statsbidrag mellan folkhögskolor och studieförbund. Enligt organisationens stadgar har FBR i uppgift att sprida kunskap om folkbildningen och bevaka folkhögskolan som utbildningsform i utbildningsystemet. I dokument som antas av FBR ges folkhögskolorna anvisningar om studieomdömen och intyg om behörighet för gymnasiestudier och högskole- eller yrkeshögskolestudier. Studieförbundet SISU Idrottsutbildarna prövar frågor om fördelning av statsbidrag till idrottens studie-, bildnings- och utbildningsverksamhet (7 b och 8 §§ lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde och 4, 5 och 6 §§ förordningen om statsbidrag till folkbildningen). Som nämnts i avsnitt 5.4 följer det också av 2 kap. 4 § OSL och bilagan till den lagen att FBR och SISU i deras verksamhet att fördela statsbidrag ska tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter samt att de i denna verksamhet ska jämställas med myndigheter vid tillämpning av OSL.
Som Studieförbunden i samverkan har påpekat är målet med folkbildningspolitiken enligt regeringens folkbildningsproposition Allas kunskap – allas bildning (prop. 2013/14:172) att folkbildningen ska ge alla möjlighet att tillsammans med andra öka sin kunskap och bildning för personlig utveckling och delaktighet i samhället. Av propositionen framgår också att målet syftar till att på ett övergripande men tydligt sätt formulera statens intentioner med folkbildningspolitiken och statsbidraget till folkbildningen (s. 19 f.).
Mot denna bakgrund anser regeringen att folkhögskolornas och studieförbundens anordnande och bedrivande av statsbidragsfinansierad utbildning är en uppgift av allmänt intresse. Av samma skäl delar regeringen även Studieförbundens uppfattning att även folkhögskolornas och studieförbundens bildnings- och kulturverksamhet är en uppgift av allmänt intresse. Uppgifterna av allmänt intresse är fastställda i nationell rätt genom förordningen om statsbidrag till folkbildningen och de beslut som FBR och SISU fattar med stöd av lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde och statsbidragsförordningen. Regeringen anser också att den rättsliga
grunden är tillräckligt tydlig, precis och dess tillämpning tillräckligt förutsägbar för de personer som omfattas av den samt att regleringen är proportionell i förhållande till målen. Regeringen anser därför att den behandling av personuppgifter som är nödvändig i folkhögskolornas och studieförbundens utbildnings-, bildnings och kulturverksamhet kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen. Av samma skäl torde den rättsliga grunden uppgift av allmänt intresse även kunna användas när folkhögskolor och studieförbunden anordnar sådan verksamhet som finansieras genom statsbidrag enligt någon annan statsbidragsförordning.
Även det förhållandet att vissa utbildningar inom folkhögskolan berättigar till studiestöd enligt studiestödslagen och studiestödsförordningen kan enligt regeringens uppfattning läggas till grund för bedömningen att anordnade och bedrivande av dessa utbildningar inom folkbildningen är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.
I avsnitt 9.1.2 har också redogjorts för regeringens bedömning att en folkhögskola som anordnar motsvarande utbildning till kommunal vuxenutbildning i svenska för invandrare enligt 24 kap. 11 § skollagen utför en uppgift av allmänt intresse som är fastställd i skollagen.
9.4.3. De rättsliga grunderna uppgift av allmänt intresse eller intresseavvägning kan användas vid behandling av personuppgifter inom folkbildning som finansieras på annat sätt än genom statsbidrag
Regeringens bedömning: Både den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e och den rättsliga grunden intresseavvägning i artikel 6.1 f i EU:s dataskyddsförordning kan, beroende på omständigheterna, användas vid behandling av personuppgifter inom folkbildning som finansieras på annat sätt än genom statsbidrag.
Utredningens bedömning: Utredningen har inte gjort någon bedömning i denna del.
Remissinstanserna: Remissinstanserna har inte haft några synpunkter.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt.
Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna och Statistiska centralbyrån tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: Förutom den verksamhet inom folkbildningen som finansieras genom statsbidrag genomför folkbildningen även annan verksamhet med hjälp av annan finansiering. Det kan t.ex. handla om bidrag från privaträttsliga aktörer, kommuner och landsting eller regioner och andra offentligrättsliga aktörer. När det gäller behandling av personuppgifter kan det t.ex. handla om att administrera anmälningar och rapporteringar av verksamheter.
När det gäller den folkbildning som bedrivs genom bidrag från kommuner och landsting eller regioner kan det ändå bli aktuellt att använda
den rättsliga grunden uppgift av allmänt intresse för behandling av personuppgifter. Begreppet uppgift av allmänt intresse omfattar inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Den personuppgiftsansvarige behöver inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid enligt kommunallagen (2017:725) begränsad till angelägenheter av just allmänt intresse. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden. Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna. På folkbildningsområdet innebär det att den folkbildningsverksamhet som omfattas av fullmäktiges beslut grundat på den allmänna befogenheten kan anses som en uppgift av allmänt intresse och att den behandling av personuppgifter som är nödvändig för den verksamheten kan utföras med stöd av den rättsliga grunden uppgift av allmänt intresse som avses i artikel 6.1 e dataskyddsförordningen.
För folkbildningen som finansieras av privaträttsliga aktörer som t.ex. stiftelser och liknande organisationer och som inte omfattas av rätten till studiestöd saknas offentligrättsliga regler som närmare reglerar verksamheten. Eftersom det saknas den reglering som avses i 2 kap. 2 § 1 dataskyddslagen finns det inte förutsättningar för att använda den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e dataskyddsförordningen för behandling av personuppgifter för den verksamhet inom folkbildningen som finansieras av privaträttsliga aktörer. Eftersom folkhögskolor och studieförbund inte är myndigheter utan enskilda organ har de möjlighet, att efter erforderlig avvägning mellan behovet av behandlingen och den registrerades intressen i enlighet med artikel 6.1 f i dataskyddsförordningen, behandla personuppgifter om deltagare i verksamheten med stöd av den rättsliga grunden intresseavvägning. Den rättsliga grunden har beskrivits i avsnitt 6.5. Att göra en sådan avvägning ankommer på den personuppgiftsansvarige.
9.5. Studiestödsverksamheten
9.5.1. Vilka personuppgifter behandlas inom studiestödet?
CSN ska administrera studiestöd och andra stöd till enskilda som enligt lag eller förordning ska hanteras av myndigheten. Detta framgår av 1 § förordningen (2017:1114) med instruktion för Centrala studiestödsnämnden.
För att kunna utföra sina arbetsuppgifter enligt studiestödslagen och andra författningar om studiestöd behöver CSN behandla en stor mängd personuppgifter. I arbetet med att administrera studiestödet använder CSN studiestödets informationssystem (STIS). Med hjälp av STIS behandlas bl.a. personuppgifter om personer som går en gymnasial utbild-
ning, som har sökt eller beviljats studiehjälp eller är betalningsmottagare av studiehjälp, som har antagits till utbildning, sökt studiemedel eller studiestartsstöd, är utländska medborgare vid prövning av principiell rätt till svenskt studiestöd eller har en studieskuld.
Behandling av personuppgifter i CSN:s studiestödsverksamhet regleras i studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321). I propositionen Behandling av personuppgifter inom studiestödsområdet (prop. 2008/09:96), där förslaget till studiestödsdatalagen lämnades, anges bl.a. följande om vilken personuppgiftsbehandling som förekommer i CSN:s verksamhet.
I STIS registreras en stor mängd uppgifter. Till en viss del handlar det om uppgifter av huvudsakligen administrativ karaktär, t.ex. utbetalningsdatum för olika stödformer, uppgift för identifikation av betalningar eller beslutsdatum. Denna typ av uppgifter innehåller inte något som typiskt och isolerat sett är av särskilt känslig natur för den enskilde. CSN behöver emellertid för sin verksamhet även registrera ett stort antal uppgifter om enskildas personliga förhållanden. Det kan t.ex. röra sig om kontaktuppgifter om närmast anhöriga, uppgifter om barn och föräldrar, information om sjukdomsperioder, medborgarskap, studietakt, examenstidpunkt, antal grundskoleår som studerats utomlands och antal terminer som studerats på gymnasienivå. Bland dessa mer personliga uppgifter finns uppgifter som från den enskildes perspektiv är känsliga. I många fall måste CSN även registrera uppgifter om enskildas ekonomiska förhållanden, t.ex. uppgifter om utbetalt studiebidrag, årsinkomst och uppgift om eventuell skuldsanering. Även uppgifter om personliga och ekonomiska förhållanden för stödtagarens föräldrar, barn och andra närstående kan förekomma (prop. 2008/09:96 s. 13 f.).
När det gäller studiestartsstöd, som är ett statligt studiestöd vars målgrupp är den som har kort utbildning och ett stort behov av utbildning på grundläggande eller gymnasial nivå för att kunna etablera sig på arbetsmarknaden, gjordes i propositionen Studiestartsstöd – ett nytt rekryterande studiestöd (prop. 2016/17:158 s. 84 ff.) bedömningen att den behandling av personuppgifter som kommer att förekomma i ärenden om studiestartsstöd inte bör skilja sig nämnvärt från den som redan sker i ärenden om studiemedel, varken när det gäller vilka uppgifter som behandlas eller vilket intrång i den personliga integriteten som behandlingen innebär.
9.5.2. Den rättsliga grunden uppgift av allmänt intresse kan användas
Regeringens bedömning: Genom bestämmelser i bl.a. studiestödslagen är det fastställt att CSN:s studiestödsverksamhet är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen.
Studiestödsdatalagen och studiestödsdataförordningen utgör sådana mer specifika bestämmelser om personuppgiftsbehandling som är tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Det stora flertalet remissinstanser som har yttrat sig, däribland Centrala studiestödsnämnden (CSN), har inte haft några synpunkter på bedömningen.
Datainspektionen anser att det är rimligt att utgå från tidigare bedömningar, men saknar en självständig analys av om den nationella rätten är proportionell mot de legitima mål som eftersträvas och av om det därmed finns erforderligt stöd för den personuppgiftsbehandling som behöver utföras inom CSN:s verksamhet.
Skälen för regeringens bedömning
Som framgått av föregående avsnitt finns det inom studiestödet behov av att behandla en rad personuppgifter. Som anges i avsnitt 6 förutsätter detta en i EU-rätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskyddsförordningen). Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen beskrivs i avsnitt 6.2.
CSN:s studiestödsverksamhet är en uppgift av allmänt intresse och ett viktigt allmänt intresse
Vid införandet av studiestödslagen uttalade regeringen följande i propositionen Ett reformerat studiestödssystem (prop. 1999/2000:10 s. 65).
Det övergripande utbildningspolitiska målet är att varje medborgare ska ha möjlighet till god utbildning oavsett kön, social eller ekonomisk bakgrund, bostadsort m.m. […] Ekonomisk tillväxt ger möjligheter att trygga välfärden. Det är därför ett samhälleligt intresse att kunskapsbasen hos befolkningen upprätthålls och stärks på alla nivåer och att inga grupper lämnas utanför. Situationen med arbetslöshet har ytterligare accentuerat detta faktum. Men ekonomisk tillväxt och landets konkurrenskraft är också beroende av medborgarnas beredskap att möta förändringar. Kostnaderna för utbildning och studiestöd kan ses som en samhällelig investering som ger avkastning i ett senare skede i form av ökad ekonomisk tillväxt och social och kulturell utveckling.
Detta talar för att studiestödsverksamheten redan då ansågs vara en uppgift av allmänt intresse. I samband med införandet av studiestartsstöd uttalade regeringen också följande i propositionen Studiestartsstöd – ett nytt rekryterande studiestöd (prop. 2016/17:158 s. 26).
Som nämnts ovan är ett viktigt mål för studiestödet är att det ska utjämna skillnader mellan individer och grupper i befolkningen och i och med det bidra till ökad social rättvisa. Mot denna bakgrund bör samhällets insatser för att främja lärande hos den vuxna befolkningen i större utsträckning än tidigare riktas mot dem med störst behov av utbildning. Det innebär att personer med kort tidigare utbildning som har stora utbildningsbehov bör prioriteras. Särskilt de som är arbetslösa, och har varit det under viss tid, bör prioriteras eftersom de ofta är mer utsatta än dem som har ett arbete. Inriktningen bör därför vara att utveckla studiestödet för att öka rekryteringen till studier bland dessa personer. Genom att arbetslösa påbörjar studier ökar de sin anställningsbarhet och bidrar på sikt med skatteintäkter och till att
förbättra samhällets kompetensförsörjning. Även matchningen på arbetsmarknaden kommer att förbättras.
I förarbetena till studiestödsdatalagen konstateras att den registrerade enligt artikel 14 a i dataskyddsdirektivet har rätt att motsätta sig behandling som sker med stöd av bl.a. artikel 7 e i direktivet, dvs. för att utföra en arbetsuppgift av allmänt intresse, om inte den nationella lagstiftningen föreskriver något annat. Regeringen ansåg därför att det skulle införas en bestämmelse i studiestödsdatalagen om att behandling av personuppgifter som får ske oberoende av den registrerades samtycke, ska få ske även om den registrerade motsätter sig behandlingen (prop. 2008/09:96 s. 36).
Det finns inget som tyder på att begreppet allmänt intresse ska uppfattas snävare enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Med hänsyn härtill får en behandling av personuppgifter som tillåtits i en registerförfattning med stöd av den rättsliga grunden i artikel 7 e i dataskyddsdirektivet, dvs. utföra en arbetsuppgift av allmänt intresse, också anses nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen och ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen.
Den rättsliga grunden är fastställd i svensk rätt
Regeringen har i propositionen Ny dataskyddslag (prop. 2017/18:105) angett att myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler (s. 56 f.
)
. Uppgiften att administrera studiestödsverksamheten ligger på en statlig myndighet och regleras bl.a. i studiestödslagen och i lagen om studiestartsstöd. CSN:s studiestödsverksamhet är därigenom fastställd i svensk rätt. Därutöver finns kompletterande reglering i bl.a. studiestödsdatalagen och i författningar som ansluter till studiestödslagen och lagen om studiestartsstöd.
Den svenska regleringen är förenlig med dataskyddsförordningen
Som framgått av avsnitt 4.2 är det förenligt med dataskyddsförordningen (artikel 6.2) att det i nationell rätt finns sådana registerförfattningar som studiestödsdatalagen och studiestödsdataförordningen.
Som Datainspektionen påpekar, ska den rättsliga regleringen även uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i dataskyddsförordningen). Studiestödslagen, studiestödsförordningen, lagen om studiestartsstöd, förordningen om studiestartsstöd, studiestödsdatalagen och studiestödsdataförordningen har tillkommit i den ordning som regeringsformen utpekar för föreskrifter av nu aktuellt slag. Utbildningsdatautredningen har vid genomgången av aktuella författningar inte heller funnit några bestämmelser i dessa författningar som bedömts vara irrelevanta eller oproportionerliga (SOU 2017:49, s. 384 f.). Regeringen, som inte ser någon anledning att frångå den tidigare gjorda analysen,
delar utredningens bedömning. Regeringen anser således att föreskrifterna uppfyller kraven i artikel 6.3 andra stycket i dataskyddsförordningen.
9.5.3. Den rättsliga grunden myndighetsutövning kan användas för en rad åtgärder
Regeringens bedömning: CSN kan vidta en rad åtgärder med stöd av studiestödslagen och studiestödsförordningen som innefattar myndighetsutövning, t.ex. beslut om studiehjälp, studiemedel, återbetalning av studielån och återkrav av studiestöd. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i EU:s dataskyddsförordning.
Utredningens bedömning: Utredningen har inte gjort någon bedömning i fråga om den rättsliga grunden myndighetsutövning.
Remissinstanserna: Remissinstanserna har inte yttrat sig över möjligheten för Centrala studiestödsnämnden att använda myndighetsutövning som rättsliga grund.
Skälen för regeringens bedömning: Den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.3.
CSN vidtar en rad åtgärder med stöd av bl.a. studiestödslagen och studiestödsförordningen som innefattar myndighetsutövning. Det gäller t.ex. beslut om studiehjälp, studiemedel, återbetalning av studielån och återkrav av studiestöd. Enligt regeringens bedömning är grunden för behandlingen redan i dag fastställd i svensk rätt genom de bestämmelser i dessa författningar som ger CSN författningsstöd för att vidta åtgärderna. Det behövs därför inte någon ytterligare reglering för att CSN ska kunna utföra nödvändig behandling av personuppgifter som ingår i myndighetsutövningen med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen.
9.5.4. Samtycke ska inte användas som rättslig grund
Regeringens bedömning: Samtycke ska inte användas som rättslig grund för behandling av personuppgifter i CSN:s studiestödsverksamhet.
Regeringens förslag: Bestämmelserna i studiestödsdatalagen om behandling av personuppgifter med stöd av samtycke och återkallelse av samtycke ska upphävas.
Utredningens bedömning och förslag: Överensstämmer delvis med regeringens. Till skillnad mot regeringen anser utredning att bestämmelserna om behandling av personuppgifter med stöd av samtycke är förenliga med artikel 6.1 a och 9.2 a i dataskyddsförordningen.
Utredningen
har liksom regeringen bedömt att bestämmelsen om återkallelse av samtycke ska upphävas, men av andra skäl.
Remissinstanserna: Det stora flertalet remissinstanser som har yttrat sig, däribland Centrala studiestödsnämnden, har inte haft några synpunkter på bedömningen eller förslaget.
Datainspektionen ifrågasätter om 7 § studiestödsdatalagen ska kvarstå, eftersom artikel 6.2 i dataskyddsdirektivet inte ger utrymme för nationella bestämmelser i fråga om den rättsliga grunden samtycke.
Skälen för regeringens bedömning och förslag: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1.
I CSN:s studiestödsverksamhet får personuppgifter endast behandlas för vissa i studiestödsdatalagen angivna fall. Personuppgifter får endast behandlas för vissa ändamål. Vidare gäller särskilda begränsningar för när känsliga personuppgifter får behandlas (4 och 6 §§). Trots dessa begränsningar får dock personuppgifter behandlas i CSN:s studiestödsverksamhet med den registrerades samtycke. Känsliga personuppgifter får också behandlas för andra ändamål med den registrerades uttryckliga samtycke (7 § första stycket). Uppgifter som behandlas med sådant samtycke från den registrerade får också behandlas för utlämnande i vissa fall och för att ge tillgång till vägledande avgöranden (7 § andra stycket). När behandling av personuppgifter i CSN:s studiestödsverksamhet sker med stöd av samtycke, har dock den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas (7 § tredje stycket).
Regeringen delar Datainspektionens synpunkt att dataskyddsförordningen inte ger utrymme för nationella bestämmelser i fråga om den rättsliga grunden samtycke. Av artikel 6.2 i dataskyddsförordningen följer nämligen att det finns utrymme för anpassningar till förordningen i nationella bestämmelser i fråga om de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning i artikel 6.1 c och e. Någon motsvarande möjlighet i fråga om den rättsliga grunden samtycke i artikel 6.1 a ges däremot inte i artikel 6.2 i dataskyddsförordningen. Regeringen bedömer även att det mellan CSN, vars verksamhet i betydande omfattning består av myndighetsutövning, och de registrerade råder sådan betydande ojämlikhet att det är osannolikt att samtycke kan anses lämnas på ett sådant frivilligt sätt som förutsätts för att samtycke ska kunna användas som rättslig grund (skäl 43 i dataskyddsförordningen). Av dessa skäl behöver bestämmelserna om personuppgiftsbehandling med stöd av samtycke i 7 § första och andra stycket studiestödsdatalagen upphävas.
När det gäller återkallelse av samtycke, har dataskyddsutredningen bedömt att studiestödsdatalagens och dataskyddsförordningens reglering har motsvarande innehåll, och föreslagit att studiestödsdatalagens bestämmelse om återkallelse ska upphävas eftersom bestämmelsen i dataskyddsförordningen är direkt tillämplig i svensk rätt. Mot bakgrund av regeringens uppfattning att studiestödsdatalagens bestämmelser om samtycke i 7 § första och andra stycket behöver upphävas, följer dock redan av detta att även bestämmelsen om återkallelse av samtycke i 7 § tredje stycket studiestödsdatalagen behöver upphävas. På grund av att 7 § upphävs behöver även följdändringar göras i andra paragrafer i studiestödsdatalagen där samtycke omnämns.
I fråga om CSN:s möjlighet att behandla känsliga personuppgifter när bestämmelserna om samtycke upphävs hänvisas till avsnitt 13.7.
Hänvisningar till S9-5-4
- Prop. 2017/18:218: Avsnitt Författningskommentar till 10 § studiestödsdatalagen (2009:287)
10. Som huvudregel krävs inte lagform för personuppgiftsbehandling på utbildningsområdet
Regeringens bedömning: Den behandling av personuppgifter som görs på utbildningsområdet utgör generellt inte ett sådant betydande intrång i den personliga integriteten att det krävs lagreglering enligt regeringsformen.
Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig har inte haft synpunkter på bedömningen.
Justitiekanslern anser att såvitt framgår av utredningen är inte den personuppgiftsbehandling som kan bli aktuell inom utbildningsområdet och som inte omfattas av någon lagreglering av sådan karaktär som avses i grundlagsbestämmelsen om skyddet mot integritetsintrång (2 kap. 6 § RF).
Uppsala universitet framför att det skulle vara önskvärt med en djupare analys av just förhållandet mellan personuppgiftsbehandling inom utbildningsområdet och 2 kap. 6 § 2 RF om skyddet mot betydande intrång i den personliga integriteten, särskilt mot bakgrund av att de som personuppgiftsbehandlingen avser är barn som får betraktas som särskilt skyddsvärda.
Datainspektionen anser att behandling av personuppgifter för fler verksamheter inom utbildningsområdet utgör ett sådant integritetsintrång enligt 2 kap. 6 RF att begränsning av den enskildes rättigheter kräver stöd i lag.
Som nämnts i avsnitt 3 har Datainspektionen även beretts tillfälle att yttra sig över ett utkast till lagrådsremiss som i allt väsentligt överensstämmer med propositionen. Datainspektionen noterar att utkastet utgår från att personuppgiftsansvaret ifråga om den utrustning som skolor tillhandahåller i form av datorer och surfplattor som eleverna kan använda kan vara delat. Datainspektionen vill dock framhålla att dataskyddsförordningen är tillämplig i de fall personuppgiftsansvariga tillhandahåller utrustning för behandling av personuppgifter som även omfattar privat bruk, jfr. beaktandeskäl 18. I detta sammanhang vill Datainspektionen även understryka att de registrerade som omfattas av de aktuella bestämmelserna i regel är barn, som enligt dataskyddsförordningen förtjänar särskild hänsyn.
Skälen för regeringens bedömning
Som nämns i avsnitt 4.7 är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan
samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § RF). Detta skydd mot integritetsintrång kan dock begränsas genom lag (2 kap. 20 § första stycket 2 RF). Frågan är om dessa bestämmelser i RF medför att det krävs ytterligare lagreglering på utbildningsområdet.
I förarbetena till grundlagsbestämmelsen i 2 kap. 6 § RF anges att bestämmelsen inte ska innebära ett hinder mot sådan lagstiftning som behövs till skydd för viktiga samhällsintressen eller lagstiftning som utgör ett led i anpassningen av normerna till den fortgående samhällsutvecklingen. Det grundlagsskyddade området bör avgränsas på ett sådant sätt att det enbart omfattar de mest ingripande intrången. Bestämmelsen har därför utformats så att grundlagsskyddet omfattar åtgärder som vidtas utan samtycke och som innebär kartläggning eller övervakning av enskildas personliga förhållanden. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har (prop. 2009/10:80 s. 182 och 250). I förarbetena till bestämmelsen anges även följande (prop. 2009/10:80 s. 183).
Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det enligt regeringens mening naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. Därutöver kan givetvis mängden uppgifter vara en betydelsefull faktor i sammanhanget. Det kan anmärkas att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (se t.ex. bet. 1990/91:KU11 s. 11, 1997/98:KU18 s. 43).
Ur förarbetena kan alltså utläsas följande tre faktorer som är av betydelse för om det är fråga om ett betydande integritetsintrång; uppgifternas karaktär, omfattning av uppgifter som behandlas och ändamål med behandlingen.
De huvudsakliga personuppgiftsbehandlingar som i dag sker på utbildningsområdet har beskrivits översiktligt i avsnitten 9.1.1, 9.2.1, 9.3.1, 9.4.1 och 9.5.1.
Nedan gör regeringen en analys, utifrån regeringsformens krav, om det finns ett behov inom utbildningsområdet av att meddela ytterligare bestämmelser om behandling av personuppgifter och om de i så fall måste införas på lagnivå.
Ändamålet med behandling av personuppgifter inom utbildningsområdet
Ändamålet med behandlingen av personuppgifter på utbildningsområdet är kopplat till utförande av utbildning i olika former och dokumentering av studieresultat. I förarbetena till bestämmelsen om grundlagsskyddet exemplifieras ett antal verksamheter där ändamålet med behandlingen av
personuppgifter i sig kan indikera att det handlar om en omfattande kartläggning av den enskildes personliga förhållanden. Det är t.ex. fallet med behandling av personuppgifter inom brottsbekämpande verksamheten, på skatt- och tullområdet, inom socialtjänsten och hälso- och sjukvården samt inom socialförsäkringen och indrivningen (prop. 2009/10:80 s. 180–181). Förutom studiestödsverksamheten, som redan är lagreglerad, nämns inte utbildningsområdet bland sådana verksamheter där ändamålet med behandlingen av personuppgifter förutsätter en omfattande kartläggning av den enskildes personliga förhållanden. Det är regeringens bedömning att ändamålet med behandling av personuppgifter inom utbildningsområdet, dvs. genomförande av utbildningsverksamheten och dokumentering av studieresultaten, inte motiverar en generell reglering av personuppgiftsbehandling på lagnivå.
Personuppgifternas karaktär och omfattning på det skollagsreglerade området Datainspektionen anser att det inom skolområdet behandlas mycket varierande slag av personuppgifter om elever. Det kan vara uppgifter om elevers fysiska- och psykiska hälsa, sociala situation, utveckling, omdömen, känsliga personuppgifter i åtgärdsplaner m.m. Inte sällan tillhandahåller skolan teknisk utrustning till eleverna som blir deras personliga under flera år. Stora delar av elevernas prestationer, men också deras tankar, intressen och sociala umgänge kan komma att behandlas av skolan. Det är frågan om svåra gränsdragningar mellan elevens integritet och skolans uppdrag. Barnens rätt ska också skyddas särskilt. Datainspektionen anser att den sammantagna behandlingen som aktualiseras inom skolan är att bedöma som ett sådant integritetsintrång enligt 2 kap. 6 § RF att begränsningar endast får ske genom lag.
Regeringen delar uppfattningen att det finns personuppgiftsbehandling inom skolområdet som innebär ett sådant betydande intrång i den personliga integriteten att en begränsning av grundlagens skydd mot intrånget måste, i enlighet med 2 kap. 6 §, göras i lag. Ett exempel är den målgruppsutredning som enligt skollagens kapitel om skolplikt måste göras för att avgöra om ett barn ska går i grundsärskolan. I den skolformen får endast barn som bedöms inte kunna nå upp till grundskolans kunskapskrav därför att de har en utvecklingsstörning tas emot (7 kap. 5 §). Frågan om mottagande i grundsärskolan prövas av barnets hemkommun. Ett beslut om mottagande i grundsärskolan ska föregås av en utredning som omfattar en pedagogisk, psykologisk, medicinsk och social bedömning. Samråd med barnets vårdnadshavare ska ske när utredningen genomförs. Om barnets vårdnadshavare inte lämnar sitt medgivande till att barnet tas emot i grundsärskolan, ska barnet fullgöra sin skolplikt enligt vad som gäller i övrigt enligt skollagen. Ett barn får dock tas emot i grundsärskolan utan sin vårdnadshavares medgivande, om det finns synnerliga skäl med hänsyn till barnets bästa (7 kap. 5 § skollagen). I specialskolan får endast barn som på grund av sin funktionsnedsättning eller andra särskilda skäl inte kan gå i grundskolan eller grundsärskolan tas emot. Det krävs då att de är dövblinda eller annars har en synnedsättning och har ytterligare funktionsnedsättning, i annat fall är döva eller har en hörselnedsättning, eller har en grav språkstörning.
Frågan om mottagande i specialskolan prövas av Specialpedagogiska skolmyndigheten (SPSM). Ett beslut om mottagande i specialskolan ska föregås av en utredning som omfattar en pedagogisk, psykologisk, medicinsk och social bedömning. Samråd med barnets vårdnadshavare ska ske när utredningen genomförs (7 kap. 6 § skollagen). Som framgått är dock hemkommunens respektive SPSM:s skyldighet att utföra dessa utredningar redan lagregerade, dvs. lagkravet i 2 kap. 6 § andra stycket RF är redan uppfyllt. När det gäller de krav som uppställs enligt dataskyddsförordningen kan konstateras att då utredningarna utförs av hemkommunen respektive SPSM kan dessa vid utredningarna tillämpa de bestämmelser om behandling av känsliga personuppgifter i ett ärende som i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås i 3 kap. 3 § dataskyddslagen.
Exempel på personuppgiftsbehandling inom skolområdet som kan innebära ett intrång i den personliga integriteten, men inte ett betydande intrång i den mening som avses i 2 kap. 6 § andra stycket RF, är en utredning av om en elev behöver särskilt stöd i undervisningen (3 kap. § skollagen), en utredning med anledning av att en elev vid upprepade gånger har stört studieron, uppträtt olämpligt eller gjort sig skyldig till en allvarlig förseelse (5 kap. 9 § skollagen) eller en utredning om kränkande behandling (6 kap. 10 § skollagen). Även i dessa fall finns dock regleringen på lagnivå. När det gäller de krav dataskyddsförordningen uppställer kan kommunala huvudmän vid sådana utredningar tillämpa 3 kap. 3 § dataskyddslagen (se vidare i avsnitt 13.3.3). Det behöver dock i svensk lag föras in bestämmelser som motsvarar sistnämnda bestämmelser för huvudmän för fristående skolor. Regeringen återkommer till det i avsnitt 12 och 13. På motsvarande sätt har offentliga huvudmän stöd för att behandla uppgifter om lagöverträdelser i skollagen och dataskyddslagen, men det kan behöva införas bestämmelser motsvarande sistnämnda bestämmelser i dataskyddslagen för enskilda huvudmän. Regeringen återkommer till det i avsnitt 12 och 14.
Även i övrigt kan det på det skollagsreglerade området förekomma behandling av känsliga uppgifter, t.ex. i faktisk verksamhet. Som exempel kan nämnas att en elev skriver om känsliga uppgifter i en skoluppsats. I sådana fall kan det, på grund av dataskyddslagens krav, behöva införas stöd i författning för att enskilda huvudmän ska kunna behandla personuppgifter i den utsträckning som behövs. Även detta behandlas i avsnitt 12 och 13.
I övrigt är det i huvudsak okänsliga personuppgifter som behandlas inom skolväsendet, t.ex. namn, personnummer och adress. Personuppgifter behandlas också för sättande av betyg (allmänna bestämmelser om betyg finns i 3 kap.13–21 §§skollagen och därutöver finns bestämmelser för varje skolform i de olika skolformskapitlen i skollagen och på förordningsnivå, och Statens skolverk har på uppdrag av regeringen tagit fram stödmaterial för bedömningen), utfärdande av intyg i stället för betyg (11 kap. 17 §, 12 kap. 14 §, 13 kap. 14 §, 20 kap.44 och 45 §§ och 21 kap.18, 23 och 24 §§skollagen), upprättande av individuell studieplan i gymnasieskolan, gymnasiesärskolan, kommunal vuxenutbildning och särskild vuxenutbildning (16 kap. 25 §, och 17 kap. 7 § och 20 kap. 8 §, 21 kap. 8 §skollagen) samt utfärdande av gymnasieexamen (26 kap.26-28 §§skollagen) och gymnasiesärskolebevis (19 kap. 27 §) etc.
Behandling av personuppgifter kan också ske vid bedömning och kartläggning av elevernas kunskaper (t.ex. enligt 3 kap. 12 c § skollagen eller i samband med genomförande av prov, t.ex. de reglerade nationella proven). Även om uppgifter om elevers kunskaper inte är känsliga personuppgifter innehåller således skollagen och anslutande förordningar en omfattande reglering av om när bedömningar ska göras, vilka stödåtgärder som huvudmännen är skyldiga att sätta in och när och hur bedömningarna ska dokumenteras.
När det gäller stödåtgärder och olika former av utredningar, vilka som framgått ovan redan är lagreglerade, kan det konstateras att de berör en mindre del av elevkollektivet. Majoriteten av elever behöver inte särskilt stöd och blir inte heller föremål för andra typer av utredningar. Den personuppgiftsansvarige ska dessutom enligt artikel 5 i dataskyddsförordningen se till att personuppgifterna är adekvata, relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Dessa bestämmelser begränsar den personuppgiftsansvariges möjligheter att behandla fler personuppgifter än nödvändigt.
Mot denna bakgrund delar regeringen Justitiekanslerns (JK) bedömning att den personuppgiftsbehandling som kan bli aktuell på utbildningsområdet, och som inte omfattas av någon lagreglering, inte är av den karaktär som avses i grundlagsbestämmelsen om skyddet mot integritetsintrång (2 kap. 6 § RF).
När det gäller den utbredda praxis som innebär att skolorna numera tillhandahåller utrustning i form av datorer och surfplattor som eleverna även kan använda utanför skolverksamheten för t.ex. socialt umgänge, kan regeringen konstatera att det måste göras en gränsdragning mellan användningen av sådan utrustning för skolarbetet och användningen för privat bruk. Skolhuvudmännens behandling av personuppgifter som sker med stöd av den utrustning som disponeras av eleverna omfattas av dataskyddsförordningens bestämmelser. Det innebär bl.a. att endast den behandling av personuppgifter som är nödvändig för uppgifter inom skolverksamheten är tillåten för skolhuvudmän att utföra (artikel 6.1 dataskyddsförordningen). När det gäller elevernas egna användning av den utrustningen för socialt umgänge och liknande användning som inte omfattas av skolverksamheten konstaterar regeringen att det handlar om behandling av personuppgifter i verksamhet av rent privat natur som inte omfattas av dataskyddsförordningens bestämmelser (artikel 2.2 c dataskyddsförordningen). Därför aktualiseras det i den delen inte något behov av särskild reglering med anledning av dataskyddsförordningen. När det gäller Datainspektionens påpekande att det anges i skäl 18 till dataskyddsförordningen att förordningen är tillämplig på personuppgiftsansvariga som tillhandhåller utrustning för behandling av personuppgifter som även omfattar privat bruk, anser regeringen att det avser de personuppgiftsansvarigas behandling av personuppgifter som krävs för att just tillhandahålla utrustningen, såsom kontaktuppgifter och liknande.
Sammanfattningsvis anser regeringen att till den del 2 kap. 6 § andra stycket RF ställer krav på lagform så är dessa krav redan uppfyllda på det skollagsreglerade området. Det kan dock med anledning av de krav som uppställs i dataskyddsförordningen behöva införas kompletterande bestämmelser som rör behandlingen av känsliga personuppgifter och
behandling av personuppgifter om lagöverträdelser inom utbildningsområdet.
Personuppgifternas karaktär och omfattning i större uppgiftssamlingar inom övriga delar av utbildningsområdet Datainspektionen ifrågasätter också om det inte inom universitet och högskola handlar om så omfattande behandling av personuppgifter att det kan utgöra ett integritetsintrång som behöver regleras genom lag enligt 2 kap. 6 § RF. Datainspektionen framför även att det saknas en analys av om den behandling av personuppgifter som aktualiseras inom yrkeshögskolan är att bedöma som ett sådant integritetsintrång enligt RF att begränsningen av den enskildes rättigheter kräver stöd i lag.
När det gäller FBR:s centrala register över deltagare i studieförbundens studiecirklar och annan folkbildningsverksamhet samt UHR:s betygsdatabas BEDA anser Datainspektionen mot bakgrund av att det handlar om omfattande nationella register att behandling av personuppgifter i dessa två register bör regleras i lag.
Vid bedömningen av om grundlagsskyddet i 2 kap. 6 § RF föranleder ett behov av reglering i lag bör beaktas att de personuppgifter som behandlas i de stora uppgiftssamlingarna inom universitet och högskola, yrkeshögskola och folkbildning huvudsakligen består av namn, personnummer, kontaktuppgifter och studieresultat.
Regeringen delar Datainspektionens uppfattning om att det inom utbildningsområdet förekommer omfattande samlingar av personuppgifter. Det gäller framför allt för FBR:s centrala register över deltagare i studieförbundens studiecirklar och annan folkbildningsverksamhet, Myndigheten för yrkeshögskolans register över uppgifter om de studerande inom yrkeshögskolan och register över uppgifter om de studerande i konst- och kulturutbildningarna, UHR:s betygsdatabas BEDA samt systemen för studieadministration (Ladok) och antagningsärenden (NyA) inom högre utbildning.
Ytterligare en omfattande samling av personuppgifter finns inom studiestödsområdet. På det området behöver CSN behandla en stor mängd uppgifter om enskildas personliga förhållanden. Som framgår av avsnitt 9.5.1 kan det, förutom uppgifter om utbetalt studiemedel till en sökande, t.ex. röra sig om kontaktuppgifter om närmast anhöriga, uppgifter om barn och föräldrar, information om sjukdomsperioder, medborgarskap, studietakt, examenstidpunkt, antal grundskoleår som studerats utomlands och antal terminer som studerats på gymnasienivå. I många fall måste CSN även registrera uppgifter om enskildas ekonomiska förhållanden, t.ex. uppgifter om utbetalt studiebidrag, årsinkomst och uppgift om eventuell skuldsanering. Även uppgifter om personliga och ekonomiska förhållanden för stödtagarens föräldrar, barn och andra närstående kan förekomma. Behandling av personuppgifter på det området är därför sedan tidigare reglerad på lagnivån genom studiestödsdatalagen.
Konstitutionsutskottet har i flera lagstiftningsärenden som rör myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Av förarbetena framgår också att
regeringen vid flera tillfällen har instämt i denna bedömning (prop. 2009/10:80 s. 183). Som framgått ovan är det av de register som finns på utbildningsområdet endast den personuppgiftsbehandling som utförs på studiestödsområdet som uppfyller de kriterier som har lyfts fram av konstitutionsutskottet. De uppgifter som finns i övriga register har inte ett särskilt känsligt innehåll. Den befintliga regleringen är således förenlig med grundlagen. Det behov som kan finnas av att se över och anpassa registerförfattningar inom utbildningsområdet som i dag finns på förordningsnivå till dataskyddsförordningen bedöms därmed kunna ske i form av förordningsändringar.
Även när det gäller större uppgiftssamlingar inom andra delar av utbildningsområdet än skollagsreglerad verksamhet delar således regeringen Justitiekanslerns uppfattning att den personuppgiftsbehandling som kan bli aktuell på utbildningsområdet, och som inte omfattas av någon lagreglering, inte är av den karaktär som avses i grundlagsbestämmelsen om skyddet mot integritetsintrång (2 kap. 6 § RF).
Däremot kan det även inom andra delar av utbildningsområdet än den skollagsreglerade verksamheten, på motsvarande sätt som inom den verksamheten, behöva införas kompletterande bestämmelser i vissa avseenden för behandling av känsliga personuppgifter och uppgifter om lagöverträdelser med anledning av artikel 9 och 10 i dataskyddsförordningen. Det har ovan konstaterats att det krävs ett viss kompletterande reglering på nationell nivå. I nästa avsnitt behandlas frågan var och på vilket sätt dessa kompletteringar bör införas.
11. Det krävs inte fler särskilda registerförfattningar på utbildningsområdet
Regeringens bedömning: Det saknas skäl att införa ytterligare registerförfattningar om behandling av personuppgifter inom utbildningsområdet. Den kompletterande reglering om behandling av personuppgifter inom utbildningsområdet som behövs med anledning av dataskyddsförordningen kan ske inom ramen för de författningar som reglerar verksamheten på området och de befintliga registerförfattningarna.
En lämplig myndighet bör få i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.
Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig har inte haft några synpunkter på bedömningen. Justitiekanslern delar utredningens bedömning att det inte är påkallat att införa några nya registerlagar på utbildningsområdet. Dataskydd.net är inte övertygade om att det invecklade systemet i Sverige med särskilda registerförfattningar bäst tillgodoser privatpersoners och samhällets behov av ett starkt integritetsskydd. Tvärtom riskerar det att göra det svårt för privatpersoner att
förutse vilket skydd de har, och myndigheterna distraheras från de proportionalitetsbedömningar och säkerhetsavvägningar de ska göra inför varje insamling och behandling av privatpersoner. Statens skolverk delar utredningens bedömning att det finns ett tillräckligt stöd för att fullfölja dess uppgifter utifrån de nuvarande bestämmelserna i nationell rätt.
Umeå kommun framhåller vikten av att kunna utnyttja digitaliseringens möjligheter inom skolan och att det måste finnas en balans mellan integritetsskyddslagstiftningen och den kreativa process som finns inom pedagogisk verksamhet.
Karlstads universitet anser att behovet av en särskild lag på högskoleområdet kanske kunde ha analyserats ytterligare.
Stockholms kommun
anser att det finns behov av tydligare regleringar
för att kunna genomföra de behandlingar av personuppgifter som behövs inom utbildningsnämndens ansvarsområde.
Datainspektionen anser att utredningen har underskattat den komplexitet som det medför att inte reglera utbildningsverksamheten på nationell nivå i registerförfattning.
En rad remissinstanser, såsom Sveriges Kommuner och Landsting (SKL), Bergs, Göteborgs, Halmstads, Luleå, Umeå och Varbergs kommuner, Friskolornas riksförbund och Uppsala universitet, är positiva till införandet av en uppförandekod för skolväsendet. SKL anser att framtagandet av en uppförandekod är ett viktigt arbete eftersom lagstiftningen är komplex och innebär att gränsdragningsproblematik kommer uppstå samtidigt som tekniken utvecklas i ett mycket snabbt tempo. Då skolväsendet i dag belastas av mycket administration ser Göteborgs kommun att en uppförandekod genom tydlighet och genomarbetat övervägande i enskilda frågor kan medföra en viss administrativ lättnad för skolväsendet. Academedia AB understryker behovet av en uppförandekod, då det finns stor risk att små huvudmän inte kommer ha kompetens eller resurser för att följa regelverket. Friskolornas riksförbund framhåller att det är företrädare för de personuppgiftsansvariga, dvs. skolhuvudmännen som tillsammans har möjlighet att utarbeta uppförandekoden. Uppsala universitet påpekar att en uppförandekod varken kan eller får ersätta den
lagstiftning den vilar på.
En möjlig invändning mot en uppförandekod är
enligt universitetet att ytterligare rättsliga dokument tillförs skolans befattningshavare som redan har att förhålla sig till dataskyddsförordningen, dataskyddslagen och övrig reglering av skolhuvudmännens behandling av känsliga personuppgifter. Lärarnas Riksförbund anser att det är i det närmaste ouppnåeligt att en eller flera olika uppförandekoder skulle kunna omfatta personuppgiftshanteringen hos samtliga huvudmän för skola och förskola.
Skälen för regeringens bedömning: För närvarande finns det några få renodlade registerförfattningar på utbildningsområdet. I dessa registerförfattningar regleras närmare behandling av personuppgifter för specifika verksamheter. Det är till exempel fallet med studiestödsdatalagen och studiestödsdataförordningen som reglerar behandling av personuppgifter hos CSN och förordningen om redovisning av studier m.m. som reglerar behandling av personuppgifter för studieadministration och för antagning till högre utbildning.
När dataskyddsförordningen börjar tillämpas kommer huvudmän inom utbildningsområdet enligt regeringens bedömning i avsnitt 9 huvud-
sakligen att tillämpa allmänt intresse som rättslig grund för sin nödvändiga behandling av personuppgifter (artikel 6.1 e i dataskyddsförordningen). Även rättslig förpliktelse och myndighetsutövning kommer i vissa fall att vara tillämpliga som rättsliga grunder för behandling av personuppgifter inom utbildningsområdet (artikel 6.1 c och artikel 6.1 e i dataskyddsförordningen). För dessa tre rättsliga grunder gäller att de ska vara fastställda i unionsrätten eller i en medlemsstats nationella rätt. Som framgår av analysen i avsnitt 9 för respektive verksamhet är dessa rättliga grunder fastställda i författningar som närmare reglerar verksamheten på utbildningsområdet eller beslut som har fattats med stöd av författning.
Datainspektionen understryker att laglig personuppgiftsbehandling även innefattar en bedömning av om författningen uppfyller dels kraven på tydlighet, precisering och förutsägbarhet i skäl 41 och dels kravet på proportionalitet i artikel 6.3 andra stycket sista meningen i dataskyddsförordningen. Datainspektionen anser att det inte är möjligt att presumera att de åtgärder som myndigheterna vidtar i syfte att utföra sina uppdrag och åligganden och som antagits i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre i sig har en legal grund som offentliggjorts genom tydliga, precisa och förutsägbara regler och uppfyller kraven i skäl 41. Datainspektionen anser också att många författningar av naturliga skäl är antagna utan att deras tydlighet, precisering och förutsägbara tillämpning avseende behandling av personuppgifter har bedömts. Utredningen har enligt Datainspektionen endast beskrivit vilket stöd verksamheten har generellt inom utbildningsområdet när utbildningsanordnare utför sina uppdrag enligt gällande författningar. Det saknas enligt Datainspektionen en analys som visar att det i skollagen, högskolelagen, lagen om yrkeshögskolan och därtill hörande bestämmelser finns rättsligt stöd för den personuppgiftsbehandling som behöver utföras inom utbildningsområdet och att det rättsliga stödet uppfyller kraven i skäl 41. När det saknas särskild lagreglering kring behandlingen blir det den personuppgiftsansvariges ansvar att pröva sin behandling mot kraven i Dataskyddsförordningen vid varje enskild behandling. Det saknas vägledning av på vilket sätt den personuppgiftsansvarige ska kunna bedöma vilka personuppgiftsbehandlingar som ska anses nödvändiga för att fullgöra uppdragen. Datainspektionen anser därmed att utredningen har underskattat den komplexitet som det medför att inte reglera utbildningsverksamheten på nationell nivå i en registerförfattning. Att lägga ansvaret på respektive huvudman att besluta om varje enskild behandling är nödvändig för att utföra den fastställda uppgiften är en svår och betungande uppgift. Detta arbete hade enligt Datainspektionen kunnat förenklas om utredningen hade tagit ett samlat grepp och gjort nödvändiga bedömningar och reglerat personuppgiftsbehandlingar inom utbildningsväsendet i en särskild registerförfattning. Med tanke på hur många aktörer det finns inom utbildningsområdet ifrågasätter Datainspektionen det rimliga i att överlåta bedömningen på de personuppgiftsansvariga, istället för att via lagstiftning i nationell rätt genom kompletterande författning till dataskyddsförordningen klargöra vad som inom utbildningsområdet är nödvändig behandling.
I propositionen Ny dataskyddslag konstaterar regeringen att den rättsliga grunden inte måste fastställas i en av riksdagen beslutad lag men
däremot att grunden måste vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). Vad detta konkret innebär i svensk rätt när det gäller uppgift av allmänt intresse har förtydligats i 2 kap. 2 § 1 förslaget till dataskyddslag. Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Av skäl 41 framgår också att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringens mening bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart.
Vad som avses med nödvändighetsrekvisitet har behandlats i avsnitt 6.2.
Till skillnad från Datainspektionen anser regeringen att syftet med behandling av personuppgifter inom utbildningsområdet tydligt framgår av bestämmelserna i skollagen, högskolelagen, lagen om yrkeshögskolan och de andra författningar som reglerar verksamheten på området och att det är förutsägbart för personer som omfattas av dessa regler vilken behandling av personuppgifter som är nödvändig för att personuppgiftsansvariga ska kunna utföra sina uppdrag och åligganden. Dataskyddsförordningen möjliggör genom artikel 6.2 och 6.3 andra stycket för medlemsstaterna att införa särskilda registerförfattningar, men varken dessa bestämmelser eller förordningen i övrigt innebär något krav på att det införs sådana författningar.
Som framgår av avsnitt 13 och 14 anser regeringen att det i fråga om behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser finns behov av viss kompletterande reglering på utbildningsområdet. Enligt Justitiekanslern framstår det, med hänsyn till hur många lagar som redan finns rörande personuppgiftsbehandling, också som angeläget att inte ytterligare lagar tillkommer, om det inte är föranlett av ett viktigt behov.
Som framgår av avsnitt 4.6 och 7.1 innehåller dataskyddsförordningen ett omfattande regelverk som syftar till att skydda den enskildes integritet och rättigheter. Dataskyddsförordningen kompletteras av dataskyddslagen. Därutöver tillkommer en omfattande reglering på utbildningsområdet. Som ett exempel nämnas att skollagen är ca 150 sidor lång och att den kompletteras av föreskrifter i förordningar och föreskrifter som meddelats av myndigheter. Därtill kommer att t.ex. Statens skolverk har meddelat allmänna råd och tagit fram omfattande stödmaterial. Därutöver har myndigheter också i uppgift enligt författning att fatta olika typer av beslut om t.ex. tillstånd eller statsbidrag. Särskilda författningar som
reglerar utbildningsverksamheternas personuppgiftsbehandling skulle enligt regeringens bedömning inte innebära att skyddet för enskildas integritet och rättigheter blev starkare. En sådan reglering skulle dessutom kunna vara kontraproduktiv på så sätt att den t.ex. på skolområdet skulle kunna komma att begränsa huvudmännens möjligheter att behandla personuppgifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att bedriva utbildning med utnyttjande av tillgängliga tekniska hjälpmedel med ett gott resultat (se t.ex. 9 kap. 8 §, 10 kap. 10 § och 15 kap. 17 §skollagen). Sådan indirekt styrning av undervisningen och hur den ska bedrivas bör enligt regeringens uppfattning inte ske genom reglering av personuppgiftshanteringen inom utbildningsverksamheten. Regeringens uppfattning är därför att den kompletterande reglering som behövs kan ske inom ramen för befintliga författningar på utbildningsområdet. Regeringen bedömer att en sådan lagstiftningsteknik underlättar för tillämparna.
Regeringen delar dock Datainspektionens uppfattning att personuppgiftsansvariga kan vara betjänta av ytterligare vägledning i fråga om behandling av personuppgifter. Regeringen uppfattar att Datainspektionen anser behovet av ytterligare vägledning vara störst i fråga om skolväsendet. En rad andra remissinstanser, såsom Sveriges Kommuner och
Landsting, ett flertal kommuner och Friskolornas riksförbund, har också ställt sig positiva till införandet av en uppförandekod för skolväsendet.
Regeringen avser därför, trots de utmaningar det kan innebära, att ge en lämplig myndighet i uppdrag att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.
12. Var ska kompletterande bestämmelser om personuppgiftsbehandling placeras?
Regeringens förslag: Kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser på utbildningsområdet ska införas i ett nytt kapitel i skollagen, i lagen om tillstånd att utfärda vissa examina och i lagen om yrkeshögskolan.
Regeringens bedömning: Kompletterande bestämmelser för konst- och kulturutbildningar, vissa andra utbildningar och folkbildningen bör införas på förordningsnivå.
Det bör inte införas någon dubbelreglering i nämnda lagar för offentliga utbildningsanordnare och sådana enskilda utbildningsanordnare som har stöd för sin personuppgiftsbehandling i dataskyddslagen.
Utredningens förslag och bedömning: Överensstämmer med regeringens förslag och bedömning i fråga om i vilka lagar och på vilken normnivå kompletterande bestämmelser bör införas. Utredningen har dock föreslagit att bestämmelser i dataskyddslagen som gäller för myndigheter och organ som jämställs med myndigheter också ska återges i sektorslagstiftningen.
Remissinstanserna: Flertalet remissinstanser delar utredningens förslag och bedömning eller har inte några synpunkter.
Statens skolverk, Specialpedagogiska skolmyndigheten, Göteborgs, Askersunds och Stockholms kommuner, Friskolornas riksförbund och Sveriges Kommuner och Landsting är exempel på remissinstanser som är positiva till att behandling av känsliga personuppgifter regleras i ett nytt kapitel i skollagen. Eslövs kommun ser det som positivt att regleringen införs direkt i skollagen då det ligger väl i linje med intentionen i den unifiering som skedde av skollagstiftningen i och med tillkomsten av
Göteborgs kommun anser att förslaget att samla
regleringen kring känsliga personuppgifter i ett kapitel bidrar till att skapa en tydlighet kring förutsättningarna för att behandla känsliga personuppgifter inom skolområdet som i sin tur underlättar tillämpningen av regelverket.
Sveriges Kommuner och Landsting anser det särskilt välkommet att även kommunen i egenskap av hemkommun ska tillämpa det föreslagna kapitlet i skollagen trots att kommuners personuppgiftsbehandling även faller in under dataskyddslagens tillämpningsområde och anser att detta förenklar tillämpningen avsevärt för kommunerna.
Specialpedagogiska skolmyndigheten undrar om förslaget till det nya kapitlet i. skollagen som ska komplettera dataskyddslagen innebär att skolor som också är myndigheter parallellt ska använda regleringen i de båda lagarna.
Datainspektionen anser att utredningen inte har presenterat någon konkret redogörelse för vilka personuppgiftsbehandlingar som ska behandlas inom det skollagsreglerade området samt vilka risker de aktuella behandlingarna kan medföra. Utan en sådan redogörelse kan en proportionalitetsbedömning av bestämmelserna enligt artikel 6.3 i dataskyddsförordningen inte göras. Datainspektionen saknar en analys som visar att det kommer att finnas erforderligt stöd för den behandling av känsliga personuppgifter som behöver utföras inom skolan när dataskyddsförordningen börjar tillämpas.
Luleå tekniska universitet tillstyrker utredningens förslag angående behov av särskild reglering för enskilda utbildningsanordnare. Karlstads universitet tillstyrker författningsförslagen. Chalmers tekniska högskola AB tillstyrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.
Skälen för regeringens förslag och bedömning
Den kompletterande reglering som behövs bör införas i befintliga sektorsförfattningar
Som framgår av avsnitt 8 gör regeringen bedömningen att utbildning är såväl en uppgift av allmänt intresse som ett viktigt allmänt intresse. I avsnitt 9 har regeringen bedömt att merparten av personuppgiftsbehandlingen som sker inom utbildningsområdet kan ske med stöd av den rättsliga grunden att utföra en uppgift av allmänt intresse. För viss personuppgiftsbehandling som inte är nödvändig för detta ändamål, t.ex. skolfotografering, kan i stället samtycke användas som rättslig grund.
Som framgått av avsnitt 7 ställer dock dataskyddsförordningen i artikel 9 och 10 särskilda krav när det gäller behandling av känsliga personupp-
gifter och uppgifter om lagöverträdelser. I avsnitt 10 gör regeringen bedömningen att det finns behov av att inom utbildningsområdet införa bestämmelser som rör behandlingen av känsliga personuppgifter och lagöverträdelser som kompletterar såväl dataskyddsförordningen som dataskyddslagen.
Även regeringsformen ställer särskilda krav när det är fråga om ett betydande intrång i den personliga integriteten som sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § RF). Sådana intrång får bara göras med stöd av lag. Som framgår av avsnitt 10 gör regeringen bedömningen att i den mån detta lagkrav gäller på det skollagsreglerade området är det uppfyllt genom regleringen i skollagen. Regeringen gör vidare i avsnitt 11 bedömningen att det inte bör införas fler registerförfattningar inom utbildningsområdet utan att de kompletteringar som behövs med anledning av artikel 9 och 10 i dataskyddsförordningen bör göras i befintliga sektorsförfattningar.
Som närmare kommer att utvecklas i avsnitt 13.2 och 14.2 föreslås i propositionen Ny dataskyddslag att det i 3 kap. dataskyddslagen ska införas bestämmelser om behandling av känsliga personuppgifter och lagöverträdelser (3 kap. 1–9 §§). Dessa bestämmelser gäller emellertid med vissa undantag bara för myndigheter. I 3 kap. 4 § dataskyddslagen anges dock att regeringen får meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse. Vidare anges i 3 kap. 9 § att regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning. Den myndighet som regeringen bestämmer får även i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor.
Regeringen anser dock att det, även i den utsträckning det inte krävs enligt regeringsformen, är lämpligt att kompletterande bestämmelser som ger stöd för att behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser inom det skollagsreglerade området, inom högskolan och inom yrkeshögskolan förs in på samma normhierarkiska nivå och i den författning som i huvudsak reglerar den aktuella verksamheten och varigenom den rättsliga grunden i huvudsak fastställs. Regeringen gör bedömningen att detta bör underlätta för tillämparna. Som närmare kommer att utvecklas i avsnitt 13.4 och 14.4 gör regeringen bedömningen att det i fråga om högskolan endast finns behov av kompletterande reglering när det gäller enskilda utbildningsanordnare som omfattas av lagen om tillstånd att utfärda vissa examina. Regeringen föreslår därför att kompletterande bestämmelser om känsliga personuppgifter och personuppgifter om lagöverträdelser införs i skollagen, lagen om tillstånd att utfärda vissa examina och i lagen om yrkeshögskolan. På grund av skollagens omfattning införs bestämmelserna i skollagen lämpligen i form av ett nytt kapitel om personuppgiftsbehandling. När det gäller CSN:s behandling av känsliga personuppgifter i studiestödsverksamheten finns det redan en registerförfattning där frågor om myndighetens personuppgiftsbehandling regleras och nödvändiga justeringar och kompletteringar på studiestödsområdet bör därför göras i den lagen.
Dubbelreglering bör undvikas
Skollagen och lagen om yrkeshögskolan gäller både offentliga och enskilda utbildningsanordnare. Utbildningsdatautredningen har föreslagit att vissa bestämmelser om personuppgiftsbehandling, som ska ge enskilda utbildningsanordnare samma möjligheter till behandling som offentliga utbildningsanordnare, i dessa lagar ska omfatta både enskilda och offentliga utbildningsanordnare. Detta innebär att det för de offentliga utbildningsanordnarna i vissa fall uppstår en dubbelreglering, eftersom de kommer omfattas av bestämmelser både i dataskyddslagen och i sektorslagstiftningen med samma innehåll. Som Specialpedagogiska skolmyndigheten (SPSM) framför, kan detta väcka frågor kring vilket av regelverken myndigheterna ska tillämpa. En sådan dubbelreglering gör det således inte nödvändigtvis tydligare för tillämparna vilket av regelverken som de ska tillämpa. Regeringen ser inte heller skäl att för privata organ, som enligt 3 kap. 3 § tredje stycket dataskyddslagen ska jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet, skapa en dubbelreglering genom att för dessa införa motsvarande bestämmelser som i dataskyddslagen även i sektorsförfattningarna. Regeringen anser således att sektorsförfattningarna bara ska kompletteras med sådana bestämmelser om personuppgiftsbehandling som är nödvändiga utöver dataskyddsförordningen och dataskyddslagen och att dubbelregleringar ska undvikas. Däremot anser regeringen att sektorsförfattningarna av tydlighetsskäl bör innehålla bestämmelser som upplyser om var i dataskyddslagen det finns motsvarande bestämmelser för myndigheter och sådana organ som jämställs med myndigheter, se vidare avsnitt 16.
Kompletterande bestämmelser för konst- och kulturutbildningar och folkbildningen kan införas på förordningsnivå
Som framgår av avsnitt 9.3 och 9.4 finns viss begränsad reglering av den verksamhet som anordnas av enskilda i form av konst- och kulturutbildningar och vissa andra utbildningar och folkbildning. Regleringen finns på förordningsnivå. Inom dessa verksamheter finns visst behov av behandling av känsliga personuppgifter. Detta redogörs för närmare i avsnitt 13.5.1 och 13.6. Här ges därför endast en mer kortfattad beskrivning av detta behov.
När det gäller behandling av känsliga personuppgifter inom folkbildningen kan folkhögskolorna ansöka om statsbidrag för kostnader för särskilt utbildningsstöd som erbjuds studerande med funktionsnedsättningar enligt förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd. Ansökan görs till SPSM. Såvitt Utbildningsdatautredningen erfarit lämnas inga direkta personuppgifter in i samband med ansökan. I ansökan framgår endast uppgift om kön och funktionsnedsättning per skola och kurs (SOU 2017:49 s. 358). Då själva ansökan till SPSM inte innehåller några personuppgifter behöver folkhögskolorna inte något rättsligt stöd för att behandla dessa uppgifter i ansökan. Däremot kan folkhögskolorna i sin verksamhet behöva behandla sådana uppgifter inför upprättandet av ansökan och beträffande studerande med funktionsnedsättning. Vidare förekommer det att vissa folkhögskolor och studie-
förbund som anordnar kontakttolkutbildning antecknar tolkspråket i sitt register. Folkhögskolor och studieförbund som anordnar sådan utbildning kan under vissa förutsättningar erhålla statsbidrag som beviljas av Myndigheten för yrkeshögskolan enligt förordningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk. Även om en uppgift om tolkspråk i sig inte utgör en känslig personuppgift, skulle den tillsammans med andra uppgifter kunna bli en uppgift om etniskt ursprung, alltså en känslig personuppgift. Liknande gränsfrågor skulle kunna uppstå i den verksamhet som bedrivs av folkhögskolor och studieförbund och som avser särskilda insatser för personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., eller avses i förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar och som bor i Migrationsverkets anläggningsboende, och för vilka statsbidrag kan lämnas enligt förordningen (2015:521) om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända invandrare.
När det gäller behovet för enskilda anordnare av konst- och kulturutbildningar och vissa andra utbildningar att behandla känsliga personuppgifter gäller i korthet följande. Behandling av känsliga personuppgifter kan, i likhet med vad som gäller för folkbildningen, förekomma vid handläggning av ansökningar om särskilt pedagogiskt stöd, när beslutade stödåtgärder ska verkställas och i samband med ansökningar om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd (30 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). Behandling av känsliga personuppgifter kan även förekomma i ärenden om trakasserier och sexuella trakasserier (1 kap. 4 och 2 kap.7 §§diskrimineringslagen [2008:567]) och i ärenden om anstånd med att påbörja studier eller studieuppehåll av hälsoskäl (24 a § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). Anordnarna kan även ha egna regelverk som medför behov av behandling av känsliga personuppgifter i form av hälsa i samband med utredningar och ärenden om avskiljande.
Behovet av behandling av känsliga personuppgifter i verksamhet som anordnas i form av konst- och kulturutbildningar och vissa andra utbildningar och i form av folkbildning är alltså tämligen begränsat. Vidare förekommer behovet av sådan behandling främst i samband med stöd och stödåtgärder som är till gagn för den studerande och behandlingen utförs av enskilda. Mot denna bakgrund gör regeringen bedömningen att bestämmelsen i 2 kap. 6 § RF inte är tillämplig på denna behandling. Som angetts i avsnitt 10 anser vidare Justitiekanslern att såvitt framgår av utredningen är inte den personuppgiftsbehandling som kan bli aktuell inom utbildningsområdet och som inte omfattas av någon lagreglering, av sådan karaktär som avses i grundlagsbestämmelsen om skyddet mot integritetsintrång i 2 kap. 6 § RF. Regeringen anser därför att kompletterande bestämmelser om behandling av känsliga personuppgifter i dessa verksamheter kan införas på förordningsnivå
Var behandlas kompletteringar i sektorslagstiftningen?
Kompletteringar i sektorslagstiftningen som avser känsliga personuppgifter behandlas i avsnitt 13. Kompletteringar i sektorslagstiftningen som avser uppgifter om lagöverträdelser behandlas i avsnitt 14.
Hänvisningar till S12
13. Sektorslagstiftningen ska kompletteras med bestämmelser om behandling av känsliga personuppgifter
13.1. Dataskyddsförordningen tillåter bara behandling av känsliga personuppgifter i vissa fall
Som framgått av avsnitt 7 finns det i artikel 9.1 i dataskyddsförordningen, på motsvarande sätt som i det nu gällande dataskyddsdirektivet och PUL, ett principiellt förbud mot att behandla särskilda kategorier av personuppgifter. Dessa är enligt dataskyddsdirektivet och PUL uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I dataskyddsförordningen utvidgas den särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Bestämmelsen i dataskyddsförordningen är direkt tillämplig och kräver inga åtgärder av medlemsstaterna.
Förbudet ska enligt artikel 9.2 inte tillämpas i någon av de situationer som beskrivs i artikel 9.2 a–j. Förbudet gäller t.ex. inte om den registrerade uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål (artikel 9.2 a). Förbudet gäller inte heller om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionslagstiftningen eller medlemsstaternas nationella rätt. Unionslagstiftningen och medlemsstatens nationella rätt ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).
Vad som är ett allmänt intresse har behandlats i avsnitt 6.2. I avsnitt 8 har regeringen gjort bedömningen att utbildning är såväl en uppgift av allmänt intresse som ett viktigt allmänintresse.
Som framgår ovan omnämns de personuppgifter som omfattas av ett förbud mot behandling, som särskilda kategorier av uppgifter i såväl det nuvarande dataskyddsdirektivet som i dataskyddsförordningen. I dataskyddsförordningens beaktandeskäl omnämns de på ett par ställen som känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL har särskilda kategorier av personuppgifter kallats känsliga person-
uppgifter, utan att detta närmare har kommenterats i förarbetena. Som nämnts i avsnitt 7.2 föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) att begreppet känsliga personuppgifter ska användas i dataskyddslagen för sådana särskilda kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen. Bakgrunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext. Begreppet känsliga uppgifter används även nedan.
13.2. Det finns kompletterande bestämmelser om känsliga personuppgifter i dataskyddslagen
13.2.1. Behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse möjliggörs i vissa fall
Utifrån den möjlighet som i dataskyddsförordningen ges medlemsstaterna att skapa förutsättningar i nationell rätt för att möjliggöra behandling av känsliga personuppgifter har regeringen i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagit tre generella bestämmelser som avser myndigheters behandling av känsliga personuppgifter (3 kap. 3 § första stycket dataskyddslagen). Bestämmelserna har sin grund i artikel 9.2 g, dvs. att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.
Behandling av känsliga personuppgifter som krävs enligt lag är tillåten för myndigheter och enskilda som jämställs med myndigheter
Viss behandling av känsliga personuppgifter är oundviklig i myndigheternas verksamhet som en direkt följd av exempelvis offentlighets- och sekretesslagens (2009:400) och förvaltningslagens (1986:223) krav, såsom krav på diarieföring och skyldighet att ta emot e-post. Samma skyldigheter gäller i viss utsträckning för vissa andra organ än myndigheter, som en följd av att dessa organ jämställs med myndigheter enligt offentlighets- och sekretesslagen. I propositionen Ny dataskyddslag föreslås mot denna bakgrund en bestämmelse om att myndigheter och andra organ som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter med stöd av artikel 9.2 g i EU:s dataskyddsförordning, om uppgifterna har lämnats till myndigheten eller organet och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1 och tredje stycket dataskyddslagen).
Behandling av känsliga personuppgifter som är nödvändig för handläggningen av ett ärende är tillåten för myndigheter
Enligt en andra bestämmelse i 3 kap. 3 § dataskyddslagen får känsliga uppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen, om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen). Bestämmelsen är tillämplig oavsett om uppgifterna förekommer i löpande text eller inte. Begreppen handläggning och ärende ska tolkas på samma sätt som enligt 1 § förvaltningslagen (2017:900).
Behandling av känsliga personuppgifter i annat fall som inte innebär ett otillbörligt intrång är tillåten för myndigheter
Enligt en tredje bestämmelse får känsliga uppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3 dataskyddslagen).
Bestämmelsen syftar till att ge myndigheter visst utrymme för behandling av känsliga personuppgifter även i den faktiska verksamheten, dvs. sådan verksamhet som inte utgör handläggning av ärenden. Det kan t.ex. röra sig om att känsliga personuppgifter framkommer vid kommunikation mellan skola och föräldrar eller inom myndigheten i samband med utvärdering av den egna verksamheten.
Vid bedömningen av om behandlingen utgör ett otillbörligt intrång bör vikt läggas vid t.ex. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till att uppgiften behandlas, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Den närmare betydelsen av begreppet otillbörlig bör ges utrymme att utvecklas i rättstillämpningen. (propositionen Ny dataskyddslag, prop. 2017/18:105 s. 88–90).
Dataskyddslagen förbjuder sökning i syfte att få fram ett personurval grundat på känsliga personuppgifter
Som ett skydd av de intressen som bestämmelserna om känsliga personuppgifter ska värna föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) att det vid behandling som sker enbart med stöd av någon av de tre ovannämnda bestämmelserna ska vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen).
De föreslagna bestämmelserna är mer långtgående än Dataskyddsutredningens förslag
De ovan nämnda bestämmelserna i 3 kap. 3 § dataskyddslagen är, mot bakgrund av synpunkter som framförts av remissinstanserna och av Lagrådet, mer långtgående än de bestämmelser som föreslogs av Dataskyddsutredningen. Som ett exempel kan nämnas att bestämmelsen i 3 kap. 3 § första stycket 3 av Dataskyddsutredningen föreslogs få lydelsen ”i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet”. Bestämmelsen har dock i propositionen Ny dataskyddslag fått lydelsen ”i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.” Detta innebär att Utbildningsdatautredningens förslag, som har utarbetats för att komplettera Dataskyddsutredningens förslag, i vissa fall inte längre behövs, då de behov de avser att tillgodose i stället tillgodoses av de bestämmelser som föreslås i ovan nämnda proposition. Regeringen återkommer till detta nedan, t.ex. i avsnitt 13.3. Då de föreslagna bestämmelserna i 3 kap. 3 § dataskyddslagen bara får tillämpas av myndigheter och, när det gäller bestämmelsen i paragrafens första stycke 1, enskilda
som jämställs med myndigheter enligt offentlighets- och sekretesslagen, finns det dock fortfarande ett behov av att komplettera bestämmelserna i dataskyddslagen med bestämmelser i sektorslagstiftningen på utbildningsområdet.
13.2.2. Övriga bestämmelser om behandling av känsliga personuppgifter
I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås känsliga personuppgifter även få behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd (3 kap. 2 § dataskyddslagen). Känsliga personuppgifter föreslås även få behandlas i vissa andra specifika fall som gäller hälso- och sjukvård och social omsorg, arkiv och statistik (3 kap. 5–7 §§ dataskyddslagen). Vidare föreslås ett bemyndigande för regeringen att meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse (3 kap. 4 § dataskyddslagen).
13.3. Kompletterande bestämmelser om känsliga personuppgifter ska införas i skollagen
Hänvisningar till S13-3
- Prop. 2017/18:218: Avsnitt Författningskommentar till 1 § skollagen (2010:800)
13.3.1. Det finns behov av behandling av känsliga personuppgifter på det skollagsreglerade området
Nedan redogörs översiktligt för de huvudsakliga behandlingarna av känsliga personuppgifter på det skollagsreglerade området.
Det finns behov av behandling av känsliga personuppgifter i vissa skolformer och vid prövningar av mottagande till sådana skolformer
Som framgått av avsnitt 10 finns det i skollagen en särskild reglering i skollagens kapitel om skolplikt som innebär att en viss utredning måste göras innan ett barn kan tas emot i grundsärskolan eller specialskolan (7 kap.5 och 6 §§skollagen). Sådana utredningar ska omfatta en pedagogisk, psykologisk, medicinsk och social bedömning och innebär således att känsliga personuppgifter måste behandlas av hemkommunen respektive Specialpedagogiska skolmyndigheten (SPSM) som beslutar om mottagande. Då det är fråga om ett ärende kan de tillämpa 3 kap. 3 § dataskyddslagen.
Gymnasiesärskolan är öppen för ungdomar vars skolplikt har upphört och som inte bedöms ha förutsättningar att nå upp till gymnasieskolans kunskapskrav därför att de har en utvecklingsstörning. De ungdomar som tillhör målgruppen för gymnasiesärskolan har rätt att bli mottagna i gymnasiesärskola om utbildningen påbörjas före utgången av det första kalenderhalvåret det år de fyller 20 år (18 kap. 4 skollagen). Hemkommunen prövar frågan om en sökande tillhör målgruppen. Beslutet ska föregås av en utredning motsvarande den som enligt 7 kap. 5 § andra
stycket ska göras inför beslut om mottagande i grundsärskolan om utredning saknas eller det av andra skäl bedöms nödvändigt (18 kap. 5 §). Även sådana utredningar kan göras med stöd av 3 kap. 3 § dataskyddslagen).
Målet med den särskilda utbildningen för vuxna är att vuxna med utvecklingsstörning ska stödjas och stimuleras i sitt lärande (21 kap. 2 § skollagen). Det är endast vuxna med utvecklingsstörning som har rätt att under vissa förutsättningar delta i särskild utbildning för vuxna på grundläggande nivå eller som kan vara behörig att delta i särskild utbildning för vuxna på gymnasial nivå (21 kap. 11 § och 16 §skollagen). Något krav på utredning motsvarande de krav som ställs för mottagande till grundsärskolan, specialskolan eller gymnasiesärskolan har dock inte uppställts för mottagande till den särskilda utbildningen för vuxna.
Genom att alla elever som går i grundsärskolan, specialskolan, gymnasiesärskolan eller särskild utbildning för vuxna har en funktionsnedsättning blir uppgiften om att en elev går i en specialskola, grund- eller gymnasieskola som enbart anordnar särskoleverksamhet eller i särskild utbildning för vuxna en känslig personuppgift om hälsa eftersom skolans inriktning och namn avslöjar att eleven har en funktionsnedsättning. Även övriga uppgifter om elever som behandlas inom en sådan verksamhet kan många gånger, beroende på i vilket sammanhang de förekommer, kopplas till funktionsnedsättning och behöver därför i sådana fall betraktas som känsliga personuppgifter.
Barn till samer får fullgöra sin skolplikt i sameskolan i stället för i årskurs 1–6 i grundskolan. Även andra barn får fullgöra den delen av sin skolplikt i sameskolan, om det finns särskilda skäl. Enligt förarbetena till skollagen gäller det t.ex. om ett barn från en ort med sameskola, men utan kommunal grundskola, annars skulle behöva åka till en annan ort med kommunal grundskola (prop. 2009/10:165 s. 701). Frågan om ett barn ska få fullgöra sin skolplikt i sameskolan prövas av Sameskolstyrelsen (7 kap. 7 § skollagen). Sameskolans syfte är att ge en utbildning med samisk inriktning som i övrigt motsvarar utbildningen i årskurserna 1–6 i grundskolan (13 kap. 2 § skollagen). Med hänsyn till sameskolans inriktning och att den främst är öppen för barn till samer har utredningen dragit slutsatsen att uppgiften om att ett barn går i samskolan är en uppgift som avslöjat etniskt ursprung och därmed är en känslig personuppgift. Regeringen anser dock, till skillnad från utredningen, att man inte kan dra den slutsatsen, eftersom bestämmelsen om att även andra barn än barn till samer får fullgöra delar av sin skolplikt i sameskolan om det finns särskilda skäl, medför att man inte enbart genom skolans inriktning och namn kan utläsa elevens etniska ursprung. Härvid ska beaktas att Datainspektionen, när det gäller skolor med konfessionell inriktning, i ett svar till Skolverket, har ansett att enbart en uppgift om att en fysisk person går på en skola som har konfessionell inriktning (1 kap. 7 § skollagen) inte ensamt torde avslöja den fysiska personens religiösa eller filosofiska övertygelse. Som motivering har Datainspektionen bl.a. angett att skolväsendet ska vara icke-konfessionellt och att en fristående skola ska vara öppen för alla elever, oavsett religiös eller filosofisk övertygelse. Uppgift om att en elev går i en skola med konfessionell skola behöver mot bakgrund av detta inte per automatik avslöja elevens religiösa eller filosofiska övertygelse (Datainspektionen, 2016-12-06, dnr 316–2016).
Regeringen anser mot denna bakgrund att enbart en uppgift om att ett barn går i samskolan skola inte ensamt torde avslöja elevens etniska ursprung. Däremot kan denna uppgift tillsammans med andra uppgifter göra det. Sameskolstyrelsen kan vid sin prövning om ett barn ska få fullgöra sin skolplikt i sameskolan tillämpa 3 kap. 3 § dataskyddslagen.
Kommuner är huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem, om inte staten är huvudman. Staten är huvudman för specialskolan och sameskolan samt för förskoleklass och fritidshem vid en skolenhet med specialskola eller sameskola. Landsting får i viss utsträckning vara huvudman för gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild utbildning för vuxna. Enskilda får efter ansökan godkännas som huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola och fritidshem (2 kap.2–5 §§skollagen). Enskilda kan inte tillämpa dataskyddslagens bestämmelser om myndigheters behandling av känsliga personuppgifter. Detta innebär att det finns ett behov av att införa kompletterande bestämmelser om behandling av känsliga personuppgifter för de skolformer där enskilda kan vara huvudmän.
Det finns behov av behandling av känsliga personuppgifter inom ramen för olika utredningar
Som har nämnts i avsnitt 10 finns det bestämmelser om olika typer av utredningar i skollagen, t.ex. utredning om en elev behöver särskilt stöd (3 kap. § skollagen), utredning med anledning av att en elev vid upprepade gånger har stört studieron, uppträtt olämpligt eller gjort sig skyldig till en allvarlig förseelse (5 kap. 9 § skollagen) och utredningar om kränkande behandling (6 kap. 10 § skollagen). I sådana utredningar förekommer det ofta förekomma känsliga personuppgifter. I vissa fall åligger utredningsskyldigheten rektorn (3 kap. 8 § och 5 kap. 9 §) och i vissa fall åligger utredningsskyldigheten huvudmannen (6 kap. 10 § skollagen). Vid en utredning om särskilt stöd ska samråd ske med elevhälsan om det inte är uppenbart obehövligt.
Det finns behov av behandling av känsliga personuppgifter inom elevhälsan
Elevhälsan omfattar medicinska, psykologiska, psykosociala och specialpedagogiska insatser. Personuppgifter behandlas inom elevhälsan t.ex. i samband med allmänna hälsokontroller som ska erbjudas i vissa skolformer eller vid specialpedagogiska insatser (2 kap.25 och 26 §§skollagen).
Den del av elevhälsan som består av den medicinska grenen (hälso- och sjukvård) anses utgöra en självständig verksamhetsgren i förhållande till den övriga elevhälsan. För den personuppgiftsbehandling som sker inom hälso- och sjukvården som bedrivs på skolorna gäller patientdatalagen (2008:355). Förslag till anpassningar av patientdatalagen till dataskyddsförordningen har lämnats i lagrådsremissen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning. Den personuppgiftsbehandling som äger rum inom
den medicinska delen av elevhälsan behandlas därför inte i denna proposition.
Den personuppgiftsbehandling som sker inom elevhälsans psykosociala och specialpedagogiska verksamheter omfattas däremot inte av patientdatalagens bestämmelser. Den psykosociala insatsen består av kurator som kan föra stöd-, motivations- och krissamtal liksom utredande och rådgivande samtal med enskilda elever och deras familjer relaterade till skolsituationen. Inom den specialpedagogiska insatsen finns specialpedagoger och speciallärare som t.ex. kan delta i kartläggning av elevers behov av särskilt stöd, genomföra pedagogiska utredningar samt utforma och genomföra åtgärdsprogram. Enstaka specialpedagogiska insatser under en kortare tid, t.ex. två månader, kan även vidtas som en s.k. extra anpassning inom ramen för den ordinarie undervisningen. I sådana fall finns det ingen föregående utredningsskyldighet motsvarande den som finns när det gäller särskilt stöd (3 kap. 5 a § och prop. 2013/14:160 s. 15 f. och 36). Även om en specialpedagog eller motsvarande och, i vissa fall, en skolkurator inte har någon skyldighet att föra patientjournal så har de en dokumentationsskyldighet vid handläggning av enskilda elevärenden som avser myndighetsutövning (29 kap. 10 § skollagen). Det kan alltså även inom denna del av elevhälsan finnas ett behov av att kunna behandla uppgifter om hälsa.
Det finns behov av behandling av känsliga personuppgifter i andra fall
Det förekommer även utanför elevhälsan att uppgifter om hälsa behöver behandlas. Ett exempel är skolmatsalspersonalen som behöver kunna behandla uppgifter om specialkost p.g.a. allergier eller religiös övertygelse. För att kunna möjliggöra en ändamålsenlig undervisningssituation kan även uppgifter om funktionsnedsättning behöva behandlas utanför elevhälsan. Vidare kan åtgärdsprogram innehålla uppgifter om ett barns eller en elevs hälsa. Ett åtgärdsprogram är en samlad dokumentation av elevens behov av särskilt stöd och en skriftlig bekräftelse av de särskilda stödåtgärder som ska sättas in.
Även uppgifter om vilka barn och elever som begärt modersmålsundervisning måste kunna behandlas. Datainspektionen har ansett att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung (Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan, s. 8). Vidare har regeringen tidigare bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). En uppgift om modersmål torde alltså i sig inte vara en känslig personuppgift men uppgiften kan, beroende på i vilket sammanhang den förekommer, bedömas vara en uppgift om etniskt ursprung vilket är en känslig personuppgift. En bedömning måste således göras i det enskilda fallet. Vidare skulle den uppgiften, tillsammans med andra uppgifter om den fysiska personen, kunna avslöja dennes religiösa eller filosofiska övertygelse och därmed utgöra känsliga personuppgifter.
Elever i t.ex. grundskolan har under vissa förutsättningar rätt till kostnadsfri skolskjuts (10 kap. 32 § skollagen). En anledning till att en elev har behov av skolskjuts kan vara att eleven har en funktionsnedsättning.
Det är elevens hemkommun som ska ombesörja att skolskjuts anordnas. För prövningen av en elevs rätt till skolskjuts kan kommunen komma att få in handlingar som innehåller uppgifter om elevens hälsa. Kommunen kan även i sitt beslut behöva skriva in uppgifter som rör elevens hälsa. Det är inte ovanligt att kommuner upphandlar själva skolskjutsen. I dessa fall kan det finnas behov av att överföra vissa uppgifter om elever, t.ex. att en elev har rullstol, till taxibolaget som utför skolskjutsen för att möjliggöra en ändamålsenlig skolskjuts. En sådan uppgift är en indirekt uppgift om elevens hälsa.
Känsliga personuppgifter om hälsa kan även behöva behandlas i samband med att skolbibliotek förfogar över upphovsrättsligt skyddade verk som elever med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.
För att kommunerna ska kunna uppfylla sina åligganden i egenskap av hemkommun enligt skollagen har de även ett behov av att kunna behandla känsliga personuppgifter i samband med att de för en förteckning över var skolpliktiga barn fullgör sin skolplikt (7 kap. 21 § skollagen) samt i ärenden rörande mottagande av ett barn i grundsärskolan (7 kap. 5 § skollagen) och om en sökande tillhör målgruppen för gymnasiesärskolan (18 kap. 5 § skollagen). Även i ärenden om tilläggsbelopp till t.ex. en fristående skola för en elev som har ett omfattande behov av särskilt stöd har hemkommunen ett behov av att kunna behandla känsliga personuppgifter i form av uppgifter om den enskilde elevens hälsa (10 kap. 39 § skollagen). Sådana uppgifter kan även förekomma om en ansökan om tilläggsbelopp överklagas med stöd av 28 kap. 5 § skollagen.
Som har nämnts tidigare finns det behov av att införa kompletterande bestämmelser för enskilda huvudmän och andra enskilda aktörer på det skollagsreglerade området. I vilken utsträckning dataskyddslagen behöver kompletteras behandlas i avsnitt 13.3.2–13.3.10.
13.3.2. Ytterligare reglering av behandling av känsliga personuppgifter som krävs enligt lag behövs inte
Regeringens bedömning: För behandling av känsliga personuppgifter som krävs enligt lag behövs det på det skollagsreglerade området inte någon ytterligare reglering som motsvarar den som föreslås i dataskyddslagen.
Utredningens förslag: Utredningen föreslår att det i skollagen ska införas en bestämmelse om att huvudmän, hemkommuner och aktörer som bedriver verksamhet som avser en särskild utbildningsform eller annan pedagogisk verksamhet ska få behandla känsliga personuppgifter om uppgifterna har lämnats till organet och behandlingen krävs enligt lag.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget. Friskolornas riksförbund tillstyrker utredningens förslag om särskild reglering.
Datainspektionen avstyrker utredningens förslag i dess nuvarande utformning och ifrågasätter om utformningen av undantaget kan anses ut-
trycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås en bestämmelse om att myndigheter får behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1 dataskyddslagen). I propositionen föreslås även att vid tillämpningen av bestämmelsen ska andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i organets verksamhet (3 kap. 3 § tredje stycket dataskyddslagen).
Förslagen innebär att förskolor, skolor och vuxenutbildningsenheter som drivs av kommuner, landsting eller staten även fortsättningsvis kommer att kunna uppfylla de åligganden enligt framför allt offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om hur allmänna handlingar ska hanteras, exempelvis genom krav på diarieföring och skyldighet att ta emot e-post. Detsamma gäller kommunerna när de utför sina övriga åligganden enligt skollagen.
Offentlighetsprincipen är i dag inte tillämplig på skolor, förskolor eller fritidshem med enskild huvudman. Regeringen har dock i lagrådsremissen Offentlighetsprincipen ska gälla i fristående skolor föreslagit att en ny bestämmelse ska införas i offentlighets- och sekretesslagen med innebörden att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar ska gälla också handlingar hos huvudmän för fristående skolor. Huvudmännen ska enligt förslaget vid tillämpningen av offentlighets- och sekretesslagen jämställas med myndigheter. Förslaget innebär bl.a. att de fristående skolorna blir skyldiga att registrera sina allmänna handlingar enligt samma principer som gäller för myndigheter. Bestämmelserna föreslås träda i kraft den 1 juli 2019.
Vidare har Utredningen om ökad insyn i välfärden i betänkandet Ökad insyn i välfärden (SOU 2016:62) på motsvarande sätt föreslagit att offentlighetsprincipen bör gälla för juridiska personer som i egenskap av enskilda huvudmän driver förskola eller fritidshem, för privata aktörer som enligt avtal med kommun, enskild huvudman eller landsting utför uppgifter enligt 23 kap. skollagen (entreprenad) med undantag av verksamhet som regleras i 25 kap. skollagen, samt för privat folkhögskola som anordnar utbildning som motsvarar kommunal vuxenutbildning i svenska för invandrare (enligt 24 kap.11–15 §§skollagen). Betänkandet bereds inom Regeringskansliet.
De föreslagna bestämmelserna i dataskyddslagen innebär att en skolhuvudman för vilken offentlighetsprincipen och sekretesslagstiftningen gäller får behandla känsliga personuppgifter om behandlingen krävs enligt lag. Detta gäller oavsett om huvudmannen är offentlig eller enskild. Om enskilda skolhuvudmän framöver kommer att omfattas av offentlig-
hetsprincipen kommer de alltså att kunna utföra behandling av känsliga personuppgifter som krävs enligt lag med stöd av den i dataskyddslagen föreslagna bestämmelsen. Någon ytterligare bestämmelse kommer då inte krävas för att möjliggöra enskilda skolhuvudmäns behandling.
Utredningen har dock föreslagit att även enskildas möjlighet att behandla känsliga personuppgifter, om uppgifterna har lämnats till organet och behandlingen krävs enligt lag, bör regleras i skollagen. Som framgår av avsnitt 12, anser dock regeringen att det saknas behov av att i skollagen införa en bestämmelse som innebär en dubbelreglering av vad som följer av dataskyddslagen.
I ärenden som avser myndighetsutövning mot någon enskild ska även enskilda huvudmän tillämpa vissa bestämmelser i förvaltningslagen, bl.a. om partsinsyn (29 kap. 10 § skollagen). Dessa bestämmelser är dock endast tillämpliga i ärenden. I nästa avsnitt föreslås att det i skollagen ska införas en bestämmelse som möjliggör enskildas behandling av känsliga personuppgifter i ärenden. Någon ytterligare reglering för enskilda huvudmän och andra enskilda aktörer inom det skollagsreglerade området behövs därför inte i detta avseende.
13.3.3. Behandling av känsliga personuppgifter som är nödvändig för en hantering som motsvarar handläggningen av ett ärende ska tillåtas
Regeringens förslag: En enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning få behandla känsliga personuppgifter, om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I fråga om utredningens förslag att i sektorslagstiftningen dubbelreglera vad som gäller för myndigheter enligt dataskyddslagen, se avsnitt 12.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget. Friskolornas riksförbund och Academedia AB tillstyrker utredningens förslag.
Justitiekanslern (JK) anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.
Sveriges Kommuner och Landsting (SKL) anser att det kan vara så att ytterligare bestämmelser, utöver de som utredningen har föreslagit, behöver införas i författning. SKL saknar resonemang kring hur huvudmän inom skolväsendet ska hantera känsliga personuppgifter som är nödvändiga att hantera i faktisk verksamhet och inte är kopplade till ett ärende eller elevhälsan.
Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det
krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars förslag överensstämmer med regeringens förslag i detta avsnitt. Statens skolinspektion, Specialpedagogiska skolmyndigheten, Sameskolstyrelsen,
SKL och Friskolornas Riksförbund tillstyrker eller har inget att erinra mot förslaget. Statens skolverk anser att formuleringen är otydlig och oprecis och att det därför är svårt att utläsa när bestämmelsen ska tillämpas. Om bestämmelsen avser att motsvara det tillämpningsområde som anges i 1 § förvaltningslagen (2017:900) anser Skolverket att det bör framgå.
Skälen för regeringens förslag: Enligt propositionen Ny dataskyddslag är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning i den propositionen står det också klart att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (prop. 2017/18:105 s. 87). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen).
Bestämmelsen i dataskyddslagen innebär att förskolor, skolor och vuxenutbildningsenheter som drivs av kommuner, landsting eller staten även fortsättningsvis kommer att kunna behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende. För dessa huvudmän krävs således ingen ytterligare reglering för att kunna behandla känsliga personuppgifter i detta avseende. Detsamma gäller för en hemkommuns möjlighet att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende.
Enskilda huvudmän för förskolor och skolor omfattas beträffande utförandet av den aktuella utbildningen av samma bestämmelser i skollagen som de offentliga huvudmännen. Vidare anges i skollagen att vissa beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos allmän förvaltningsdomstol (28 kap.6 och 9 §§skollagen). Andra typer av beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos Skolväsendets överklagandenämnd (28 kap.13 och 16 §§skollagen). I ärenden som avser myndighetsutövning mot någon enskild enligt skollagen hos en kommun, ett landsting, eller en enskild huvudman ska vidare vissa uppräknade bestämmelser i förvaltningslagen (1986:223) tillämpas (29 kap.10 och 11 §§skollagen). Så föreslås även bli fallet när den nya förvaltningslagen (2017:900) träder i kraft den 1 juli 2018 (Ds 2017:42 Följdändringar till ny förvaltningslag).
De enskilda huvudmännen har således, i de fall det är relevant och nödvändigt, samma behov av att kunna behandla känsliga personuppgifter i sina ärenden som de offentliga huvudmännen. Det kan t.ex. gälla utredningar om särskilt stöd och åtgärdsprogram (7 kap.8 och 9 §§skollagen) och anmälningar och utredningar om kränkande behandlingar (6 kap.
10 § skollagen). Vidare kan en fristående förskola eller fristående skola i en ansökan om tilläggsbelopp för elever som har ett omfattande behov av särskilt stöd, eller vid överklagande av ett beslut om ett sådant tilläggsbelopp, behöva behandla uppgifter om elevens hälsa för att kunna styrka behovet av särskilt stöd (t.ex. 9 kap. 21 §, 10 kap. 39 § och 28 kap. 5 §skollagen). I dagsläget kan sådan behandling av känsliga personuppgifter ske med stöd av 5 a § PUL, men den saknar motsvarighet i dataskyddsförordningen.
Enligt regeringens bedömning är även de enskilda huvudmännen i förhållande till eleverna bundna av legalitetsprincipen. Det krävs således även för dessa att det finns någon form av förankring i skollagen med tillhörande föreskrifter för deras verksamhet.
Regeringen anser därför, till skillnad mot Dataskydd.net, att det finns behov av att i skollagen införa en bestämmelse för enskilda huvudmän som så långt som möjligt motsvarar dataskyddslagen bestämmelse om behandling av känsliga personuppgifter vid handläggningen av ett ärende hos en myndighet, och att det även i detta fall är fråga om behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse. I författningskommentaren till bestämmelsen i dataskyddslagen anges att begreppen handläggning och ärende tolkas på samma sätt som enligt förvaltningslagen. Eftersom förvaltningslagen inte är generellt tillämplig för enskilda utbildningsanordnare bör bestämmelsen i skollagen formuleras på ett något annorlunda sätt. Justitiekanslern (JK) har förordat att så likartade lagtekniska lösningar som möjligt väljs med anledning av EU:s dataskyddsreform. Bestämmelsen i dataskyddslagen hänvisar inte till förvaltningslagen. Regeringen anser därför att bestämmelsen, trots Skolverket synpunkt, inte heller bör hänvisa till den lagen, utan bör utformas så att den gäller vid hantering som motsvarar handläggningen av ett ärende hos en myndighet.
Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen ska omfatta behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det (SOU 2017:49). Den i propositionen Ny dataskyddslag (prop. 2017/18:108) föreslagna bestämmelsen för myndigheter är dock mer långtgående (se avsnitt 13.2.1). Den möjliggör för myndigheter att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende. Regeringen anser att den kompletterande regleringen i skollagen bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. När det gäller Sveriges Kommuner och
Landstings (SKL) synpunkt om att ytterligare bestämmelser för behandling av känsliga personuppgifter kan behövas, kan konstateras att regeringens förslag innebär ett bredare tillämpningsområde än utredningens förslag. Regeringen återkommer dock till SKL:s synpunkt i avsnitt 13.3.8.
När det gäller Datainspektionen ifrågasättande av om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen kan konstateras att Datainspektionen framfört motsvarande synpunkt i fråga om den i dataskyddslagen föreslagna bestämmelsen. Regeringen har dock i propositionen Ny dataskyddslag gjort bedömningen att myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet
att utföra alltid är fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning står det klart att det också är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (prop. 2017/18:105 s. 87 f.). Regeringen saknar anledning att nu i fråga om bestämmelsen i skollagen göra någon annan bedömning. Dessutom anser regeringen att det står klart att utbildning utgör ett viktigt allmänt intresse, även då den bedrivs av enskilda huvudmän (se avsnitt 8). Även bestämmelsen i skollagen bör därför avse behandling av känsliga personuppgifter i motsvarigheten till ärenden. Detta är också i linje med vad JK förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.
Eftersom de aktuella huvudmännen har möjlighet att utföra dessa behandlingar redan i dagsläget med stöd av 5 a § PUL bedömer regeringen att integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs. Syftet med bestämmelsen är att huvudmännen ska kunna behandla känsliga personuppgifter när så behövs för att de ska kunna uppfylla sina skyldigheter enligt skollagen och anslutande föreskrifter. Då bestämmelsen bara tillåter huvudmännen att behandla sådana uppgifter då behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet anser regeringen att bestämmelsen står i proportion till det eftersträvande syftet.
Hänvisningar till S13-3-3
- Prop. 2017/18:218: Avsnitt 20.4
13.3.4. Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång
Regeringens förslag: En enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet, ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning även få behandla känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. I fråga om utredningens förslag att i sektorslagstiftningen dubbelreglera vad som gäller för myndigheter enligt dataskyddslagen, se avsnitt 12.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget. Friskolornas riksförbund och Academedia AB tillstyrker utredningens förslag.
Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.
Uppsala universitet anser att begreppet otillbörligt intrång är vagt och kan få en vidsträckt tolkning.
Datainspektionen avstyrker förslaget i dess nuvarande utformning.
Datainspektionen anser att begreppet absolut nödvändigt är ett begrepp som skapar otydlighet. Datainspektionen ifrågasätter även om en bestämmelse som gäller i enstaka fall är tillräckligt för skolornas behandling av uppgifter om specialkost och pekar på vikten av en genomlysning av skolornas behov av behandling av personuppgifter som utgångspunkt för en mer specifik reglering. Sveriges Kommuner och Landsting anser att det kan vara så att ytterligare bestämmelser, utöver de som utredningen har föreslagit, behöver göras i författning.
Dataskydd.net avstyrker
förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över utkast till lagrådsremiss, vars förslag överensstämmer med regeringens förslag i detta avsnitt. De tillstyrker eller har inga synpunkter på förslaget.
Skälen för regeringens förslag: I propositionen Ny dataskyddslag (2017/18:105) föreslås att en myndighet, utöver behandling av känsliga personuppgifter som krävs enligt lag eller som är nödvändig för handläggningen av ett ärende, även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).
Som angetts i avsnitt 8 anser regeringen att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Som exempel på när bestämmelsen i dataskyddslagen kan vara tillämplig anges också faktisk verksamhet såsom i kommunikation mellan skola och föräldrar (propositionen Ny dataskyddslag, prop. 2017/18:108 s. 88). Vid sådan kommunikation kan det t.ex. finnas behov av att behandla känsliga personuppgifter om barnets hälsa. Ett annat exempel på när bestämmelsen kan vara tillämplig är vid behandling av uppgifter om behov av specialkost på grund av allergi eller religiös övertygelse. Även inom t.ex. elevhälsans psykosociala och specialpedagogiska insatser kan det förekomma situationer när bestämmelsen är tillämplig.
Bestämmelsen i dataskyddslagen är tillämplig på kommunal verksamhet och verksamhet vars huvudman är staten, ett landsting eller en kommun. De enskilda huvudmännen och privata aktörerna som bedriver utbildningsverksamhet enligt skollagen har, som angetts i avsnitt 13.3.3, samma behov av att kunna behandla känsliga personuppgifter som de offentliga huvudmännen.
Utbildningsdatautredningen har i sitt betänkande föreslagit att den kompletterande bestämmelsen i skollagen ska omfatta behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Den bestämmelse som föreslås i propositionen Ny dataskyddslag för myndigheter är mer långtgående (se avsnitt 13.2.1). Den innebär att en myndighet även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen
inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3). Regeringen anser att den kompletterande regleringen i skollagen bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform. Eftersom det redan konstaterats i avsnitt 8 att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse anser regeringen att det är tillräckligt att i den kompletterande bestämmelsen i skollagen ange att behandlingen av personuppgifter ska vara nödvändig i verksamheten. I övrigt bör bestämmelsens utformning följa den formulering som föreslås i dataskyddslagen.
Regeringens uppfattning är att en sådan bestämmelse står i proportion till det eftersträvade syftet. Då en behandling bara får ske om den är nödvändig av hänsyn till ett viktigt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet tillgodoses enligt regeringen dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. Regeringen föreslår i avsnitt 13.3.10 dessutom en särskild sökbegränsning. Av avsnitt 13.3.5, 13.3.6 och 13.3.8 framgår fler exempel på när bestämmelsen bedöms vara tillämplig.
Hänvisningar till S13-3-4
- Prop. 2017/18:218: Avsnitt 20.4
13.3.5. Ytterligare rättsligt stöd för behandling av känsliga personuppgifter om hälsa behövs inte
Regeringens bedömning: Något ytterligare rättsligt stöd för behandling av känsliga personuppgifter om hälsa behövs inte på det skollagsreglerade området.
Utredningens förslag: Utredningen föreslår att det ska införas en bestämmelse i skollagen om att känsliga personuppgifter om hälsa ska få behandlas med stöd av artikel 9.2 g i dataskyddsförordningen om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet i sådana verksamheter där utredningen bedömer att all personuppgiftsbehandling utgör behandling av känsliga personuppgifter. Förslaget omfattar därmed grundsärskolan, specialskolan, gymnasiesärskolan, särskild utbildning för vuxna, gymnasieskolan med Rh-anpassad utbildning, utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning samt fristående förskoleklasser, fristående grundskolor och fristående gymnasieskolor som har begränsats till att avse elever som är i behov av särskilt stöd.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.
Göte-
borgs kommun är särskilt positiv till att utöka möjligheten för anordnare av t.ex. grundsärskola att på ett mer systematiskt sätt kunna behandla känsliga personuppgifter. Academedia AB tillstyrker utredningen förslag.
Friskolornas riksförbund anser att den föreslagna bestämmelsen som avser fristående skolor som har begränsat sitt mottagande till att avse elever som är i behov av särskilt stöd behöver kompletteras med motsvarande möjlighet för fristående förskolor.
Stockholms kommun delar i stort utredningens förslag. Kommunen påpekar dock att när det gäller skolor som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling (s.k. resursskolor) har
Högsta förvaltningsdomstolen i en dom den 28 juni 2016 i mål 3086-16 har slagit fast att även offentliga huvudmän kan inrätta s.k. resursskolor. Därför anser förvaltningen att förslaget bör utvidgas så att även skolor med offentliga huvudmän får rätt att behandla känsliga personuppgifter vad avser elever i s.k. resursskolor.
Riksförbundet för barn, unga och vuxna med utvecklingsstörning (FUB) vill inte att behandling av personuppgifter om hälsa, förutom i elevhälsan, ska kunna behandlas utan samtycke i grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna.
Sveriges Kommuner och Landsting (SKL) saknar en mer fullständig inventering av vilka behandlingar av känsliga personuppgifter som är nödvändiga för att huvudmän och hemkommunen enligt skollagen ska anses fullgöra bestämmelserna i skollagen. Enligt SKL kan det därför vara så att ytterligare bestämmelser, utöver de som utredningen har föreslagit, behöver göras i författning. SKL saknar bl.a. resonemang kring hur huvudmän inom skolväsendet ska hantera känsliga personuppgifter som är nödvändiga att hantera i faktisk verksamhet och inte är kopplade till ett ärende eller elevhälsan. SKL anser också att det kan vara ett problem att specifikt räkna upp i vilka fall känsliga personuppgifter får behandlas i skollagen. En uppräkning av tillåtna behandlingar innebär att när nya befogenheter eller skyldigheter införs för huvudmän eller hemkommunen enligt skollagen måste lagstiftaren överväga om den nya befogenheten eller skyldigheten innebär att det är nödvändigt att behandla känsliga personuppgifter och om en sådan behandling ska vara tillåten eller inte.
Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter hur bestämmelsen uppfyller kravet på ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Datainspektionen anser även att de av utredningen föreslagna bestämmelserna som rör känsliga personuppgifter inte är tillräckliga för skolornas behandling av uppgifter om specialkost. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning
Ytterligare rättsligt stöd för behandling av personuppgifter om hälsa behövs inte i grundsärskolan, specialskolan, gymnasiesärskolan eller särskild utbildning för vuxna
Som nämnts i avsnitt 13.3.1 är behandling av alla personuppgifter om en elev i grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna en behandling av känsliga personuppgifter. Anledningen till detta är att det endast är elever med funktionsnedsättning som tillhör målgruppen för dessa skolformer och enbart uppgiften om att eleven går i den skolan innebär därmed att man får reda på en uppgift om elevens hälsa. Det innebär att huvudmännen måste tillämpa de särskilda
bestämmelserna som gäller för behandling av känsliga personuppgifter på all personuppgiftsbehandling, dvs. även för elevadministration som t.ex. kontaktuppgifter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som, bortsett från att eleven går i en viss skolform, vanligen är harmlösa uppgifter. Även behandling av personuppgifter i samband med t.ex. dokumentation inför och vid skrivandet av utvecklingsplaner omfattas av de särskilda bestämmelser som rör behandling av känsliga personuppgifter. Vidare är det med hänsyn till den digitalisering som skett inom offentlig verksamhet i dag nödvändigt att kunna behandla elevernas personuppgifter automatiserat, t.ex. i ett elevregister, och inom den faktiska verksamheten såsom undervisningen. Behandlingen av de känsliga personuppgifterna är därmed nödvändig för det viktiga allmänna intresse som anordnande och bedrivande av utbildning utgör. När det gäller skälen för att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse hänvisas till avsnitt 8.
I dagsläget är det rättsliga stödet för att behandlingen av de känsliga personuppgifterna främst samtycke. Regeringen anser, till skillnad från
Riksförbundet för barn, unga och vuxna med utvecklingsstörning (FUB), att samtycke inte är ett lämpligt rättsligt stöd för behandlingen av känsliga personuppgifter i dessa skolformer, eftersom lagstiftaren ålägger huvudmännen skyldigheter gentemot eleven och då huvudmannen för att kunna uppfylla dessa åligganden måste kunna behandla relevanta personuppgifter om eleven. Det framgår vidare av skäl 43 till dataskyddsförordningen att samtycke inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
De i dataskyddslagen föreslagna bestämmelserna som möjliggör dels behandling av känsliga personuppgifter som krävs enligt lag, dels behandling av känsliga personuppgifter som är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 1 och 2) kommer inte kunna tillämpas på all den behandling av elevernas personuppgifter som sker i bl.a. den elevadministrativa verksamheten. Däremot bedömer regeringen att behandlingen hos myndigheter kommer kunna ske med stöd av den i dataskyddslagen föreslagna bestämmelsen som möjliggör behandling av känsliga personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). I avsnitt 13.3.4 föreslås en motsvarande bestämmelse införas i skollagen för enskilda huvudmän och aktörer enligt 24 och 25 kap. skollagen. Behandling av de nu aktuella uppgifterna hos enskilda kommer därmed kunna ske med stöd av den bestämmelsen. Regeringen bedömer därför att det inte finns något behov av ytterligare reglering för att möjliggöra behandling av hälsa.
Elevernas personuppgifter behandlas redan i dagsläget automatiserat i särskolor, specialskolor och särskild utbildning för vuxna i t.ex. elevregister. De föreslagna bestämmelserna om behandling av känsliga personuppgifter för myndigheter och enskilda möjliggör den behandling av personuppgifter som sker i dag. De föreslagna bestämmelserna inne-
håller även åtgärder till skydd för den registrerade genom att behandlingen endast får utföras om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet och bedöms därför stå i proportion till det eftersträvade syftet.
Ytterligare rättsligt stöd för behandling av personuppgifter om hälsa i verksamhet som avser elever i behov av särskilt stöd behövs inte heller
Huvudregeln är att fristående skolor ska vara öppna för alla elever. En huvudman för en fristående förskoleklass, grundskola, grundsärskola och gymnasieskola får dock begränsa sitt mottagande till att avse elever som är i behov av särskilt stöd (9 kap. 17 §, 10 kap. 35 § 2, 11 kap. 34 § 2 och 15 kap. 33 § 1 skollagen). Skolorna med begränsat mottagande riktar sig ofta till elever med neuropsykiatriska funktionsnedsättningar som Attention Deficit Hyperactivity Disorder (ADHD) och autismspektrumtillstånd (AST). Många skolor anger samtidigt att de även riktar sig till elever med annan problematik, bl.a. elever med social problematik eller elever med tidigare skolmisslyckanden (Skolverket, Fristående skolor för elever i behov av särskilt stöd – en kartläggning, Rapport nr 409, 2014, s. 8).
Regeringen anser att en uppgift om att en elev går i en fristående skola som begränsat sitt mottagande till elever som är i behov av särskilt stöd vanligen är en känslig personuppgift på motsvarande sätt som när det gäller en uppgift om att en elev går i t.ex. en grundsärskola, se under föregående rubrik. Anledningen är att skolorna endast mottar elever som är i behov av det slag av särskilt stöd som huvudmannen bestämt och enbart uppgiften om att eleven går vid den skolan innebär därför att man får reda på en uppgift om elevens hälsa. Även övriga uppgifter om elever som behandlas inom en sådan verksamhet kan många gånger, beroende på i vilket sammanhang de förekommer, kopplas till en elevs hälsa och behöver därför i sådana fall betraktas som känsliga personuppgifter.
Friskolornas riksförbund anser att en bestämmelse som motsvarar utredningens förslag bör införas även för fristående förskolor. För fristående förskolor finns visserligen inte någon bestämmelse i skollagen som innebär att de kan begränsa sitt mottagande till att avse elever som är i behov av särskilt stöd. I 8 kap. 18 § skollagen anges dock att varje fristående förskola ska vara öppen för alla barn som ska erbjudas förskola, om inte den kommun där förskoleenheten är belägen medger undantag med hänsyn till verksamhetens särskilda karaktär. Det kan därför i dag finnas fristående förskolor som har, eller förskolor som framgent kommer att kunna ha, ett beslut om godkännande att begränsa sitt mottagande till barn i behov av särskilt stöd. Regeringen delar därför förbundets uppfattning om att även dessa verksamheter behöver kunna behandla känsliga personuppgifter om hälsa. Som Stockholms kommun påpekar gäller detsamma resursskolor som inrättas av offentliga huvudmän. Utifrån hur de i 3 kap. 3 § första stycket 3 dataskyddslagen och i avsnitt 13.3.4 föreslagna bestämmelserna om behandling av känsliga personuppgifter har utformats kommer dock behandlingen omfattas av dessa bestämmelser. Någon ytterligare reglering behövs därför enligt regeringens bedömning inte heller för dessa verksamheter.
Inte heller behövs ytterligare rättsligt stöd för behandling av personuppgifter om hälsa i vissa kommunala gymnasieskolor
Speciellt anpassad utbildning (Rh-anpassad) gymnasieutbildning anordnas för ungdomar med svårt rörelsehinder (15 kap. 9 § första stycket skollagen). Den Rh-anpassade utbildningen ska så långt det är möjligt integreras med motsvarande utbildning i gymnasieskolan (11 kap. 1 § gymnasieförordningen [2010:2039]). Vidare får Örebro kommun i sin gymnasieskola anordna utbildning för döva och hörselskadade från hela landet (10 kap. 1 § gymnasieförordningen).
Ut
bildningen ska vända sig
även till dem som på grund av språkstörning behöver insatser av samma slag som döva och hörselskadade.
I de klasser i kommunala gymnasieskolor som anordnar Rh-anpassad gymnasieutbildning eller utbildning för personer med dövhet eller hörselnedsättning där det endast går elever som har funktionsnedsättningar, blir uppgiften om att eleven går en sådan utbildning även en uppgift om elevens hälsa. Detta eftersom det i dessa klasser endast går elever med funktionsnedsättning. Även övriga uppgifter om elever som behandlas inom en sådan verksamhet kan många gånger, beroende på i vilket sammanhang de förekommer, kopplas till en elevs hälsa och behöver därför i sådana fall betraktas som känsliga personuppgifter. Av samma skäl som angetts under föregående rubriker i fråga om t.ex. gymnasiesärskolan och fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd bedömer dock regeringen att någon ytterligare reglering inte behövs för att möjliggöra behandlingen och de bestämmelser som möjliggör behandlingen är proportionerliga.
Ytterligare rättsligt stöd för behandling av personuppgifter om hälsa behövs inte heller i övrigt på det skollagsreglerade området
Som framgått ovan finns det vissa verksamheter inom det skolagsreglerade området som har behov av att kunna behandla känsliga personuppgifter om hälsa av det skälet att all personuppgiftsbehandling innebär behandling av uppgifter om hälsa. Regeringen delar dock Sveriges
Kommuner och Landstings uppfattning att det även i faktisk verksamhet i andra delar av det skollagsreglerade området kan finnas behov av att behandla uppgifter om känsliga personuppgifter i fall som varken krävs enligt lag eller som utgör ärendehandläggning. Det gäller t.ex. löpande behov av behandling av uppgifter om specialkost, som uppmärksammats av Datainspektionen, mer långvariga sjukdomar och funktionsnedsättningar där eleverna är i behov av återkommande stöd och andra insatser samt omfattande eller återkommande psykosociala insatser av exempelvis kurator som inte ingår i elevhälsan. Behov att behandla uppgifter om hälsa kan även uppstå när rektorn eller förskolechefen fullgör sitt ansvara att fördela resurser inom enheten efter barnens och elevernas olika förutsättningar och behov (2 kap. 10 § första stycket skollagen). Det är dock på grund av den stora mängd verksamheter och varierande behov inte möjligt att förutse och i detalj ange de olika specifika fall då behandling av känsliga personuppgifter kan vara nödvändig inom den faktiska verksamheten inom det skollagsreglerade området. Regeringen anser därför att det även i andra verksamheter inom skolväsendet än de som utredningen har föreslagit bör finnas möjlighet
för huvudmannen att behandla känsliga personuppgifter om hälsa om det är nödvändigt och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Utifrån hur de i 3 kap. 3 § första stycket 3 dataskyddslagen och i avsnitt 13.3.4 föreslagna bestämmelserna om behandling av känsliga personuppgifter har utformats kommer dock behandlingen omfattas av dessa bestämmelser. Någon ytterligare reglering behövs därför enligt regeringens bedömning inte heller för dessa verksamheter.
13.3.6. Ytterligare rättsligt stöd för behandling av känsliga personuppgifter om etniskt ursprung i sameskolan behövs inte
Regeringens bedömning: Något ytterligare rättsligt stöd för behandling av känsliga personuppgifter om etniskt ursprung hos huvudmannen för sameskolan behövs inte.
Utredningens förslag: Utredningen föreslår att det ska införas en bestämmelse i skollagen om att uppgifter om etniskt ursprung ska få behandlas i sameskolan med stöd av artikel 9.2 g i dataskyddsförordningen om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.
Sameskolstyrelsen välkomnar förslaget.
Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen uttrycker det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: Som nämnts i avsnitt 13.3.1 får barn till samer fullgöra sin skolplikt i sameskolan i stället för i årskurs 1– 6 i grundskolan. Även andra barn får fullgöra den delen av sin skolplikt i sameskolan, om det finns särskilda skäl. Frågan om ett barn ska få fullgöra sin skolplikt i sameskolan prövas av Sameskolstyrelsen (7 kap. 7 §).
Som nämnts tidigare är enbart en uppgift om att en elev går i sameskolan inte en personuppgift som avslöjar etniskt ursprung då undantagsbestämmelsen för särskilda skäl medför att även flickor och pojkar som inte är barn till samer kan gå i sameskolan. Däremot kan uppgiften tillsammans med andra uppgifter avslöja etniskt ursprung. Vidare är uppgiften att en flicka eller pojke är barn till en same en personuppgift som avslöjar etniskt ursprung och sådana uppgifter förekommer ofta när Sameskolstyrelsen prövar om ett barn ska tas emot i sameskolan. Sameskolstyrelsen kan tillämpa 3 kap. 3 § dataskyddslagen vid handläggning av ett sådant ärende.
Sameskolstyrelsen är vidare huvudman för samtliga sameskolor. Sameskolorna måste behandla personuppgifter för elevadministration såsom kontaktuppgifter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som vanligen är harmlösa uppgifter. Behandlingen av sådana uppgifter är därmed nödvändig för det viktiga allmänna intresse som anordnande och bedrivande av utbildningen utgör. När det gäller skälen för att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse hänvisas till avsnitt 8. I dagsläget är det rättsliga stödet för att behandla känsliga personuppgifter i detta sammanhang samtycke. Regeringen bedömer dock, mot bakgrund av vad som anges i avsnitt 6.1, att samtycke inte är ett lämpligt rättsligt stöd för behandlingen av känsliga personuppgifter eftersom lagstiftaren ålägger huvudmännen skyldigheter gentemot eleven och då huvudmannen för att kunna uppfylla dessa åligganden har ett berättigat behov av att kunna behandla relevanta personuppgifter om eleven.
De i dataskyddslagen föreslagna bestämmelserna som möjliggör dels behandling av känsliga personuppgifter som krävs enligt lag och dels behandling av känsliga personuppgifter som är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 1 och 2) kommer inte att kunna tillämpas på all den behandling av elevernas personuppgifter som sker i bl.a. den elevadministrativa verksamheten. Däremot bedömer regeringen att behandlingen hos myndigheter kommer kunna ske med stöd av den i dataskyddslagen föreslagna bestämmelsen som möjliggör behandling av känsliga personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). I avsnitt 13.3.4 föreslås en motsvarande bestämmelse införas i skollagen för enskilda huvudmän och aktörer enligt 24 och 25 kap. skollagen. Behandling av de nu aktuella uppgifterna hos enskilda kommer därmed kunna ske med stöd av den bestämmelsen. Regeringen bedömer därför att det inte finns något behov av ytterligare reglering för att möjliggöra behandlingen.
I sameskolan behandlas redan i dagsläget elevernas personuppgifter automatiserat i t.ex. elevregister. De föreslagna bestämmelserna om behandling av känsliga personuppgifter för myndigheter och enskilda möjliggör den behandling av personuppgifter som sker i dag. De föreslagna bestämmelserna innehåller även åtgärder till skydd för den registrerade genom att behandlingen endast får utföras om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet och bedöms därför stå i proportion till det eftersträvade syftet.
13.3.7. Ytterligare rättsligt stöd för hemkommuners behandling av känsliga personuppgifter i ärenden behövs inte
Regeringens bedömning: Hemkommuners behandling av känsliga personuppgifter i ärenden omfattas av dataskyddslagens bestämmelse om myndigheters behandling av känsliga personuppgifter i ärenden och behöver därför inte regleras i skollagen.
Utredningens förslag: Utredningen föreslår att det ska regleras i skollagen att uppgifter om hälsa med stöd av artikel 9.2 g i dataskyddsförordningen ska få behandlas av en hemkommun om det är nödvändigt för handläggningen och om behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet i vissa ärenden. Det gäller ärenden om mottagande i grundsärskolan, en sökande tillhör målgruppen för gymnasiesärskolan eller tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd.
Remissinstanserna: Remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Göteborgs kommun är särskilt positiv till att utöka möjligheten för kommunen att kunna behandla känsliga personuppgifter som den är ålagd enligt skollagen.
Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: Som framgår av avsnitt 13.3.1 kan kommunerna vid utförandet av sina uppgifter som hemkommuner ha ett behov av att behandla känsliga personuppgifter, såsom när det gäller att besluta om skolskjuts, pröva mottagande i grundsärskola, pröva frågan om en sökande tillhör målgruppen för gymnasiesärskolan, och att besluta om fristående skolors ansökan om tilläggsbelopp för elever (t.ex. 7 kap. 5 §, 10 kap.32 och 39 §§ och 18 kap. 5 §skollagen). Som utredningen konstaterar kan känsliga personuppgifter behöva behandlas vid handläggningen av sådana ärenden. Med hänsyn till det förslag som har lämnats i propositionen Ny dataskyddslag (prop. 2017/18:105) som innebär att myndigheter får behandla känsliga uppgifter med stöd av artikel 9.2 g i dataskyddsförordningen, om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen) får det numera anses finnas tillräckligt stöd för den behandling som Utbildningsdatautredningens förslag var avsett att tillgodose. Utredningens förslag bör därför inte genomföras.
13.3.8. Ytterligare rättsligt stöd för kommuners behandling av känsliga personuppgifter i annat fall behövs inte
Regeringens bedömning: Kommuners behandling av känsliga personuppgifter i andra situationer än då behandlingen krävs enligt lag eller för handläggningen av ett ärende omfattas av dataskyddslagens bestämmelse om myndigheters behandling av känsliga personuppgifter i annat fall och behöver därför inte regleras i skollagen.
Utredningens förslag: Utredningen föreslår att en hemkommun med stöd av artikel 9.2 g i dataskyddsförordningen ska få behandla personuppgifter om etniskt ursprung och hälsa i form av namn, personnummer, samordningsnummer, adress och vårdnadshavare om det är nödvändigt för att fullgöra skyldigheten att se till att skolpliktiga barn som inte går i
dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.
Stockholms kommun anser att hemkommunen även bör kunna behandla
uppgift om skola, för det fall det skulle anses vara en personuppgift.
För
att hemkommunen ska kunna fullgöra sitt skolpliktsbevakningsansvar behöver den ha uppgift om i vilken annan skola eleven fullgör skolplikten. En sådan skola kan vara en s.k. resursskola med exempelvis särskild inriktning mot funktionsnedsättning. Uppgift om vid vilken skola eleven fullgör skolplikten är då en uppgift om hälsa,
Sveriges Kommuner och Landsting (SKL) bedömer att utredningens förslag som rör hemkommunen bör formuleras om så att det framgår att en hemkommun får behandla känsliga personuppgifter i form av etniskt ursprung och hälsa för att fullgöra skyldigheten om skolpliktsbevakning enligt 7 kap. 21 § skollagen, på så sätt att kommunens elevregister även får innehålla en uppgift om att eleven är inskriven i en grundsärskola, specialskola eller sameskolan.
SKL saknar även resonemang och bedömningar om i vilken mån det är nödvändigt för kommuner att hantera känsliga personuppgifter inom ramen för det kommunala resursfördelningssystemet. SKL påpekar att kommunen vid resursfördelningen har att ta hänsyn till principen om lika villkor för kommunala och enskilda huvudmän, vilket t.ex. kan innebära att känsliga personuppgifter i form av extraordinära stödbehov kan vara nödvändiga att hantera inom systemet även för elever i kommunala skolor.
Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning
Ytterligare rättsligt stöd för behandling av känsliga personuppgifter vid hemkommunens fullgörande av sitt skolpliktsansvar behövs inte
Hemkommunen ska se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning (7 kap. 21 § skollagen). Med anledning av detta åliggande kan det krävas att kommuner för ett fullständigt elevregister med uppgifter om personnummer, namn, adress och vårdnadshavare samt vid vilken skola eleven är inskriven i för att kommunen ska kunna fullgöra sitt ansvar. Registret bör omfatta samtliga elever som bor inom den egna kommunen och skolor oavsett huvudman, dvs. även t.ex. grundsärskolor och specialskolor. Att en elev går i en skola som är t.ex. en grundsärskola eller specialskola är en uppgift om hälsa, dvs. en känslig personuppgift. Som angetts i avsnitt 13.3.1 anser regeringen att enbart en uppgift om att ett barn går i samskolan skola inte ensamt torde avslöja elevens etniska ursprung, men att denna uppgift tillsammans med andra uppgifter, t.ex. ett efternamn med samiskt ursprung, kan göra det. Det kan inte uteslutas
att det i detta sammanhang även behöver behandlas sådana andra uppgifter som tillsammans avslöjar elevens etniska ursprung.
Enligt regeringen är det nödvändigt att hemkommunerna kan behandla uppgifter om att en viss elev går i t.ex. grundsärskola för att kommunerna ska kunna fullgöra åliggandet att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning. Om hemkommunen inte kan föra in dessa uppgifter i sådana register kommer de i praktiken inte kunna uppfylla sitt ansvar enligt 7 kap. 21 § skollagen.
Registren förs inte som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens eller förvaltningslagens bestämmelser om hur inkomna handlingar ska hanteras. Den bestämmelse i dataskyddslagen som föreslås möjliggöra för myndigheter att med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter när det krävs enligt lag kommer därför inte att bli tillämplig på ett sådant register (3 kap. 3 § första stycket 1). Personuppgifterna kommer i vissa fall behöva behandlas för handläggningen av ett ärende och behandlingen kan då ske med stöd av 3 kap. 3 § första stycket 2 dataskyddslagen. I övriga fall bedömer regeringen att behandlingen hos hemkommunen kommer kunna ske med stöd av den i dataskyddslagen föreslagna bestämmelsen som möjliggör för myndigheter att behandla känsliga personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). Regeringen bedömer därför att det inte finns något behov av ytterligare reglering för att möjliggöra hemkommunens behandling.
Ytterligare rättsligt stöd för behandling av känsliga personuppgifter vid kommunens resursfördelning behövs inte
Som SKL har påpekat ska kommunen fördela resurser till utbildning inom skolväsendet efter barnens och elevernas olika förutsättningar och behov (2 kap. 8 a § skollagen). Det finns även andra bestämmelser som reglerar kommunernas fördelning av resurser inom skolväsendet, exempelvis bestämmelserna om bidrag från hemkommunen till enskilda huvudmän i form av grundbelopp för varje elev och tilläggsbelopp för vissa elever. Grundbeloppet ska bestämmas efter samma grunder som hemkommunen tillämpar vid fördelningen av resurser till sina egna skolenheter. Tilläggsbeloppet för en elev i behov av särskilt stöd ska vara individuellt bestämt efter elevens behov (se t.ex. 10 kap. 37–39 §§).
Regeringen bedömer att kommunens behov av att behandla känsliga personuppgifter vid resursfördelningen kan uppstå vid handläggningen av ärenden. Det kan inte heller uteslutas att ett sådant behov kan uppstå i sådana fall som inte utgör ärendehandläggning. När det är fråga om resursfördelning som utgör ärendehandläggning är 3 kap. 3 § första stycket 2 dataskyddslagen tillämplig. Som exempel på ärendehandläggning kan nämnas kommunens hantering av ansökningar om tilläggsbelopp. Fördelningen av grundbelopp enligt 2 kap. 8 a § och 10 kap. 38 § torde däremot ske inom ramen för sådant budgetarbete och sådana budgetbeslut i kommunen som inte utgör ärendehandläggning. I dessa fall bedömer regeringen att kommunens behandling kommer kunna ske
med stöd av den i dataskyddslagen föreslagna bestämmelsen som möjliggör behandling av känsliga personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). Regeringen bedömer därför att det inte finns något behov av ytterligare reglering i skollagen för att möjliggöra behandlingen.
Den föreslagna bestämmelsen i dataskyddslagen innehåller även åtgärder till skydd för den registrerade genom att behandlingen endast får utföras om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet och bedöms därför stå i proportion till det eftersträvade syftet.
13.3.9. Det behövs inte något bemyndigande att meddela föreskrifter om ytterligare bestämmelser om behandling av känsliga personuppgifter
Regeringens bedömning: Det behövs inte något bemyndigande för regeringen att meddela föreskrifter om ytterligare bestämmelser om behandling av känsliga personuppgifter.
Utredningens förslag: Utredningen föreslår att regeringen ska få meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av skollagen.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget.
Sveriges Kommuner
och Landsting (SKL) anser att ytterligare bestämmelser om behandling av känsliga personuppgifter, utöver de som utredningen har föreslagit, kan
behöva införas i författning.
SKL anser också att det kan vara ett prob-
lem att specifikt räkna upp i vilka fall känsliga personuppgifter får behandlas i skollagen. Academedia AB tillstyrker förslaget.
Uppsala universitet är tveksamt till att
regeringen ska få meddela före-
skrifter om ytterligare bestämmelser om behandling av känsliga personuppgifter, eftersom det inte kan uteslutas att behandling av känsliga personuppgifter aktualiserar skyddet mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § regeringsformen som endast får inskränkas med stöd av lag.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: Som Sveriges Kommuner och
Landsting påpekar kan det på det skollagsreglerade området visa sig föreligga även andra fall då känsliga personuppgifter behöver behandlas än sådana som utredningen har identifierat. Myndigheter kommer dock även i annat fall än då behandling krävs enligt lag eller är nödvändig för handläggningen av ärenden kunna behandla känsliga personuppgifter med stöd av 3 kap 3 § första stycket 3 dataskyddslagen, förutsatt att behandlingen är nödvändig och inte utgör ett otillbörligt intrång i den
registrerades personliga integritet. I avsnitt 13.3.3 föreslås en motsvarande bestämmelse införas i skollagen för enskilda huvudmän och aktörer enligt 24 och 25 kap. skollagen. Det finns i dagsläget inte något som tyder på att det skulle finnas ett behov av att inom det skollagsreglerade området införa kompletterande bestämmelser på förordningsnivå. Regeringen anser därför att det saknas skäl att införa ett bemyndigande för regeringen att meddela ytterligare föreskrifter om behandling av känsliga personuppgifter.
När det gäller Uppsala universitets synpunkt om regeringsformens krav, delar regeringen uppfattningen att det, om nya bestämmelser ändå skulle övervägs med stöd av bemyndigandet i dataskyddslagen, givetvis måste göras en noggrann bedömning av om lagform ändå krävs enligt 2 kap. 6 § RF. Ytterligare en förutsättning när nya bestämmelser övervägs med stöd av bemyndigandet är att en noggrann bedömning görs för att säkerställa att dataskyddsförordningens krav i övrigt, bl.a. på skyddsåtgärder, är uppfyllda. Detta har också konstaterats i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 92).
13.3.10. Det ska vara förbjudet att utföra vissa sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter
Regeringens förslag: Det ska vara förbjudet för en enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Regeringen ska få meddela föreskrifter om undantag från sökbegränsningen i skollagen och i dataskyddslagen i fråga om personuppgifter om hälsa i verksamhet hos en huvudman för
1. grundsärskola,
2. specialskolan,
3. gymnasiesärskola,
3. särskild utbildning för vuxna,
5. gymnasieskola med Rh-anpassad utbildning,
6. utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och
7. förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd.
Regeringen ska också få meddela föreskrifter om undantag från sökbegränsningen i dataskyddslagen i fråga om personuppgifter om etniskt ursprung i verksamhet hos en huvudman för sameskolan och hälsa och etniskt ursprung i verksamhet hos en kommun.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag till sökförbud avser förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Utredningen föreslår också att ett antal undantag från sökförbudet införs i skollagen och att regeringen ska få meddela föreskrifter om begränsningar av möjligheten att använda vissa sökbegrepp.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Academedia AB tillstyrker utredningens förslag.
Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.
Specialpedagogiska skolmyndigheten anser att förslaget om sökbegräsning innebär att myndigheten inte kan söka på vissa personuppgifter i diarium och arkiv och heller inte i de handläggningssystem som används inom myndigheten. Den begränsade sökmöjligheten kan därmed innebära att det inte blir möjligt att ta fram sådan statistik som efterfrågas i myndighetens regleringsbrev.
Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars förslag överensstämmer med regeringens förslag i detta avsnitt. Datainspektionen anser att det är av vikt att de föreslagna bestämmelserna om sökförbud, inte medför någon utökning av möjligheterna att söka på känsliga personuppgifter. Inspektionen anser att det är av vikt att det, som en konsekvens av de föreslagna bestämmelserna, görs en analys avseende behovet av vilka säkerhetsåtgärder som kan vara aktuella att kräva för att undvika risk för kringgående av det föreslagna sökförbudet.
Sveriges kommuner och Landsting (SKL) tillstyrker det i utkastet föreslagna bemyndigandet. SKL påpekar att en sökbegränsning kan innebära att det inte blir möjligt att ta fram statistik som efterfrågas i regleringsbrev eller statistik som kan behövas inom en enskild huvudmans verksamhet för att säkerställa likvärdighet och inkludering. Vidare påpekar SKL att det även i annan verksamhet än förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd kan finnas elever som är i behov av särskilt stöd.
Skälen för regeringens förslag
Det finns behov av motsvarande sökbegränsningar i skollagen som i dataskyddslagen
I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås det införas en skyddsåtgärd som innebär ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen). Sökbegränsningen gäller för myndigheter vid tillämpningen av 3 kap. 3 § första stycket dataskyddslagen, dvs. det är ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter vid behandling som krävs enligt lag, vid behandling som är nödvändig för handläggningen av ett ärende och vid behandling i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.
I avsnitt 13.3.3 och 13.3.4 föreslår regeringen bestämmelser som innebär att även enskilda huvudmän och aktörer enligt 24 och 25 kap. skollagen ska kunna behandla vissa känsliga personuppgifter. De skäl som finns för att sökbegränsningar ska gälla för myndigheter gör sig enligt regeringen även gällande för enskilda huvudmän och nämnda enskilda
aktörer. En sökbegränsning bör därför, till skillnad mot vad som föreslås av Dataskydd.net, införas i skollagen.
Utredningens förslag till sökbegränsning avser förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. I linje med vad
Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform, anser dock regeringen att sökförbudet i skollagen bör få en något annorlunda utformning än vad utredningen föreslagit för att överensstämma med utformningen i dataskyddslagen. Regeringen föreslår därför att även sökbegränsningen i skollagen ska innebär ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Av propositionen Ny dataskyddslag (prop. 2017/18:105) följer att sökbegränsningen inte är avsedd att hindra sökningar som utförs för andra ändamål än att identifiera ett urval av individer, t.ex. i syfte att utöva tillsyn, ta fram verksamhetsstatistik eller för registervård (s. 86). Detsamma bör gälla sökbegränsningen i skollagen. Behandling för statistiska ändamål föreslås också tillåtas under vissa förutsättningar i förslaget till 3 kap. 7 § dataskyddslagen, som inte omfattas av sökförbudet.
Regeringen ska få meddela föreskrifter om undantag från sökbegränsningen
De sökningar om hälsa som kan behövas i samband med ärenden och uppgifter hos hemkommunerna behövs i syfte att handlägga ärenden och fullgöra skolpliktsansvaret, och inte i syfte att få fram ett personurval grundat på känsliga uppgifter. Regeringen ser därför, mot bakgrund av sökförbudets nu aktuella lydelse, inte behov av att för dessa fall särskilt möjliggöra undantag från sökbegränsningen. Regeringen gör samma bedömning när det gäller behandling av känsliga personuppgifter för statistiska ändamål. När det gäller sådana verksamheter där regeringen i avsnitt 13.3.5 konstaterat att personuppgifterna, på grund av den verksamhet i vilken de förekommer, i de flesta sammanhang utgör känsliga personuppgifter om hälsa eller etnicitet kan sökningar i de aktuella verksamheterna behöva ske i olika syften. Det kan inte uteslutas att det t.ex. inom ramen för verksamheternas administrativa åtgärder, finns skäl att utföra sökningar som syftar till att få fram ett urval av personer. Eftersom personuppgifter i dessa verksamheter i de flesta sammanhang utgör känsliga uppgifter, kommer personurvalet att grundas på känsliga personuppgifter. Detta gäller i grundsärskolan, specialskolan, gymnasiesärskolan, särskild utbildning för vuxna, gymnasieskolan med Rhanpassad utbildning, utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och utbildning som har begränsats till att avse elever som är i behov av särskilt stöd. För dessa verksamheter kan det därför finnas anledning att göra undantag från sökbegränsningen. Regeringen bör därför i skollagen bemyndigas att meddela föreskrifter om undantag från sökbegränsningen i fråga om personuppgifter om hälsa i dessa verksamheter. Bemyndigandet bör gälla både offentliga och enskilda huvudmän.
Av motsvarande skäl bör bemyndigandet även avse föreskrifter om undantag från sökbegränsningen i fråga om personuppgifter om etniskt ursprung i sameskolan.
När det gäller Datainspektionens synpunkt att det är av vikt att föreslagna bestämmelserna om sökförbud inte medför någon utökning av möjligheterna att söka på känsliga personuppgifter, vill regeringen framhålla att bemyndigandet inte syftar till att ge de aktuella verksamheterna en utökad sökmöjlighet jämfört med övriga skolformers, utan endast till att möjliggöra motsvarande sökningar som är möjliga i andra skolformer. Enligt regeringens mening bör begränsningen till de aktuella verksamheterna och till uppgifter om hälsa respektive etniskt ursprung tillgodose dataskyddsförordningens krav på proportionalitet och skyddsåtgärder.
Enligt regeringens bedömning kan det även i vissa andra fall finnas behov av att utföra sökningar grundat på känsliga personuppgifter som syftar till att få fram ett urval av personer. Det gäller t.ex. sökningar i form av uppgifter om hälsa i hemkommunens ärenden om mottagande i grundsärskolan enligt 7 kap. 5 § skollagen, ärenden om en sökande tillhör målgruppen för gymnasiesärskolan enligt 18 kap. 5 § skollagen och ärenden om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd. Detsamma gäller vid kommunens fördelning av resurser till utbildning inom skolväsendet efter barnens och elevernas olika förutsättningar och behov (2 kap. 8 a § skollagen). Vidare kan hemkommunen ha behov av att utföra sökningar grundat på känsliga personuppgifter hälsa och etniskt ursprung när den fullgör uppgiften att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning enligt 7 kap. 21 § skollagen. Av dessa skäl bör bemyndigandet att meddela föreskrifter om undantag från sökbegränsningen även gälla i fråga om behandling av personuppgifter om hälsa och etniskt ursprung i verksamhet hos en kommun.
Hänvisningar till S13-3-10
- Prop. 2017/18:218: Avsnitt 20.4
13.4. Kompletterande bestämmelser om känsliga personuppgifter ska införas i lagen om tillstånd att utfärda vissa examina
Hänvisningar till S13-4
- Prop. 2017/18:218: Avsnitt Författningskommentar till 10 § lagen (1993:792) om tillstånd att utfärda vissa examina
13.4.1. Det finns behov av att behandla känsliga personuppgifter på högskoleområdet
Både statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter i olika sammanhang. Nedan redogörs översiktligt för de huvudsakliga behandlingarna av känsliga personuppgifter som sker hos lärosätena. I efterföljande avsnitt behandlas vilka kompletterande bestämmelser om behandling av känsliga personuppgifter som behövs på högskoleområdet med anledning av artikel 9 i dataskyddsförordningen. Som framgår av avsnitt 12 anser regeringen att sådana bestämmelser ska föras in i lagen om tillstånd att utfärda vissa examina.
Det finns behov av behandling av känsliga personuppgifter i ärenden om anpassning av högskoleprovet
Personer med vissa specifika svårigheter har möjlighet att göra anpassade versioner av högskoleprovet. Det krävs då att provdeltagaren styrker
behovet av anpassning i samband med anmälan. Högskolan eller UHR beslutar om anpassning (4–8 §§ Universitets- och högskolerådets föreskrifter om högskoleprovet [UHRFS 2015:3]). För att kunna fatta beslutet är det nödvändigt att behandla uppgifter om hälsa, dvs. känsliga personuppgifter.
Det finns behov av behandling av känsliga personuppgifter vid antagningsförfarandet
Statliga högskolor ska, så långt det är möjligt, som studenter ta emot de sökande som uppfyller behörighetskraven för studierna. Kan inte alla behöriga sökande till en utbildning tas emot ska ett urval göras bland de sökande på vissa grunder. Högskolorna får dock i viss utsträckning själv bestämma urvalsgrunder och får i enstaka fall göra avsteg från angivna urvalsgrunder (4 kap.1 och 3 §§högskolelagen och 7 kap.16, 23, 27 och 32 §§högskoleförordningen).
Göteborgs universitet har en antagningsordning som anger att medicinska skäl och permanent eller mycket långvarig funktionsnedsättning kan vara skäl för avsteg under vissa förutsättningar. Stiftelsen Högskolan i Jönköping, som är en enskild utbildningsanordnare, har en antagningsordning av vilken det framgår att lärosätet tillämpar en urvalsgrund där en dokumenterad funktionsnedsättning under vissa förutsättningar kan beaktas. Såväl statliga högskolor som enskilda utbildningsanordnare kan alltså behöva behandla känsliga personuppgifter i antagningsförfarandet.
Det finns behov av behandling i ärenden om särskilt pedagogiskt stöd
Till universitet och högskolor får statsbidrag lämnas för kostnader för särskilt utbildningsstöd som erbjuds studerande med svåra rörelsehinder eller psykiska och neuropsykiatriska funktionsnedsättningar. Specialpedagogiska skolmyndigheten prövar frågor om bidraget (2 och 5 §§ förordningen [2011:1163] om statsbidrag för särskilt utbildningsstöd). Bidrag lämnas både till statliga högskolor och enskilda utbildningsanordnare som därmed kan behöva behandla känsliga personuppgifter i samband med en ansökan om statsbidrag för särskilt utbildningsstöd. Detsamma gäller vid högskolornas handläggning av studenters ansökningar om särskilt pedagogiskt stöd, som t.ex. kan omfatta läkarintyg, och när beslutade stödåtgärder ska verkställas.
Det finns behov av behandling i ärenden om trakasserier, disciplinära åtgärder och avskiljande
Statliga högskolor får vidta disciplinära åtgärder i form av varning och avstängning av studenter som exempelvis utsätter andra studenter för trakasserier eller sexuella trakasserier (10 kap.1, 2, 9 och 10 §§högskoleförordningen). Om en utbildningsanordnare får kännedom om att en student som deltar i eller söker till utbildningsanordnarens verksamhet i samband med verksamheten anser sig ha blivit utsatt för trakasserier eller sexuella trakasserier, är utbildningsanordnaren också skyldig att utreda omständigheterna kring de uppgivna trakasserierna och i förekommande fall vidta åtgärder (2 kap. 7 § diskrimineringslagen [2008:567]). Vidare får en student som lider av psykisk störning, missbrukar alkohol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet under vissa
förutsättningar avskiljas från utbildningen. (4 kap. 6 § högskolelagen och förordningen [2007:989] om avskiljande av studenter från högskoleutbildning). Ovanstående medför att statliga högskolor kan behöva behandla känsliga personuppgifter i utredningar och i ärenden om disciplinära åtgärder och avskiljande.
Diskrimineringslagens bestämmelse om utredning av trakasserier eller sexuella trakasserier gäller även enskilda utbildningsanordnare. Vidare kan enskilda utbildningsanordnare ha motsvarande regler om disciplinära åtgärder och avskiljande som den offentligrättsliga reglering som gäller för statliga högskolor. Chalmers tekniska högskola AB, Handelshögskolan i Stockholm och Stiftelsen Högskolan i Jönköping är exempel på enskilda utbildningsanordnare som har en disciplinstadga eller ett regelverk för disciplinära åtgärder. Även enskilda utbildningsanordnare har således behov av att kunna behandla känsliga personuppgifter i utredningar och i ärenden om disciplinära åtgärder och avskiljande.
Det finns behov av behandling av känsliga personuppgifter inom studenthälsans och högskolebibliotekens verksamhet
Statliga högskolor ska ansvara för att studenterna har tillgång till hälsovård, särskilt förebyggande hälsovård som har till ändamål att främja studenternas fysiska och psykiska hälsa (1 kap. 11 § högskoleförordningen). Inom studenthälsan registreras personuppgifter i form av namn, personnummer och kontaktuppgifter. Det skapas också en patientjournal där det behandlas känsliga personuppgifter. Även om högskoleförordningen gäller för statliga högskolor kan även enskilda utbildningsanordnare erbjuda studenthälsovård, vilket bl.a. Handelshögskolan i Stockholm gör. Den personuppgiftsbehandling som sker inom studenthälsans medicinska verksamhet omfattas dock och kommer även fortsättningsvis att omfattas av bestämmelser i patientdatalagen (2008:355) och behandlas därför inte vidare i denna proposition.
Känsliga personuppgifter om hälsa kan även behöva behandlas i samband med att högskolebibliotek förfogar över upphovsrättsligt skyddade verk som personer med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.
Det finns behov av behandling av känsliga personuppgifter vid uppfyllandet av offentlighetsprincipen
Eftersom statliga högskolor är myndigheter omfattas de av offentlighetsprincipen och bestämmelserna i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400, OSL) om rätten att ta del av allmänna handlingar. För att kunna uppfylla detta åliggande kan det bli nödvändigt att behandla känsliga personuppgifter.
För enskilda utbildningsanordnares del får ett tillstånd att utfärda examina förenas med villkor om rätt för enskilda att ta del av handlingar hos utbildningsanordnaren
(
4 § lagen (1993:792) om tillstånd att utfärda
vissa examina). Denna skyldighet gäller för bl.a. Chalmers tekniska högskola AB och Stiftelsen Högskolan i Jönköping (2 kap. 4 § OSL och lagens bilaga). Även enskilda utbildningsanordnare kan därmed ha behov
av att behandla känsliga personuppgifter i samband med att de uppfyller sina åligganden enligt offentlighetsprincipen.
13.4.2. Ytterligare reglering av behandling av känsliga personuppgifter som krävs enligt lag behövs inte
Regeringens bedömning: För behandling av känsliga personuppgifter som krävs enligt lag behövs det på högskoleområdet inte någon ytterligare reglering utöver den som föreslås i dataskyddslagen.
Utredningens förslag: Utredningen föreslår att det i lagen om tillstånd att utfärda vissa examina bör införas en möjlighet för enskilda utbildningsanordnare att behandla känsliga personuppgifter, om uppgifterna har lämnats till anordnaren och behandlingen krävs enligt lag.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.
Karlstads universitet och Universitets- och högskolerådet tillstyrker utredningens författningsförslag.
Chalmers tekniska högskola AB till-
styrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.
Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Skälen för regeringens bedömning: Enligt propositionen Ny dataskyddslag är den hantering av allmänna handlingar som krävs enligt svensk rätt motiverad av hänsyn till ett viktigt allmänt intresse (prop. 2017/18:105 s. 86). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1 dataskyddslagen). Vidare ska andra organ än myndigheter jämställas med myndigheter i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet (3 kap. 3 § tredje stycket dataskyddslagen). Förslaget innebär att både statliga högskolor och, i förekommande fall, enskilda utbildningsanordnare kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter och att lämna ut allmänna handlingar. Någon ytterligare reglering krävs därmed inte för att de lärosäten som omfattas av offentlighetsprincipen också ska kunna uppfylla sina åligganden enligt denna princip. Som framgår av avsnitt 12, anser också regeringen att det saknas behov av att i lagen om tillstånd att utfärda vissa examina införa en bestämmelse som innebär en dubbelreglering av vad som följer av dataskyddslagen.
Hänvisningar till S13-4-2
- Prop. 2017/18:218: Avsnitt Författningskommentar till 13 § lagen (1993:792) om tillstånd att utfärda vissa examina
13.4.3. Behandling av känsliga personuppgifter som är nödvändiga för en hantering som motsvarar handläggning av ett ärende ska tillåtas
Regeringens förslag: Enskilda utbildningsanordnare ska få behandla känsliga personuppgifter om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.
Karl-
stads universitet och
Universitets- och högskolerådet tillstyrker
utredningens författningsförslag.
Chalmers tekniska högskola AB till-
styrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.
Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.
Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Skälen för regeringens förslag: Enligt propositionen Ny dataskyddslag är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning i den propositionen står det också klart att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (prop. 2017/18:105 s. 87). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen).
Bestämmelsen i dataskyddslagen möjliggör för statliga högskolor att, i den mån det är nödvändigt, även fortsättningsvis kunna behandla känsliga personuppgifter i sådana fall som nämns i avsnitt 13.4.1, såsom ärenden om anpassning av högskoleprov, antagning, särskilt pedagogiskt stöd, trakasserier, disciplinära åtgärder och avskiljande. Någon ytterligare reglering krävs därmed inte för att statliga högskolor ska få behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende.
Som framgår av avsnitt 13.4.1 kan motsvarande behov av hantering finnas hos enskilda utbildningsanordnare. I dessa fall har enskilda utbildningsanordnare, förutsatt att det är relevant och nödvändigt, således samma behov av att kunna behandla känsliga personuppgifter som de statliga högskolorna. Regeringen anser att det även i detta fall är fråga om behandling som är nödvändig av hänsyn till ett viktigt allmänt
intresse. Förslaget i dataskyddslagen omfattar dock inte enskilda utbildningsanordnare. Regeringen föreslår därför, i likhet med utredningen men till skillnad mot Dataskydd.net, att det i lagen om tillstånd att utfärda vissa examina ska införas en bestämmelse för enskilda utbildningsanordnare som så långt som möjligt motsvarar dataskyddslagens bestämmelse om ärendehandläggning.
Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen ska omfatta behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna bestämmelsen för myndigheter är mer långtgående (se avsnitt 13.2.1). Den har utformats så att myndigheter får behandla känsliga personuppgifter om det är nödvändigt för handläggningen i ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen). Regeringen anser att kompletterande reglering i lagen om tillstånd att utfärda vissa examina så långt som möjligt bör utformas på motsvarande sätt. I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 194) anges att begreppet ärende ska tolkas på samma sätt som i förvaltningslagen (2017:900). Eftersom förvaltningslagen inte gäller i de enskilda utbildningsanordnarnas verksamhet bör dock bestämmelsen formuleras så att den gäller behandling som är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.
När det gäller Datainspektionen ifrågasättande av om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen kan konstateras att Datainspektionen framfört motsvarande synpunkt i fråga om den i dataskyddslagen föreslagna bestämmelsen. Regeringen har dock i propositionen Ny dataskyddslag (prop. 2017/18:105) gjort bedömningen att myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid är fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning står det klart att det också är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt. Regeringen saknar anledning att nu i fråga om bestämmelsen i lagen om tillstånd att utförda vissa examina göra någon annan bedömning. Detta är också i linje med vad
Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.
Eftersom de enskilda utbildningsanordnarna redan i dagsläget har möjlighet att utföra sådana behandlingar av känsliga personuppgifter, blir integritetsintrånget för den enskilde varken större eller mindre genom att en sådan bestämmelse införs.
Hänvisningar till S13-4-3
- Prop. 2017/18:218: Avsnitt Författningskommentar till 13 § lagen (1993:792) om tillstånd att utfärda vissa examina
13.4.4. Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång
Regeringens förslag: En enskild utbildningsanordnare ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning även få behandla känsliga
personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.
Karlstads universitet och Universitets- och högskolerådet tillstyrker utredningens författningsförslag.
Chalmers tekniska högskola AB till-
styrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.
Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.
Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Datainspektionen och Högskolan i Skövde anser att begreppet absolut nödvändigt är ett begrepp som skapar otydlighet. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Skälen för regeringens förslag: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att en myndighet
utöver behandling av
känsliga personuppgifter som krävs enligt lag eller som är nödvändig för handläggningen av ett ärende, även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).
Som angetts i avsnitt 8 anser regeringen att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i dataskyddslagen kan därmed tillämpas av statliga högskolor. Även för enskilda utbildningsanordnare kan behandling av känsliga personuppgifter vara nödvändig i vissa fall när det saknas koppling till ett visst ärende.
Regeringen anser därför, i likhet med utredningen men till skillnad mot
Dataskydd.net, att det ska införas en bestämmelse i lagen om tillstånd att utfärda vissa examina som ger enskilda utbildningsanordnare som omfattas av lagen möjlighet att med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter i motsvarande fall.
Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen ska omfatta behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Den i propositionen Ny dataskyddslag föreslagna bestämmelsen är mer långtgående, eftersom den avser behandling av personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt
intrång i den registrerades personliga integritet (se avsnitt 13.2.1). Regeringen anser att den kompletterande regleringen i lagen om tillstånd att utfärda vissa examina bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. Detta är också i linje med vad
Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform. Eftersom det redan konstaterats i avsnitt 8 att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse anser regeringen att det är tillräckligt att i den kompletterande bestämmelsen i lagen om tillstånd att utfärda vissa examina ange att behandlingen av personuppgifter ska vara nödvändig i verksamheten. I övrigt bör bestämmelsens utformning följa den föreslagna formuleringen i dataskyddslagen.
Regeringens uppfattning är att en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla känsliga personuppgifter i annat fall om det är nödvändigt av hänsyn till ett viktigt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet, i t.ex. faktiskt verksamhet som undervisning, står i proportion till det eftersträvade syftet. En bestämmelse med sådana starkt begränsande rekvisit tillgodoser enligt regeringen dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. Dessutom föreslår regeringen avsnitt 13.4.5 även en bestämmelse om sökbegränsningar.
13.4.5. Det ska vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter
Regeringens förslag: Det ska vara förbjudet för enskilda utbildningsanordnare att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.
Utredningens förslag: Utredningen har föreslagit ett förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Karlstads universitet och Universitets- och högskolerådet tillstyrker utredningens författningsförslag. Chalmers tekniska högskola AB tillstyrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.
Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.
Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Skälen för regeringens förslag: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås det införas en skyddsåtgärd som innebär ett förbud mot att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen).
Sökbegränsningen gäller för myndigheter vid tillämpningen av samtliga bestämmelser om behandling av känsliga personuppgifter i 3 kap. 3 § första stycket dataskyddslagen, dvs. vid behandling som krävs enligt lag,
vid behandling som är nödvändig för handläggningen av ett ärende och vid behandling i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. I fråga om behandling som krävs enligt lag gäller sökbegränsningen även sådana organ som ska jämställas med myndigheter enligt 3 kap. 3 § tredje stycket dataskyddslagen. Det har redogjorts för denna sökbegränsning i avsnitt 13.2.2.
Sökbegränsningen omfattar därmed statliga högskolor som är myndigheter, men inte merparten av de enskilda utbildningsanordnarna eftersom dessa inte omfattas av bestämmelserna om allmänna handlingar och sekretess. De skäl som finns för att sökbegränsningar ska gälla för myndigheter, såsom statliga högskolor, gör sig dock gällande även för enskilda utbildningsanordnare. Regeringen föreslår därför att en motsvarande bestämmelse som innebär förbud mot att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska införas även för samtliga enskilda utbildningsanordnare.
Regeringens förslag innebär att regleringen får en något annorlunda utformning än vad som föreslagits av utredningen. I likhet med utredningens förslag syftar dock regeringens förslag till att införa en kompletterande reglering som motsvarar den som föreslås i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.
Hänvisningar till S13-4-5
- Prop. 2017/18:218: Avsnitt Författningskommentar till 13 § lagen (1993:792) om tillstånd att utfärda vissa examina
13.5. Kompletterande bestämmelser om känsliga personuppgifter ska införas i lagen om yrkeshögskolan
Hänvisningar till S13-5
- Prop. 2017/18:218: Avsnitt Författningskommentar till 19 a § lagen (2009:128) om yrkeshögskolan
13.5.1. Det finns behov av att behandla känsliga personuppgifter inom yrkeshögskolan och annan eftergymnasial utbildning
Utbildningsanordnare inom yrkeshögskolan och de som anordnar sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behöva behandla känsliga personuppgifter i ett antal olika situationer. Nedan redogörs översiktligt för de huvudsakliga behandlingarna av känsliga personuppgifter hos dessa aktörer. I efterföljande avsnitt behandlas vilka kompletterande bestämmelser om behandling av känsliga personuppgifter som med anledning av artikel 9 i dataskyddsförordningen behövs inom yrkeshögskolan och annan eftergymnasial utbildning än högskoleutbildning. Som framgår av avsnitt 12 anser regeringen att sådana bestämmelser bör placeras i lagen om yrkeshögskolan och förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Det finns behov av behandling av känsliga personuppgifter i samband med stödåtgärder och trakasserier
Behandling av känsliga personuppgifter kan förekomma vid handläggning av ansökningar om särskilt pedagogiskt stöd, när beslutade stödåtgärder ska verkställas och i samband med ansökningar om statsbidrag
eller särskilda medel för kostnader för särskilt pedagogiskt stöd (2 kap. 3 § och 5 kap. 2 och 4 §§ förordningen om yrkeshögskolan samt 30 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). Behandling av känsliga personuppgifter kan även förekomma i ärenden om trakasserier och sexuella trakasserier (1 kap. 4 och 2 kap.7 §§diskrimineringslagen [2008:567]).
Det finns behov av behandling av känsliga personuppgifter i ärenden om anstånd och studieuppehåll
När det gäller konst- och kulturutbildningar och vissa andra utbildningar kan behandling av känsliga personuppgifter även förekomma i ärenden om anstånd med att påbörja studier eller studieuppehåll av hälsoskäl (24 a § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). För utbildningsanordnare inom yrkeshögskolan saknas det en motsvarande reglering, men dessa anordnare kan i stället ha egna regelverk som medför motsvarande behov av behandling av känsliga personuppgifter.
Det finns behov av behandling av känsliga personuppgifter i ärenden om avskiljande
När det gäller utbildning inom yrkeshögskolan som bedrivs av offentliga utbildningsanordnare, får studerande tills vidare avskiljas från utbildningen om han eller hon lider av psykisk störning, missbrukar alkohol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet. För ett avskiljande krävs även att det, till följd av något av nämnda förhållanden, bedöms finnas en påtaglig risk att den studerande kan komma att skada någon annan person eller värdefull egendom under utbildningen (19 § lagen om yrkeshögskolan). Även enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan ha egna regelverk som medför motsvarande behov av behandling av känsliga personuppgifter i form av hälsa i samband med utredningar och ärenden om avskiljande.
Det finns behov av behandling av känsliga personuppgifter vid uppfyllandet av offentlighetsprincipen
Utbildningsanordnare som är myndigheter omfattas av tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post. För att kunna uppfylla de åligganden som följer av att omfattas av offentlighetsprincipen kan det för dessa utbildningsanordnare bli nödvändigt att behandla känsliga personuppgifter.
13.5.2. Ytterligare reglering av behandling av känsliga personuppgifter som krävs enligt lag behövs inte
Regeringens bedömning: I fråga om behandling av känsliga personuppgifter som krävs enligt lag behövs det för utbildningsanordnare inom yrkeshögskolan eller för dem som anordnar utbildning som
avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte någon ytterligare reglering utöver den som föreslås i dataskyddslagen.
Utredningens förslag: Utredningen föreslår att det i lagen om yrkeshögskolan bör införas en möjlighet för offentliga utbildningsanordnare inom yrkeshögskolan att behandla känsliga personuppgifter, om uppgifterna har lämnats till anordnaren och behandlingen krävs enligt lag.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Det gäller t.ex. Sveriges Kommuner och Landsting och Landstinget Dalarna.
Academedia AB tillstyrker utredningen förslag.
Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Skälen för regeringens bedömning: Enligt propositionen Ny dataskyddslag är den hantering av allmänna handlingar som krävs enligt svensk rätt motiverad av hänsyn till ett viktigt allmänt intresse (prop. 2017/18:105 s. 86). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 2 § första stycket 1 dataskyddslagen). Förslaget innebär att offentliga utbildningsanordnare inom yrkeshögskolan även fortsättningsvis kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter. Förslaget i dataskyddslagen är i detta avseende därmed tillräckligt för de offentliga utbildningsanordnarnas nödvändiga behandling av känsliga personuppgifter. Som framgår av avsnitt 12 anser regeringen att det saknas behov av att i lagen om yrkeshögskolan införa en bestämmelse som innebär en dubbelreglering i förhållande till dataskyddslagens bestämmelser.
Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, vilka också är enskilda fysiska eller juridiska personer, omfattas inte av offentlighetsprincipen. För deras del behöver det således inte införas en motsvarande bestämmelse.
13.5.3. Behandling av känsliga personuppgifter som är nödvändiga för en hantering som motsvarar handläggning av ett ärende ska tillåtas
Regeringens förslag: En enskild utbildningsanordnare inom yrkeshögskolan ska få behandla känsliga personuppgifter om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.
Regeringens bedömning: Motsvarande bestämmelse bör införas för dem som anordnar utbildning som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Utredningens förslag och bedömning: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.
Det
gäller t.ex. Sveriges Kommuner och Landsting och Landstinget Dalarna.
Academedia AB tillstyrker utredningen förslag. Luleå kommun välkomnar att motsvarande bestämmelser ska gälla för enskilda som för offentliga utbildningsanordnare inom yrkeshögskolan.
Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.
Myndigheten för yrkeshögskolan anser att det finns anledning att tydliggöra om känsliga personuppgifter i intyg som ges in av sökande för att styrka att förkunskapskraven till en utbildning är uppfyllda kommer få behandlas.
Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Skälen för regeringens förslag och bedömning: Enligt propositionen
Ny dataskyddslag (prop. 2017/18:105) är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning i den propositionen står det också klart att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (s. 82). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen).
Bestämmelsen i dataskyddslagen möjliggör för offentliga utbildningsanordnare inom yrkeshögskolan att, i den mån det är nödvändigt, även fortsättningsvis kunna behandla känsliga personuppgifter i ärenden om t.ex. särskilt pedagogiskt stöd, i ärenden om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd samt i ärenden om trakasserier, sexuella trakasserier och avskiljande från utbildningen. Detsamma gäller sådana känsliga personuppgifter som kan förekomma i antagningsärenden, vilket också har uppmärksammats av Myndigheten för yrkeshögskolan.
Någon ytterligare reglering krävs därmed inte för att offentliga utbildningsanordnare inom yrkeshögskolan ska få behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende. Som framgår av avsnitt 12 anser regeringen att det saknas behov av att i lagen om yrkeshögskolan införa en bestämmelse som innebär en dubbelreglering i förhållande till dataskyddslagens bestämmelser.
Som anges i avsnitt 13.5.1 kan motsvarande behov av behandling som nämnts ovan även finnas hos de enskilda utbildningsanordnarna inom
yrkeshögskolan och enskilda anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Dessa utbildningsanordnare har därmed, förutsatt att det är relevant och nödvändigt, samma behov av att kunna behandla känsliga personuppgifter som de offentliga utbildningsanordnarna inom yrkeshögskolan. Regeringen anser att det även i detta fall är fråga om behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse. Förslaget i dataskyddslagen omfattar dock inte enskilda utbildningsanordnare. Regeringen föreslår därför, till skillnad mot Dataskydd.net, att det i lagen om yrkeshögskolan införs en bestämmelse som för enskilda utbildningsanordnare inom yrkeshögskolan som motsvarar dataskyddslagens bestämmelse för ärendehandläggning för myndigheter.
Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen ska omfatta behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna bestämmelsen för myndigheter är mer långtgående (se avsnitt 13.2.1). Den har utformats så att myndigheter får behandla känsliga personuppgifter om det är nödvändigt för handläggningen av ett ärende. Regeringen anser att den kompletterande regleringen i lagen om yrkeshögskolan så långt som möjligt bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 194) anges att begreppet ärende ska tolkas på samma sätt som i förvaltningslagen (2017:900). Eftersom förvaltningslagen inte gäller i de enskilda utbildningsanordnarnas verksamhet bör dock bestämmelsen formuleras så att den gäller behandling som är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.
När det gäller Datainspektionens ifrågasättande av om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen kan konstateras att Datainspektionen framfört motsvarande synpunkt i fråga om den i datassyddslagen föreslagna bestämmelsen. Regeringen har dock i propositionen Ny dataskyddslag (prop. 2017/18:105) inte funnit anledning att justera bestämmelsen med anledning av den synpunkten och saknar anledning att i fråga om bestämmelsen i lagen om yrkeshögskolan göra någon annan bedömning. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.
Eftersom de enskilda utbildningsanordnarna redan i dagsläget har möjlighet att utföra sådana behandlingar, blir integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs.
Av samma skäl som gör sig gällande i fråga om de enskilda utbildningsanordnarna inom yrkeshögskolan, bör en motsvarande bestämmelse som möjliggör behandling av känsliga personuppgifter om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet införas för dem som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Som nämnts tidigare bör den bestämmelsen införas i
förordningen om stöd till konst- och kulturutbildningar och vissa andra utbildningar.
Hänvisningar till S13-5-3
- Prop. 2017/18:218: Avsnitt Författningskommentar till 19 d § lagen (2009:128) om yrkeshögskolan
13.5.4. Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång
Regeringens förslag: En enskild utbildningsanordnare inom yrkeshögskolan ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning även få behandla känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Regeringens bedömning: Motsvarande bestämmelse bör införas för dem som anordnar utbildning som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. I fråga om utredningens förslag att i sektorslagstiftningen dubbelreglera vad som gäller för myndigheter enligt dataskyddslagen, se avsnitt 12. Utredningen föreslår även ett bemyndigande för regeringen att meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Det gäller t.ex. Sveriges Kommuner och Landsting och Landstinget Dalarna.
Academedia AB tillstyrker utredningen förslag. Luleå kommun välkomnar att motsvarande bestämmelser ska gälla för enskilda som för offentliga utbildningsanordnare inom yrkeshögskolan.
Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.
Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Datainspektionen anser att begreppet absolut nödvändigt är ett begrepp som skapar otydlighet. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Skälen för regeringens förslag och bedömning: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att en myndighet, utöver behandling av känsliga personuppgifter som krävs enligt lag eller som är nödvändig för handläggningen av ett ärende, även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).
Som angetts i avsnitt 8 anser regeringen att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i dataskyddslagen kan därmed tillämpas av offentliga utbildningsanordnare inom yrkeshögskolan. När det gäller deras behandling av känsliga personuppgifter kan bestämmelsen vara tillämplig t.ex. när beslut att bevilja särskilt pedagogiskt stöd ska verkställas.
Även för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behandling av känsliga personuppgifter vara nödvändig i vissa fall när det inte är fråga om handläggningen av ett ärende. Till exempel tillhandahåller även dessa utbildningsanordnare särskilt pedagogiskt stöd. De har därmed samma behov som offentliga utbildningsanordnare inom yrkeshögskolan att behandla känsliga personuppgifter även när det inte är fråga om ärendehandläggning. Regeringen anser därför, till skillnad mot Dataskydd.net, att det ska införas en bestämmelse i lagen om yrkeshögskolan som möjliggör även för enskilda utbildningsanordnare inom yrkeshögskolan att med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter i motsvarande fall som myndigheter.
Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen i lagen om yrkeshögskolan ska omfatta behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Den bestämmelse för myndigheter som föreslås i propositionen Ny dataskyddslag är mer långtgående (se avsnitt 13.2.1). Den innebär att myndigheter, även i annat fall får behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Regeringen anser att kompletterande reglering i lagen om yrkeshögskolan bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform. Eftersom det redan konstaterats i avsnitt 8 att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse anser regeringen att det är tillräckligt att i den kompletterande bestämmelsen i lagen om yrkeshögskolan ange att behandlingen av personuppgifter ska vara nödvändig i verksamheten. I övrigt bör bestämmelsens utformning följa den föreslagna formuleringen i dataskyddslagen.
Regeringens uppfattning är att en bestämmelse som möjliggör för enskilda utbildningsanordnare inom yrkeshögskolan att behandla känsliga personuppgifter i annat fall om det är nödvändigt av hänsyn till ett viktigt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet, i t.ex. faktiskt verksamhet som undervisning, står i proportion till det eftersträvade syftet. En bestämmelse med sådana starkt begränsande rekvisit tillgodoser enligt regeringen dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. I avsnitt 13.5.5 föreslås dessutom vissa sökbegränsningar i fråga om känsliga personuppgifter.
Av samma skäl som gör sig gällande i fråga om de enskilda utbildningsanordnarna inom yrkeshögskolan, bör en motsvarande bestämmelse som möjliggör behandling av känsliga personuppgifter även i annat fall införas för dem som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Utredningen har även föreslagit ett bemyndigande i lagen om yrkeshögskolan för regeringen att meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter. Något motsvarande bemyndigande har inte föreslagits i lagen om tillstånd att utfärda vissa examina, trots att behovet av behandling av känsliga personuppgifter är likartat på det området. Det finns i dagsläget inte heller något som tyder på att det skulle finnas ett behov av att införa kompletterande bestämmelser på förordningsnivå. Regeringen anser därför att det saknas behov av att införa ett bemyndigande för regeringen att meddela ytterligare föreskrifter om behandling av känsliga personuppgifter. Skulle ett sådant behov trots allt uppstå finns dock en möjlighet för regeringen att meddela föreskrifter med stöd av bemyndigandet i 3 kap. 4 § dataskyddslagen.
Hänvisningar till S13-5-4
- Prop. 2017/18:218: Avsnitt Författningskommentar till 19 d § lagen (2009:128) om yrkeshögskolan
13.5.5. Det ska vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter
Regeringens förslag: Det ska vara förbjudet för enskilda utbildningsanordnare inom yrkeshögskolan att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.
Regeringens bedömning: Motsvarande bestämmelse bör införas för dem som anordnar utbildning som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Utredningens förslag: Utredningen har föreslagit ett förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.
Academedia AB tillstyrker utredningen förslag.
Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.
Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Skälen för regeringens förslag och bedömning: I propositionen Ny dataskyddslag (2017/18:105) föreslås det införas en skyddsåtgärd som innebär ett förbud mot att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen). Sökförbudet gäller för myndigheter vid tillämpningen av samtliga de bestämmelser om behandling av känsliga personuppgifter som finns i 3 kap. 3 § första stycket dataskyddslagen, dvs. vid behandling som krävs enligt lag, vid behandling som är nödvändig för handläggningen av ett ärende och vid behandling i enstaka fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. I avsnitt
13.2.2 har redogjorts för detta sökförbud och skälen för att införa sökförbudet. Eftersom sökförbudet gäller myndigheter omfattar det offentliga utbildningsanordnare inom yrkeshögskolan, men inte enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. De skäl som finns för att sökförbudet ska gälla för myndigheter, såsom offentliga utbildningsanordnare inom yrkeshögskolan, gör sig dock gällande även för enskilda utbildningsanordnare inom yrkeshögskolan. Regeringen föreslår därför, till skillnad mot Dataskydd.net, att en motsvarande bestämmelse som innebär att enskilda utbildningsanordnare inom yrkeshögskolan inte får utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska införas i lagen om yrkeshögskolan.
Av samma skäl som gör sig gällande i fråga om de enskilda utbildningsanordnarna inom yrkeshögskolan, bedömer regeringen att en motsvarande bestämmelse om sökbegränsningar även bör införas för dem som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Regeringens förslag och bedömning innebär att regleringen får en något annorlunda utformning än vad som föreslagits av Utbildningsdatautredningen. Liksom förslaget i betänkandet syftar dock regeringens förslag och bedömning till att införa en kompletterande reglering som motsvarar den som föreslås i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.
Hänvisningar till S13-5-5
- Prop. 2017/18:218: Avsnitt Författningskommentar till 19 d § lagen (2009:128) om yrkeshögskolan
13.6. Folkbildningen bör ges rättsligt stöd för att behandla känsliga personuppgifter
Regeringen bedömning: Folkhögskolorna och studieförbunden bör inte behandla känsliga personuppgifter inom statsbidragsfinansierad folkbildning med stöd av samtycke utan bör ges rättsligt stöd för behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i EU:s dataskyddsförordning.
Utredningens bedömning: Utredningen bedömer att folkhögskolornas och studieförbundens behandling av känsliga personuppgifter kan ske med stöd av den rättsliga grunden samtycke i artikel 9.2 a i dataskyddsförordningen.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.
Det
gäller t.ex.
Folkbildningsrådet, Lärarnas Riksförbund, Lärarförbundet
och Studieförbundet SISU Idrottsutbildarna.
Migrationsverket påpekar att om det i folkhögskolornas verksamhet för asylsökande med stöd av förordningen (2015:521) om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända invandrare förekommer en uppgift om ett dossiénummer, så röjer det i någon mån att en person är eller har varit asylsökande. Det kan därför
finnas anledning att överväga om uppgiften ska anses som integritetskänslig vid behandling av personuppgifter.
Datainspektionen delar inte utredningens uppfattning att folkhögskolor och studieförbund kan stödja sin behandling av känsliga personuppgifter på samtycke, eftersom det inte går att utgå från att en frivillig studieform innebär att även behandlingen av personuppgifter är frivillig. Även Studieförbunden i samverkan vänder sig emot utredningens bedömning att studieförbunden enbart ska använda samtycke som rättslig grund för sin personuppgiftsbehandling.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt.
Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna och Statistiska centralbyrån tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: Det förekommer att vissa folkhögskolor och studieförbund som anordnar kontakttolkutbildning antecknar tolkspråket i sitt register. Folkhögskolor och studieförbund som anordnar sådan utbildning kan under vissa förutsättningar erhålla statsbidrag som beviljas av Myndigheten för yrkeshögskolan enligt förordningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk. Uppgifter om namn och språkkunskaper har i vissa utredningar ansetts utgöra indirekta upplysningar om en persons etniska ursprung (t.ex. SOU 2001:32 s. 124 och SOU 2003:40 s. 180). Datainspektionen har i en rapport angett att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung (Datainspektionens rapport 2002:2, s. 8). Regeringen har dock tidigare bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). I linje med dess tidigare bedömning anser regeringen att en uppgift om tolkspråk i sig inte utgör en känslig personuppgift, men att den tillsammans med andra uppgifter kan bli en uppgift om etniskt ursprung, alltså en känslig personuppgift. Det är svårt att uttala sig generellt om gränsdragningen för när sådana uppgifter utgör känsliga personuppgifter.
Liknande gränsfrågor skulle kunna uppstå i den verksamhet som bedrivs av folkhögskolor och studieförbund och som avser särskilda insatser för personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., eller avses i förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar och som bor i Migrationsverkets anläggningsboende, och för vilka statsbidrag kan lämnas enligt förordningen (2015:521) om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända invandrare, som också har uppmärksammats av Migrationsverket.
Utredningen om ökad insyn i välfärden (S 2015:04) har i betänkandet Ökad insyn i välfärden (SOU 2016:62 s. 168 ff.) föreslagit att folkhögskolor som anordnar utbildning som motsvarar kommunal vuxenutbildning i svenska för invandrare enligt 24 kap. 11−15 §§skollagen ska omfattas av offentlighetsprincipen. Offentlighetsprincipen föreslås dock begränsas till de handlingar som hör till den offentligt finansierade verk-
samheten. Stöd för behandling av känsliga personuppgifter som eventuellt förekommer i dessa handlingar berörs i avsnitt 13.3.2.
Vidare kan folkhögskolorna ansöka om statsbidrag för kostnader för särskilt utbildningsstöd som erbjuds studerande med funktionsnedsättningar enligt förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd. Ansökan görs till Specialpedagogiska skolmyndigheten (SPSM). Såvitt Utbildningsdatautredningen erfarit lämnas inga direkta personuppgifter in i samband med ansökan. I ansökan framgår endast uppgift om kön och funktionsnedsättning per skola och kurs (SOU 2017:49 s. 358). Då själva ansökan till SPSM inte innehåller några personuppgifter behöver folkhögskolorna inte något rättsligt stöd för att behandla dessa uppgifter i ansökan. Även om en ansökan om statsbidrag för särskilt utbildningsstöd inte innehåller några känsliga personuppgifter kan folkhögskolorna i sin verksamhet behöva behandla sådana uppgifter inför upprättande av ansökan och beträffande studerande med funktionsnedsättning. I dagsläget hämtar folkhögskolorna in en form av samtycke från de studerande för behandlingen.
Folkhögskolorna och studieförbunden som bedriver statsbidragsfinansierad folkbildning kan alltså i vissa sammanhang ha behov av att behandla känsliga personuppgifter. Av de skäl som angetts i avsnitt 9.4.2, delar regeringen Datainspektionens och Studieförbunden i samverkans uppfattning att personuppgiftbehandlingen inte bör grundas på samtycke. Då behandlingen inte omfattas av de generella bestämmelser för myndigheter som föreslås i 3 kap. 3 § dataskyddslagen om sådan behandling av känsliga personuppgifter som krävs enligt lag, i ärenden eller i annat fall, behöver folkhögskolorna och studieförbundet därför ges ett rättsligt stöd för behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Av avsnitt 12 framgår att regeringen bedömer att regleringen kan införas på förordningsnivå.
13.7. Studiestödsdatalagens bestämmelser om känsliga personuppgifter ska hänvisa till dataskyddsförordningen
Regeringens bedömning: CSN ska även i fortsättningen få behandla känsliga personuppgifter för de ändamål som anges i studiestödsdatalagen.
Regeringens förslag: Studiestödsdatalagens uppräkning av de känsliga personuppgifter som bara får behandlas för vissa ändamål ska ersättas av en hänvisning till artikel 9.1 och 9.2 g i EU:s dataskyddsförordning.
Studiestödsdatalagens uppräkning av känsliga personuppgifter som inte får användas som sökbegrepp ska ersättas av en hänvisning till artikel 9.1 i dataskyddsförordningen.
Utredningens förslag och bedömning: Utredningens bedömning överensstämmer med regeringens. Utredningen föreslår dock att studiestödsdatalagens bestämmelser om CSN:s behandling av känsliga person-
uppgifter och sökförbud ska kompletteras med de nya kategorier av känsliga personuppgifter som anges i artikel 9.1 i dataskyddsförordningen.
Remissinstanserna: Det stora flertalet remissinstanser, däribland
Centrala studiestödsnämnden, har inte några synpunkter på eller har inget att erinra mot utredningens förslag och bedömning.
Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.
Migrationsverket anser att det kan finnas anledning att överväga om underrättelser som Migrationsverket lämnar med stöd av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemet till berörda myndigheter om att en ekonomisk förmån har beslutats eller betalats ut felaktigt eller med ett för högt belopp kan
innefatta integritetskänsliga personuppgifter.
Datainspektionen delar uppfattningen att ett undantag kan grundas på artikel 9.2 g i dataskyddsförordningen, men under förutsättning att det är frågan om ett viktigt allmänt intresse och det ska gälla alla kategorier av känsliga personuppgifter och alla behandlingar som bestämmelsen omfattar. En sådan bestämmelse kräver också enligt förordningen lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Datainspektionen saknar en analys och redovisning av bestämmelsen i förhållande till artikel 9.2 g. Datainspektionen avstyrker förslaget att behålla bestämmelsen om känsliga personuppgifter i sin nuvarande utformning. Datainspektionen anser också att det bör hänvisas till artikel 9.2 g i dataskyddsförordningen eftersom det är den bestämmelsen som utgör det faktiska undantaget. Utan en sådan hänvisning är det inte tydligt vare sig för den personuppgiftsansvarige eller den registrerade med vilket stöd som behandlingen av känsliga personuppgifter sker. Dataskydd.net avstyrker förslagen och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.
Skälen för regeringens bedömning och förslag
CSN ska även fortsättningsvis kunna behandla känsliga personuppgifter för de i studiestödsdatalagen angivna ändamålen
Regeringen har i samband med införandet av studiestödsdatalagen i propositionen Behandling av personuppgifter inom studiestödsområdet (prop. 2008/09:96) gjort en analys av s CSN behov av behandling av känsliga personuppgifter. I propositionen konstaterar regeringen bl.a. att vissa av de känsliga personuppgifterna som anges i 13 § PUL normalt inte torde förekomma i CSN:s studiestödsverksamhet, men att det dock inte kan uteslutas att uppgifter som avslöjar t.ex. ras eller filosofisk övertygelse kan förekomma i verksamheten. Även om CSN inte efterfrågar sådana uppgifter kan de ändå förekomma som information i t.ex. ansökningshandlingar eller intyg som lämnas in till myndigheten. Enligt regeringen ska därför samtliga känsliga personuppgifter som avses i 13 § PUL omfattas av studiestödsdatalagen (prop. 2008/09:96 s. 48–49).
Till följd av den i propositionen gjorda analysen anges i studiestödsdatalagen att behandling av personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller med-
lemskap i fackförening eller som rör hälsa eller sexualliv får behandlas bara för att – handlägga ärenden i studiestödsverksamheten, om uppgifterna har
lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, – anmäla oegentligheter inom studiestödsverksamheten till ett offentligt
organ som har att utreda eller beivra oegentligheten, – lämnas ut till den registrerade själv, riksdagen och regeringen samt i
den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra, och – ge tillgång till vägledande avgöranden, om uppgifterna inte direkt
pekar ut den registrerade (6 § studiestödsdatalagen).
När det gäller den av Datainspektionen efterfrågade analysen, anser regeringen således att CSN:s behov av behandling av känsliga personuppgifter redan har analyserats och att det saknas anledning att nu göra en förnyad analys. I fråga om Datainspektionens påpekande att behandling av känsliga personuppgifter enligt artikel 9.2 g i dataskyddsförordningen förutsätter att det är fråga om ett viktigt allmänt intresse, kan konstateras att regeringen i avsnitt 9.5.2 har redogjort för varför CSN:s studiestödsverksamhet bedöms utgöra en uppgift av allmänt intresse och att regeringen av samma skäl anser att verksamheten även utgör ett viktigt allmänt intresse. De specifika avgränsningar som gäller för behandlingen uppfyller enligt regeringens mening också dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Mot denna bakgrund anser regeringen att CSN alltjämt ska ha möjlighet att behandla känsliga personuppgifter för de i studiestödsdatalagen angivna ändamålen. När det gäller underrättelser som inkommer till CSN till följd av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemet, som uppmärksammats av Migrationsverket, anser regeringen att eventuella känsliga personuppgifter i sådana underrättelser bör kunna behandlas med stöd av den bestämmelse som gäller för CSN:s handläggning av ärenden.
Studiestödsdatalagens uppräkning av känsliga personuppgifter ska ersättas av en hänvisning till artikel 9.1 i dataskyddsförordningen
Utredningen föreslår att uppräkningen i 6 § studiestödsdatalagen av vilka kategorier av känsliga personuppgifter som får behandlas ska kompletteras med de nya kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen, dvs. genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en person och uppgifter om sexuell läggning.
Regeringen har i propositionen Ny dataskyddslag (2017/18:105) föreslagit ett antal bestämmelser i dataskyddslagen om när känsliga personuppgifter ska få behandlas. Dataskyddslagen föreslås dock inte innehålla någon uppräkning av de kategorier av uppgifter som utgör känsliga personuppgifter. Däremot anges att med begreppet känsliga personuppgifter avses i lagen sådana känsliga personuppgifter som anges i artikel 9.1 i EU:s dataskyddslag (3 kap. 1 § dataskyddslagen). Vidare
har varken utredningen eller regeringen sett skäl att i skollagen, lagen om tillstånd att utfärda vissa examina eller lagen om yrkeshögskolan, i anslutning till de bestämmelser som anger när känsliga personuppgifter får behandlas med stöd av artikel 9.2 g i dataskyddsförordningen, göra en uppräkning av vilka kategorier av uppgifter som utgör känsliga personuppgifter. Regeringen ser mot denna bakgrund, och mot bakgrund av att likartade lagtekniska lösningar efterfrågats av Justitiekanslern, inte skäl att i studiestödsdatalagen ha en uppräkning av de olika kategorierna av känsliga personuppgifter. Regeringen föreslår därför att det i 6 § studiestödsdatalagen i stället ska anges att sådana personuppgifter som avses i artikel 9.1 i dataskyddsförordningen med stöd av artikel 9.2 g i EU:s dataskyddsförordning får behandlas av CSN för de i lagen angivna ändamålen. I paragrafen bör även kortformen känsliga personuppgifter införas som benämning på sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen.
Studiestödsdatalagens förbud mot sökbegrepp ska hänvisa till dataskyddsförordningen
Vilka sökbegrepp som, förutom i vissa undantagsfall, inte får användas i CSN:s studiestödsverksamhet regleras i 8 § studiestödsdatalagen. Förbudet omfattar bland annat känsliga personuppgifter enligt motsvarande definition som PUL, dvs. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.
Som framgått ovan anser regeringen, att studiestödsdatalagens bestämmelse om behandling av känsliga personuppgifter, genom en hänvisning till dataskyddsförordningen, bör omfatta samtliga de kategorier av personuppgifter som anges i artikel 9.1 i förordningen. Följaktligen delar regeringen också utredningens bedömning att även studiestödsdatalagen förbud mot vissa sökbegrepp ska omfatta samtliga de kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen. Regeringen anser dock att förbudet i 8 §, i stället för att innehålla en uppräkning av alla kategorier av känsliga personuppgifter, bör hänvisa till sådana personuppgifter som avses i artikel 9.1 i dataskyddsförordningen och som benämns känsliga personuppgifter.
Hänvisningar till S13-7
14. Sektorslagstiftningen ska kompletteras med bestämmelser om behandling av personuppgifter som rör lagöverträdelser
14.1. Dataskyddsförordningen tillåter bara behandling av personuppgifter som rör lagöverträdelser i vissa fall
Enligt dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed samman-
hängande säkerhetsåtgärder endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs
.
Ett fullständigt register över fällande domar i
brottmål får endast föras under kontroll av en myndighet (artikel 10). Regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18 s. 98) är att artikel 10 i förordningen, för svenskt vidkommande, tar sikte på personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel.
En motsvarande bestämmelse finns i dag i artikel 8.5 i dataskyddsdirektivet, där det framgår att uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får behandlas endast under kontroll av en myndighet eller med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Artikel 8.5 i dataskyddsdirektivet har genomförts i svensk rätt genom 21 § PUL, vars första stycke är avsett att uppfylla det som krävs enligt artikel 8.5 (prop. 1997/98:44, s. 129).
Artikel 10 i dataskyddsförordningen skiljer sig dock något från regleringen i direktivet. Förordningens bestämmelse har begränsats till enbart fällande brottmålsdomar. En annan skillnad i förordningen jämfört med direktivet är att hänvisningen till personuppgifter om avgöranden i tvistemål och administrativa sanktioner har tagits bort. Som regeringen konstaterar i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 98) innebär detta att uppgifter om administrativa frihetsberövanden inte omfattas av någon särskild reglering enligt dataskyddsförordningen, om de inte utgör känsliga personuppgifter enligt artikel 9.1, exempelvis om de också avslöjar uppgifter om etniskt ursprung eller psykisk ohälsa.
I det följande används begreppet lagöverträdelser som ett samlingsbegrepp för de personuppgifter som avses i artikel 10 i dataskyddsförordningen.
14.2. Dataskyddslagen kompletterar dataskyddsförordningen
I propositionen Ny dataskyddslag (2017/18:105) föreslår regeringen att bestämmelser om behandling av personuppgifter som rör lagöverträdelser införs i dataskyddslagen. I lagen anges att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter och att även andra än myndigheter får behandla sådana personuppgifter om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 §).
Regeringen eller den myndighet som regeringen bestämmer bemyndigas att meddela föreskrifter om i vilka fall andra än myndigheter får behandla de aktuella personuppgifterna. Vidare bemyndigas den myndighet som regeringen bestämmer att i enskilda fall besluta att andra än myndigheter får behandla nämnda personuppgifter (3 kap. 9 §). Dataskyddsutredningen har också i sitt betänkande (SOU 2017:39 s. 55 f.) föreslagit en ny förordning med kompletterande bestämmelser om behandling av personuppgifter som rör lagöverträdelser med ett bemyndigande för Datainspektionen att meddela ytterligare föreskrifter härom.
14.3. Kompletterande bestämmelser om lagöverträdelser ska införas i skollagen
Hänvisningar till S14-3
- Prop. 2017/18:218: Avsnitt Författningskommentar till 1 § skollagen (2010:800)
14.3.1. Det finns behov av behandling av personuppgifter som rör lagöverträdelser i skollagsreglerad verksamhet
I skollagen finns bestämmelser om disciplinära och andra särskilda åtgärder. Med sådana åtgärder avses utvisning, kvarsittning, tillfällig omplacering, tillfällig placering vid annan skolenhet, avstängning och omhändertagande av föremål. Rektor eller en lärare får vidta de omedelbara och tillfälliga åtgärder som är befogade för att tillförsäkra eleverna trygghet och studiero eller för att komma till rätta med en elevs ordningsstörande uppträdande. Huvudmannen får under vissa förutsättningar besluta att helt eller delvis stänga av en elev från gymnasieskolan, gymnasiesärskolan, kommunal vuxenutbildning och särskild utbildning för vuxna (5 kap. skollagen).
Om vissa särskilda åtgärder vidtagits enligt 5 kap. skollagen, såsom t.ex. utvisning ur undervisningslokalen, tillfällig omplacering till en annan undervisningsgrupp än den eleven annars hör till, tillfällig placering till en annan skolenhet, avstängning från vissa obligatoriska skolformer och avstängning från de frivilliga skolformerna, ska åtgärden dokumenteras skriftligt av den som genomfört den (5 kap. 24 § skollagen).
I samband med att disciplinära eller andra särskilda åtgärder, t.ex. avstängning, behöver vidtas kan det i vissa fall vara nödvändigt att behandla en uppgift om bl.a. lagöverträdelser. Ett exempel kan vara i ett ärende rörande avstängning av en narkotikapåverkad elev som dyker upp i skolan och är farlig för sig själv eller andra. I detta sammanhang skulle det, om eleven tidigare har dömts för t.ex. ringa narkotikabrott, kunna bli aktuellt att även anteckna den uppgiften.
Även inom elevhälsan skulle det kunna uppstå situationer där det finns ett berättigat behov av att i löpande text behandla en uppgift om en lagöverträdelse. Datainspektionen har också genom föreskrifter möjliggjort för den elevvårdande verksamheten i fristående skolor att i anteckningar behandla uppgifter om bl.a. lagöverträdelser (1 § b Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. [DIFS 1998:3] som ändrats genom DIFS 2010:1). För dessa skolor har det således bedömts finnas ett behov av att i den elevvårdande verksamheten kunna behandla uppgifter om bl.a. lagöverträdelser i anteckningar, dvs. löpande text. Begreppet elevvårdande verksamhet används dock inte i skollagen, utan i stället används begreppet elevhälsa som ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser (2 kap. 25 § skollagen).
14.3.2. Behandling av personuppgifter som rör lagöverträdelser ska tillåtas i vissa fall
Regeringens förslag: I skollagen ska det anges att personuppgifter om lagöverträdelser som avses i artikel 10 i EU:s dataskyddsförordning ska få behandlas i verksamhet hos en huvudman för en fristående skola dels i elevhälsan i löpande text, dels i skriftlig dokumentation som ska föras om disciplinära och andra särskilda åtgärder enligt skollagen. Behandlingen ska vara tillåten om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningen har föreslagit att fristående skolor får behandla personuppgifter om lagöverträdelser om det är absolut nödvändigt i löpande text inom elevhälsan och i skriftlig dokumentation om särskilda åtgärder enligt skollagen.
Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte kommenterat utredningens förslag. Stockholms kommun anser att förslaget är väl avvägt. Statens skolinspektion framhåller att det enligt skollagen råder en skyldighet för den som erbjuds en anställning inom förskolan, förskoleklassen, fritidshemmet, grundskolan, grundsärskolan, specialskolan och annan pedagogisk verksamhet att lämna ett utdrag ur belastningsregister och att det därför behövs en reglering för samtliga skolformer som avser behandling av personuppgifter om lagöverträdelser m.m. Även Friskolornas riksförbund uppmärksammar detta behov.
Dataskydd.net avstyrker utredningens förslag med motiveringen att det redan regleras i dataskyddsförordningen när personuppgifter om lagöverträdelser får behandlas och att ytterligare reglering skulle framstå som missvisande.
Skälen för regeringens förslag: Av artikel 10 i dataskyddsförordningen följer att uppgifter om lagöverträdelser får behandlas om det sker under kontroll av myndighet, vilket enligt regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 99) innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter som rör lagöverträdelser. Enligt förslaget i den propositionen har det i 3 kap. 8 § dataskyddslagen förtydligats att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen.
Inom utbildning med offentlig huvudman kommer alltså personuppgifter som rör lagöverträdelser kunna behandlas.
Någon motsvarande möjligt att behandla uppgifter om lagöverträdelser som omfattar enskilda skolhuvudmän föreslås dock inte i dataskyddslagen. Behovet av att behandla uppgifter om lagöverträdelser är dock detsamma hos enskilda skolhuvudmän som hos offentliga, då det omfattas av samma regelverk i skollagen. Exempelvis kan nämnas att bestämmelser om tillfällig omplacering och avstängning i 5 kap. skollagen tar sikte på bl.a. övriga elevers trygghet och studiero. Det måste därmed anses vara lika angeläget att det i fristående skolor är möjligt att behandla personuppgifter som rör lagöverträdelser i dessa sammanhang som i skolor med offentlig huvudman. Till skillnad från Dataskydd.net anser regeringen därför att en bestämmelse som möjliggör att hos
huvudmän för fristående skolor behandla personuppgifter som rör lagöverträdelser dels i elevhälsan, dels i skriftlig dokumentation som ska föras om disciplinära och andra särskilda åtgärder enligt 5 kap. 24 § skollagen, bör införas i skollagen. I likhet med den bestämmelse om lagöverträdelser som föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) bör bestämmelsen, i stället för att innehålla en uppräkning av de personuppgifter som får behandlas, formuleras så att den hänvisar till de personuppgifter som avses i artikel 10 i dataskyddsförordningen.
Däremot kommer det behov av behandling av personuppgifter från belastningsregister som Statens skolinspektion framhåller att upphöra. I lagrådsremissen Offentlighetsprincipen ska gälla i fristående skolor föreslås att den skyldighet som följer av 2 kap. 31 § skollagen, att i samband med anställningen inom det skollagsreglerade området lämna ett utdrag från belastningsregister, ska ersättas med en skyldighet att visa upp ett utdrag från belastningsregistret. Det ska enligt förslaget endast antecknas att den sökande har visat upp registerutdraget men inte innehållet i registerutdraget. Det innebär att de uppgifter om lagöverträdelser som eventuellt finns på registerutdraget inte kommer att behandlas. Ändringen föreslås träda i kraft den 1 juli 2019, och något behov av att behandla uppgifter om lagöverträdelser och liknande i belastningsregisterutdrag kommer därför inte finnas efter det.
En bestämmelse som möjliggör att i fristående skolor behandla personuppgifter som rör lagöverträdelser måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som betonar att det är fråga om en restriktiv tillämpning där en noggrann avvägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Utbildningsdatautredningen har med utgångspunkten i Dataskyddsutredningens förslag till bestämmelsen om myndigheters behandling av känsliga personuppgifter i enstaka fall (3 kap. 3 § 3) föreslagit att fristående skolor ska få behandla personuppgifter om lagöverträdelser om det är absolut nödvändigt i löpande text inom elevhälsan och för dokumentation om särskilda åtgärder enligt skollagen. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås en bestämmelse i dataskyddslagen om myndigheters behandling av känsliga personuppgifter i annat fall med en ändrad lydelse i förhållande till betänkandet. Enligt förslaget i propositionen ska myndigheter få behandla känsliga personuppgifter i annat fall om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § 3). I syfte att skapa så enhetlig reglering som möjligt anser regeringen att det är lämpligt att använda samma typ av begränsning som i dataskyddslagen. Behandling av personuppgifter som rör lagöverträdelser bör enligt regeringens uppfattning därför tillåtas om det är nödvändigt för dokumentation i löpande text inom elevhälsan och dokumentation av vidtagna disciplinära och andra särskilda åtgärder, under förutsättning att behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. På detta sätt skapas en möjlighet för dels elevhälsan, dels huvudman, rektor och lärare att, när de har en skyldighet enligt 5 kap. 24 § skollagen att dokumentera åtgärder, behandla nödvändiga uppgifter om t.ex. fällande domar samtidigt som den enskilda elevens integritet
skyddas genom att bestämmelsen ska tillämpas restriktivt. En bestämmelse med sådana begränsande rekvisit får anses uppfylla kraven i artikel 10 i dataskyddsförordningen och bör därför införas.
Då det redan i dagsläget är tillåtet att hos huvudmän för fristående skolor behandla uppgifter om lagöverträdelser i löpande text med stöd av 5 a § PUL blir den föreslagna bestämmelsens intrång i de enskildas integritet varken större eller mindre än med gällande bestämmelser.
Hänvisningar till S14-3-2
- Prop. 2017/18:218: Avsnitt 20.4
14.4. Kompletterande bestämmelser om lagöverträdelser ska införas i lagen om tillstånd att utfärda vissa examina
Hänvisningar till S14-4
- Prop. 2017/18:218: Avsnitt Författningskommentar till 10 § lagen (1993:792) om tillstånd att utfärda vissa examina
14.4.1. Det finns behov av behandling av personuppgifter som rör lagöverträdelser på högskoleområdet
Som angetts i avsnitt 3.4.1, får en student vid en statlig högskola under vissa förutsättningar avskiljas från utbildningen. En sådan grund för avskiljande är att studenten har gjort sig skyldig till allvarlig brottslighet (4 kap. 6 § högskolelagen och förordningen [2007:989] om avskiljande av studenter från högskoleutbildning). Detta medför att statliga högskolor kan behöva behandla personuppgifter som rör fällande domar i brottmål i utredningar och ärenden om avskiljande.
Vidare finns det samma behov hos enskilda utbildningsanordnare att ha motsvarande regler om disciplinära åtgärder och avskiljande som statliga högskolor. Chalmers tekniska högskola AB, Handelshögskolan i Stockholm och Stiftelsen högskolan i Jönköping är exempel på enskilda utbildningsanordnare som har en disciplinstadga eller ett regelverk för disciplinära åtgärder och där allvarlig brottslighet kan utgöra grund för åtgärd. Även enskilda utbildningsanordnare har således behov av att kunna behandla personuppgifter om fällande domar i brottmål i utredningar och i ärenden om disciplinära åtgärder och avskiljande.
14.4.2. Behandling av personuppgifter som rör fällande domar i brottmål ska tillåtas i ärenden om avskiljande från utbildning
Regeringens förslag: I lagen om tillstånd att utfärda vissa examina ska det anges att enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning.
Regeringens bedömning: Något sökförbud behövs inte för personuppgifter som rör fällande domar i brottmål.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling av personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av en student från utbildning om det är absolut nödvändigt för ändamålet
med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Utredningen har också föreslagit ett förbud mot att använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål.
Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte kommenterat utredningens förslag. Sveriges lantbruksuniversitet anser att det skulle kunna förtydligas vad som avses med det av utredningen föreslagna sökförbudet. Dataskydd.net avstyrker utredningens förslag med motiveringen att det redan regleras i dataskyddsförordningen när personuppgifter om lagöverträdelser får behandlas och att ytterligare reglering skulle framstå som missvisande.
Skälen för regeringens förslag och bedömning
Av avsnitt 14.3.2 framgår att det i propositionen Ny dataskyddslag (prop. 2017/18:105) har föreslagits att det i 3 kap. 8 § dataskyddslagen ska förtydligas att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. Statliga högskolor kommer alltså att kunna behandla personuppgifter om fällande domar i ärenden om avskiljande av studenter från utbildningen.
Frånvaron av offentligrättslig reglering om avskiljande av studenter för enskilda utbildningsanordnare betyder inte att frågan är av underordnad betydelse för deras del. Som framgår i avsnitt 13.4.1 har flera enskilda utbildningsanordnare en egen disciplinstadga eller liknande. Vidare tar bestämmelser om avskiljande sikte på bl.a. övriga studenters och utbildningsanordnarnas arbetstagares och studenters säkerhet. Det måste därmed anses vara lika angeläget att enskilda utbildningsanordnare har möjlighet att behandla personuppgifter som rör fällande domar i brottmål i deras motsvarighet till ärenden om avskiljande. Regeringen föreslår därför, i motsats till vad Dataskydd.net anför, att en bestämmelse som möjliggör detta införs i lagen om tillstånd att utfärda vissa examina. Eftersom något behov för de enskilda utbildningsanordnarna att behandla andra slags personuppgifter som avses i artikel 10 i dataskyddsförordningen inte har identifierats, anser regeringen att bestämmelsen bör begränsas till att avse fällande domar i brottmål.
En bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål måste dock omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter (artikel 10 i dataskyddsförordningen).
Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen ska omfatta behandling av personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av en student från utbildning om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära (SOU 2017:49). Den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna bestämmelsen i dataskyddslagen om myndigheters behandling av känsliga personuppgifter för handläggningen av ett ärende har utformats utan några särskilda avvägningsrekvisit. Enligt förslaget i propo-
sitionen får myndigheter behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § 2). Regeringen anser att kompletterande reglering i lagen om tillstånd att utfärda vissa examina som avser de enskilda utbildningsanordnarnas behandling av personuppgifter som rör fällande domar som är nödvändig i ärenden om avskiljande av student från utbildningen bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. Regeringens uppfattning är att den snäva avgränsning som endast ger möjlighet för enskilda utbildningsanordnare att behandla personuppgifter om fällande domar i brottmål i ett specifikt ärendeslag, dvs. avskiljande från utbildningen, utgör en sådan skyddsåtgärd som avses i artikel 10 dataskyddsförordningen.
Något sökförbud behövs inte i fråga personuppgifter som rör fällande domar i brottmål
Utbildningsdatautredningen har i sitt betänkande även föreslagit ett förbud för enskilda utbildningsanordnare att använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås inte något förbud för myndigheter att som sökbegrepp använda personuppgifter om fällande domar i brottmål eller liknande uppgifter. Med hänsyn till att behandling av personuppgifter som rör fällande domar i brottmål bedöms vara ytterst begränsad inom högre utbildning anser regeringen inte att det är mer angeläget att införa ett sådant förbud för enskilda utbildningsanordnare. Som det framhållits i avsnitt 14.3.2 strävar regeringen efter att skapa en reglering om behandling av personuppgifter på utbildningsområdet som motsvarar den som föreslås i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform. Därför avstår regeringen, till skillnad från Utbildningsdatautredningen, från att föreslå några sökbegränsningar med avseende på uppgifter om fällande domar i brottmål i lagen om tillstånd att utfärda vissa examina.
Hänvisningar till S14-4-2
- Prop. 2017/18:218: Avsnitt Författningskommentar till 14 § lagen (1993:792) om tillstånd att utfärda vissa examina
14.5. Kompletterande bestämmelser om lagöverträdelser ska införas i lagen om yrkeshögskolan
Hänvisningar till S14-5
- Prop. 2017/18:218: Avsnitt Författningskommentar till 19 a § lagen (2009:128) om yrkeshögskolan
14.5.1. Det finns behov av behandling av personuppgifter som rör lagöverträdelser i yrkeshögskolan och annan eftergymnasial utbildning
Som angetts i avsnitt 13.5.1, får studerande inom yrkeshögskola som bedrivs offentliga utbildningsanordnare, under vissa förutsättningar avskiljas från utbildningen. En sådan grund för avskiljande är att studenten har gjort sig skyldig till allvarlig brottslighet (19 § lagen om yrkeshögskolan). Detta medför att offentliga anordnare av utbildning inom yrkeshögskolan kan behöva behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande.
Enskilda utbildningsanordnare har motsvarande behov av regler om disciplinära åtgärder och avskiljande som statliga högskolor. Även enskilda utbildningsanordnare kan således ha bestämmelser som till viss del motsvarar ett avskiljande enligt den reglering som gäller för offentliga utbildningsanordnare, och därmed ha behov av att behandla personuppgifter om fällande domar i brottmål.
Det går inte heller att utesluta att även anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har egna regelverk om avskiljande. Även dessa enskilda utbildningsanordnare kan således ha bestämmelser som till viss del motsvarar ett avskiljande enligt den reglering som gäller för offentliga utbildningsanordnare och därmed ha behov att behandla personuppgifter om fällande domar i brottmål.
14.5.2. Behandling av personuppgifter som rör lagöverträdelser m.m. ska tillåtas i ärenden om avskiljande från utbildning
Regeringens förslag: I lagen om yrkeshögskolan ska det anges att enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål om behandlingen är nödvändig för hantering som motsvarar handläggning av ett ärende om att avskilja en student från utbildning.
Regeringens bedömning: En motsvarande bestämmelse bör införas i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Något sökförbud för personuppgifter som rör fällande domar i brottmål behövs inte i lagen eller förordningen.
Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling av personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av en student från utbildning om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Utredningen har också föreslagit ett förbud mot att använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål.
Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte kommenterat utredningens förslag. Dataskydd.net avstyrker utredningens förslag med motiveringen att det redan regleras i dataskyddsförordningen när personuppgifter om lagöverträdelser får behandlas och att ytterligare reglering skulle framstå som missvisande.
Skälen för regeringens förslag och bedömning: Av avsnitt 14.3.2 framgår att det i propositionen Ny dataskyddslag (prop. 2017/18:105) har föreslagits att det i 3 kap. 8 § datalyddslagen ska förtydligas att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. Offentliga anordnare av utbildning inom yrkeshögskolan kommer alltså att kunna behandla personuppgifter om fällande domar i ärenden om avskiljande av studerande från utbildningen.
Någon motsvarande möjligt att behandla uppgifter om fällande domar för enskilda utbildningsanordnare inom yrkeshögskolan eller utbildningsanordnare som omfattas av förordningen om stöd för konst- och kulturutbildningar eller vissa andra utbildningar finns dock inte i dataskyddslagen.
Av motsvarande skäl som i avsnitt 14.4.2 anges för att enskilda utbildningsanordnare på högskoleområdet ska få behandla personuppgifter som rör fällande domar i brottmål i ett ärende om avskiljande av studenter från utbildning, anser regeringen att en sådan bestämmelse behöver införas även för enskilda utbildningsanordnare inom yrkeshögskolan.
Regeringen bedömer även av motsvarande skäl att en bestämmelse med motsvarande avgränsningar bör införas i förordningen om stöd till konst- och kulturutbildningar och vissa andra utbildningar.
När det gäller frågan om sökförbud har regeringen i avsnitt 14.4.2 konstaterat att det i propositionen Ny dataskyddslag (prop. 2017/18:105) inte föreslås något förbud för myndigheter att som sökbegrepp använda personuppgifter om fällande domar i brottmål eller liknande uppgifter. Med hänsyn dels till att behandling av personuppgifter som rör fällande domar i brottmål bedöms vara ytterst begränsad inom yrkeshögskolan eller inom konst- och kulturutbildningar, dels till strävan att skapa en reglering om behandling av personuppgifter på utbildningsområdet som motsvarar den som föreslås i dataskyddslagen, avstår regeringen från att föreslå sökbegränsningar med avseende på uppgifter om fällande domar i brottmål i lagen om yrkeshögskolan och förordningen om stöd till konst- och kulturutbildningar.
Hänvisningar till S14-5-2
- Prop. 2017/18:218: Avsnitt Författningskommentar till 19 e § lagen (2009:128) om yrkeshögskolan
14.6. Någon särskild reglering om lagöverträdelser behövs inte för folkhögskolorna eller studieförbunden
Regeringens bedömning: Någon särskild reglering för folkhögskolornas och studieförbundens behandling av personuppgifter som rör lagöverträdelser behövs inte.
Utredningens bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Remissinstanserna har inte kommenterat utredningens bedömning.
Skälen för regeringens bedömning: Folkhögskolorna och studieförbunden har i sin verksamhet inte något behov av att behandla personuppgifter omlagöverträdelser. Något behov av att för deras del särskilt reglera sådan behandling finns därför inte.
14.7. Studiestödsdatalagens bestämmelser om lagöverträdelser ska hänvisa till dataskyddsförordningen
Regeringens bedömning: CSN ska även i fortsättningen få behandla personuppgifter om lagöverträdelser för de ändamål som anges i studiestödsdatalagen. Regeringens förslag: Studiestödsdatalagens uppräkning av de personuppgifter om lagöverträdelser som bara får behandlas för vissa ändamål ska ersättas av en hänvisning till artikel 10 i EU:s dataskyddsförordning.
Utredningens bedömning och förslag: Utredningens bedömning överensstämmer med regeringens bedömning. Utredningen föreslår dock att studiestödsdatalagens bestämmelser om CSN:s behandling av personuppgifter om lagöverträdelser och sökförbud ska innehålla en uppräkning av de kategorier av uppgifter som anges i artikel 10 i dataskyddsförordningen
Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte kommenterat utredningens förslag. Dataskydd.net avstyrker utredningens förslag med motiveringen att det redan regleras i dataskyddsförordningen när personuppgifter om lagöverträdelser får behandlas och att ytterligare reglering skulle framstå som missvisande.
Skälen för regeringens bedömning och förslag: Inom studiestödsverksamheten utförs all behandling av personuppgifter av CSN. Av artikel 10 i dataskyddsförordningen följer att uppgifter om lagöverträdelser får behandlas om det sker under kontroll av myndighet, vilket enligt regeringens bedömning i propositionen Ny dataskyddslag innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter som rör lagöverträdelser (prop. 2017/18:105 s. 99). Enligt förslaget i den propositionen har det i 3 kap. 8 § datalyddslagen förtydligats att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen.
Regleringen i studiestödsdatalagen tillåter behandling av personuppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller om det behövs för handläggningen av det, om det behövs för att anmäla oegentligheter inom studiestödsverksamheten och för utlämnande i de fall som anges i lagen. Sådana personuppgifter får också behandlas för att ge tillgång till vägledande avgöranden, om de inte direkt pekar ut den registrerade (6 §). Denna begränsning har införts i syfte att skydda den personliga integriteten (se prop. 2008/09:96, s. 47–50). Regleringen innebär en begränsning i förhållande till dataskyddsförordningens och dataskyddslagens bestämmelse om myndigheters behandling av lagöverträdelser. Enligt regeringens mening har det inte framkommit skäl att på annat sätt än i dag begränsa möjligheterna till behandling av uppgifter som rör lagöverträdelser m.m. i studiestödsverksamheten. Den nuvarande regleringen av uppgifter som rör behandling av lagöverträdelser för vissa angivna ändamål, som får anses utgöra en sådan specifik bestämmelse för att anpassa
tillämpningen av bestämmelserna i förordningen som är tillåten enligt artikel 6.2 i dataskyddsförordningen, bör därför kvarstå.
I syfte att åstadkomma en enhetligare reglering och i likhet med det förslag som avser behandling av känsliga personuppgifter inom studiestödsverksamheten, föreslår dock regeringen att den uppräkning av personuppgifter om lagöverträdelser m.m. som omfattas av begränsningen i stället ska ersättas med en hänvisning till den bestämmelse i dataskyddsförordningen som reglerar behandlingen av personuppgifter om lagöverträdelser (artikel 10). På motsvarande sätt föreslås också uppräkningen av de personuppgifter om lagöverträdelser som inte får användas som sökbegrepp ersättas av en hänvisning till artikel 10 i dataskyddsförordningen.
Hänvisningar till S14-7
15. Vissa ytterligare anpassningar till dataskyddsförordningen ska göras i studiestödsdatalagen
När det gäller behandling av personuppgifter i CSN:s studiestödsverksamhet som regleras i studiestödsdatalagen har frågor som rör rättslig grund, känsliga personuppgifter och lagöverträdelser redan behandlats i avsnitt 9.5, 13.7 och 14.7. Nedan redogörs för behovet av ytterligare anpassningar av studiestödsdatalagen till dataskyddsförordningen.
15.1. Bestämmelser i studiestödsdatalagen som bedöms vara förenliga med dataskyddsförordningen
Regeringens bedömning:Studiestödsdatalagens bestämmelser om personuppgiftsansvar, ändamål med behandlingen, intern elektronisk tillgång till personuppgifter och elektroniskt utlämnande av personuppgifter är förenliga med dataskyddsförordningen och bör behållas.
Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: Remissinstanserna har inte några synpunkter på bedömningen.
Skälen för regeringens bedömning
Bestämmelsen om personuppgiftsansvar kan och bör behållas
I 3 § studiestödsdatalagen finns en upplysning om att CSN är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Personuppgiftsansvarig enligt dataskyddsförordningen är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas
nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt (artikel 4.7 i dataskyddsförordningen). Som framgår nedan är ändamålen för personuppgiftsbehandlingen reglerade i studiestödsdatalagen. Även i övrigt är personuppgiftsbehandlingen reglerad i studiestödsdatalagen och studiestödsdataförordningen. Enligt regeringens bedömning är därmed bestämmelsen i 3 § studiestödsdatalagen förenlig med dataskyddsförordningen och kan därmed behållas.
Bestämmelserna om ändamål, intern elektronisk tillgång till personuppgifter och elektroniskt utlämnande av personuppgifter kan behållas
I 4 § studiestödsdatalagen regleras vilka ändamål med personuppgiftsbehandlingen som är tillåtna. I 9 § studiestödsdatalagen finns bestämmelser om intern elektronisk tillgång till personuppgifter. Vidare innehåller 10– 14 §§studiestödsdatalagen bestämmelser om direktåtkomst och annat elektroniskt utlämnande av personuppgifter.
Regeringen har i avsnitt 9.5.2 bedömt att det för CSN finns en i enlighet med artikel 6.1 e och artikel 6.3 första stycket i dataskyddsförordningen i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. I sådana fall är det också tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. ändamålsbegränsningar, de allmänna villkor som ska gälla för den personuppgiftsansvariges behandlingar och de enheter till vilka personuppgifter får lämnas ut (artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen). Regeringen anser följaktligen att 4, 9 och 10–14 §§studiestödsdatalagen är förenliga med dataskyddsförordningen och kan och bör behållas.
15.2. Rätten att göra invändningar ska inte gälla behandling av personuppgifter som är tillåten enligt studiestödsdatalagen
Regeringens förslag: I studiestödsdatalagen ska det anges att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt studiestödsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen.
Utredningens bedömning: Överensstämmer med regeringens i fråga om att förutsättningarna för att göra undantag från den registrerades rätt att göra invändningar är uppfyllda. Utredningen anser dock att undantaget i 5 § studiestödsdatalagen fortsatt kan vara formulerat så att behandlingen får utföras även om den registrerade motsätter sig behandlingen.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget.
Centrala studiestödsnämnden anser att bestämmelsen i 5 § studiestödsdatalagen bör ändras så att det tydligare framgår att behandling av personuppgifter får ske trots invändning från den registrerade. Bestämmelsen blir då anpassad till terminologin i dataskyddsförordningens
artikel 21 och det blir tydligare att 5 § studiestödsdatalagen innebär en begränsning med stöd i denna artikel.
Skälen för regeringens förslag
Förutsättningarna för att i studiestödsdatalagen göra undantag från rätten att göra invändningar är uppfyllda
Enligt 5 § studiestödsdatalagen får behandling av personuppgifter som enligt studiestödsdatalagen är tillåten utan den registrerades samtycke utföras även om den registrerade motsätter sig behandlingen. Frågan är om bestämmelsen är förenlig med dataskyddsförordningen
Som angetts i avsnitt 9.5.2 är det regeringens uppfattning att det är den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen som är tillämplig på CSN:s behandling av personuppgifter inom studiestödsverksamheten. Den registrerade ska då ha rätt att göra invändningar mot behandlingar och den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1 i dataskyddsförordningen).
Enligt artikel 23.1 ska det dock i unionsrätten eller i en medlemsstats nationella rätt vara möjligt att införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. artikel 21. En sådan begränsning ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa något av de intressen som listas i artikel 23.1 i dataskyddsförordningen, bl.a. en medlemsstats viktiga mål av generellt allmänt intresse. Vidare måste alla sådana lagstiftningsåtgärder enligt artikel 23.2 innehålla specifika bestämmelser, åtminstone när så är relevant, avseende följande:
a) ändamålen med behandlingen eller kategorierna av behandling,
b) kategorierna av personuppgifter,
c) omfattningen av de införda begränsningarna,
d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller
överföring,
e) specificeringen av den personuppgiftsansvarige eller kategorierna av
personuppgiftsansvariga,
f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av be-
handlingens art, omfattning och ändamål eller kategorierna av behandling,
g) riskerna för de registrerades rättigheter och friheter, och
h) de registrerades rätt att bli informerade om begränsningen, såvida
detta inte kan inverka menligt på begränsningen.
Dataskyddsförordningen ställer därmed högre krav på den nationella begränsande regleringen än dataskyddsdirektivet, eftersom det i dataskyddsdirektivet inte anges några särskilda villkor för en sådan reglering.
När det gäller frågan om de krav som uppställs i artikel 23 i dataskyddsförordningen är uppfyllda kan konstateras att regeringen i avsnitt
9.5.2 har gjort bedömningen att CSN:s studiestödsverksamhet utgör en sådan uppgift av allmänt intresse och även ett sådant viktigt allmänt intresse som avses i artikel 6.1 e och artikel 9.2 g i dataskyddsförordningen. Regeringen anser därför att verksamheten även uppfyller kravet på att verksamheten ska syfta till att ett viktigt mål av generellt allmänt intresse enligt artikel 23.1 e.
Vidare innehåller studiestödsdatalagen med tillhörande förordning även sådana relevanta begränsningar som räknas upp i artikel 23.2, dvs. ändamålen med behandlingen (4 § studiestödsdatalagen), kategorierna av personuppgifter (bl.a. 3–6 §§studiestödsdataförordningen), omfattningen av de införda begränsningarna (5 § studiestödsdatalagen), skyddsåtgärder (bl.a. 8 och 9 §§studiestödsdatalagen), specificering av den personuppgiftsansvarige (3 § studiestödsdatalagen) och lagringstiden (16 § studiestödsdatalagen och 16 § studiestödsdataförordningen). Enligt regeringens bedömning har studiestödsdatalagen och studiestödsdataförordningen införts efter noggranna överväganden av vilka bestämmelser som är relevanta i sammanhanget.
Det är av stor betydelse att personuppgifter får behandlas i studiestödsverksamhet oberoende av den registrerades inställning. Den personuppgiftsansvarige får närmast undantagslöst anses kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för CSN att behandla relevanta personuppgifter bör den registrerade inte heller fortsättningsvis ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. En sådan begränsning måste anses utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse.
Undantaget i studiestödsdatalagen bör anpassas till dataskyddsförordningen terminologi
Liksom CSN anser regeringen att undantaget från rätten att göra invändningar i studiestödsdatalagen bör anpassas till terminologin i artikel 21 i dataskyddsförordningen, så att det tydligt framgår att 5 § studiestödsdatalagen innebär en begränsning med stöd i denna artikel. I 5 § studiestödsdatalagen bör därför anges att artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till lagen.
Hänvisningar till S15-2
- Prop. 2017/18:218: Avsnitt Författningskommentar till 5 § studiestödsdatalagen (2009:287)
15.3. Studiestödsdatalagens bestämmelse om rättelse och skadestånd ska upphävas
Regeringens förslag:Studiestödsdatalagens bestämmelse om rättelse och skadestånd ska upphävas, eftersom rättelse och skadestånd regleras i dataskyddsförordningen.
Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: Remissinstanserna har inte några synpunkter på förslaget.
Skälen för regeringens förslag: I 15 § studiestödsdatalagen anges att bestämmelserna i 28 och 48 §§ PUL om rättelse och skadestånd gäller vid behandling av personuppgifter enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till den lagen. Bestämmelserna i 15 § studiestödsdatalagen har utformats på detta sätt eftersom de angivna bestämmelserna i PUL, enligt lydelsen i PUL, bara gäller behandlingar i strid med PUL eller, enligt 28 § PUL, behandlingar i strid med bestämmelser som har meddelats med stöd av den lagen. Eftersom PUL kommer att upphävas till följd av dataskyddsförordningen behöver 15 § studiestödsdatalagen ändras eller upphävas.
När det gäller rättelse anges i dataskyddsförordningen att den registrerade har rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande (artikel 16). Dataskyddsförordningens bestämmelser om rättelse kommer vara direkt tillämpliga även vid sådan personuppgiftsbehandling som sker i strid med studiestödsdatalagen. Någon hänvisning till dataskyddsförordningens bestämmelser om rättelse behövs därför inte införas i studiestödsdatalagen.
När det gäller skadestånd anges i dataskyddsförordningen att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan (artikel 82.1). Även denna bestämmelse är direkt tillämplig. Regeringen föreslår dessutom i propositionen Ny dataskyddslag (prop. 2017/18:105) att rätten till ersättning enligt dataskyddsförordningen ska gälla vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen (7 kap. 1 dataskyddslagen). Någon hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen behövs därför inte heller i studiestödsdatalagen.
15.4. Studiestödsdatalagens bemyndigande om gallring ska omfatta samma personuppgifter som dataskyddsförordningen
Regeringens förslag:Studiestödsdatalagens bestämmelser om gallring av personuppgifter och bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om bevarande kan och bör behållas. Terminologin i bemyndigandet bör anpassas till dataskyddsförordningen.
Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.
Centrala studiestödsnämnden tillstyrker förslaget.
Skälen för regeringens förslag: I 16 § studiestödsdatalagen finns bestämmelser om när gallring av personuppgifter ska ske och ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer
att meddela föreskrifter i vissa fall. Som framgår av avsnitt 9.5.2 bedömer regeringen att det för CSN finns en, i enlighet med artikel 6.1 e och artikel 6.3 första stycket i dataskyddsförordningen, i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av lagringstid. Gallringsbestämmelserna i 16 § studiestödsdatalagen kan följaktligen behållas.
I 16 § tredje stycket studiestödsdatalagen anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Detta gäller även om föreskrifterna kommer att avvika från de tidpunkter för gallring som anges i första stycket. I dataskyddsförordningen finns en motsvarande bestämmelse, av vilken bl.a. framgår att personuppgifter under vissa förutsättningar får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 (artikel 5.1 e). Den nuvarande formuleringen i dataskyddsdirektivet om historiska, statistiska eller vetenskapliga ändamål har i dataskyddsförordningen således ändrats till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Enligt regeringens bedömning innebär omformuleringen dock inte någon skillnad i sak. Regeringen anser dock att bestämmelsen i 16 § tredje stycket studiestödsdatalagen bör anpassas till den terminologi som används i dataskyddsförordningen.
Hänvisningar till S15-4
- Prop. 2017/18:218: Avsnitt Författningskommentar till 16 § studiestödsdatalagen (2009:287)
16. Förhållandet till annan dataskyddsreglering ska framgå av sektorslagstiftningen
Regeringens förslag: I det nya kapitlet i skollagen, lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen ska det införas upplysningsbestämmelser som anger att bestämmelserna kompletterar EU:s dataskyddsförordning. I de tre förstnämnda lagarna ska det även upplysas om att bestämmelser om behandling av personuppgifter också finns i dataskyddslagen. I studiestödsdatalagen ska det anges att vid behandling av personuppgifter enligt den lagen gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av lag eller föreskrifter som har meddelats i anslutning till studiestödsdatalagen. I det nya kapitlet i skollagen och i lagen om yrkeshögskolan ska det upplysas om var i dataskyddslagen eller dataskyddsförordningen det finns bestämmelser om myndigheters behandling av känsliga personuppgifter och lagöverträdelser. I lagen om tillstånd att utfärda vissa examina ska det upplysas om var i dataskyddslagen det finns bestämmelser om känsliga personuppgifter för vissa enskilda organ som jämställs med
myndigheter och om lagöverträdelser för enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv. Upplysningarna ska ges i anslutning till de nya bestämmelserna i sektorslagstiftningen om enskildas behandling av känsliga personuppgifter och lagöverträdelser.
I det nya kapitlet i skollagen ska det också anges att kapitlet inte ska tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården.
Regeringens bedömning: Motsvarande bestämmelser som i lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan bör införas i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Utredningens förslag och bedömning: Överensstämmer med regeringens förslag i den del som innebär att det ska framgå av sektorslagstiftningen att den kompletterar annan dataskyddsreglering och har företräde framför dataskyddslagen.
I fråga om myndigheter och organ som i dataskyddslagen jämställs med myndigheter, föreslår utredningen materiella bestämmelser i sektorslagstiftningen i stället för upplysningar om att bestämmelser som gäller för dessa aktörer finns i dataskyddslagen.
Utredningen föreslår även att det ska anges i skollagen att det nya kapitlet inte gäller behandling av personuppgifter i Kriminalvårdens verksamhet enligt 24 kap. 10 § skollagen.
Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag och bedömning. Sveriges Kommuner och Landsting anser det särskilt välkommet att även kommunen i egenskap av hemkommun ska tillämpa det föreslagna kapitlet i skollagen trots att kommuners personuppgiftsbehandling även faller in under dataskyddslagens tillämpningsområde och anser att detta förenklar tillämpningen avsevärt för kommunerna.
Justitiekanslern (JK) anser att det är mycket angeläget att likartade lagtekniska lösningar väljs, t.ex. i fråga om i vilken mån det behövs upplysningsparagrafer som hänvisar till dataskyddsförordningens bestämmelser och hur sådana ska utformas. JK anser också att det är viktigt att så långt det är möjligt eftersträva en likartad systematik i alla de lagar och förordningar som reglerar personuppgiftsbehandling.
Specialpedagogiska skolmyndigheten undrar om förslaget till det nya kapitlet i skollagen som ska komplettera dataskyddslagen innebär att skolor som också är myndigheter parallellt ska använda regleringen i de båda lagarna.
Statens skolinspektion föreslår att det i skollagen även införs en upplysningsbestämmelse om att Datainspektionen är tillsynsmyndighet över den personuppgiftsbehandling som sker inom Skolinspektionens tillsynsområde.
Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars förslag och bedömning överensstämmer med regeringens förslag och bedömning i detta avsnitt. Statens skolverk anser att det är otydligt vad som i det nya kapitlet i skollagen avses med uttrycket inom hälso- och sjukvården.
Skälen för regeringens förslag och bedömning
Det ska framgå av sektorslagstiftningen att den kompletterar annan dataskyddsreglering
Regeringen delar Justitiekanslerns (JK) uppfattning om vikten av likartade lösningar i de författningar som reglerar personuppgiftsbehandling. I likhet med vad som föreslagits i dataskyddslagen anser regeringen att det nya kapitlet i skollagen och de nya bestämmelserna om behandling av personuppgifter i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen av tydlighetsskäl inledningsvis bör upplysa om att bestämmelserna utgör en komplettering till dataskyddsförordningen.
När det gäller förhållandet till dataskyddslagen föreslår regeringen att det i studiestödsdatalagen, som är en registerförfattning, bör införas en bestämmelse med samma lydelse som har föreslagits i registerförfattningar på andra områden och som anger att vid behandling av personuppgifter enligt studiestödsdatalagen gäller dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till den lagen. Bestämmelse bör ersätta bestämmelsen i 2 § om förhållandet till PUL. Regeringen har i propositionen Ny dataskyddslag redogjort för skälen till att såväl lagar som förordningar som avviker från dataskyddslagen bör ha företräde framför bestämmelserna i dataskyddslagen (prop. 2017/18:105 s. 26 f.).
Skollagen, lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan är inte registerförfattningar. De bestämmelser om behandling av personuppgifter som föreslås där avser också endast att komplettera dataskyddslagens bestämmelser för myndigheter med motsvarande bestämmelser för enskilda utbildningsanordnare. Det är alltså inte fråga om några bestämmelser i sektorsförfattning som avviker från dataskyddslagens reglering. Regeringen ser därför inte behov att i dessa lagar införa en bestämmelse om att bestämmelserna i sektorslagarna ska ha företräde framför dataskyddslagen. Det bör i dessa fall räcka att upplysa om att bestämmelser om behandling av personuppgifter även finns i dataskyddslagen.
Av samma skäl som ovan bedömer regeringen också att de nya bestämmelserna om behandling av känsliga personuppgifter i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inledningsvis bör innehålla motsvarande upplysningsbestämmelser som lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan.
Sektorslagstiftningen ska av tydlighetsskäl även innehålla vissa mer specifika hänvisningar till bestämmelser i andra författningar
Skollagen och lagen om yrkeshögskolan gäller både offentliga och enskilda utbildningsanordnare. Utbildningsdatautredningen har föreslagit att vissa bestämmelser om personuppgiftsbehandling, som ska ge enskilda utbildningsanordnare samma möjligheter till behandling som offentliga utbildningsanordnare, i dessa lagar ska omfatta både enskilda och offentliga utbildningsanordnare. Som framgår av avsnitt 12, anser regeringen att bestämmelser som innebär en dubbelreglering för myndigheter inte ska införas i sektorslagstiftningen utan att kompletteringarna i den
lagstiftningen ska begränsas till att avse enskilda utbildningsanordnare. Regeringen anser dock att det av tydlighetsskäl är lämpligt att i sektorslagstiftningen upplysa om var i dataskyddslagen det finns motsvarande bestämmelser för myndigheter i fråga om känsliga personuppgifter och lagöverträdelser.
Lagen om tillstånd att utfärda vissa examina gäller endast enskilda utbildningsanordnare. I den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen (TF) och offentlighets- och sekretesslagen (2009:400, OSL) gäller i en enskild utbildningsanordnares verksamhet kommer dock denne att även omfattas av dataskyddslagens bestämmelse om behandling av känsliga personuppgifter som krävs enligt lag (3 kap. 3 § första stycket 1 och tredje stycket dataskyddslagen). Som angetts i avsnitt 13.4.2 finns det på högskoleområdet några enskilda utbildningsanordnare som ska tillämpa TF och OSL därför att de finns angivna i bilagan till OSL. Av tydlighetsskäl bör det därför i lagen om tillstånd att utfärda vissa examina, i anslutning till den nya bestämmelsen om behandling av känsliga personuppgifter, upplysas om var i dataskyddslagen det finns en motsvarande bestämmelse om behandling av känsliga personuppgifter för vissa enskilda utbildningsanordnare som jämställs med myndigheter. I 3 kap. 8 andra stycket dataskyddslagen finns vidare en bestämmelse om att andra än myndigheter får behandla personuppgifter om lagöverträdelser om behandlingen är nödvändig för att följa bestämmelser om arkiv. I lagen om tillstånd att utfärda vissa examina bör det därför i anslutning till den nya bestämmelsen om behandling av fällande domar i brottmål, som är en form av uppgifter om lagöverträdelser som avses i artikel 10 i dataskyddsförordningen, upplysas om nämnda bestämmelse i dataskyddslagen.
Som anges i avsnitt 13.3.2 har regeringen i lagrådsremissen Offentlighetsprincipen ska gälla i fristående skolor föreslagit att en ny bestämmelse ska införas i OSL med innebörden att vad som föreskrivs i TF om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar också ska gälla handlingar hos huvudmän för fristående skolor. Enligt förslaget ska huvudmännen vid tillämpningen av OSL jämställas med myndigheter. Av tydlighetsskäl bör det därför upplysas även i skollagen om var i dataskyddslagen det finns motsvarande bestämmelser för andra än myndigheter. Upplysningen bör införas i anslutning till de nya bestämmelserna om behandling av känsliga personuppgifter och lagöverträdelser.
Lagrådet anser att det är överflödigt att i lagen om tillstånd att utfärda vissa examina upplysa om att andra än myndigheter enligt 3 kap. 8 § dataskyddslagen får behandla personuppgifter om lagöverträdelser om behandlingen är nödvändig för att följa bestämmelser om arkiv. Lagrådet anser därför att en sådan bestämmelse kan undvaras. Regeringen anser dock att bestämmelsen, i likhet med motsvarande upplysning som föreslås i skollagen, bidrar till att tydliggöra vilka ytterligare möjligheter som finns för andra än myndigheter att behandla personuppgifter om lagöverträdelser. Regeringen anser därför att upplysningsbestämmelsen bör behållas. Regeringen anser dock att bestämmelsen kan förenklas redaktionellt, i likhet med vad Lagrådet föreslår i fråga om andra bestämmelser som upplyser om innehållet i dataskyddslagen.
Av tydlighetsskäl föreslår regeringen även att det i det nya kapitlet i skollagen anges att kapitlet inte ska tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården. Skälet är att sådan personuppgiftsbehandling i stället omfattas av bl.a. patientdatalagens (2008:355) bestämmelser. Hälso- och sjukvården är ett väletablerat begrepp som också definieras i hälso- och sjukvårdslagen (2017:30) och sedan tidigare används i skollagen (20 kap. 20 §). Till skillnad från Statens skolverk anser regeringen därför att en sådan avgränsning av tillämpningsområdet är tillräckligt tydlig. Utredningen har även föreslagit att det ska anges i skollagen att det nya kapitlet inte gäller behandling av personuppgifter i Kriminalvårdens verksamhet enligt 24 kap. 10 § skollagen. Eftersom de bestämmelser om behandling av känsliga personuppgifter och lagöverträdelser som regeringen föreslår i skollagen endast gäller enskilda aktörer och det föreslagna bemyndigande endast gäller vissa angivna skolformer, omfattas inte Kriminalvårdens verksamhet av bestämmelserna. Det saknas därför anledning att särskilt undanta viss verksamhet hos Kriminalvården från kapitlets tillämpningsområde.
När det gäller Statens skolinspektions förslag att i det nya kapitlet i skollagen även upplysa om att Datainspektionen är tillsynsmyndighet över den personuppgiftsbehandling som sker inom Skolinspektionens tillsynsområde, anser regeringen att detta är ett exempel på en fråga som, i enlighet med JK:s generella synpunkt om likartad hantering, bör hanteras på samma sätt i sektorsförfattningarna. Datainspektionen pekas inte heller ut som tillsynsmyndighet i dataskyddslagen. Regeringen anser därför att det saknas anledning att införa en sådan upplysning just i skollagen.
Hänvisningar till S16
- Prop. 2017/18:218: Avsnitt 20.4, Författningskommentar till 11 § lagen (1993:792) om tillstånd att utfärda vissa examina, Författningskommentar till 12 § lagen (1993:792) om tillstånd att utfärda vissa examina, Författningskommentar till 13 § lagen (1993:792) om tillstånd att utfärda vissa examina, Författningskommentar till 14 § lagen (1993:792) om tillstånd att utfärda vissa examina, Författningskommentar till 19 b § lagen (2009:128) om yrkeshögskolan, Författningskommentar till 19 c § lagen (2009:128) om yrkeshögskolan, Författningskommentar till 19 d § lagen (2009:128) om yrkeshögskolan, Författningskommentar till 19 e § lagen (2009:128) om yrkeshögskolan, Författningskommentar till 2 a § studiestödsdatalagen (2009:287), Författningskommentar till 1 § skollagen (2010:800), Författningskommentar till 2 § skollagen (2010:800), Författningskommentar till 3 § skollagen (2010:800)
17. Hänvisningar till dataskyddsförordningen ska vara dynamiska
Regeringens förslag: De hänvisningar till EU:s dataskyddsförordning som förslås i skollagen, i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen ska vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen.
Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Remissinstanserna har inte haft några synpunkter på förslaget.
Skälen för regeringens förslag: Flera av de föreslagna bestämmelserna i skollagen, i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen innehåller hänvisningar till bestämmelser i dataskyddsförordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En
dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen.
Hänvisningar till dataskyddsförordningen föreslås i skollagen, i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen i de bestämmelser som anger att de nya bestämmelserna i respektive lag kompletterar dataskyddsförordningen, i bestämmelser som anger att termer och uttrycks ska ha samma betydelse om i dataskyddsförordningen och i bestämmelser som kompletterar dataskyddslagens bestämmelser om känsliga personuppgifter och lagöverträdelser. Motsvarande bestämmelser i dataskyddslagen har i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagits få en dynamisk utformning. Regeringen anser därför att även hänvisningarna i skollagen, lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan bör ges en dynamisk utformning.
Hänvisningar till S17
- Prop. 2017/18:218: Avsnitt Författningskommentar till 11 § lagen (1993:792) om tillstånd att utfärda vissa examina, Författningskommentar till 12 § lagen (1993:792) om tillstånd att utfärda vissa examina, Författningskommentar till 19 b § lagen (2009:128) om yrkeshögskolan, Författningskommentar till 19 c § lagen (2009:128) om yrkeshögskolan, Författningskommentar till 2 a § studiestödsdatalagen (2009:287), Författningskommentar till 2 § skollagen (2010:800), Författningskommentar till 3 § skollagen (2010:800)
18. Ikraftträdande och övergångsbestämmelser
18.1. Lagändringarna ska träda i kraft den 1 augusti 2018
Regeringens förslag: Ändringarna i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan, studiestödsdatalagen och skollagen ska träda i kraft den 1 augusti 2018.
Utredningens förslag: Utredningen föreslår att lagändringarna träder i kraft den 25 maj 2018.
Remissinstanserna: Remissinstanserna har inte några synpunkter på utredningens förslag.
Som nämnts i avsnitt 3 har Datainspektionen beretts tillfälle att yttra sig över ett utkast till lagrådsremiss. Datainspektionen anser att förslaget i utkastet, som överensstämmer med bedömningen i rutan, kan påverka enskilda utbildningsanordnare möjlighet att behandla känsliga personuppgifter från den 25 maj 2018. Även Statens skolverk, som beretts tillfälle att yttra sig över lagförslaget i utkastet, anser att den föreslagna tidpunkten för ikraftträdande bör övervägas noga.
Skälen för regeringens förslag: Enligt artikel 99.1 i dataskyddsförordningen träder förordningen i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Av artikel 99.2 följer att förordningen ska tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma dag och att hänvisningar till det upphävda direktivet ska anses som hänvisningar till förordningen. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att dataskyddslagen ska träda i kraft den 25 maj 2018 och att personuppgiftslagen (1998:204) samtidigt ska upphöra att gälla. Med hänsyn till ovanstående delar regeringen Data-
inspektionens och Statens skolverks uppfattning att även ändringarna i lagen (1993:792) om tillstånd att utfärda vissa examina, lagen (2009:128) om yrkeshögskolan, studiestödsdatalagen (2009:287) och skollagen (2010:800) bör träda i kraft så snart som möjligt i anslutning till detta datum. Ett ikraftträdande föreslås därför den 1 augusti 2018, dvs. så snart som det bedöms möjligt med hänsyn till lagstiftningsprocessen.
18.2. Övergångsbestämmelser behövs inte
Regeringens bedömning: Övergångsbestämmelser behövs inte.
Utredningens bedömning och förslag: Överensstämmer med regeringens bedömning i fråga om att övergångsbestämmelser inte behövs när det gäller ändringarna i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och skollagen. När det gäller ändringarna i studiestödsdatalagen föreslår utredningen övergångsbestämmelser i fråga om ärenden, överklagande av beslut och skadestånd för skada som har orsakats före ikraftträdandet.
Remissinstanserna: Remissinstanserna har inte några synpunkter på utredningens förslag.
Skälen för regeringens bedömning
Det behövs inte övergångsbestämmelser i fråga om ärenden
Utredningen föreslår att äldre föreskrifter fortfarande ska gälla i fråga om ärenden hos Datainspektionen eller CSN som har inletts men inte avgjorts före ikraftträdandet av ändringarna i studiestödsdatalagen och som avser behandlingar som utförts före ikraftträdandet.
I propositionen Ny dataskyddslag anges att en utgångspunkt i dataskyddsförordningen är att behandling som pågår den dag då förordningen börjar tillämpas ska ha bringats i överensstämmelse med förordningen. Personuppgiftsansvariga och personuppgiftsbiträden får därför förutsättas ha ordnat sin behandling så att exempelvis en begäran om information från en registrerad som inkommit men inte hunnit besvaras före ikraftträdandet kan tillmötesgås i enlighet med förordningens bestämmelser. Även tillsynsmyndighetens verksamhet bör i möjligaste mån ha anpassats till förordningens regelverk vid denna tidpunkt. Tillsynsärenden kan dock pågå under en längre tid och det är inte självklart att tillsynsmyndigheten helt kan styra över när underlaget är så fullständigt att beslut i ärendet kan fattas. Dataskyddsutredningen har mot denna bakgrund föreslagit en övergångsbestämmelse om att ärenden som har inletts hos Datainspektionen före ikraftträdandet av dataskyddslagen men som vid den tidpunkten ännu inte har avgjorts, ska handläggas enligt personuppgiftslagen. Datainspektionen har dock invänt mot det förslaget och anfört att behandling av personuppgifter i de allra flesta fall är en pågående aktivitet samt att pågående behandling ska bedömas enligt regleringen i dataskyddsförordningen från och med dess ikraftträdande. Regeringen har mot den bakgrunden bedömt att det inte finns skäl att införa någon sådan övergångsbestämmelse som Dataskyddsutredningen
har föreslagit (prop. 2017/18:105 s. 175 f.). På grund härav ser regeringen inte heller anledning att införa en övergångsbestämmelse i studiestödsdatalagen.
Det behövs inte övergångsbestämmelser i fråga om överklagande
Utredningen föreslår att äldre föreskrifter fortfarande ska gälla i fråga om överklagande av beslut som avser behandlingar som utförts före ikraftträdandet av ändringarna i studiestödsdatalagen. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås också en övergångsbestämmelse till dataskyddslagen som innebär att PUL ska fortsätta gälla för överklagande av beslut som har meddelats med stöd av den lagen.
En skillnad mellan PUL och studiestödsdatalagen är dock att studiestödsdatalagen inte innehåller någon bestämmelse om överklagande av beslut. Regeringen ser därför ingen anledning att införa en övergångsbestämmelse om att äldre föreskrifter i lagen fortfarande ska gälla i detta avseende.
Det behövs inte övergångsbestämmelser i fråga om skadestånd
Utredningen föreslår även att äldre föreskrifter fortfarande ska gälla i fråga om skadestånd för skada som har orsakats före ikraftträdandet av ändringarna i studiestödsdatalagen. En motsvarande bestämmelse har föreslagits av Dataskyddsutredningen i dataskyddslagen. Som regeringen konstaterar i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 176) följer dock av allmänna grundsatser att ny lagstiftning ska gälla i fråga om skadestånd med anledning av skadefall som inträffar efter ikraftträdandet, medan äldre lag ska tillämpas på skadefall som har inträffat dessförinnan. Regeringen konstaterar därför i den propositionen att det inte behöver införas någon övergångsbestämmelse om skadestånd i dataskyddslagen. På grund härav, och ser regeringen inte heller anledning att införa en övergångsbestämmelse om skadestånd i studiestödsdatalagen.
19. Konsekvenser
Nedan redovisas konsekvensbedömningar med anledning av förslagen i denna proposition. I konsekvensbedömningen ingår inte de konsekvenser som följer av direkt tillämpliga bestämmelser i dataskyddsförordningen eller den i propositionen Ny dataskyddslag föreslagna dataskyddslagen vars konsekvenser bedöms i den propositionen (prop. 2017/18:105).
Föreslagna lagändringar möjliggör fortsatt nödvändig behandling av personuppgifter på utbildningsområdet
Lagförslagen i denna proposition innebär anpassningar till dataskyddsförordningen genom att det i skollagen, lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan införs bestämmelser som möjliggör nödvändig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser i de fall sådan behandling inte kan ske med stöd av dataskyddslagen.
Ett alternativ, som berörs i avsnitt 11, skulle kunna vara att föreslå mer detaljerade registerförfattningar för bl.a. skollagsreglerad utbildningsverksamhet, högskolor och yrkeshögskolor. Regeringen anser dock att det är lämpligare att endast föreslå bestämmelser som möjliggör nödvändig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser i befintliga författningar.
Om bestämmelser som kompletterar dataskyddslagen och som möjliggör nödvändig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser inte införs, skulle det innebära att enskilda huvudmän och enskilda utbildningsanordnare inte fullt ut skulle kunna fullgöra sina åligganden, t.ex. enligt skollagen. Bestämmelserna syftar därmed till att möjliggöra en fortsatt ändamålsenlig behandling av personuppgifter på utbildningsområdet.
De ändringar som föreslås i studiestödsdatalagen utgör anpassningar till dataskyddsförordningen och den föreslagna dataskyddslagen. Om inga ändringar görs, kommer studiestödsdatalagen att innehålla bestämmelser som hänvisar till personuppgiftslagen, som kommer att upphävas till följd av förslagen i propositionen Ny dataskyddslag, och bestämmelser som inte överensstämmer med det nya regelverket på dataskyddsområdet.
Förslagen kommer inte att innebära någon kostnadsökning för staten, kommuner och landsting
Avsikten med de förslag som lämnas i denna proposition är att de, när dataskyddsförordningen ska börja tillämpas, ska möjliggöra den personuppgiftsbehandling som redan sker i dagsläget med stöd av PUL.
När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är dock inte unikt för de förslag som presenterar i denna proposition, utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs utbildning i detta fall beror inte heller enbart på den lagstiftning som föreslås, utan främst på den samlade dataskyddsreformen. Kostnader för utbildning täcks normalt av myndigheternas anslag.
Regeringen anser därför, trots de synpunkter som Bergs kommun, Förvaltningsrätten i Linköping och Stockholms kommun framfört om ökade kostnader för utbildning, att dessa kostnader bör rymmas inom befintliga ramar och att de förslag som lämnas i denna proposition även i övrigt är kostnadsneutrala.
Förslagen kommer inte att innebära någon kostnadsökning för enskilda huvudmän och utbildningsanordnare
Förslagen rör ett stort antal enskilda huvudmän och enskilda utbildningsanordnare som anordnar utbildningsverksamhet och som och som därmed berörs av förslagen. I utredningens betänkande redogörs mer detaljerat för hur många enskilda huvudmän och utbildningsanordnare som finns inom olika utbildningsformer (SOU 2017:49 s. 476–478). Antalet enskilda som anordnar utbildningsverksamhet varierar dock från år till år.
Som angetts ovan är avsikten med de förslag som lämnas i denna proposition att de, när dataskyddsförordningen ska börja tillämpas, ska möjliggöra den personuppgiftsbehandling som redan sker i dagsläget
med stöd av PUL. Detta gäller inte minst de enskilda huvudmännen och enskilda utbildningsanordnarna, eftersom de inte omfattas av dataskyddslagens bestämmelser om behandling av känsliga personuppgifter som gäller ett viktigt allmänt intresse och behandling av uppgifter om lagöverträdelser och liknande.
Förslagen som möjliggör för enskilda huvudmän som driver grundsärskolor och gymnasiesärskolor att behandla känsliga personuppgifter utan att behöva inhämta samtycke bedöms kunna innebära att den administrativa bördan och därmed kostnader för administration minskar.
När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är dock inte unikt för förslagen i denna proposition, utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs utbildning i detta fall beror inte heller enbart på den lagstiftning som föreslås i denna proposition, utan främst på den samlade dataskyddsreformen.
Ny lagstiftning kräver normalt också nya interna föreskrifter och styrande dokument. Även detta behov är dock så gott som uteslutande ett resultat av dataskyddsförordningens ikraftträdande och alltså inte ett resultat av förslagen i denna proposition. Sådan anpassning som krävs med anledning av förslagen får anses ingå i de normala uppgifterna för organisationerna.
Eftersom de föreslagna bestämmelserna rör integritetsskydd för de registrerade har det vid utformningen av bestämmelserna inte varit möjligt att beakta den personuppgiftsansvariges organisationsform eller företagsstorlek.
Förslagen är neutrala rörande integritetsskyddet
Dataskyddsförordningen stärker integritetsskyddet för enskilda och ger dem bättre möjligheter att kunna kontrollera hur deras personuppgifter behandlas. De bestämmelser som regeringen föreslår i denna proposition möjliggör behandling av personuppgifter motsvarande vad som är möjligt med gällande dataskyddsbestämmelser. Förslagen bedöms därför vara neutrala beträffande det integritetsintrång som de innebär jämfört med det integritetsintrång som finns i dagsläget med gällande bestämmelser.
Förslagen förväntas inte få några andra konsekvenser
Förslagen får inte några konsekvenser för kommuner och landsting generellt eller för den kommunala självstyrelsen. Förslagen får inte heller några konsekvenser för jämställdheten, miljön, integrationen eller några konsekvenser i övrigt.
20. Författningskommentar
20.1. Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina
Behandling av personuppgifter
10 § Bestämmelserna i 13 och 14 §§ tillämpas vid behandling av person-
uppgifter i verksamhet hos en enskild utbildningsanordnare som har fått tillstånd att utfärda examina och som bedrivs med stöd av denna lag, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.
Paragrafen är ny och har utformats med förslaget till 26 a kap. 1 § skollagen (2010:800) som förebild. Bestämmelser som gäller för enskilda utbildningsanordnare som har fått tillstånd att utfärda examina finns i denna lag men kan även finnas i annan författning eller beslut som meddelats med stöd av författning. Med föreskrifter i annan författning avses t.ex. föreskrifter som finns i annan lag, exempelvis diskrimineringslagen (2008:567), föreskrifter som har meddelats med stöd av annan lag och föreskrifter som har meddelats med stöd av regeringens restkompetens.
Paragrafen har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 12, 13.4 och 14.4.
11 § Bestämmelserna i 13 och 14 §§ kompletterar Europaparlamentets och
rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i 13 och 14 §§ har samma betydelse som i EU:s dataskyddsförordning.
Paragrafen är ny.
I första stycket anges att 13 och 14 §§ innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att bestämmelserna inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat i EU. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser om behandling av personuppgifter som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Bestämmelserna i 13 och 14 §§ innehåller kompletterande bestämmelser som gäller för enskilda utbildningsanordnare som har fått tillstånd att utfärda examina i enlighet med denna lag.
Av andra stycket framgår att de termer och uttryck som används i 13 och 14 §§ ska förstås på samma sätt som i dataskyddsförordningen. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen även gäller vid tillämpningen av dessa bestämmelser.
Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.
Övervägandena finns i avsnitt 16 och 17.
12 § Bestämmelser om behandling av personuppgifter finns även i lagen
( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.
Paragrafen är ny och upplyser om att bestämmelser om behandling av personuppgifter även finns i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen. I dataskyddslagen finns det generella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som i tillämpliga delar även gäller vid behandling av personuppgifter som utförs av de utbildningsanordnare som omfattas av lagen om tillstånd att utfärda vissa examina.
Paragrafen har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 16 och 17.
13 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning
(känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare
1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller
2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För vissa enskilda utbildningsanordnare som jämställs med myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.
Paragrafen är ny.
I första stycket anges när en enskild utbildningsanordnare får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, som här benämns känsliga personuppgifter. De personuppgifter som avses är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Stycket kompletterar bestämmelserna i 3 kap. 3 § första stycket 2 och 3 dataskyddslagen om möjlighet för myndigheter att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende och i annat fall, genom att det införs motsvarande möjlighet till behandling för enskilda utbildningsanordnare.
Av punkt 1 framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet. Även om förvaltningslagen (2017:900) som träder i kraft den 1 juli 2018 inte gäller i de enskilda utbildningsanordnarnas verksamhet, bör begreppen handläggning och ärende tolkas
på samma sätt som enligt 1 § förvaltningslagen. Begreppet handläggning innefattar alla åtgärder som vidtas från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett beslut av något slag. Vid bedömningen av om ett uttalande är att anse som ett beslut i denna mening är det uttalandets syfte och innehåll som är avgörande, inte dess yttre form.
Att behandlingen måste vara nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet innebär bl.a. att bara sådana uppgifter som behövs för hanteringen får behandlas. Begreppet nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster (se avsnitt 6.2).
Punkt 1 möjliggör behandling av känsliga personuppgifter i enskilda utbildningsanordnares motsvarighet till ärenden om t.ex. avsteg vid antagningsförfarandet, statsbidrag för särskilt utbildningsstöd, särskilt pedagogiskt stöd, trakasserier, sexuella trakasserier, disciplinära åtgärder eller avskiljande.
Punkt 2 möjliggör behandling av känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Bestämmelsen är således tillämplig i situationer som på en myndighet hänförs till s.k. faktisk verksamhet. Bestämmelsen är inte avsedd att tillämpas slentrianmässigt i den löpande verksamheten. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet.
Om behandlingen skulle innebära ett sådant intrång, får den inte ske enligt denna bestämmelse. För att avgöra om intrånget är otillbörligt måste den personuppgiftsansvarige göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Bedömningen av de registrerades intresse av att behandlingen inte sker bör utgå från det intresse av integritetsskydd som de registrerade typiskt sett har. Den personuppgiftsansvarige måste således inte göra en bedömning i förhållande till varje berörd individ. Vid bedömningen av intrånget i den enskildes personliga integritet ska vikt läggas vid bl.a. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Detta innebär t.ex. att bestämmelsen inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.
Andra stycket innebär att enskilda utbildningsanordnare förbjuds att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det motsvarar det förbud som gäller för myndigheter enligt 3 kap. 3 § andra stycket dataskyddslagen. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en
viss funktionsnedsättning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer.
För att underlätta tillämpningen innehåller tredje stycket en upplysning om att det för vissa enskilda utbildningsanordnare som jämställs med myndigheter finns bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen. Stycket har utformats enligt Lagrådets förslag.
Övervägandena finns i avsnitt 13.4.2, 13.4.3, 13.4.5 och 16.
14 § Personuppgifter som rör fällande domar i brottmål får behandlas av en
enskild utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning.
För enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv finns det även bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen.
Paragrafen är ny.
I första stycket anges när enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål. Bestämmelsen kompletterar bestämmelsen i 3 kap. 8 § dataskyddslagen som gäller behandling av sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen hos dels myndigheter, dels andra än myndigheter om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Personuppgifter om fällande domar är en av de uppgiftskategorier som anges i artikel 10.
Till skillnad från 3 kap. 8 § dataskyddslagen omfattar bestämmelsen inte behandling av övriga kategorier av personuppgifter som anges i artikel 10 i dataskyddsförordningen, eftersom de enskilda utbildningsanordnarna inte bedöms ha något behov av sådan behandling.
För att bestämmelsen ska uppfylla kravet i artikel 10 på lämpliga skyddsåtgärder för registrerade vars uppgifter inte behandlas under kontroll av en myndighet, har bestämmelsen begränsats till att avse behandlingar som är nödvändiga för hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning. Vad som avses med att behandlingen ska vara nödvändig behandlas i kommentaren till 12 § första stycket.
För att underlätta tillämpningen upplyser andra stycket om att det för enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv även finns bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen.
Övervägandena finns i avsnitt 14.4.2 och 16.
20.2. Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan
Behandling av personuppgifter
19 a § Bestämmelserna i 19 d och 19 e §§ tillämpas vid behandling av person-
uppgifter i verksamhet inom yrkeshögskolan som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.
Paragrafen är ny och har utformats med förslaget till 26 a kap. 1 § skollagen som förebild. I paragrafen anges i vilken verksamhet bestämmelserna om behandling av personuppgifter i 19 d och 19 e §§ är tillämpliga. Bestämmelser som gäller för verksamhet inom yrkeshögskolan finns i denna lag och föreskrifter som meddelats med stöd av lagen men kan även finnas i annan författning eller beslut som meddelats med stöd av författning. Med föreskrifter som meddelats med stöd av lagen avses föreskrifter som har meddelats med stöd av bemyndiganden i lagen om yrkeshögskolan. Med föreskrifter i annan författning avses t.ex. föreskrifter som finns i annan lag, exempelvis diskrimineringslagen (2008:567), föreskrifter som har meddelats med stöd av annan lag och föreskrifter som har meddelats med stöd av regeringens restkompetens.
Paragrafen har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 12, 13.5, 14.5.
19 b § Bestämmelserna i 19 d och 19 e §§ kompletterar Europaparlamentets
och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i 19 d och 19 e §§ har samma betydelse som i EU:s dataskyddsförordning.
Paragrafen är ny.
I första stycket anges att 19 d och 19 e §§ innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att bestämmelserna inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat i EU. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser om behandling av personuppgifter som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag.
Av andra stycket framgår att de termer och uttryck som används i 19 d och 19 e §§ ska förstås på samma sätt som i dataskyddsförordningen. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen även gäller vid tillämpningen av dessa bestämmelser.
Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.
Övervägandena finns i avsnitt 16 och 17.
19 c § Bestämmelser om behandling av personuppgifter finns även i lagen
( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.
Paragrafen är ny och upplyser om att bestämmelser om behandling av personuppgifter även finns i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, och i andra föreskrifter som har meddelats i anslutning till den lagen. I dataskyddslagen finns det generella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som i tillämpliga delar även gäller vid behandling av personuppgifter som utförs av de utbildningsanordnare som omfattas av lagen om yrkeshögskolan.
Paragrafen har utformats enligt Lagrådets förslag. Överväganden finns i avsnitt 16 och 17.
19 d § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning
(känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare
1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller
2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.
Paragrafen är ny.
I första stycket anges när en enskild utbildningsanordnare får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, som här benämns känsliga personuppgifter. De personuppgifter som avses är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Stycket kompletterar bestämmelserna i 3 kap. 3 § första stycket 2 och 3 dataskyddslagen, som ger myndigheter möjlighet att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende och i annat fall, genom att det införs motsvarande möjlighet till behandling för enskilda utbildningsanordnare.
Av punkt 1 framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende. Även om förvaltningslagen (2017:900) som träder i kraft den 1 juli 2018 inte gäller i de enskilda utbildningsanordnarnas verksamhet, bör begreppen handläggning och ärende tolkas på samma sätt som enligt 1 § förvaltningslagen. Begreppet handläggning innefattar alla åtgärder som vidtas från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett
uttalande som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett beslut av något slag. Vid bedömningen av om ett uttalande är att anse som ett beslut i denna mening är det uttalandets syfte och innehåll som är avgörande, inte dess yttre form.
Att behandlingen måste vara nödvändig för en hantering som motsvarar handläggning av ärendet hos en myndighet innebär bl.a. att bara sådana uppgifter som behövs för hanteringen får behandlas. Begreppet nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster (se avsnitt 6.2).
Punkt 1 möjliggör behandling av känsliga personuppgifter i enskilda utbildningsanordnares motsvarighet till ärenden om t.ex. särskilt pedagogiskt stöd, trakasserier, sexuella trakasserier eller avskiljande.
Punkt 2 möjliggör behandling av känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Bestämmelsen är således tillämplig i situationer som på en myndighet hänförs till s.k. faktisk verksamhet. Bestämmelsen är inte avsedd att tillämpas slentrianmässigt i den löpande verksamheten. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. Om behandlingen skulle innebära ett sådant intrång, får den inte ske enligt denna bestämmelse. För att avgöra om intrånget är otillbörligt måste den personuppgiftsansvarige göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Bedömningen av de registrerades intresse av att behandlingen inte sker bör utgå från det intresse av integritetsskydd som de registrerade typiskt sett har. Den personuppgiftsansvarige måste således inte göra en bedömning i förhållande till varje berörd individ. Vid bedömningen av intrånget i den enskildes personliga integritet ska vikt läggas vid bl.a. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Detta innebär t.ex. att bestämmelsen inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.
Andra stycket innebär att enskilda utbildningsanordnare förbjuds att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det motsvarar det sökförbud som gäller för myndigheter enligt 3 kap. 3 § andra stycket dataskyddslagen. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en viss funktionsnedsättning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer.
För att underlätta tillämpningen innehåller tredje stycket en upplysning om att det för myndigheter finns bestämmelser om behandling av
känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen. För utbildningsanordnare inom yrkeshögskolan som är myndigheter gäller alltså motsvarande bestämmelser i dataskyddslagen. Stycket har utformats enligt Lagrådets förslag.
Övervägandena finns i avsnitt 13.5.3, 13.5.4, 13.5.5 och 16.
19 e § Personuppgifter som rör fällande domar i brottmål får behandlas av
enskilda utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om avskiljande av en studerande från utbildning.
För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § första stycket dataskyddslagen.
Paragrafen är ny.
I första stycket anges när enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål. Bestämmelsen kompletterar bestämmelsen i 3 kap. 8 § första stycket dataskyddslagen som gäller behandling av sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen hos myndigheter. Personuppgifter om fällande domar är en av de uppgiftskategorier som anges i artikel 10. Till skillnad från 3 kap. 8 § dataskyddslagen omfattar bestämmelsen dock inte behandling av övriga kategorier av personuppgifter som anges i artikel 10 i dataskyddsförordningen, eftersom de enskilda utbildningsanordnarna inte bedöms ha något behov av sådan behandling.
För att bestämmelsen ska uppfylla kravet i artikel 10 på lämpliga skyddsåtgärder för registrerade vars uppgifter inte behandlas under kontroll av en myndighet, har bestämmelsen begränsats till att avse behandlingar som är nödvändiga för en hantering som motsvarar handläggning av ett ärende hos en myndighet om avskiljande av en studerande från utbildning. Vad som avses med att behandlingen ska vara nödvändig behandlas i kommentaren till 19 c § första stycket.
För att underlätta tillämpningen upplyser andra stycket om att det finns bestämmelser om att myndigheter får behandla personuppgifter som avses i artikel 10 i dataskyddsförordningen i 3 kap. 8 § första stycket dataskyddslagen.
Övervägandena finns i avsnitt 14.5.2 och 16 .
20.3. Förslag till lag om ändring i studiestödsdatalagen (2009:287)
Förhållandet till annan reglering
2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU)
2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.
I paragrafen anges lagens förhållande till annan lag.
Ändringen i första stycket innebär att den tidigare hänvisningen till personuppgiftslagen ersätts av en bestämmelse som anger att lagen innehåller kompletterande bestämmelser till EU:s dataskyddsförordning. Detta innebär att bestämmelserna inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Lagen innehåller kompletterande bestämmelser som gäller inom den verksamhet som anges i 1 §.
Av andra stycket framgår att de termer och uttryck som används i lagen ska förstås på samma sätt som i EU:s dataskyddsförordning. Det innebär bl.a. att definitionerna i artikel 4 i EU:s dataskyddsförordning även gäller vid tillämpningen av lagen.
Bestämmelsen i andra stycket ersätter en bestämmelse om vilken reglering CSN ska tillämpa vid behandling av personuppgifter för att framställa statistik. Sistnämnda bestämmelse flyttas i stället till 2 a § andra stycket.
Hänvisningarna till EU:s dataskyddsförordning i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.
Rubriken har utformats enligt Lagrådets förslag.
Vid behandling av personuppgifter enligt denna lag gäller lagen
2 a §
( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna
lag.
Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen ( 2001:99 ) om den officiella statistiken och anslu-
tande författningar tillämpas i stället för denna lag .
Paragrafen är ny.
Paragrafens första stycke upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen. Bestämmelsens första led utgör en upplysning om att det i dataskyddslagen och anslutande föreskrifter finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller i CSN:s studiestödsverksamhet. Andra ledet anger att dataskyddslagen och anslutande föreskrifter är subsidiära i förhållande till denna lag och anslutande föreskrifter. Det innebär att dataskyddslagens bestämmelser endast gäller i den mån inte annat föreskrivs i denna lag eller föreskrifter meddelade i anslutning till denna lag. Stycket har utformats enligt Lagrådets förslag.
I andra stycket anges att vid CSN:s behandling av personuppgifter för framställning av statistik ska lagen om den officiella statistiken tillämpas. Andra stycket motsvarar hittillsvarande 2 § andra stycket och medför inte någon ändring.
Övervägandena finns i avsnitt 16 och 17.
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar
gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter
som har meddelats i anslutning till lagen.
5 §
I paragrafen regleras att behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke även får utföras om den registrerade motsätter sig behandlingen.
Paragrafen ändras så att det införs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som tillåts enligt artikel 23 i dataskyddsförordningen.
Övervägandena finns i avsnitt 15.2.
6 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (käns-
liga personuppgifter) och personuppgifter som avses i artikel 10 i samma förordning får behandlas av Centrala studiestödsnämnden för ändamål som avses i 4 § första stycket 1 och 6 och andra stycket.
I paragrafen anges i vilka fall känsliga personuppgifter och personuppgifter om lagöverträdelser, får behandlas av CSN.
Bestämmelsen ändras genom att första och andra styckena slås ihop till ett stycke. Paragrafen ändras vidare så att den uppräkning av personuppgifter som fanns i första stycket 1 och 3 ersätts med en hänvisning till artikel 9.1 i EU:s dataskyddsförordning som innehåller en uppräkning av särskilda kategorier av personuppgifter som i denna lag benämns som känsliga personuppgifter. De särskilda kategorier av personuppgifter som anges i den artikeln är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Den uppräkning av personuppgifter om lagöverträdelser som fanns i första stycket 2 ersätts med en hänvisning till definitionen i artikel 10 i EU:s dataskyddsförordning. De personuppgifter som anges i den artikeln är uppgifter om fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 98) är att artikel 10 i förordningen, för svenskt vidkommande, tar sikte på personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Som regeringen konstaterar i den propositionen (s. 98) innebär detta att uppgifter om administrativa frihetsberövanden inte omfattas av artikel 10 i EU:s dataskyddsförordning. Eftersom definitionen av känsliga personuppgifter är något vidare än den nuvarande uppräkningen i de tidigare punkterna 1 och 3 och definitionen i artikel 10 i EU:s dataskyddsförordning något snävare än uppräkningen i den tidigare punkten 2, innebär det att något fler känsliga personuppgifter och något färre personuppgifter om lagöverträdelser omfattas av bestämmelsen.
Övervägandena finns i avsnitt 13.7 och 14.7.
8 § Det är förbjudet att använda sökbegrepp som avslöjar
1. känsliga personuppgifter,
2. personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning,
3. uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, eller
4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.
Sökbegrepp som avslöjar uppgifter som anges i första stycket får dock användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen.
Sökbegrepp får också användas om de avslöjar uppgifter som rör
1. hälsa, om det är nödvändigt för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och
2. inkomst och förmögenhet, om det är nödvändigt för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.
I paragrafen regleras begränsningar för användning av sökbegrepp.
Första stycket ändras så att den uppräkning av känsliga personuppgifter som finns i punkterna 1 och 3, ersätts med termen känsliga personuppgifter, som är definierad genom hänvisningen i 6 § till artikel 9.1 i EU:s dataskyddsförordning (se kommentaren till 6 §), och som placeras i punkten 1. I punkten 2 ersätts den tidigare uppräkningen av personuppgifter om lagöverträdelser med en hänvisning till definitionen i artikel 10 i EU:s dataskyddsförordning. När det gäller innebörden av dessa ändringar, se kommentaren till 6 § om innebörden av motsvarande ändringar i den paragrafen. Den redaktionella utformningen av första stycket ändras också så att den stämmer bättre överens med motsvarande bestämmelser i andra lagar, till exempel 14 § domstolsdatalagen (2015:728). Ändringen innebär ingen skillnad i sak.
Av andra stycket framgår att det vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får användas sökbegrepp som avslöjar uppgifter som anges i första stycket. Hänvisningen till uppgifter i första stycket medför att det, med anledning av den ändrade innebörden av begreppen känsliga personuppgifter och personuppgifter om lagöverträdelser, uppstår samma konsekvenser som i första stycket (se kommentaren till första stycket). I övrigt ändras den redaktionella utformningen på motsvarande sätt som i första stycket, vilket inte innebär någon skillnad i sak. Stycket motsvarar det tidigare andra stycket första meningen.
Tredje stycket innehåller undantag från sökbegränsningarna avseende personuppgifter om hälsa samt inkomst och förmögenhet vid sökning i hela studiestödsverksamheten hos CSN. Stycket motsvarar det tidigare andra stycket andra meningen. Ändringarna är endast redaktionella.
Övervägandena finns i avsnitt 13.7 och 14.7.
10 § Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4, 6 och 8 §§ följs.
I paragrafen regleras direktåtkomst till och elektroniskt utlämnande av personuppgifter i studiestödsverksamheten.
Bestämmelsen ändras så att den registrerades samtycke inte längre kan vara grund för att tillåta direktåtkomst till personuppgifter i studiestödsverksamheten eller att elektroniskt lämna ut personuppgifter från den verksamheten. Vidare tas hänvisningen till 7 § bort, vilket är en följdändring på grund av att den bestämmelsen upphävs.
Övervägandena finns i avsnitt 9.5.4.
16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.
Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. CSN får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
Paragrafen avser gallring av personuppgifter i studiestödsverksamheten.
I paragrafens tredje stycke, som innehåller ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om bevarande, ändras formuleringen ”historiska, statistiska eller vetenskapliga ändamål” till den formulering som används i dataskyddsförordningen, dvs. ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
Övervägandena finns i avsnitt 15.4.
20.4. Förslag till lag om ändring i skollagen (2010:800)
1 kap.
12 § Lagen är uppdelad i 30 kapitel.
Dessa är – inledande bestämmelser (1 kap.), – huvudmän och ansvarsfördelning (2 kap.), – barns och elevers utveckling mot målen (3 kap.), – kvalitet och inflytande (4 kap.), – trygghet och studiero (5 kap.), – åtgärder mot kränkande behandling (6 kap.), – skolplikt och rätt till utbildning (7 kap.),
– förskolan (8 kap.), – förskoleklassen (9 kap.), – grundskolan (10 kap.), – grundsärskolan (11 kap.), – specialskolan (12 kap.), – sameskolan (13 kap.), – fritidshemmet (14 kap.), – gymnasieskolan (15–17 a kap.), – gymnasiesärskolan (18 och 19 kap.), – kommunal vuxenutbildning (20 kap.), – särskild utbildning för vuxna (21 kap.), – entreprenad och samverkan (23 kap.), – särskilda utbildningsformer (24 kap.), – annan pedagogisk verksamhet (25 kap.), – tillsyn, statlig kvalitetsgranskning och nationell uppföljning och utvärdering (26 kap.),
– behandling av personuppgifter (26 a kap.), – Skolväsendets överklagandenämnd och Lärarnas ansvarsnämnd (27 kap.), – överklagande (28 kap.), och – övriga bestämmelser (29 kap.).
I paragrafen beskrivs innehållet i lagen.
Ändringen är en följd av att ett nytt kapitel, 26 a kap., införs i lagen.
26 a kap. Behandling av personuppgifter
1 § Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som
bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.
Detta kapitel ska inte tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården.
Paragrafen är ny.
I första stycket anges i vilken verksamhet kapitlet är tillämpligt. Enligt 2 kap. 8 § ansvarar huvudmannen för att utbildningen genomförs i enlighet med bestämmelserna i denna lag, föreskrifter som har meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar. Motsvarande uppräkning anges därför i första stycket. Med föreskrifter som meddelats med stöd av lagen avses föreskrifter som har meddelats med stöd av bemyndiganden i skollagen. Med föreskrifter i annan författning avses t.ex. föreskrifter som finns i annan lag, exempelvis diskrimineringslagen (2008:567), föreskrifter som har meddelats med stöd av annan lag och föreskrifter som har meddelats med stöd av regeringens restkompetens. Eftersom verksamhet i vilken behandling av personuppgifter behövs även kan ske på grund av beslut som meddelats med stöd av författning omfattas även sådan verksamhet av tillämpningsområdet.
Med verksamhet avses både verksamhet som utförs av rektorer, lärare och annan personal i t.ex. förskolan eller skolan och verksamhet som utförs på ledningsnivå.
Genom bestämmelsen i andra stycket undantas personuppgiftsbehandling som sker i elevhälsan och som utförs inom hälso- och sjukvården från tillämpningsområdet. Sådan personuppgiftsbehandling om-
fattas i stället av bl.a. patientdatalagens (2008:355) bestämmelser. Det innebär att hälso- och sjukvårdspersonal inom elevhälsan som är skyldig att föra patientjournal och behandla personuppgifter enligt patientdatalagens bestämmelser även fortsättningsvis ska tillämpa den lagen med tillhörande föreskrifter, och inte bestämmelserna i detta kapitel.
Paragrafen har utformats enligt Lagrådets förslag. Kapitlet har också placerats som ett nytt 26 a kap. enligt Lagrådets förslag.
Övervägandena finns i avsnitt 12, 13.3, 14.3 och 16.
Förhållandet till annan dataskyddsreglering
2 § Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets
förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i detta kapitel har samma betydelse som i EU:s dataskyddsförordning.
Paragrafen är ny.
I första stycket anges att kapitlet innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att bestämmelserna inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat i EU. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser om behandling av personuppgifter som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Kapitlet innehåller kompletterande bestämmelser som gäller inom den verksamhet som anges i 26 a kap. 1 §.
Av andra stycket framgår att de termer och uttryck som används i kapitlet ska förstås på samma sätt som i dataskyddsförordningen. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen även gäller vid tillämpningen av kapitlet.
Hänvisningarna till dataskyddsförordningen i detta kapitel är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.
Övervägandena finns i avsnitt 16 och 17.
3 § Bestämmelser om behandling av personuppgifter finns även i lagen
( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.
Paragrafen är ny och upplyser om att bestämmelser om behandling av personuppgifter även finns i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, och i andra föreskrifter som har meddelats i anslutning till den lagen.
I dataskyddslagen finns det generella bestämmelser om behandling av personuppgifter som kompletterar och preciserar data-skyddsförordningen och som i tillämpliga delar även gäller vid behandling av personuppgifter som utförs inom den verksamhet som anges i 26 a kap. 1 §.
Paragrafen har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 16 och 17.
Känsliga personuppgifter
4 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning
(känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas hos en enskild huvudman enligt 2 kap. eller hos en enskild aktör enligt 24 eller 25 kap.
1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller
2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För myndigheter och vissa andra organ finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.
Paragrafen är ny.
I första stycket anges när en enskild huvudman enligt 2 kap. eller en enskild aktör enligt 24 eller 25 kap. får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, som här benämns känsliga personuppgifter. De personuppgifter som avses är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Stycket kompletterar bestämmelserna i 3 kap. 3 § första stycket 2 och 3 dataskyddslagen om möjlighet för myndigheter att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende och i annat fall, genom att det införs motsvarande möjlighet till behandling i verksamhet hos enskilda huvudmän och enskilda aktörer enligt 24 och 25 kap.
Av punkt 1 framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet. Vid enskilda huvudmäns handläggning av ärenden som avser myndighetsutövning mot någon enskild gäller enligt 29 kap. 10 § vissa bestämmelser i förvaltningslagen (1986:223). Så föreslås även bli fallet när den nya förvaltningslagen (2017:900) träder i kraft den 1 juli 2018 (Ds 2017:42 Följdändringar till ny förvaltningslag). Vid annan hantering som motsvarar handläggningen av ett ärende hos en myndighet är förvaltningslagen däremot inte tillämplig på enskilda huvudmän och enskilda aktörer enligt 24 eller 25 kap. Begreppen handläggning och ärende bör dock i båda fallen tolkas på samma sätt som enligt 1 § förvaltningslagen (2017:900). Begreppet handläggning innefattar alla åtgärder som vidtas från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett beslut av något slag. Vid bedömningen av om ett uttalande är att anse som
ett beslut i denna mening är det uttalandets syfte och innehåll som är avgörande, inte dess yttre form.
Att behandlingen måste vara nödvändig innebär bl.a. att bara sådana uppgifter som behövs i ärendet eller för den motsvarande hanteringen får behandlas. Begreppet nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster (se avsnitt 6.2).
Punkt 1 möjliggör behandling av känsliga personuppgifter i enskilda huvudmäns eller enskilda aktörers motsvarighet till ärenden om t.ex. särskilt stöd, åtgärdsprogram och kränkande behandling.
Punkt 2 möjliggör behandling av känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Bestämmelsen är således tillämplig i situationer som på en myndighet hänförs till s.k. faktisk verksamhet. I skolväsendet kan det t.ex. vara fråga om kommunikation mellan skolan och föräldrar. Bestämmelsen är inte avsedd att tillämpas slentrianmässigt i den löpande verksamheten. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. Om behandlingen skulle innebära ett sådant intrång, får den inte ske enligt denna bestämmelse. För att avgöra om intrånget är otillbörligt måste den personuppgiftsansvarige göra en proportionalitetsbedömning där behovet av att utföra behandlingen vägs mot de registrerades intresse av att behandlingen inte sker. Bedömningen av de registrerades intresse av att behandlingen inte sker bör utgå från det intresse av integritetsskydd som de registrerade typiskt sett har. Den personuppgiftsansvarige måste således inte göra en bedömning i förhållande till varje berörd individ. Vid bedömningen av intrånget i den enskildes personliga integritet ska vikt läggas vid bl.a. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Detta innebär t.ex. att bestämmelsen inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.
Andra stycket innebär att enskilda huvudmän och enskilda aktörer enligt 24 eller 25 kap. förbjuds att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det motsvarar det sökförbud som gäller för myndigheter enligt 3 kap. 3 § andra stycket dataskyddslagen. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en viss funktionsnedsättning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer.
För att underlätta tillämpningen innehåller tredje stycket en upplysning om att det för myndigheter och vissa andra organ finns bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen. Stycket har i huvudsak utformats enligt
Lagrådets förslag. Regeringen anser dock att de organ som inte är myn-
digheter, i likhet med vad som är fallet i 1 § arkivlagen
(
1990:782), bör
benämnas ”andra organ”.
Övervägandena finns i avsnitt 13.3.3, 13.3.4, 13.3.10 och 16.
5 § Regeringen får meddela föreskrifter om undantag från de sökbegränsningar
som avses i 4 § andra stycket denna lag och i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om hälsa i verksamhet hos en huvudman för
1. grundsärskola,
2. specialskolan,
3. gymnasiesärskola,
4. särskild utbildning för vuxna,
5. gymnasieskola med Rh-anpassad utbildning,
6. utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och
7. förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd.
Regeringen får också meddela föreskrifter om undantag från sökbegränsningen i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om
1. etniskt ursprung i verksamhet hos en huvudman för sameskolan, och
2. hälsa och etniskt ursprung i verksamhet hos en kommun.
Paragrafen är ny.
Bemyndigandet i första stycket gäller undantag från både sökbegränsningen i 26 a kap. 4 § skollagen som avser enskilda och 3 kap. 3 § andra stycket dataskyddslagen som avser myndigheter. Det innebär att bemyndigandet gäller undantag för både enskilda och offentliga huvudmän som bedriver de angivna skolformerna. Lagrådet har förslagit att hänvisningen till andra bestämmelser förtydligas så att ”denna lag och” ersätts med ”samt”. Regeringen anser dock att det av tydlighetsskäl bör framgå att hänvisningen till 4 § andra stycket avser en bestämmelse i denna lag.
Bemyndigandet i andra stycket gäller enbart undantag från sökbegränsningen i 3 kap. 3 § andra stycket dataskyddslagen som avser myndigheter, detta eftersom både huvudmannen för sameskolan och kommuner omfattas av sökbegränsningen i den lagen.
I 3 kap. 4 § dataskyddslagen föreslås ett generellt bemyndigande för regeringen att meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse. I de fall det finns behov av att meddela föreskrifter om undantag från sökbegränsningar vid behandling av känsliga personuppgifter i de verksamheter som anges i första och andra styckena bör dock bemyndigandet i denna paragraf i skollagen användas för sådana sektorsspecifika föreskrifter.
Övervägandena finns i avsnitt 13.3.10.
Personuppgifter som rör lagöverträdelser
6 § Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får
behandlas i verksamhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet
1. i löpande text inom elevhälsan, och
2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 §. För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Där finns det även bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv.
Paragrafen är ny.
I första stycket anges när en huvudman för en fristående skola får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. De personuppgifter som avses där är personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 98) är att artikel 10 i förordningen, för svenskt vidkommande, tar sikte på personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Som regeringen konstaterar i den propositionen (s. 98) innebär detta att uppgifter om administrativa frihetsberövanden inte omfattas av artikel 10 i dataskyddsförordningen.
Bestämmelsen kompletterar bestämmelsen i 3 kap. 8 § dataskyddslagen som gäller behandling av sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen hos dels myndigheter och dels andra än myndigheter om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Genom bestämmelsen möjliggörs även för fristående skolor att behandla personuppgifter om lagöverträdelser i vissa fall.
För att bestämmelsen ska uppfylla kravet i artikel 10 på lämpliga skyddsåtgärder för registrerade vars uppgifter inte behandlas under kontroll av en myndighet, har det införts vissa begränsningar i bestämmelsen. För det första begränsas bestämmelsen till att avse sådana situationer där ett behov av behandling har identifierats, dvs i löpande text inom elevhälsan och i skriftlig dokumentation som ska föras om disciplinära och andra särskilda åtgärder enligt 5 kap. 24 § skollagen. För det andra krävs att personuppgiftsbehandlingen ska vara nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vad som avses med att behandlingen ska vara nödvändig och inte innebära ett otillbörligt intrång i den registrerades personliga integritet behandlas i kommentaren till 2 a kap. 4 § första stycket.
För att underlätta tillämpningen upplyser andra stycket om att det för myndigheter finns bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Stycket upplyser också om att det där även finns bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv. Stycket har utformats enligt Lagrådets förslag.
Övervägandena finns i avsnitt 14.3.2 och 16
.
Hänvisningar till S20-4
Prop. 2017/18:218
Bilaga 1
221
I
(Lagstiftningsakter)
FÖRORDNINGAR
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679
av den 27 april 2016
om skydd för fysiska personer med avseende på behandling av personuppgifter och om
det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän
dataskyddsförordning)
(Text av betydelse för EES)
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (
1
),
med beaktande av Regionkommitténs yttrande (
2
),
i enlighet med det ordinarie lagstiftningsförfarandet (
3
), och
av följande skäl:
(1)
Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i
Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget
om Europeiska unionens funktionssätt (EUF-fördraget) föreskriver att var och en har rätt till skydd av de
personuppgifter som rör honom eller henne.
(2) Principerna och reglerna för skyddet för fysiska personer vid behandling av deras personuppgifter bör, oavsett
deras medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, särskilt deras rätt till
skydd av personuppgifter. Avsikten med denna förordning är att bidra till att skapa ett område med frihet,
säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och
konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.
(3) Europaparlamentets och rådets direktiv 95/46/EG (
4
) syftar till att harmonisera skyddet av fysiska personers
grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av
personuppgifter mellan medlemsstaterna.
4.5.2016
L 119/1
Europeiska unionens officiella tidning
SV
(
1
) EUT C 229, 31.7.2012, s. 90.
(
2
) EUT C 391, 18.12.2012, s. 127.
(
3
) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av
den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.
(
4
) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling
av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).
222
Prop. 2017/18:218
Bilaga 1
(4) Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter
är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande
rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter
och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för
privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och
religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk
domstol samt kulturell, religiös och språklig mångfald.
(5) Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande
ökning av de gränsöverskridande flödena av personuppgifter. Utbytet av personuppgifter mellan offentliga och
privata aktörer, inbegripet fysiska personer, sammanslutningar och företag, över hela unionen har ökat. Nationella
myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personuppgifter för att vara i
stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.
(6) Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av
personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det
möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en
helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över.
Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av
personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt
som en hög skyddsnivå säkerställs för personuppgifter.
(7)
Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av
kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala
ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den
rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.
(8)
Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom
medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för
samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på,
införliva delar av denna förordning i nationell rätt.
(9) Målen och principerna för direktiv 95/46/EG är fortfarande giltiga, men det har inte kunnat förhindra bristande
enhetlighet i genomförandet av dataskyddet i olika delar av unionen, rättsosäkerhet eller allmänt spridda
uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av
internet. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av
personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av
personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk
verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina
skyldigheter enligt unionsrätten. De varierande skyddsnivåerna beror på skillnader i genomförandet och
tillämpningen av direktiv 95/46/EG.
(10) För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av
personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling
av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna
om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör
säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för
att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgift
sansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa
hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om
dataskydd varigenom direktiv 95/46/EG genomförs har medlemsstaterna flera sektorsspecifika lagar på områden
som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att
specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade
känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare
omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig
behandling av personuppgifter.
4.5.2016
L 119/2
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
223
(11) Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och
specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av
personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att
reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i
medlemsstaterna.
(12) I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för
fysiska personer när det gäller behandling av personuppgifter och bestämmelser om den fria rörligheten för
personuppgifter.
(13) För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som
hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar
rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag,
och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt
ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling
av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyn
digheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs att det fria flödet av
personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska
personer med avseende på behandling av personuppgifter. För att ta hänsyn till mikroföretagens samt de små och
medelstora företagens särskilda situation innehåller denna förordning ett undantag för organisationer som
sysselsätter färre än 250 personer med avseende på registerföring. Dessutom uppmanas unionens institutioner
och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta
hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppen mikroföretag
samt små och medelstora företag bör bygga på artikel 2 i bilagan till kommissionens rekommendation
2003/361/EG (
1
).
(14) Det skydd som ska tillhandahållas enligt denna förordning bör tillämpas på fysiska personer, oavsett
medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter. Denna förordning omfattar
inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer,
exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.
(15) För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara
teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara
tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller
är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt
särskilda kriterier, bör inte omfattas av denna förordning.
(16) Denna förordning är inte tillämplig på frågor som rör skyddet av grundläggande rättigheter och friheter eller det
fria flödet av personuppgifter på områden som inte omfattas av unionsrätten, såsom verksamhet rörande
nationell säkerhet. Denna förordning är inte tillämplig på medlemsstaternas behandling av personuppgifter när de
agerar inom ramen för unionens gemensamma utrikes- och säkerhetspolitik.
(17)
Europaparlamentets och rådets förordning (EG) nr 45/2001 (
2
) är tillämplig på den behandling av
personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av
unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till
principerna och bestämmelserna i den här förordningen och tillämpas mot bakgrund av den här förordningen.
För att tillhandahålla en stark och sammanhängande ram för dataskyddet inom unionen bör nödvändiga
anpassningar av förordning (EG) nr 45/2001 göras när den här förordningen har antagits, så att de båda
förordningarna kan tillämpas samtidigt.
(18) Denna förordning är inte tillämplig på fysiska personers behandling av personuppgifter som ett led i verksamhet
som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes-
eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta
4.5.2016
L 119/3
Europeiska unionens officiella tidning
SV
(
1
) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (K(2003) 1422)
(EUT L 124, 20.5.2003, s. 36).
(
2
) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu
tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001,
s. 1).
224
Prop. 2017/18:218
Bilaga 1
korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan
verksamhet. Denna förordning är dock tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som
tillhandahåller utrustning för behandling av personuppgifter för sådan privat verksamhet eller hushålls
verksamhet.
(19) Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att
förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda
mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter,
säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på
behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna
förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt,
nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 (
1
). Medlemsstaterna får anförtro behöriga
myndigheter i den mening som avses i direktiv (EU) 2016/680 uppgifter som inte nödvändigtvis utförs för att
förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda
mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för
dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna
förordning.
Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av
tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika
bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det
fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra
ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur.
När privata organs behandling av personuppgifter omfattas av tillämpningsområdet för denna förordning, bör
denna förordning ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och
rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för
att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning,
avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande
och förhindrande av hot mot den allmänna säkerheten. Detta är exempelvis relevant i samband med bekämpning
av penningtvätt eller verksamhet vid kriminaltekniska laboratorier.
(20) Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter,
skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden
för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av
personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter
när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets
oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att
anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka
framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets
medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling
av uppgifter.
(21) Denna förordning påverkar inte tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG (
2
), särskilt
bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. Syftet med det
direktivet är att bidra till att den inre marknaden fungerar väl genom att säkerställa fri rörlighet för informations
samhällets tjänster mellan medlemsstaterna.
(22) All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller personupp
giftsbiträdens verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om
behandlingen i sig äger rum inom unionen. Verksamhetsställe innebär det faktiska och reella utförandet av
verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial
eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende.
4.5.2016
L 119/4
Europeiska unionens officiella tidning
SV
(
1
) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga
myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga
påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (se sidan 89 i detta nummer av
EUT).
(
2
) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster,
särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).
Prop. 2017/18:218
Bilaga 1
225
(23) För att fysiska personer inte ska fråntas det skydd som denna förordning ger dem bör sådan behandling av
personuppgifter om registrerade personer som befinner sig i unionen vilken utförs av en personuppgiftsansvarig
eller ett personuppgiftsbiträde som inte är etablerad inom unionen omfattas av denna förordning, om
behandlingen avser utbjudande av varor eller tjänster inom unionen till de registrerade, oavsett om detta är
kopplat till en betalning. I syfte att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder
varor eller tjänster till registrerade som befinner sig i unionen bör man fastställa om det är uppenbart att den
personuppgiftsansvarige eller personuppgiftsbiträdet avser att erbjuda tjänster till registrerade i en eller flera av
unionens medlemsstater. Medan enbart åtkomlighet till den personuppgiftsansvariges, personuppgiftsbiträdets
eller en mellanhands webbplats i unionen, till en e-postadress eller andra kontaktuppgifter eller användning av ett
språk som allmänt används i det tredjeland där den personuppgiftsansvarige är etablerad inte är tillräckligt för att
fastställa en sådan avsikt, kan faktorer som användning av ett språk eller en valuta som allmänt används i en eller
flera medlemsstater med möjlighet att beställa varor och tjänster på detta andra språk, eller omnämnande av
kunder eller användare som befinner sig i unionen, göra det uppenbart att den personuppgiftsansvarige avser att
erbjuda varor eller tjänster till registrerade inom unionen.
(24) Den behandling av personuppgifter som avser registrerade som befinner sig i unionen som utförs av en
personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen bör också omfattas av
denna förordning, om den hör samman med övervakningen av de registrerade personernas beteende när de
befinner sig i unionen. För att avgöra huruvida en viss behandling kan anses övervaka beteendet hos registrerade,
bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med
hjälp av teknik som profilerar fysiska personer, i synnerhet för att fatta beslut rörande honom eller henne eller för
att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.
(25) Om medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten, bör denna förordning också vara tillämplig
på personuppgiftsansvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska
beskickning eller konsulat.
(26) Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person.
Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att
kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om
en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den
personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt
identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att
användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader
och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som
den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen
information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som
anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör
därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller
forskningsändamål.
(27) Denna förordning gäller inte behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får
fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer.
(28) Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och
hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett
uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för
dataskydd.
(29) För att skapa incitament för tillämpning av pseudonymisering vid behandling av personuppgifter bör åtgärder för
pseudonymisering som samtidigt medger en allmän analys vara möjliga inom samma personuppgiftsansvarigs
verksamhet, när den personuppgiftsansvarige har vidtagit de tekniska och organisatoriska åtgärder som är
nödvändiga för att se till att denna förordning genomförs för berörd uppgiftsbehandling och att kompletterande
uppgifter för tillskrivning av personuppgifterna till en specifik registrerad person förvaras separat. Den
personuppgiftsansvarige som behandlar personuppgifterna bör ange behöriga personer inom samma personupp
giftsansvarigs verksamhet.
4.5.2016
L 119/5
Europeiska unionens officiella tidning
SV
226
Prop. 2017/18:218
Bilaga 1
(30) Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och
protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår
som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas
för att skapa profiler för fysiska personer och identifiera dem.
(31) Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig
förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter
eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte
betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild
utredning av allmänt intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga
myndigheters begäranden om att uppgifter ska lämnas ut ska alltid vara skriftliga och motiverade, läggas fram i
enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters
behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är
tillämpliga på behandlingens ändamål.
(32) Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och
otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter
rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan
inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på
informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i
sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter.
Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all
behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för
samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara
tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.
(33) Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga
forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till
vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas.
Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av
forskningsprojekt i den utsträckning det avsedda syftet medger detta.
(34) Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade
genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför
allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta
motsvarande information.
(35) Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd
som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.
Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhanda
hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv
2011/24/EU (
1
), ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att
identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en
kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om
exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades
fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan
sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.
(36) Den personuppgiftsansvariges huvudsakliga verksamhetsställe i unionen bör vara den plats i unionen där den
personuppgiftsansvarige har sin centrala förvaltning, såvida inte beslut om ändamålen och medlen för behandling
av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen; i sådant fall
4.5.2016
L 119/6
Europeiska unionens officiella tidning
SV
(
1
) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande
hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).
Prop. 2017/18:218
Bilaga 1
227
bör det andra verksamhetsstället anses vara det huvudsakliga verksamhetsstället. En personuppgiftsansvarigs
huvudsakliga verksamhetsställe inom unionen bör avgöras med beaktande av objektiva kriterier och bör
inbegripa den faktiska och reella ledning som fattar de huvudsakliga besluten vad avser ändamål och medel för
behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt av om behandlingen av
personuppgifter utförs på detta ställe. Att tekniska medel och teknik för behandling av personuppgifter eller
behandlingsverksamhet finns och används visar i sig inte att det rör sig om ett huvudsakligt verksamhetsställe
och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Personuppgiftsbiträdets
huvudsakliga verksamhetsställe bör vara den plats i unionen där denne har sin centrala förvaltning eller, om
denne inte har någon central förvaltning inom unionen, den plats inom unionen där den huvudsakliga
behandlingen sker. I fall som omfattar både en personuppgiftsansvarig och ett personuppgiftsbiträde bör den
behöriga ansvariga tillsynsmyndigheten fortfarande vara tillsynsmyndigheten i den medlemsstat där den
personuppgiftsansvarige har sitt huvudsakliga verksamhetsställe, men den tillsynsmyndighet som gäller för
personuppgiftsbiträdet bör betraktas som en berörd tillsynsmyndighet och den tillsynsmyndigheten bör delta i det
samarbetsförfarande som föreskrivs i denna förordning. Om utkastet till beslut endast gäller den personuppgift
sansvarige, bör tillsynsmyndigheterna i den eller de medlemsstater där personuppgiftsbiträdet har ett eller flera
verksamhetsställen inte under några omständigheter betraktas som berörda tillsynsmyndigheter. Om
behandlingen utförs av en koncern bör det kontrollerande företagets huvudsakliga verksamhetsställe betraktas
som koncernens huvudsakliga verksamhetsställe, utom då behandlingens ändamål och de medel med vilka den
utförs fastställs av ett annat företag.
(37) En koncern bör innefatta ett kontrollerande företag och de företag som detta företag kontrollerar (kontrollerade
företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på de
övriga företagen i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av
eller befogenheten att införa regler som rör personuppgiftsskyddet. Ett företag med kontroll över behandlingen av
personuppgifter vid företag som är underställda detta företag bör, tillsammans med dessa företag, anses utgöra en
koncern.
(38) Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker,
följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt
skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa
personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som
erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas
för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.
(39) Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska
personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i
vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all
information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och
lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till
registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information
för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse
på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna
om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de
kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna
behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.
Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de
behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är
begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte
rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt
bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder
bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer
lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig
användning av personuppgifter och den utrustning som används för behandlingen.
(40) För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från den berörda registrerade
eller på någon annan legitim grund som fastställts i lag, antingen i denna förordning eller i annan unionsrätt eller
4.5.2016
L 119/7
Europeiska unionens officiella tidning
SV
228
Prop. 2017/18:218
Bilaga 1
medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att de rättsliga skyldigheter som åligger
den personuppgiftsansvarige måste fullgöras eller att ett avtal i vilket den registrerade är part måste genomföras
eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.
(41) När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis
en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella
ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och
precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid
Europeiska unionens domstol (nedan kallad domstolen) och Europeiska domstolen för de mänskliga rättigheterna.
(42) När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade
har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det
finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt
samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (
1
) bör en förklaring om samtycke som den
personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med
användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den
registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för
vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har
någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.
(43) För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av
personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp
giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att
samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke
antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av
personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet
tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant
genomförande.
(44) Behandling bör vara laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett
avtal.
(45) Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling
som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i
unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag
för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en
rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift
av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten
eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings
allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personupp
giftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till
vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra
en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan
huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighets
utövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentlig
rättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål,
såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning,
exempelvis en yrkesorganisation.
(46) Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av
avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på
4.5.2016
L 119/8
Europeiska unionens officiella tidning
SV
(
1
) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).
Prop. 2017/18:218
Bilaga 1
229
grundval av en annan fysisk persons grundläggande intressen bör i princip endast äga rum om behandlingen inte
uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och
intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av
humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer,
särskilt vid naturkatastrofer eller katastrofer orsakade av människan.
(47) En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken
personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de
registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de
registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Ett sådant berättigat
intresse kan till exempel finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och
den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den
personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning, som
inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med
detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske. Den registrerades
intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än den personuppgiftsansvariges
intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig
någon ytterligare behandling. Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den
rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte
gälla den behandling de utför som ett led i fullgörandet av sina uppgifter. Sådan behandling av personuppgifter
som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personupp
giftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.
(48) Personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ kan ha
ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland
annat för behandling av kunders eller anställdas personuppgifter. De allmänna principerna för överföring av
personuppgifter, inom en koncern, till företag i tredjeland påverkas inte.
(49) Behandling av personuppgifter utgör ett berättigat intresse för berörd personuppgiftsansvarig i den mån den är
absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet, dvs. förmågan hos ett nät
eller ett informationssystem att vid en viss tillförlitlighetsnivå tåla olyckshändelser, olagliga handlingar eller
illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade
eller överförda personuppgifter och säkerheten hos besläktade tjänster som tillhandahålls av – eller är tillgängliga
via – dessa nät och system, av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av
datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och
tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta att förhindra obehörigt
tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastnings
attacker och skador på datasystem och elektroniska kommunikationssystem.
(50) Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara
tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall
krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter
medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i
myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller
medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling
bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga
eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av
uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten eller i
medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa
om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna
ursprungligen insamlades bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den
ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen
med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de
registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den
4.5.2016
L 119/9
Europeiska unionens officiella tidning
SV
230
Prop. 2017/18:218
Bilaga 1
art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga
skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.
Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på
medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i
syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att
behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Under alla
omständigheter bör tillämpningen av principerna i denna förordning, särskilt informationen till den registrerade
om dessa andra ändamål och om dennes rättigheter, inbegripet rätten att göra invändningar, säkerställas. Om den
personuppgiftsansvarige anmäler möjliga brott eller hot mot den allmänna säkerheten och i enskilda fall eller i
flera fall som rör samma brott eller hot mot den allmänna säkerheten överför dessa personuppgifter till en
behörig myndighet, ska detta betraktas som att den personuppgiftsansvarige agerar i ett berättigat intresse. Sådan
överföring i den personuppgiftsansvariges berättigade intresse eller ytterligare behandling av personuppgifter bör
emellertid vara förbjuden, om behandlingen inte är förenlig med lagstadgad eller yrkesmässig tystnadsplikt eller
annan bindande tystnadsplikt.
(51) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter
bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de
grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som
avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen
godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte
systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras
som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av
en fysisk person. Sådana personuppgifter bör inte behandlas, såvida inte behandling medges i särskilda fall som
fastställs i denna förordning, med beaktande av att det i medlemsstaternas lagstiftning får införas särskilda
bestämmelser om dataskydd för att anpassa tillämpningen av bestämmelserna i denna förordning i syfte att
fullgöra en rättslig skyldighet eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den
personuppgiftsansvarige har fått i uppgift att utföra. Utöver de särskilda kraven för sådan behandling, bör de
allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för
laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av
personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller
för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som
bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.
(52) Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i
unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda
personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om
behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för
hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar
och andra allvarliga hot mot hälsan. Detta undantag får göras för hälsoändamål, inbegripet folkhälsa och
förvaltningen av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de
förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet,
eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska
ändamål. Genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för
fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller
inom ett administrativt eller ett utomrättsligt förfarande.
(53) Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i
hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort,
särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system,
inbegripet behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana
uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell
och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av
kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller
hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt
intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten
eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs
av allmänt intresse på folkhälsoområdet. Denna förordning bör därför innehålla harmoniserade villkor för
behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när
behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade
4.5.2016
L 119/10
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
231
yrkesmässig tystnadsplikt. Unionsrätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och
lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna
bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska
uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom
unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter.
(54) På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier
av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och
särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas
enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (
1
), nämligen alla aspekter som
rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans
bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och
allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.
Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för
andra ändamål av tredje part, exempelvis arbetsgivare eller försäkrings- och bankföretag.
(55) Myndigheters behandling av personuppgifter på officiellt erkända religiösa sammanslutningars vägnar i syften
som fastställs i grundlag eller i folkrätten anses också grunda sig på ett allmänt intresse.
(56) Om det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska
partier i vissa medlemsstater samlar in personuppgifter om fysiska personers politiska uppfattningar, får
behandling av sådana uppgifter tillåtas med hänsyn till ett allmänt intresse, på villkor att lämpliga skyddsåtgärder
fastställs.
(57) Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denne att identifiera
en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att
kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning.
Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade
lämnat som stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad,
till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den
registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige.
(58) Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad,
lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder
visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till
allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten
gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in,
vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet. Eftersom barn förtjänar särskilt
skydd, bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk
som barnet lätt kan förstå.
(59) Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning,
inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller
radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör
också tillhandahålla hjälpmedel för elektroniskt ingivna framställningar, särskilt i fall då personuppgifter
behandlas elektroniskt. Personuppgiftsansvariga bör utan onödigt dröjsmål och senast inom en månad vara
skyldiga att besvara registrerades önskemål och lämna en motivering, om de inte avser att uppfylla sådana
önskemål.
4.5.2016
L 119/11
Europeiska unionens officiella tidning
SV
(
1
) Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och
hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).
232
Prop. 2017/18:218
Bilaga 1
(60) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och
syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs
för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika
omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt
om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör denne även
informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna
om han eller hon inte lämnar dem. Denna information får tillhandahållas kombinerad med standardiserade
symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen.
Om sådana symboler visas elektroniskt bör de vara maskinläsbara.
(61) Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid
den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från
en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan
lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till
denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än
det för vilket uppgifterna insamlades, bör denne före ytterligare behandling informera den registrerade om detta
andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den
registrerade på grund av att olika källor har använts, bör allmän information ges.
(62) Det är dock inte nödvändigt att införa någon skyldighet att tillhandahålla information, om den registrerade redan
innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag
eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade
informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av
allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör
antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.
(63) Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och
med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna
kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa,
exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande
läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom
och underrättelse om framför allt orsaken till att personuppgifterna behandlas, om möjligt vilken tidsperiod
behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk
behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan
behandling. Om möjligt bör den personuppgiftsansvarige kunna ge fjärråtkomst till ett säkert system genom
vilket den registrerade kan få direkt åtkomst till sina personuppgifter. Denna rätt bör inte inverka menligt på
andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt
som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all
information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den
personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken
behandling en framställan avser, innan informationen lämnas ut.
(64) Personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär
tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte
behålla personuppgifter enbart för att kunna agera vid en potentiell begäran.
(65) Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av
uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den
personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och
kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för
vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller
invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller
4.5.2016
L 119/12
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
233
hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt
relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna
med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna
utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock
vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig
förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts
den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av
allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande,
utövande eller försvar av rättsliga anspråk.
(66) För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att personuppgift
sansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska
åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den
registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I
samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik
och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera
de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.
(67) Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda
personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller
tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av
behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för
ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör
klart anges inom systemet.
(68) För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna
behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon
har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt
format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att
utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den
registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig
för att ett avtal ska kunna genomföras. Den bör inte vara tillämplig om behandlingen utgår från en annan rättslig
grund än samtycke eller avtal. På grund av sin art bör denna rättighet inte utövas mot personuppgiftsansvariga
som behandlar personuppgifter som ett led i myndighetsutövning. Därför bör den inte vara tillämplig när
behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp
giftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs
av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom
eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla
behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning
personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och
friheter enligt denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd
radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i
synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för
genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av
avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en
personuppgiftsansvarig till en annan.
(69) När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av
allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, eller på
grund av en personuppgiftsansvarigs eller en tredje parts berättigade intressen, bör alla registrerade ändå ha rätt
att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör
ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den
registrerades intressen eller grundläggande rättigheter och friheter.
(70) Om personuppgifter behandlas för direktmarknadsföring, bör den registrerade, oavsett om det handlar om
inledande eller ytterligare behandling, ha rätt att när som helst kostnadsfritt invända mot sådan behandling,
inbegripet profilering, i den mån denna är kopplad till direktmarknadsföring. Denna rättighet bör uttryckligen
meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information.
4.5.2016
L 119/13
Europeiska unionens officiella tidning
SV
234
Prop. 2017/18:218
Bilaga 1
(71) Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av
personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför
rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett
automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling
omfattar ”profilering” i form av automatisk behandling av personuppgifter med bedömning av personliga
aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades
arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende,
vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i
betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering,
bör dock tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den
personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier
och skatteundandragande som genomförs i enlighet med unionsinstitutionernas eller de nationella
tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en
tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av
ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga
samtycke. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga
skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att
framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att
överklaga beslutet. Sådana åtgärder bör inte gälla barn.
I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av
omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige
använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och
organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter
korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar
potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande
effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse,
medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder
som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av
personuppgifter bör endast tillåtas på särskilda villkor.
(72) Profilering omfattas av denna förordnings bestämmelser om behandling av personuppgifter, såsom de rättsliga
grunderna för behandlingen och principer för dataskydd. Europeiska dataskyddsstyrelsen som inrättas genom
denna förordning (nedan kallad styrelsen) bör kunna utfärda riktlinjer i detta avseende.
(73) Begränsningar med avseende på specifika principer och rätten till information, tillgång till och rättelse eller
radering av personuppgifter, rätten till dataportabilitet, rätten att göra invändningar, profileringsbaserade beslut
samt information till den registrerade om personuppgiftsincidenter och vissa av den personuppgiftsansvariges
relaterade skyldigheter kan införas genom unionsrätten eller medlemsstaternas nationella rätt, i den mån de är
nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten,
exempelvis för att skydda människoliv, särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid
förebyggande, förhindrande, utredning och lagföring av brott eller verkställande av straffrättsliga sanktioner,
inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten eller
överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga viktiga mål
av allmänt intresse, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en
medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse, ytterligare behandling av
arkiverade personuppgifter för att tillhandahålla specifik information om politiskt beteende under tidigare
totalitära regimer eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd,
folkhälsa och humanitära skäl. Dessa begränsningar bör överensstämma med kraven i stadgan och den europeiska
konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.
(74) Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs
på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och
kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör
inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska
personers rättigheter och friheter.
4.5.2016
L 119/14
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
235
(75) Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till
följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i
synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat
anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt
hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas
sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter
behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i
fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt
överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms,
framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa,
personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa
eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer,
framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal
registrerade.
(76) Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån
behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv
bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.
(77) Vägledning för den personuppgiftsansvariges eller personuppgiftsbiträdets genomförande av lämpliga åtgärder
och för påvisande av att behandlingen är förenlig med denna förordning, särskilt när det gäller att kartlägga den
risk som är förknippad med behandlingen och bedöma dess ursprung, art, sannolikhetsgrad och allvar samt
fastställa bästa praxis för att minska risken, kan framför allt ges genom godkända uppförandekoder, godkänd
certifiering, riktlinjer från styrelsen eller genom anvisningar från ett dataskyddsombud. Styrelsen kan också
utfärda riktlinjer för uppgiftsbehandling som inte bedöms medföra någon hög risk för fysiska personers
rättigheter och friheter samt ange vilka åtgärder som i sådana fall kan vara tillräckliga för att bemöta en sådan
risk.
(78) Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att
lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna
visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt
för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat
bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet
om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbe
handlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Vid
utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på
behandling av personuppgifter eller behandlar personuppgifter för att uppfylla sitt syfte bör producenterna av
dessa produkter, tjänster och applikationer uppmanas att beakta rätten till dataskydd när sådana produkter,
tjänster och applikationer utvecklas och utformas och att, med tillbörlig hänsyn till den tekniska utvecklingen,
säkerställa att personuppgiftsansvariga och personuppgiftsbiträden kan fullgöra sina skyldigheter avseende
dataskydd. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga
upphandlingar.
(79) Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbi
trädenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt
fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt
fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en
behandling utförs på en personuppgiftsansvarigs vägnar.
(80) När personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade inom unionen behandlar
personuppgifter om registrerade som befinner sig inom unionen och det bakomliggande syftet med uppgiftsbe
handlingen är att erbjuda de registrerade personerna i unionen varor eller tjänster, oberoende av om de
registrerade personerna måste betala för dem, eller att övervaka deras beteende i den mån beteendet äger rum i
unionen, bör de personuppgiftsansvariga eller personuppgiftsbiträdena utnämna en företrädare, såvida inte
behandlingen endast är tillfällig, inte omfattar behandling i stor omfattning av särskilda kategorier av
personuppgifter eller behandling av personuppgifter om fällande domar i brottmål samt överträdelser och det är
4.5.2016
L 119/15
Europeiska unionens officiella tidning
SV
236
Prop. 2017/18:218
Bilaga 1
osannolikt att den inbegriper en risk för fysiska personers rättigheter och friheter, med beaktande av
behandlingens art, sammanhang, omfattning och ändamål eller om den personuppgiftsansvarige är en myndighet
eller ett organ. Företrädaren bör agera på den personuppgiftsansvariges eller på personuppgiftsbiträdets vägnar
och kan kontaktas av samtliga tillsynsmyndigheter. Företrädaren bör uttryckligen utses genom en skriftlig
fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet att agera på dennes vägnar med
avseende på dennes skyldigheter enligt denna förordning. Utnämningen av företrädaren inverkar inte på den
personuppgiftsansvariges eller på personuppgiftsbiträdets ansvar enligt denna förordning. Företrädaren bör utföra
sina uppgifter i enlighet med erhållen fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet,
vilket inbegriper samarbete med de behöriga tillsynsmyndigheterna i fråga om alla åtgärder som vidtas för att
sörja för efterlevnad av denna förordning. Den utsedda företrädaren bör underkastas verkställighetsförfaranden i
händelse den personuppgiftsansvarige eller personuppgiftsbiträdet inte uppfyller sina skyldigheter.
(81) För att se till att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska
utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt
ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga
om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller
kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Personuppgifts
biträdets anslutning till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett
sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av ett
personuppgiftsbiträde, bör hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller
medlemsstaternas nationella rätt mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet
för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av
registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen
för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den
personuppgiftsansvarige och personuppgiftsbiträdet får välja att använda sig av ett enskilt avtal eller standardav
talsklausuler som antingen antas direkt av kommissionen eller av en tillsynsmyndighet i enlighet med
mekanismen för enhetlighet och därefter antas av kommissionen. Efter det att behandlingen på den personupp
giftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna,
beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den
unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av.
(82) För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra
register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden
bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så
att det kan tjäna som grund för övervakningen av behandlingen.
(83) För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgift
sansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom
kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet,
med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ
av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker
som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller
otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts,
lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.
(84) I syfte att sörja för bättre efterlevnad av denna förordning när behandlingen sannolikt kan innebära en hög risk
för fysiska personers rättigheter och friheter, bör den personuppgiftsansvarige vara ansvarig för att en konsekvens
bedömning utförs avseende datasskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar.
Resultatet av denna bedömning bör beaktas vid fastställandet av de lämpliga åtgärder som ska vidtas för att visa
att behandlingen av personuppgifter är förenlig med denna förordning. I de fall en konsekvensbedömning
avseende dataskydd ger vid handen att uppgiftsbehandlingen medför en hög risk, som den personuppgift
sansvarige inte kan begränsa genom lämpliga åtgärder med avseende på tillgänglig teknik och genomförande
kostnader, bör ett samråd med tillsynsmyndigheten ske före behandlingen.
(85) En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk,
materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till
begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt
hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som
omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. Så
4.5.2016
L 119/16
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
237
snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personupp
giftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om så
är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i
enlighet med ansvarsprincipen, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra
en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör
skälen till fördröjningen åtfölja anmälan och information får lämnas i omgångar utan otillbörligt vidare dröjsmål.
(86) Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgift
sincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens
rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva
personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de
potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt,
i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra
relevanta myndigheter, exempelvis brottsbekämpande myndigheter. Till exempel kräver behovet av att mildra en
omedelbar skaderisk att de registrerade underrättas omedelbart, medan behovet av att vidta lämpliga åtgärder vid
fortlöpande eller likartade personuppgiftsincidenter däremot kan motivera längre tid för underrättelsen.
(87) Det bör undersökas huruvida alla lämpliga tekniska skyddsåtgärder och alla lämpliga organisatoriska åtgärder har
vidtagits för att omedelbart fastställa om en personuppgiftsincident har ägt rum och skyndsamt informera
tillsynsmyndigheten och den registrerade. Att en anmälan gjordes utan onödigt dröjsmål bör fastställas med
hänsyn tagen bl.a. till personuppgiftsincidentens art och svårighetsgrad och dess följder och negativa effekter för
den registrerade. En sådan anmälan kan leda till ett ingripande från tillsynsmyndighetens sida i enlighet med dess
uppgifter och befogenheter enligt denna förordning.
(88) När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsincidenter, bör vederbörlig
hänsyn tas till omständigheterna kring incidenten, däribland om personuppgifterna var skyddade av lämpliga
tekniska skyddsåtgärder, som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av
missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade
intressen, där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring en
personuppgiftsincident.
(89) Direktiv 95/46/EG föreskrev en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndighe
terna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personupp
giftsskyddet. Sådana övergripande och allmänna anmälningsskyldigheter bör därför avskaffas och ersättas av
effektiva förfaranden och mekanismer som i stället inriktas på de typer av behandlingar som sannolikt innebär en
hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål.
Dessa behandlingar kan vara sådana som särskilt inbegriper användning av ny teknik eller är av en ny typ, för
vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgift
sansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen.
(90) I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art,
omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende
dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung.
Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska
minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.
(91) Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder
personuppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal
registrerade och sannolikt kommer att innebära en hög risk, exempelvis till följd av uppgifternas känsliga natur,
där i enlighet med den uppnådda nivån av teknisk kunskap en ny teknik används storskaligt, samt på annan
behandling som innebär en hög risk för registrerades rättigheter och friheter, framför allt när denna behandling
gör det svårare för de registrerade att utöva sina rättigheter. En konsekvensbedömning avseende dataskydd bör
4.5.2016
L 119/17
Europeiska unionens officiella tidning
SV
238
Prop. 2017/18:218
Bilaga 1
också göras, där personuppgifter behandlas i syfte att fatta beslut om specifika fysiska personer efter en
systematisk och omfattande bedömning av fysiska personers personliga aspekter på grundval av profilering av
dessa uppgifter eller efter behandling av särskilda kategorier av personuppgifter, biometriska uppgifter eller
uppgifter om fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder.
Likaså krävs en konsekvensbedömning avseende dataskydd för övervakning av allmän plats i stor omfattning,
särskilt vid användning av optisk-elektroniska anordningar, eller för all annan behandling där den behöriga
tillsynsmyndigheten anser att behandlingen sannolikt kommer att innebära en hög risk för de registrerades
rättigheter och friheter, framför allt på grund av att den hindrar de registrerade från att utöva en rättighet eller
använda en tjänst eller ett avtal eller på grund av att den systematiskt genomförs i stor omfattning. Behandling av
personuppgifter bör inte anses vara storskalig, om det är fråga om personuppgifter från patienter eller klienter
som behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud. I dessa fall bör
en konsekvensbedömning avseende dataskydd inte vara obligatorisk.
(92) Ibland kan det vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på
ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam
tillämpnings- eller behandlingsplattform eller när flera personuppgiftsansvariga planerar att införa en gemensam
tillämpnings- eller behandlingsmiljö för en hel bransch eller ett helt segment eller för en allmänt utnyttjad
horisontell verksamhet.
(93) Medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning före behandlingen i samband med
antagandet av medlemsstaters nationella rätt som ligger till grund för utförandet av myndighetens eller det
offentliga organets uppgifter och reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder.
(94) Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder,
säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers
rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan begränsas genom åtgärder som
är rimliga med avseende på tillgänglig teknik och genomförandekostnader, bör samråd hållas med tillsynsmyndig
heten innan behandlingen inleds. En sådan hög risk kommer sannolikt att orsakas av vissa typer av behandling
samt av en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av
fysiska personers rättigheter och friheter. Tillsynsmyndigheten bör inom en fastställd tid svara på en begäran om
samråd. Ett uteblivet svar från tillsynsmyndigheten inom denna tid bör dock inte hindra ett eventuellt ingripande
från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning, inbegripet
befogenheten att förbjuda behandling. Som en del av denna samrådsprocess får resultatet av en konsekvens
bedömning avseende dataskydd som utförs med avseende på behandlingen i fråga överlämnas till tillsynsmyndig
heten, framför allt de åtgärder som planeras för att minska risken för fysiska personers rättigheter och friheter.
(95) Personuppgiftsbiträdet bör vid behov och på begäran bistå den personuppgiftsansvarige med fullgörande av de
skyldigheter som härrör från utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd
med tillsynsmyndigheten.
(96) Ett samråd med tillsynsmyndigheten bör även ske som ett led i det förberedande arbetet med en lagstift
ningsåtgärd som stadgar om behandling av personuppgifter i syfte att säkerställa att den avsedda behandlingen
överensstämmer med denna förordning och framför allt för att minska den risk den medför för den registrerade.
(97) När en behandling utförs av en myndighet, med undantag av domstolar eller oberoende rättsliga myndigheter
som en del av deras dömande verksamhet, eller när en behandling utförs i den privata sektorn av en personupp
giftsansvarig vars kärnverksamhet består av behandlingsverksamhet som kräver regelbunden och systematisk
övervakning av de registrerade i stor omfattning, eller när den personuppgiftsansvariges eller personuppgifts
biträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och
uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om
dataskyddslagstiftning och -förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att
övervaka den interna efterlevnaden av denna förordning. I den privata sektorn avser personuppgiftsansvarigas
kärnverksamhet deras primära verksamhet och inte behandling av personuppgifter som kompletterande
verksamhet. Den nödvändiga nivån på sakkunskapen bör fastställas särskilt i enlighet med den uppgiftsbehandling
4.5.2016
L 119/18
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
239
som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige eller
personuppgiftsbiträdet. Denna typ av dataskyddsombud bör, oavsett om de är anställda av den personuppgift
sansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt.
(98) Sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts
biträden bör uppmuntras att utarbeta uppförandekoder inom gränserna för denna förordning, så att
tillämpningen av denna förordning effektiviseras, med beaktande av särdragen hos den behandling som sker inom
vissa sektorer och de särskilda behov som finns inom mikroföretag samt inom små och medelstora företag. I
synnerhet skulle man genom sådana uppförandekoder kunna anpassa personuppgiftsansvarigas och personupp
giftsbiträdens skyldigheter, med beaktande av den risk som behandlingen sannolikt innebär för fysiska personers
rättigheter och friheter.
(99) Vid utformningen av en uppförandekod eller vid ändring eller utvidgning av en befintlig sådan kod bör
sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts
biträden samråda med berörda intressenter, i möjligaste mån inbegripet registrerade, och beakta de inlagor som
mottas och de åsikter som framförs som svar på samråden.
(100) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer
och dataskyddsförsegling och dataskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på
relevanta produkters och tjänsters dataskydd.
(101) Flöden av personuppgifter till och från länder utanför unionen och till och från internationella organisationer är
nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av dessa flöden har
medfört nya utmaningar och nya farhågor när det gäller skyddet av personuppgifter. Det är viktigt att den
skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning inte undergrävs när
personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare
i tredjeland eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från
tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma
eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och
internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna
förordning. En överföring kan endast ske, om de villkor som fastställs i bestämmelserna i denna förordning om
överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personupp
giftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.
(102) Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av
personuppgifter, däribland lämpliga skyddsåtgärder för de registrerade. Medlemsstaterna får ingå internationella
avtal som innefattar överföring av personuppgifter till tredjeländer eller internationella organisationer i den mån
sådana avtal inte påverkar denna förordning eller andra bestämmelser i unionsrätten och innehåller en skälig nivå
av skydd för de registrerades grundläggande rättigheter.
(103) Kommissionen kan med verkan för hela unionen fastställa att ett tredjeland, ett territorium eller en specificerad
sektor i ett tredjeland eller en internationell organisation erbjuder en adekvat dataskyddsnivå och på så sätt skapa
rättslig säkerhet och enhetlighet i hela unionen vad gäller tredjelandet eller den internationella organisationen
som anses tillhandahålla en sådan skyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet
eller den internationella organisationen ske utan ytterligare tillstånd. Kommissionen kan också, efter att ha
underrättat tredjelandet eller den internationella organisationen och lämnat en fullständig motivering, besluta att
ett sådant beslut ska återkallas.
(104) I enlighet med de grundläggande värderingar som unionen bygger på, bl.a. skyddet av mänskliga rättigheter, bör
kommissionen i sin bedömning av tredjelandet eller ett territorium eller en specificerad sektor i ett tredjeland
beakta hur ett visst tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning samt internationella
människorättsnormer och -standarder samt landets allmänna lagstiftning och sektorslagstiftning, inklusive
lagstiftning om allmän säkerhet, försvar och nationell säkerhet samt allmän ordning och straffrätt. Vid antagandet
av ett beslut om adekvat skyddsnivå avseende ett territorium eller en specificerad sektor i ett tredjeland bör
hänsyn tas till tydliga och objektiva kriterier, t.ex. specifik behandling och tillämpningsområdet för tillämpliga
rättsliga standarder och gällande lagstiftning i tredjelandet. Tredjelandet bör erbjuda garantier som säkerställer en
4.5.2016
L 119/19
Europeiska unionens officiella tidning
SV
240
Prop. 2017/18:218
Bilaga 1
tillfredsställande skyddsnivå som i huvudsak motsvarar den som säkerställs i unionen, i synnerhet när
personuppgifter behandlas inom en eller flera specifika sektorer. Tredjelandet bör framför allt säkerställa en
effektiv oberoende dataskyddsövervakning och sörja för samarbetsmekanismer med medlemsstaternas dataskydds
myndigheter, och de registrerade bör tillförsäkras effektiva och lagstadgade rättigheter samt effektiv administrativ
och rättslig prövning.
(105) Utöver de internationella åtaganden som tredjelandet eller den internationella organisationen har gjort bör
kommissionen beakta de skyldigheter som följer av tredjelandets eller den internationella organisationens
deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter och genomförandet av
dessa skyldigheter. Framför allt bör tredjelandets anslutning till Europarådets konvention av den 28 januari 1981
om skydd för enskilda vid automatisk behandling av personuppgifter och dess tilläggsprotokoll beaktas.
Kommissionen bör samråda med styrelsen vid bedömningen av skyddsnivån i tredjeländer eller internationella
organisationer.
(106) Kommissionen bör övervaka hur beslut om skyddsnivå i ett tredjeland, ett territorium eller en specificerad sektor
i ett tredjeland eller en internationell organisation fungerar, och övervaka hur beslut som antas på grundval av
artikel 25.6 eller 26.4 i direktiv 95/46/EG fungerar. Kommissionen bör i sina beslut om adekvat skyddsnivå
föreskriva en mekanism för periodisk översyn av hur de fungerar. Denna periodiska översyn bör genomföras
i samråd med det berörda tredjelandet eller den berörda internationella organisationen, med beaktande av all
relevant utveckling i tredjelandet eller den internationella organisationen. Vid övervakningen och genomförandet
av den periodiska översynen bör kommissionen ta hänsyn till synpunkter och resultat från Europaparlamentet
och rådet samt andra relevanta organ och källor. Kommissionen bör inom rimlig tid utvärdera hur de sistnämnda
besluten fungerar och rapportera alla relevanta resultat till den kommitté, i den mening som avses i Europapar
lamentets och rådets förordning (EU) nr 182/2011 (
1
), som inrättats enligt denna förordning och till Europapar
lamentet och rådet.
(107) Kommissionen kan konstatera att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland
eller en internationell organisation inte längre säkerställer en adekvat dataskyddsnivå. Överföring av
personuppgifter till detta tredjeland eller till denna internationella organisation bör då förbjudas, såvida inte
kraven i denna förordning avseende överföring med stöd av lämpliga skyddsåtgärder, inbegripet bindande
företagsbestämmelser och undantag för särskilda situationer, är uppfyllda. I så fall bör det finnas möjlighet till
samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Kommissionen bör i god
tid informera tredjelandet eller den internationella organisationen om skälen och inleda samråd med tredjelandet
eller organisationen för att avhjälpa situationen.
(108) Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder
för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den
registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standard
bestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits
av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet. Dessa skyddsåtgärder bör
säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för
behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är
tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva
kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för
behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. Överföring
av uppgifter kan också utföras av offentliga myndigheter eller organ till offentliga myndigheter eller organ i
tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på
grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som
föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från den behöriga tillsynsmyndighe
ten bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang.
(109) Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbe
stämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar
4.5.2016
L 119/20
Europeiska unionens officiella tidning
SV
(
1
) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer
för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).
Prop. 2017/18:218
Bilaga 1
241
standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett
annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under
förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av
kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter.
Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder
via avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna.
(110) En koncern eller en grupp av företag som deltar i en gemensam ekonomisk verksamhet bör kunna använda sig
av godkända bindande företagsbestämmelser för sina internationella överföringar från unionen till organisationer
inom samma koncern eller grupp av företag som deltar i en gemensam ekonomisk verksamhet, under
förutsättning att företagsbestämmelserna inbegriper alla nödvändiga principer och bindande rättigheter som
säkerställer lämpliga skyddsåtgärder för överföringar eller kategorier av överföringar av personuppgifter.
(111) Det bör införas bestämmelser som ger möjlighet att under vissa omständigheter göra överföringar, om den
registrerade har lämnat sitt uttryckliga samtycke, när överföringen är tillfällig och nödvändig med hänsyn till ett
avtal eller ett rättsligt anspråk, oavsett om detta sker inom ett rättsligt förfarande eller i ett administrativt eller
utomrättsligt förfarande, inbegripet förfaranden inför tillsynsorgan. Det bör också införas bestämmelser som ger
möjlighet till överföringar om viktiga allmänintressen fastställda genom unionsrätten eller medlemsstaternas
nationella rätt så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att
konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring
inte omfatta alla personuppgifter eller hela kategorier av uppgifter i registret, och överföringen bör endast göras
när registret är avsett att vara tillgängligt för personer med ett berättigat intresse, på begäran av dessa personer
eller om de själva är mottagarna, med full hänsyn till de registrerades intressen och grundläggande rättigheter.
(112) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till
viktiga allmänintressen, exempelvis vid internationella utbyten av uppgifter mellan konkurrensmyndigheter,
skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter,
till exempel vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning
inom idrott. En överföring av personuppgifter bör också betraktas som laglig, om den är nödvändig för att
skydda ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes
fysiska integritet och liv, om den registrerade är oförmögen att ge sitt samtycke. Saknas beslut om adekvat
skyddsnivå får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen
uttryckligen fastställa gränser för överföringen av särskilda kategorier av uppgifter till ett tredjeland eller en
internationell organisation. Medlemsstaterna bör underrätta kommissionen om sådana bestämmelser. Varje
överföring till en internationell humanitär organisation av personuppgifter rörande en registrerad som är fysiskt
eller rättsligt förhindrad att ge sitt samtycke, i syfte att utföra en uppgift inom ramen för Genèvekonventionerna
eller vara förenlig med internationell humanitär rätt, vilken är tillämplig vid väpnade konflikter, skulle kunna
anses vara nödvändig för ett betydande allmänintresse eller för att den är av vitalt intresse för den registrerade.
(113) Överföringar som kan anses vara icke återkommande och endast gäller ett begränsat antal registrerade kan också
vara möjliga när personuppgiftsansvarigas tvingande berättigade intressen motiverar detta, om inte den
registrerades intressen eller rättigheter och friheter väger tyngre än dessa intressen, och den personuppgift
sansvarige har bedömt alla omständigheter kring uppgiftsöverföringen. Den personuppgiftsansvarige bör ta
särskild hänsyn till personuppgifternas art, den eller de avsedda behandlingarnas ändamål och varaktighet samt
situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet och bör tillhandahålla lämpliga
åtgärder för att skydda fysiska personers grundläggande rättigheter och friheter vid behandlingen av deras
personuppgifter. Sådana överföringar bör endast vara möjliga i vissa fall där inget av de andra skälen till
överföring är tillämpligt. För vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör hänsyn
tas till samhällets legitima förväntningar i fråga om ökad kunskap. Den personuppgiftsansvarige bör informera
tillsynsmyndigheten och den registrerade om överföringen.
(114) Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgift
sansvarige eller personuppgiftsbiträdet i alla fall använda sig av lösningar som ger de registrerade verkställbara
och effektiva rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl
har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i
förhållande till dem.
4.5.2016
L 119/21
Europeiska unionens officiella tidning
SV
242
Prop. 2017/18:218
Bilaga 1
(115) Vissa tredjeländer antar lagar och andra författningar som syftar till att direkt reglera behandling som genomförs
av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Detta kan inkludera rättsliga avgöranden
eller beslut av administrativa myndigheter i tredjeländer med krav på att personuppgiftsansvariga eller personupp
giftsbiträden överför eller överlämnar personuppgifter, vilka inte grundar sig på något gällande internationellt
avtal, såsom ett fördrag om ömsesidig rättshjälp, mellan det begärande tredjelandet och unionen eller en
medlemsstat. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt
och inverka menligt på det skydd av fysiska personer som säkerställs inom unionen genom denna förordning.
Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda.
Detta kan vara fallet bl.a. när utlämnande är nödvändigt på grund av ett viktigt allmänintresse som erkänns
i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.
(116) När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan
utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande
av denna information. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller
göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att arbeta tillsammans
över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, oenhetliga rättsliga
regelverk och praktiska hinder, som exempelvis bristande resurser. Närmare samarbete mellan dataskyddstillsyn
smyndigheter bör därför främjas för att hjälpa dem att utbyta information och utföra utredningar med sina
internationella motparter. I syfte att bygga upp internationella samarbetsmekanismer för att underlätta och
tillhandahålla ömsesidig internationell hjälp med att kontrollera efterlevnaden av lagstiftningen till skydd för
personuppgifter, bör kommissionen och tillsynsmyndigheterna utbyta information och samarbeta, inom
verksamhet som rör utövandet av deras befogenheter, med behöriga myndigheter i tredjeländer, på grundval av
ömsesidighet och i överensstämmelse med denna förordning.
(117) Ett väsentligt inslag i skyddet av fysiska personer vid behandlingen av personuppgifter är att medlemsstaterna
inrättar tillsynsmyndigheter med behörighet att utföra sina uppgifter och utöva sina befogenheter under
fullständigt oberoende. Medlemsstaterna bör kunna inrätta fler än en tillsynsmyndighet om det behövs för att ta
hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen.
(118) Tillsynsmyndigheternas oberoende bör dock inte innebära att deras utgifter inte kan underkastas kontroll- eller
övervakningsmekanismer eller bli föremål för domstolsprövning.
(119) Om en medlemsstat inrättar flera tillsynsmyndigheter, bör den genom lagstiftning säkerställa att dessa
tillsynsmyndigheter effektivt deltar i mekanismen för enhetlighet. Medlemsstaten bör i synnerhet utnämna en
tillsynsmyndighet som fungerar som samlande kontaktpunkt för dessa myndigheters effektiva deltagande i
mekanismen för att säkra ett snabbt och smidigt samarbete med övriga tillsynsmyndigheter, styrelsen och
kommissionen.
(120) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den
infrastruktur som är nödvändig för att den effektivt ska kunna utföra sina uppgifter, däribland de uppgifter som
är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. Varje
tillsynsmyndighet bör ha en separat offentlig årlig budget, som kan ingå i den övergripande statsbudgeten eller
nationella budgeten.
(121) De allmänna villkoren för tillsynsmyndighetens ledamot eller ledamöter bör fastställas genom varje medlemsstats
lagstiftning och där bör i synnerhet föreskrivas att ledamöterna ska utnämnas genom ett öppet förfarande
antingen av medlemsstatens parlament, regering eller statschef, på grundval av ett förslag från regeringen, en
ledamot av regeringen, parlamentet eller en av parlamentets kammare eller av ett oberoende organ som enligt
medlemsstaternas nationella rätt har anförtrotts utnämningen. I syfte att säkerställa tillsynsmyndighetens
oberoende bör ledamoten eller ledamöterna handla med integritet, avstå från alla handlingar som står i strid med
deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som
står i strid med deras uppdrag. Tillsynsmyndigheten bör ha egen personal, som valts ut av tillsynsmyndigheten
eller ett oberoende organ som fastställs i medlemsstaternas nationella rätt, vilken uteslutande bör vara underställd
tillsynsmyndighetens ledamot eller ledamöter.
(122) Varje tillsynsmyndighet bör ha behörighet att inom sin medlemsstats territorium utöva de befogenheter och
utföra de uppgifter som den tilldelats i enlighet med denna förordning. Detta bör framför allt omfatta behandling
4.5.2016
L 119/22
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
243
inom ramen för verksamhet vid den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhetsställen
inom den egna medlemsstatens territorium, behandling av personuppgifter som utförs av myndigheter eller
privata organ som agerar i ett allmänt intresse, behandling som påverkar registrerade på dess territorium eller
behandling som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i
unionen när den rör registrerade som är bosatta på dess territorium. Detta bör inbegripa att hantera klagomål
som lämnas in av en registrerad, genomföra undersökningar om tillämpningen av denna förordning samt främja
allmänhetens medvetenhet om risker, bestämmelser, skyddsåtgärder och rättigheter när det gäller behandlingen av
personuppgifter.
(123) Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i denna förordning och bidra till att
tillämpningen blir enhetlig över hela unionen, för att skydda fysiska personer vid behandling av deras
personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För detta
ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen, utan att det behövs
något avtal mellan medlemsstaterna om tillhandahållande av ömsesidigt bistånd eller om sådant samarbete.
(124) Om behandlingen av personuppgifter sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett
personuppgiftsbiträdes verksamhetsställe i unionen och den personuppgiftsansvarige eller personuppgiftsbiträdet
är etablerad i mer än en medlemsstat, eller om behandling som sker inom ramen för verksamhet vid ett enda
verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen i väsentlig grad
påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat, bör tillsyns
myndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller
för detta enda verksamhetsställe tillhörande den personuppgiftsansvarige eller personuppgiftsbiträdet agera som
ansvarig myndighet. Denna bör samarbeta med de övriga myndigheter som berörs, eftersom den personuppgift
sansvarige eller personuppgiftsbiträdet har ett verksamhetsställe inom deras medlemsstats territorium, eftersom
registrerade som är bosatta på deras territorium i väsentlig grad påverkas eller eftersom ett klagomål har lämnats
in till dem. Även när en registrerad som inte är bosatt i medlemsstaten har lämnat in ett klagomål, bör den
tillsynsmyndighet som klagomålet har lämnats in till också vara en berörd tillsynsmyndighet. Styrelsen bör inom
ramen för sina uppgifter kunna utfärda riktlinjer för alla frågor som rör tillämpningen av denna förordning,
framför allt för vilka kriterier som ska beaktas för att konstatera om behandlingen i fråga i väsentlig grad
påverkar registrerade i mer än en medlemsstat och för vad som utgör en relevant och motiverad invändning.
(125) Den ansvariga myndigheten bör ha behörighet att anta bindande beslut om åtgärder inom ramen för de
befogenheter som den tilldelats i enlighet med denna förordning. I egenskap av ansvarig myndighet bör tillsyns
myndigheten nära involvera och samordna de berörda tillsynsmyndigheterna i beslutsfattandet. Om man beslutar
att helt eller delvis avslå den registrerades klagomål, bör detta beslut antas av den tillsynsmyndighet som
klagomålet har lämnats in till.
(126) Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna bör gemensamt enas om beslutet, som
bör rikta sig till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda
verksamhetsställe och vara bindande för den personuppgiftsansvarige och personuppgiftsbiträdet. Den personupp
giftsansvarige eller personuppgiftsbiträdet bör vidta de åtgärder som krävs för att säkerställa efterlevnad av denna
förordning och genomförande av det beslut som den ansvariga tillsynsmyndigheten har anmält till den
personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe vad gäller behandling i
unionen.
(127) Varje tillsynsmyndighet som inte agerar som ansvarig tillsynsmyndighet bör vara behörig att behandla lokala fall,
om den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat men ärendet
för den specifika behandlingen endast avser behandling som utförs i en enda medlemsstat och endast omfattar
registrerade i denna enda medlemsstat, till exempel om ärendet avser behandling av anställdas personuppgifter
inom ramen för en medlemsstats specifika anställningsförhållanden. I sådana fall bör tillsynsmyndigheten utan
dröjsmål underrätta den ansvariga tillsynsmyndigheten om detta ärende. Efter att ha underrättats bör den
ansvariga tillsynsmyndigheten besluta huruvida den kommer att hantera ärendet i enlighet med bestämmelsen om
samarbete mellan den ansvariga tillsynsmyndigheten och andra berörda tillsynsmyndigheter (nedan kallad
mekanismen för en enda kontaktpunkt), eller om den tillsynsmyndighet som underrättade den bör behandla ärendet
på lokal nivå. När den ansvariga tillsynsmyndigheten beslutar huruvida den kommer att behandla ärendet, bör
den ta hänsyn till om den personuppgiftsansvarige eller personuppgiftsbiträdet har ett verksamhetsställe i den
medlemsstat där den tillsynsmyndighet som underrättade den ansvariga myndigheten är belägen för att säkerställa
ett effektivt genomförande av ett beslut gentemot den personuppgiftsansvarige eller personuppgiftsbiträdet. När
den ansvariga tillsynsmyndigheten beslutar att behandla ärendet, bör den tillsynsmyndighet som underrättade den
4.5.2016
L 119/23
Europeiska unionens officiella tidning
SV
244
Prop. 2017/18:218
Bilaga 1
ha möjlighet att lämna in ett förslag till beslut, som den ansvariga tillsynsmyndigheten bör ta största möjliga
hänsyn till när den utarbetar utkastet till beslut inom ramen för mekanismen för en enda kontaktpunkt.
(128) Bestämmelserna om den ansvariga tillsynsmyndigheten och mekanismen för en enda kontaktpunkt bör inte
tillämpas om behandlingen utförs av myndigheter eller privata organ i ett allmänt intresse. I sådana fall bör den
enda tillsynsmyndighet som är behörig att utöva de befogenheter som den tilldelas i enlighet med denna
förordning vara tillsynsmyndigheten i den medlemsstat där myndigheten eller det privata organet är etablerat.
(129) För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndighe
terna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bl.a. undersökningsbefogenheter,
korrigerande befogenheter och befogenheter att ålägga sanktioner samt befogenheter att utfärda tillstånd och ge
råd, särskilt vid klagomål från fysiska personer och, utan att det påverkar åklagarmyndigheternas befogenheter
enligt medlemsstaternas nationella rätt, att upplysa de rättsliga myndigheterna om överträdelser av denna
förordning och delta i rättsliga förfaranden. Dessa befogenheter bör även omfatta en befogenhet att införa en
tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. Medlemsstaterna får fastställa andra
uppgifter med anknytning till skyddet av personuppgifter enligt denna förordning. Tillsynsmyndigheternas
befogenheter bör utövas opartiskt, rättvist och inom rimlig tid i överensstämmelse med lämpliga rättssäkerhets
garantier i unionsrätten och i medlemsstaternas nationella rätt. Framför allt bör varje åtgärd vara lämplig,
nödvändig och proportionell för att säkerställa efterlevnad av denna förordning, med beaktande av
omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd innan några enskilda åtgärder
som påverkar honom eller henne negativt vidtas och vara utformad så att onödiga kostnader och alltför stora
olägenheter för de berörda personerna undviks. Undersökningsbefogenheten när det gäller tillträde till lokaler bör
utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta
förhandstillstånd från rättsliga myndigheter. Varje rättsligt bindande åtgärd som vidtas av tillsynsmyndigheten bör
vara skriftlig, klar och entydig, innehålla information om vilken tillsynsmyndighet som har utfärdat åtgärden och
datum för utfärdandet, vara undertecknad av tillsynsmyndighetens chef eller en av dess ledamöter efter dennes
bemyndigande samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel.
Detta bör inte utesluta ytterligare krav enligt medlemsstaternas nationella processrätt. Antagande av ett rättsligt
bindande beslut innebär att det kan bli föremål för domstolsprövning i den medlemsstat till vilken den
tillsynsmyndighet som antog beslutet hör.
(130) Om den tillsynsmyndighet till vilken klagomålet har ingetts inte är den ansvariga tillsynsmyndigheten, bör den
ansvariga tillsynsmyndigheten nära samarbeta med den tillsynsmyndighet till vilken klagomålet har ingetts i
enlighet med de bestämmelser om samarbete och enhetlighet som fastställs i denna förordning. I sådana fall bör
den ansvariga tillsynsmyndigheten när den vidtar åtgärder avsedda att ha rättsverkan, inbegripet utdömandet av
administrativa sanktionsavgifter, ta största hänsyn till synpunkter från den tillsynsmyndighet till vilken klagomålet
har ingetts, vilken bör kvarstå som behörig för genomförande av utredningar på den egna medlemsstatens
territorium i samverkan med den behöriga tillsynsmyndigheten.
(131) Om en annan tillsynsmyndighet bör agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller
personuppgiftsbiträdets behandling men den sakfråga som klagomålet gäller eller den möjliga överträdelsen
endast rör den personuppgiftsansvariges eller personuppgiftsbiträdets behandling i den medlemsstat där
klagomålet har ingetts eller den eventuella överträdelsen har upptäckts, och frågan inte i väsentlig grad påverkar
eller inte sannolikt i väsentlig grad kommer att påverka registrerade i andra medlemsstater, bör den
tillsynsmyndighet som mottar ett klagomål eller upptäcker eller på annat sätt informeras om situationer som
innebär eventuella överträdelser av denna förordning försöka få till stånd en uppgörelse i godo med den
personuppgiftsansvarige och, om detta inte lyckas, utöva sina befogenheter fullt ut. Detta bör omfatta särskild
behandling som utförs inom tillsynsmyndighetens medlemsstats territorium eller med avseende på registrerade
inom denna medlemsstats territorium, behandling som utförs inom ramen för ett erbjudande om varor eller
tjänster som särskilt riktar sig till registrerade inom tillsynsmyndighetens medlemsstats territorium eller
behandling som måste bedömas med beaktande av relevanta rättsliga skyldigheter enligt medlemsstaternas
nationella rätt.
(132) Medvetandehöjande kampanjer från tillsynsmyndigheters sida riktade till allmänheten bör innefatta särskilda
åtgärder riktade dels till personuppgiftsansvariga och personuppgiftsbiträden, inbegripet mikroföretag samt små
och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang.
4.5.2016
L 119/24
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
245
(133) Tillsynsmyndigheterna bör hjälpa varandra att utföra sina uppgifter och ge ömsesidigt bistånd så att denna
förordning tillämpas och verkställs enhetligt på den inre marknaden. En tillsynsmyndighet som begärt ömsesidigt
bistånd får anta en provisorisk åtgärd, om den inte har fått något svar på en begäran om ömsesidigt bistånd inom
en månad från det att begäran mottogs av den andra tillsynsmyndigheten.
(134) Alla tillsynsmyndigheter bör om lämpligt delta i gemensamma insatser med andra tillsynsmyndigheter. Den
anmodade tillsynsmyndigheten bör vara skyldig att besvara en begäran inom en fastställd tidsperiod.
(135) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet när det gäller
samarbete mellan tillsynsmyndigheterna skapas. Denna mekanism bör främst tillämpas när en tillsynsmyndighet
avser att anta en åtgärd som är avsedd att ha rättsverkan gällande behandlingar som i väsentlig grad påverkar ett
betydande antal registrerade i flera medlemsstater. Den bör också tillämpas när en berörd tillsynsmyndighet eller
kommissionen begär att ett sådant ärende ska hanteras inom ramen för mekanismen för enhetlighet. Mekanismen
bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt
fördragen.
(136) Vid tillämpningen av mekanismen för enhetlighet bör styrelsen inom en fastställd tidsperiod avge ett yttrande,
om en majoritet av dess ledamöter så beslutar eller om någon berörd tillsynsmyndighet eller kommissionen begär
detta. Styrelsen bör också ges befogenhet att anta rättsligt bindande beslut vid tvister mellan tillsynsmyndigheter.
För detta ändamål bör den, normalt med två tredjedelars majoritet av sina ledamöter, utfärda rättsligt bindande
beslut i tydligt fastställda fall då tillsynsmyndigheter har olika uppfattningar, framför allt när det gäller
mekanismen för samarbete mellan den ansvariga tillsynsmyndigheten och berörda tillsynsmyndigheter om
sakförhållandena, i synnerhet om huruvida denna förordning har överträtts.
(137) Det kan uppstå brådskande behov att agera för att skydda registrerades rättigheter och friheter, särskilt när fara
föreligger att säkerställandet av en registrerad persons rättighet kan komma att försvåras avsevärt. En
tillsynsmyndighet bör därför kunna vidta vederbörligen motiverade provisoriska åtgärder inom sitt territorium
med en viss giltighetsperiod, som inte bör överskrida tre månader.
(138) Tillämpningen av en sådan mekanism bör vara ett villkor för lagligheten av en åtgärd som är avsedd att ha
rättsverkan och som vidtas av tillsynsmyndigheten i de fall där denna tillämpning är obligatorisk. I andra ärenden
som inbegriper flera länder bör samarbetsmekanismen mellan den ansvariga tillsynsmyndigheten och berörda
tillsynsmyndigheter tillämpas, och ömsesidigt bistånd och gemensamma insatser kan utföras mellan de berörda
tillsynsmyndigheterna på bilateral eller multilateral basis utan att mekanismen för enhetlighet utlöses.
(139) I syfte att främja en enhetlig tillämpning av denna förordning bör styrelsen inrättas som ett oberoende
unionsorgan. För att styrelsen ska kunna uppfylla sina mål bör den vara en juridisk person. Styrelsen bör
företrädas av sin ordförande. Den bör ersätta arbetsgruppen för skydd av fysiska personer med avseende på
behandlingen av personuppgifter, som inrättades genom direktiv 95/46/EG. Den bör bestå av chefen för en
tillsynsmyndighet i varje medlemsstat och Europeiska datatillsynsmannen eller deras respektive företrädare.
Kommissionen bör delta i styrelsens verksamhet utan att ha rösträtt, och Europeiska datatillsynsmannen bör ha
specifik rösträtt. Styrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att
lämna råd till kommissionen, särskilt vad gäller skyddsnivån i tredjeländer eller internationella organisationer, och
främja samarbetet mellan tillsynsmyndigheterna i hela unionen. Styrelsen bör agera oberoende när den utför sina
uppgifter.
(140) Styrelsen bör biträdas av ett sekretariat som tillhandahålls av Europeiska datatillsynsmannen. Den personal vid
Europeiska datatillsynsmannen som medverkar i utförandet av de uppgifter som enligt denna förordning
anförtros styrelsen bör för sina uppgifter uteslutande ta emot instruktioner från styrelsens ordförande och
rapportera till denne.
(141) Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat
där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan,
4.5.2016
L 119/25
Europeiska unionens officiella tidning
SV
246
Prop. 2017/18:218
Bilaga 1
om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om tillsyns
myndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så
är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för
eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör
inom rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om
ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet, bör den registrerade
underrättas även om detta. För att förenkla inlämningen av klagomål bör varje tillsynsmyndighet vidta åtgärder,
såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att
andra kommunikationsformer utesluts.
(142) Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon
ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som
har inrättats i enlighet med en medlemsstats nationella rätt, som har stadgeenliga mål av allmänt intresse och
bedriver verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål
till en tillsynsmyndighet, om detta föreskrivs i medlemsstatens nationella rätt, att på den registrerades vägnar
utöva rätten till domstolsprövning eller att på den registrerades vägnar utöva rätten att ta emot ersättning. En
medlemsstat får föreskriva att ett sådant organ, en sådan organisation eller en sådan sammanslutning ska ha rätt
att lämna in ett klagomål i den medlemsstaten, oberoende av en registrerad persons mandat, och ha rätt till ett
effektivt rättsmedel, om det eller den har skäl att anse att en registrerad persons rättigheter har kränkts till följd
av behandling av personuppgifter som strider mot denna förordning. Detta organ, denna organisation eller denna
sammanslutning får inte ges rätt att kräva ersättning på en registrerad persons vägnar oberoende av den
registrerades mandat.
(143) Varje fysisk eller juridisk person har rätt att väcka ogiltighetstalan mot styrelsens beslut vid domstolen enligt de
villkor som föreskrivs i artikel 263 i EUF-fördraget. I sin egenskap av adressater för sådana beslut måste, i
enlighet med artikel 263 i EUF-fördraget, de berörda tillsynsmyndigheter som önskar överklaga dessa väcka talan
inom två månader efter det att beslutet meddelats dem. Om styrelsens beslut direkt och personligen berör en
personuppgiftsansvarig, ett personuppgiftsbiträde eller en enskild, kan den enskilde väcka ogiltighetstalan mot
besluten inom två månader efter det att de har offentliggjorts på styrelsens webbplats, i enlighet med artikel 263
i EUF-fördraget. Utan att det påverkar denna rätt inom ramen för artikel 263 i EUF-fördraget bör varje fysisk eller
juridisk person ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en
tillsynsmyndighet som har rättsliga följder för denna person. Sådana beslut avser särskilt tillsynsmyndighetens
utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål.
Rätten till ett effektivt rättsmedel inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte
är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av tillsynsmyndigheten.
Talan mot beslut som har fattats av en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där
tillsynsmyndigheten har sitt säte och bör genomföras i enlighet med den medlemsstatens nationella processrätt.
Dessa domstolar bör ha fullständig behörighet, vilket bör omfatta behörighet att pröva alla fakta och rättsliga
frågor som rör den tvist som anhängiggjorts vid dem.
Om talan avslås eller avvisas av en tillsynsmyndighet, kan den enskilde väcka talan vid domstolarna i samma
medlemsstat. I samband med rättsmedel som avser tillämpningen av denna förordning kan eller, i det fall som
anges i artikel 267 i EUF-fördraget, måste nationella domstolar som anser att ett beslut om ett förhandsavgörande
är nödvändigt för att de ska kunna döma begära att domstolen meddelar ett förhandsavgörande om tolkningen
av unionsrätten, inbegripet denna förordning. Om dessutom ett beslut av en tillsynsmyndighet om genomförande
av ett beslut av styrelsen överklagas till en nationell domstol och giltigheten av styrelsens beslut ifrågasätts, har
inte den nationella domstolen befogenhet att förklara styrelsens beslut ogiltigt utan måste hänskjuta frågan om
giltighet till domstolen i enlighet med artikel 267 i EUF-fördraget såsom den tolkats av domstolen, närhelst den
anser att beslutet är ogiltigt. En nationell domstol får dock inte hänskjuta en fråga om giltigheten av styrelsens
beslut på begäran av en fysisk eller juridisk person som haft tillfälle att väcka ogiltighetstalan mot beslutet,
i synnerhet inte om denna person direkt och personligen berördes av beslutet men inte gjorde detta inom den
frist som anges i artikel 263 i EUF-fördraget.
(144) Om en domstol där ett förfarande inletts mot beslut som har fattats av en tillsynsmyndighet har skäl att tro att
ett förfarande rörande samma behandling, såsom samma sakfråga vad gäller behandling av samma personuppgift
sansvarige eller samma personuppgiftsbiträde, eller samma händelseförlopp, har inletts vid en annan behörig
domstol i en annan medlemsstat, bör den kontakta denna domstol i syfte att bekräfta förekomsten av sådana
relaterade förfaranden. Om relaterade förfaranden pågår vid en domstol i en annan medlemsstat får alla andra
4.5.2016
L 119/26
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
247
domstolar än den domstol där förfarandet först inleddes låta förfarandena vila eller på en av parternas begäran
förklara sig obehöriga till förmån för den domstol där förfarandet först inleddes, om den domstolen har
behörighet i förfarandet i fråga och dess lagstiftning tillåter förening av sådana relaterade förfaranden.
Förfarandena anses vara relaterade, om de är så nära förenade att en gemensam handläggning och dom är
påkallad för att undvika att oförenliga domar meddelas som en följd av att förfarandena prövas i olika
rättegångar.
(145) När det gäller ett rättsligt förfarande mot en personuppgiftsansvarig eller ett personuppgiftsbiträde bör käranden
kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den personuppgiftsansvarige eller
personuppgiftsbiträdet är etablerad eller där den registrerade är bosatt, såvida inte den personuppgiftsansvarige är
en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.
(146) Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida
till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgifts
biträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för
skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut
återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra
bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna
förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i
enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna
förordnings bestämmelser. Registrerade bör få full och effektiv ersättning för den skada de lidit. Om personupp
giftsansvariga eller personuppgiftsbiträden medverkat vid samma behandling, bör varje personuppgiftsansvarig
eller personuppgiftsbiträde hållas ansvarig för hela skadan. Om de är förenade i samma rättsliga förfarande i
enlighet med medlemsstaternas nationella rätt, kan ersättningen dock fördelas i enlighet med varje personuppgift
sansvarigs eller personuppgiftsbiträdes ansvar för den genom behandlingen uppkomna skadan, förutsatt att den
registrerade som lidit skada tillförsäkras full och effektiv ersättning. Varje personuppgiftsansvarig eller personupp
giftsbiträde som har betalat full ersättning får därefter inleda förfaranden för återkrav mot andra personuppgift
sansvariga eller personuppgiftsbiträden som medverkat vid samma behandling.
(147) Om särskilda bestämmelser om behörighet fastställs i denna förordning, framför allt vad gäller förfaranden för att
begära rättslig prövning som inbegriper ersättning mot en personuppgiftsansvarig eller ett personuppgiftsbiträde,
bör inte allmänna bestämmelser om behörighet, såsom bestämmelserna i Europaparlamentets och rådets
förordning (EU) nr 1215/2012 (
1
), påverka tillämpningen av sådana särskilda bestämmelser.
(148) För att stärka verkställigheten av denna förordning bör det utdömas sanktioner, inbegripet administrativa
sanktionsavgifter, för överträdelser av denna förordning utöver eller i stället för de lämpliga åtgärder som tillsyns
myndigheten vidtar i enlighet med denna förordning. Vid en mindre överträdelse eller om den sanktionsavgift
som sannolikt skulle utdömas skulle innebära en oproportionell börda för en fysisk person får en reprimand
utfärdas i stället för sanktionsavgifter. Vederbörlig hänsyn bör dock tas till överträdelsens karaktär, svårighetsgrad
och varaktighet och huruvida den har skett uppsåtligen, vilka åtgärder som vidtagits för att lindra skadan, graden
av ansvar eller eventuella tidigare överträdelser av relevans, det sätt på vilket överträdelsen kom till tillsynsmyn
dighetens kännedom, efterlevnad av åtgärder som förordnats mot den personuppgiftsansvarige eller personupp
giftsbiträdet, tillämpning av en uppförandekod och eventuella andra försvårande eller förmildrande faktorer.
Utdömandet av sanktioner, inbegripet administrativa sanktionsavgifter, bör underkastas adekvata rättssäkerhets
garantier i överensstämmelse med allmänna principer inom unionsrätten och stadgan, vilket inbegriper ett
effektivt rättsligt skydd och korrekt rättsligt förfarande.
(149) Medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder för överträdelser av denna
förordning, inbegripet för överträdelser av nationella bestämmelser som antagits i enlighet med och inom ramen
för denna förordning. Dessa straffrättsliga påföljder kan även inbegripa en möjlighet att förverka den vinning som
gjorts genom överträdelser av denna förordning. Utdömandet av straffrättsliga påföljder för överträdelser av
sådana nationella bestämmelser och administrativa sanktioner bör dock inte medföra ett åsidosättande av
principen ne bis in idem enligt domstolens tolkning.
(150) För att förstärka och harmonisera de administrativa sanktionerna för överträdelser av denna förordning bör
samtliga tillsynsmyndigheter ha befogenhet att utfärda administrativa sanktionsavgifter. Det bör i denna
4.5.2016
L 119/27
Europeiska unionens officiella tidning
SV
(
1
) Europaparlamentets och rådets förordning (EU) nr 1215/2012 av den 12 december 2012 om domstols behörighet och om erkännande
och verkställighet av domar på privaträttens område (EUT L 351, 20.12.2012, s. 1).
248
Prop. 2017/18:218
Bilaga 1
förordning anges vilka överträdelserna är, den övre gränsen för och kriterierna för fastställande av de
administrativa sanktionsavgifterna, som i varje enskilt fall bör bestämmas av den behöriga tillsynsmyndigheten
med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn bl.a. till
överträdelsens karaktär, svårighetsgrad och varaktighet samt till dess följder och till de åtgärder som vidtas för att
sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna
av överträdelsen. Om de administrativa sanktionsavgifterna åläggs ett företag, bör ett företag i detta syfte anses
vara ett företag i den mening som avses i artiklarna 101 och 102 i EUF-fördraget. Om de administrativa
sanktionsavgifterna åläggs personer som inte är ett företag, bör tillsynsmyndigheten ta hänsyn till den allmänna
inkomstnivån i medlemsstaten och personens ekonomiska situation, när den överväger lämplig sanktionsavgift.
Mekanismen för enhetlighet kan också tillämpas för att främja en enhetlig tillämpning av administrativa
sanktionsavgifter. Medlemsstaterna bör fastställa om och i vilken utsträckning myndigheter ska omfattas av
administrativa sanktionsavgifter. Utfärdande av administrativa sanktionsavgifter eller utdelning av en varning
påverkar inte tillämpningen av tillsynsmyndigheternas övriga befogenheter eller av andra sanktioner enligt denna
förordning.
(151) Danmarks och Estlands rättssystem tillåter inte administrativa sanktionsavgifter i enlighet med denna förordning.
Bestämmelserna om administrativa sanktionsavgifter kan tillämpas så att sanktionsavgiften i Danmark utdöms
som en straffrättslig påföljd av en behörig nationell domstol och att den i Estland utdöms av tillsynsmyndigheten
inom ramen för ett förseelseförfarande, under förutsättning att en sådan tillämpning av bestämmelserna i dessa
medlemsstater har en effekt som är likvärdig med administrativa sanktionsavgifter som utdöms av tillsynsmyn
digheter. De behöriga nationella domstolarna bör därför beakta rekommendationen från den tillsynsmyndighet
som initierar sanktionsavgiften. De sanktionsavgifter som utdöms bör i alla händelser vara effektiva, proportionella
och avskräckande.
(152) Om denna förordning inte harmoniserar administrativa sanktioner eller om nödvändigt i andra fall, till exempel
vid fall av allvarliga överträdelser av denna förordning, bör medlemsstaterna genomföra ett system med effektiva,
proportionella och avskräckande sanktioner. Dessa sanktioners art, straffrättsliga eller administrativa, bör
fastställas i medlemsstaternas nationella rätt.
(153) Medlemsstaterna bör i sin lagstiftning sammanjämka bestämmelserna om yttrandefrihet och informationsfrihet,
vilket inbegriper journalistiska, akademiska, konstnärliga och/eller litterära uttrycksformer, med rätten till skydd
av personuppgifter i enlighet med denna förordning. Behandling av personuppgifter enbart för journalistiska,
akademiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att
rätten till skydd av personuppgifter vid behov kan förenas med rätten till yttrandefrihet och informationsfrihet,
som följer av artikel 11 i stadgan. Detta bör särskilt gälla vid behandling av personuppgifter inom det
audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder
som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter.
Medlemsstaterna bör fastställa sådana undantag med avseende på allmänna principer, de registrerades rättigheter,
personuppgiftsansvariga och personuppgiftsbiträden, överföring av uppgifter till tredjeländer eller internationella
organisationer, de oberoende tillsynsmyndigheterna, samarbete och enhetlighet samt specifika situationer där
personuppgifter behandlas. Om sådana undantag varierar från en medlemsstat till en annan, ska den nationella
rätten i den medlemsstat vars lag den personuppgiftsansvarige omfattas av tillämpas. För att beakta vikten av
rätten till yttrandefrihet i varje demokratiskt samhälle måste det göras en bred tolkning av vad som innefattas i
denna frihet, som till exempel journalistik.
(154) Denna förordning gör det möjligt att vid tillämpningen av den ta hänsyn till principen om allmänhetens rätt att
få tillgång till allmänna handlingar. Allmänhetens rätt att få tillgång till allmänna handlingar kan betraktas som
ett allmänt intresse. Personuppgifter i handlingar som innehas av en myndighet eller ett offentligt organ bör
kunna lämnas ut offentligt av denna myndighet eller detta organ, om utlämning stadgas i unionsrätten eller
i medlemsstatens nationella rätt som är tillämplig på myndigheten eller det offentliga organet. Denna rätt bör
sammanjämka allmänhetens rätt att få tillgång till allmänna handlingar och vidareutnyttjande av information från
den offentliga sektorn med rätten till skydd av personuppgifter och får därför innehålla föreskrifter om den
nödvändiga sammanjämkningen med rätten till skydd av personuppgifter enligt denna förordning. Hänvisningen
till offentliga myndigheter och organ bör i detta sammanhang omfatta samtliga myndigheter eller andra organ
som omfattas av medlemsstaternas nationella rätt om allmänhetens tillgång till handlingar. Europaparlamentets
och rådets direktiv 2003/98/EG (
1
) ska inte på något sätt påverka skyddsnivån för fysiska personer med avseende
4.5.2016
L 119/28
Europeiska unionens officiella tidning
SV
(
1
) Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga
sektorn (EUT L 345, 31.12.2003, s. 90).
Prop. 2017/18:218
Bilaga 1
249
på behandling av personuppgifter enligt bestämmelserna i unionsrätten och i medlemsstaternas nationella rätt
och i synnerhet ändras inte de skyldigheter och rättigheter som anges i denna förordning genom det direktivet. I
synnerhet ska direktivet inte vara tillämpligt på handlingar till vilka, med hänsyn till skyddet av personuppgifter,
tillgång enligt tillgångsbestämmelserna är utesluten eller begränsad eller på delar av handlingar som är tillgängliga
enligt dessa bestämmelser men som innehåller personuppgifter vilkas vidareutnyttjande i lag har fastställts som
oförenligt med lagstiftningen om skydd för fysiska personer vid behandling av personuppgifter.
(155) En medlemsstatsnationella rätt eller kollektivavtal, inbegripet ”verksamhetsöverenskommelser”, får föreskriva
särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det
gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från
den anställde, rekrytering, genomförande av anställningsavtalet, inklusive befrielse från i lag eller kollektivavtal
stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen,
men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och
förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.
(156) Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska
forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades
rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska
åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av
personuppgifter för arkivändamål av allmänintresse, vetenskapliga eller historiska forskningsändamål eller
statistiska ändamål bör genomföras, när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa
ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de
registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t. ex. pseudonymisering av personuppgifter).
Medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av
allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Medlemsstaterna bör
på särskilda villkor med förbehåll för lämpliga skyddsåtgärder för de registrerade ha rätt att specificera och göra
undantag från kraven på information, rätten till rättelse eller radering av personuppgifter, rätten att bli bortglömd,
rätten till begränsning av behandlingen, rätten till dataportabilitet och rätten att göra invändning i samband med
behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska
forskningsändamål eller statistiska ändamål. Villkoren och säkerhetsåtgärderna i fråga kan medföra att de
registrerade måste följa särskilda förfaranden för att utöva dessa rättigheter, om det är lämpligt med hänsyn till
den särskilda behandlingens syfte tillsammans med tekniska och organisatoriska åtgärder som syftar till att
minimera behandlingen av personuppgifter i enlighet med principerna om proportionalitet och nödvändighet.
Behandling av personuppgifter för vetenskapliga ändamål bör även vara förenlig med annan relevant lagstiftning,
exempelvis om kliniska prövningar.
(157) Genom att koppla samman information från olika register kan forskare erhålla ny kunskap av stort värde med
avseende på medicinska tillstånd som exempelvis hjärt-kärlsjukdomar, cancer och depression. På grundval av
registren kan forskningsresultaten förbättras, eftersom de bygger på en större befolkningsgrupp. Forskning inom
samhällsvetenskap som bedrivs på grundval av register gör det möjligt för forskare att få grundläggande
kunskaper om sambandet på lång sikt mellan ett antal sociala villkor, exempelvis arbetslöshet och utbildning, och
andra livsförhållanden. Forskningsresultat som erhållits på grundval av register utgör en stabil, högkvalitativ
kunskap, som kan ligga till grund för utformningen och genomförandet av kunskapsbaserad politik, förbättra
livskvaliteten för ett antal personer och förbättra de sociala tjänsternas effektivitet. För att underlätta vetenskaplig
forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor
och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt.
(158) Om personuppgifter behandlas för arkivändamål, bör denna förordning också gälla denna behandling, med
beaktande av att denna förordning inte bör gälla för avlidna personer. Offentliga myndigheter eller offentliga eller
privata organ som innehar uppgifter av allmänt intresse bör vara tillhandahållare som, i enlighet med
unionsrätten eller medlemsstaternas nationella rätt, har en rättslig skyldighet att förvärva, bevara, bedöma,
organisera, beskriva, kommunicera, främja, sprida och ge tillgång till uppgifter av bestående värde för
allmänintresset. Medlemsstaterna bör också ha rätt att föreskriva att personuppgifter får vidarebehandlas för
arkivering, exempelvis i syfte att tillhandahålla specifik information om politiskt beteende under tidigare totalitära
regimer, folkmord, brott mot mänskligheten, särskilt Förintelsen, eller krigsförbrytelser.
4.5.2016
L 119/29
Europeiska unionens officiella tidning
SV
250
Prop. 2017/18:218
Bilaga 1
(159) Om personuppgifter behandlas för vetenskapliga forskningsändamål, bör denna förordning också gälla denna
behandling. Behandling av personuppgifter för vetenskapliga forskningsändamål bör i denna förordning ges en
vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning
och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt
artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga
forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att
tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål
bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom
ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och
sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i
denna förordning tillämpas på dessa åtgärder.
(160) Om personuppgifter behandlas för historiska forskningsändamål, bör denna förordning också gälla denna
behandling. Detta bör även omfatta forskning för historiska och genealogiska ändamål, med beaktande av att
denna förordning inte bör gälla för avlidna personer.
(161) När det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar, bör de
relevanta bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 536/2014 (
1
) tillämpas.
(162) Om personuppgifter behandlas för statistiska ändamål, bör denna förordning gälla denna behandling.
Unionsrätten eller medlemsstaternas nationella rätt bör, inom ramen för denna förordning, fastställa statistiskt
innehåll, kontroll av tillgång, specifikationer för behandling av personuppgifter för statistiska ändamål och
lämpliga åtgärder till skydd för den registrerades rättigheter och friheter och för att säkerställa insynsskydd för
statistiska uppgifter. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av
personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat.
Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett
statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter,
utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller
beslut som avser en särskild fysiskperson.
(163) De konfidentiella uppgifter som unionens myndigheter och nationella statistikansvariga myndigheter samlar in
för att framställa officiell europeisk och officiell nationell statistik bör skyddas. Europeisk statistik bör utvecklas,
framställas och spridas i enlighet med de statistiska principerna i artikel 338.2 i EUF-fördraget, medan
hanteringen av nationell statistik även bör överensstämma med medlemsstaternas nationella rätt. Europapar
lamentets och rådets förordning (EG) nr 223/2009 (
2
) innehåller ytterligare preciseringar om statistisk konfiden
tialitet för europeisk statistik.
(164) Vad beträffar tillsynsmyndigheternas befogenheter att från personuppgiftsansvariga eller personuppgiftsbiträden få
tillgång till personuppgifter och tillträde till lokaler, får medlemsstaterna, inom gränserna för denna förordning,
genom lagstiftning anta särskilda regler för att skydda yrkesmässig eller annan motsvarande tystnadsplikt, i den
mån detta är nödvändigt för att jämka samman rätten till skydd av personuppgifter med tystnadsplikten. Detta
påverkar inte tillämpningen av medlemsstaternas befintliga skyldigheter att anta bestämmelser om tystnadsplikt,
där detta krävs enligt unionsrätten.
(165) Denna förordning är förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och
religiösa sammanslutningar eller samfund har i medlemsstaterna enligt gällande grundlag i enlighet med
artikel 17 i EUF-fördraget.
(166) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter
och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra det fria flödet av
4.5.2016
L 119/30
Europeiska unionens officiella tidning
SV
(
1
) Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om
upphävande av direktiv 2001/20/EG (EUT L 158, 27.5.2014, s. 1).
(
2
) Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av
Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till
Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG,
Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EUT L 87, 31.3.2009, s. 164).
Prop. 2017/18:218
Bilaga 1
251
personuppgifter inom unionen, bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget
delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller kriterier och krav vad gäller
certifieringsmekanismer, information som ska ges med användning av standardiserade symboler och förfaranden
för att tillhandahålla sådana symboler. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under
sitt förberedande arbete, inklusive på expertnivå. När kommissionen förbereder och utarbetar delegerade akter bör
den se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så
snabbt som möjligt och på lämpligt sätt.
(167) För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen ges genomförande
befogenheter i enlighet med denna förordning. Dessa befogenheter bör utövas i enlighet med förordning (EU)
nr 182/2011. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora
företag.
(168) Granskningsförfarandet bör användas vid antagande av genomförandeakter om standardavtalsklausuler mellan
personuppgiftsansvariga och personuppgiftsbiträden och mellan personuppgiftsbiträden, uppförandekoder,
tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland, ett
territorium eller av en specificerad sektor inom det tredjelandet eller en internationell organisation,
standardiserade skyddsbestämmelser, format och förfaranden för elektroniskt utbyte av information mellan
personuppgiftsansvariga, personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser,
ömsesidigt bistånd och tillvägagångssätt för elektroniskt utbyte av information mellan tillsynsmyndigheter samt
mellan tillsynsmyndigheter och styrelsen.
(169) Kommissionen bör när det föreligger tvingande skäl till skyndsamhet anta omedelbart tillämpliga
genomförandeakter, när tillgängliga bevis visar att ett tredjeland, ett territorium eller en specificerad sektor inom
det tredjelandet eller en internationell organisation inte upprätthåller en adekvat skyddsnivå.
(170) Eftersom målet för denna förordning, nämligen att säkerställa en likvärdig nivå för skyddet av fysiska personer
och det fria flödet av personuppgifter inom hela unionen, inte i tillräcklig utsträckning kan uppnås av
medlemsstaterna utan snarare, på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på
unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om
Europeiska unionen (EU-fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna
förordning inte utöver vad som är nödvändigt för att uppnå detta mål.
(171) Direktiv 95/46/EG bör upphävas genom denna förordning. Behandling som redan pågår den dag då denna
förordning börjar tillämpas bör bringas i överensstämmelse med denna förordning inom en period av två år från
det att denna förordning träder i kraft. Om behandlingen grundar sig på samtycke enligt direktiv 95/46/EG, är
det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna
fortsätta med behandlingen i fråga efter det att denna förordning börjar tillämpas, om det sätt på vilket samtycket
gavs överensstämmer med villkoren i denna förordning. Beslut av kommissionen som antagits och tillstånd från
tillsynsmyndigheterna som utfärdats på grundval av direktiv 95/46/EG ska fortsatt vara giltiga tills de ändras,
ersätts eller upphävs.
(172) Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 och avgav ett
yttrande den 7 mars 2012 (
1
).
(173) Denna förordning bör vara tillämplig på alla frågor som gäller skyddet av grundläggande rättigheter och friheter i
förhållande till behandlingen av personuppgifter, vilka inte omfattas av särskilda skyldigheter med samma mål
som anges i Europaparlamentets och rådets direktiv 2002/58/EG (
2
), däribland den personuppgiftsansvariges
skyldigheter och fysiska personers rättigheter. För att klargöra förhållandet mellan denna förordning och direktiv
2002/58/EG bör det direktivet ändras. När denna förordning har antagits, bör direktiv 2002/58/EG ses över,
framför allt för att säkerställa konsekvens med denna förordning.
4.5.2016
L 119/31
Europeiska unionens officiella tidning
SV
(
1
) EUT C 192, 30.6.2012, s. 7.
(
2
) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom
sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).
252
Prop. 2017/18:218
Bilaga 1
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
Allmänna bestämmelser
Artikel 1
Syfte
1.
I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av
personuppgifter och om det fria flödet av personuppgifter.
2.
Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av
personuppgifter.
3.
Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för
fysiska personer med avseende på behandlingen av personuppgifter.
Artikel 2
Materiellt tillämpningsområde
1.
Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk
väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2.
Denna förordning ska inte tillämpas på behandling av personuppgifter som
a) utgör ett led i en verksamhet som inte omfattas av unionsrätten,
b) medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget,
c) en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes
hushåll,
d) behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa
straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna
säkerheten.
3.
Förordning (EG) nr 45/2001 är tillämplig på den behandling av personuppgifter som sker i EU:s institutioner,
organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan
behandling av personuppgifter ska anpassas till principerna och bestämmelserna i denna förordning i enlighet med
artikel 98.
4.
Denna förordning påverkar inte tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstele
vererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.
Artikel 3
Territoriellt tillämpningsområde
1.
Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs
av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs
i unionen eller inte.
4.5.2016
L 119/32
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
253
2.
Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i
unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen,
om behandlingen har anknytning till
a) utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds
kostnadsfritt eller inte, eller
b) övervakning av deras beteende så länge beteendet sker inom unionen.
3.
Denna förordning ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som
inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.
Artikel 4
Definitioner
I denna förordning avses med
1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en
registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med
hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidenti
fikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska,
psykiska, ekonomiska, kulturella eller sociala identitet,
2. behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av
personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering,
strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring,
spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
3. begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i
framtiden,
4. profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används
för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna
fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet,
beteende, vistelseort eller förflyttningar,
5. pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan
tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa
kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer
att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person,
6. register: en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om
samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,
7. personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt
eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om
ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den
personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i
medlemsstaternas nationella rätt,
8. personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar
personuppgifter för den personuppgiftsansvariges räkning,
9. mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personupp
gifterna utlämnas, vare sig det är en tredje part eller inte; offentliga myndigheter som kan komma att motta
4.5.2016
L 119/33
Europeiska unionens officiella tidning
SV
254
Prop. 2017/18:218
Bilaga 1
personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella
rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig
med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte,
10. tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade,
den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller
personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna,
11. samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den
registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av
personuppgifter som rör honom eller henne,
12. personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller
till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt
behandlats,
13. genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk
person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från
en analys av ett biologiskt prov från den fysiska personen i fråga,
14. biometriska uppgifter: personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons
fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna
fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter,
15. uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhanda
hållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus,
16. huvudsakligt verksamhetsställe:
a) när det gäller en personuppgiftsansvarig med verksamhetsställen i mer än en medlemsstat, den plats i unionen
där vederbörande har sin centrala förvaltning, om inte besluten om ändamålen och medlen för behandlingen av
personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen och det
sistnämnda verksamhetsstället har befogenhet att få sådana beslut genomförda, i vilket fall det verksamhetsställe
som har fattat sådana beslut ska betraktas som det huvudsakliga verksamhetsstället,
b) när det gäller ett personuppgiftsbiträde med verksamhetsställen i mer än en medlemsstat, den plats i unionen där
vederbörande har sin centrala förvaltning eller, om personuppgiftsbiträdet inte har någon central förvaltning i
unionen, det av personuppgiftsbiträdets verksamhetsställen i unionen där den huvudsakliga behandlingen inom
ramen för verksamheten vid ett av personuppgiftsbiträdets verksamhetsställen sker, i den utsträckning som
personuppgiftsbiträdet omfattas av särskilda skyldigheter enligt denna förordning,
17. företrädare: en i unionen etablerad fysisk eller juridisk person som skriftligen har utsetts av den personuppgift
sansvarige eller personuppgiftsbiträdet i enlighet med artikel 27 och företräder denne i frågor som gäller dennes
skyldigheter enligt denna förordning,
18. företag: en fysisk eller juridisk person som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket
inbegriper partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet,
19. koncern: ett kontrollerande företag och dess kontrollerade företag,
20. bindande företagsbestämmelser: strategier för skydd av personuppgifter som en personuppgiftsansvarig eller ett
personuppgiftsbiträde som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en
uppsättning av överföringar av personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett
eller flera tredjeländer inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet,
21. tillsynsmyndighet: en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 51,
4.5.2016
L 119/34
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
255
22. berörd tillsynsmyndighet: en tillsynsmyndighet som berörs av behandlingen av personuppgifter på grund av att
a) den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad på tillsynsmyndighetens medlemsstats
territorium,
b) registrerade som är bosatta i den tillsynsmyndighetens medlemsstat i väsentlig grad påverkas eller sannolikt i
väsentlig grad kommer att påverkas av behandlingen, eller
c) ett klagomål har lämnats in till denna tillsynsmyndighet,
23. gränsöverskridande behandling:
a) behandling av personuppgifter som äger rum inom ramen för verksamhet vid verksamhetsställen i mer än en
medlemsstat tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, när den personupp
giftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller
b) behandling av personuppgifter som äger rum inom ramen för verksamhet vid ett enda verksamhetsställe
tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen men som i väsentlig grad
påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat,
24. relevant och motiverad invändning: en invändning mot ett förslag till beslut avseende frågan huruvida det föreligger en
överträdelse av denna förordning eller huruvida den planerade åtgärden i förhållande till den personuppgift
sansvarige eller personuppgiftsbiträdet är förenlig med denna förordning, av vilken invändning det tydligt framgår
hur stora risker utkastet till beslut medför när det gäller registrerades grundläggande rättigheter och friheter samt
i tillämpliga fall det fria flödet av personuppgifter inom unionen,
25. informationssamhällets tjänster: alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv
(EU) 2015/1535 (
1
),
26. internationell organisation: en organisation och dess underställda organ som lyder under folkrätten, eller ett annat
organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder.
KAPITEL II
Principer
Artikel 5
Principer för behandling av personuppgifter
1.
Vid behandling av personuppgifter ska följande gälla:
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet
och öppenhet).
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som
är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller
historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de
ursprungliga ändamålen (ändamålsbegränsning).
c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgifts
minimering).
d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att
personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål
(korrekthet).
4.5.2016
L 119/35
Europeiska unionens officiella tidning
SV
(
1
) Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska
föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).
256
Prop. 2017/18:218
Bilaga 1
e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är
nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i
den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska
forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska
och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades
rättigheter och friheter (lagringsminimering).
f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig
eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga
tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
2.
Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).
Artikel 6
Laglig behandling av personuppgifter
1.
Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika
ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på
begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för
en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsan
svariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade
intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver
skydd av personuppgifter, särskilt när den registrerade är ett barn.
Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.
2.
Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av
bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare
fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling,
inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.
3.
Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med
a) unionsrätten, eller
b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara
nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets
utövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i
denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken
typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut
och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling,
inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda
4.5.2016
L 119/36
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
257
situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse
och vara proportionell mot det legitima mål som eftersträvas.
4.
Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på
den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och
proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgift
sansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personupp
gifterna ursprungligen samlades in bland annat beakta följande:
a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare
behandlingen.
b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den
personuppgiftsansvarige.
c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9
eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.
d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.
e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.
Artikel 7
Villkor för samtycke
1.
Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har
samtyckt till behandling av sina personuppgifter.
2.
Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om
samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt
tillgänglig form, med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna
förordning, ska denna del inte vara bindande.
3.
De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka
lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den
registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.
4.
Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet
av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av
personuppgifter som inte är nödvändig för genomförandet av det avtalet.
Artikel 8
Villkor som gäller barns samtycke avseende informationssamhällets tjänster
1.
Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a
behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska
sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har
föräldraansvar för barnet.
Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder
inte är under 13 år.
4.5.2016
L 119/37
Europeiska unionens officiella tidning
SV
258
Prop. 2017/18:218
Bilaga 1
2.
Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller
godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.
3.
Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om
giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.
Artikel 9
Behandling av särskilda kategorier av personuppgifter
1.
Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk
övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt
identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska
vara förbjuden.
2.
Punkt 1 ska inte tillämpas om något av följande gäller:
a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera
specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte
kan upphävas av den registrerade.
b) Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina
skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd,
i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som
antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades
grundläggande rättigheter och intressen fastställs.
c) Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen
när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening
eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att
behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av
organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan
den registrerades samtycke.
e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
f) Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av
domstolarnas dömande verksamhet.
g) Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller
medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det
väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att
säkerställa den registrerades grundläggande rättigheter och intressen.
h) Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin,
bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård,
behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på
grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på
hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.
i) Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett
skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård
och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt,
där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt
tystnadsplikt.
4.5.2016
L 119/38
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
259
j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål
eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella
rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till
dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades
grundläggande rättigheter och intressen.
3.
Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna
behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller
medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person
som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som
fastställs av nationella behöriga organ.
4.
Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller
biometriska uppgifter eller uppgifter om hälsa.
Artikel 10
Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser
Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande
säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt
unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och
friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
Artikel 11
Behandling som inte kräver identifiering
1.
Om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre
kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara
tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att
följa denna förordning.
2.
Om den personuppgiftsansvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att denne inte är i stånd att
identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana
fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa
artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.
KAPITEL III
Den registrerades rättigheter
Avsnitt 1
Insyn och villkor
Artikel 12
Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av
den registrerades rättigheter
1.
Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information
som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en
koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för
information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form,
inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas
muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.
4.5.2016
L 119/39
Europeiska unionens officiella tidning
SV
260
Prop. 2017/18:218
Bilaga 1
2.
Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter i enlighet med
artiklarna 15–22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den
registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22, om inte den personuppgiftsansvarige visar att
han eller hon inte är i stånd att identifiera den registrerade.
3.
Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en
månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt
artiklarna 15–22. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad
begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan
förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade
lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade
inte begär något annat.
4.
Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige
utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder
inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.
5.
Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas
enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart
ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen
a) ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den
åtgärd som begärts, eller
b) vägra att tillmötesgå begäran.
Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.
6.
Utan att det påverkar tillämpningen av artikel 11 får den personuppgiftsansvarige, om denne har rimliga skäl att
betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 15–21, begära att ytterligare
information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls.
7.
Den information som ska tillhandahållas de registrerade i enlighet med artiklarna 13 och 14 får tillhandahållas
kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över
den planerade behandlingen. Om sådana symboler visas elektroniskt ska de vara maskinläsbara.
8.
Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 för att fastställa vilken
information som ska visas med hjälp av symboler och förfaranden för att tillhandahålla sådana symboler.
Avsnitt 2
Information och tillgång till personuppgif ter
Artikel 13
Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade
1.
Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgift
sansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:
a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.
b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.
c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för
behandlingen.
4.5.2016
L 119/40
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
261
d) Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.
e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.
f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en
internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas
eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga
eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.
2.
Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personupp
gifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och transparent
behandling:
a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som
används för att fastställa denna period.
b) Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av
personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt
rätten till dataportabilitet.
c) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, att det föreligger en rätt att när som helst återkalla
sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.
d) Rätten att inge klagomål till en tillsynsmyndighet.
e) Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är
nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de
möjliga följderna av att sådana uppgifter inte lämnas.
f) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det
åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda
följderna av sådan behandling för den registrerade.
3.
Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för
vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information
om detta andra syfte samt ytterligare relevant information enligt punkt 2.
4.
Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.
Artikel 14
Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade
1.
Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den
registrerade med följande information:
a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.
b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.
c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för
behandlingen.
d) De kategorier av personuppgifter som behandlingen gäller.
e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.
4.5.2016
L 119/41
Europeiska unionens officiella tidning
SV
262
Prop. 2017/18:218
Bilaga 1
f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland
eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller
saknas eller, när det gäller de överföringar som avses i artiklarna 46, 47 eller artikel 49.1 andra stycket, hänvisning
till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.
2.
Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande
information, vilken krävs för att säkerställa rättvis och transparent behandling när det gäller den registrerade:
a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som
används för att fastställa denna period.
b) Om behandlingen grundar sig på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.
c) Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av
personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandling samt
rätten till dataportabilitet.
d) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, rätten att när som helst återkalla sitt samtycke, utan
att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.
e) Rätten att inge klagomål till en tillsynsmyndighet.
f) Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga
källor.
g) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det
åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda
följderna av sådan behandling för den registrerade.
3.
Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2
a) inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de
särskilda omständigheter under vilka personuppgifterna behandlas,
b) om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första
kommunikationen med den registrerade, eller
c) om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.
4.
Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för
vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information
om detta andra syfte samt ytterligare relevant information enligt punkt 2.
5.
Punkterna 1–4 ska inte tillämpas i följande fall och i den mån
a) den registrerade redan förfogar över informationen,
b) tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning,
särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller
statistiska ändamål i enlighet med artikel 89.1, eller i den mån den skyldighet som avses i punkt 1 i den här artikeln
sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen; i
sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och
friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten,
c) erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats
nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades
berättigade intressen, eller
d) personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas
nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.
4.5.2016
L 119/42
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
263
Artikel 15
Den registrerades rätt till tillgång
1.
Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör
honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:
a) Ändamålen med behandlingen.
b) De kategorier av personuppgifter som behandlingen gäller.
c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt
mottagare i tredjeländer eller internationella organisationer.
d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt,
de kriterier som används för att fastställa denna period.
e) Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller
begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.
f) Rätten att inge klagomål till en tillsynsmyndighet.
g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter
kommer.
h) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det
åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda
följderna av sådan behandling för den registrerade.
2.
Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha
rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.
3.
Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under
behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig
avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska
informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något
annat.
4.
Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.
Avsnitt 3
Rättelse och radering
Artikel 16
Rätt till rättelse
Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som
rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att
komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.
Artikel 17
Rätt till radering (”rätten att bli bortglömd”)
1.
Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter
raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något
av följande gäller:
a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
4.5.2016
L 119/43
Europeiska unionens officiella tidning
SV
264
Prop. 2017/18:218
Bilaga 1
b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och
det finns inte någon annan rättslig grund för behandlingen.
c) Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för
behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.
d) Personuppgifterna har behandlats på olagligt sätt.
e) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas
nationella rätt som den personuppgiftsansvarige omfattas av.
f) Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i
artikel 8.1.
2.
Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera
personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för
genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som
behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller
reproduktioner av dessa personuppgifter.
3.
Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:
a) För att utöva rätten till yttrande- och informationsfrihet.
b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats
nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller
som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
c) För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.
d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt
artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar
uppnåendet av syftet med den behandlingen.
e) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
Artikel 18
Rätt till begränsning av behandling
1.
Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av
följande alternativ är tillämpligt:
a) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige
möjlighet att kontrollera om personuppgifterna är korrekta.
b) Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en
begränsning av deras användning.
c) Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den
registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
d) Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den
personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.
2.
Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring,
endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller
för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för
unionen eller för en medlemsstat.
4.5.2016
L 119/44
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
265
3.
En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas av den personuppgift
sansvarige innan begränsningen av behandlingen upphör.
Artikel 19
Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av
behandling
Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella
rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16, 17.1
och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige
ska informera den registrerade om dessa mottagare på den registrerades begäran.
Artikel 20
Rätt till dataportabilitet
1.
Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har
tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att
överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits
personuppgifterna hindrar detta, om
a) behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a eller på ett avtal enligt artikel 6.1 b, och
b) behandlingen sker automatiserat.
2
Vid utövandet av sin rätt till dataportabilitet i enlighet med punkt 1 ska den registrerade ha rätt till överföring av
personuppgifterna direkt från en personuppgiftsansvarig till en annan, när detta är tekniskt möjligt.
3.
Utövandet av den rätt som avses i punkt 1 i den här artikeln ska inte påverka tillämpningen av artikel 17. Den
rätten ska inte gälla i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är
ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
4.
Den rätt som avses i punkt 1 får inte påverka andras rättigheter och friheter på ett ogynnsamt sätt.
Avsnitt 4
Rätt att göra invändningar och automatiserat individuellt beslutsfattande
Artikel 21
Rätt att göra invändningar
1.
Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra
invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f,
inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla
personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den
registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga
anspråk.
2.
Om personuppgifterna behandlas för direkt marknadsföring ska den registrerade ha rätt att när som helst invända
mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering
i den utsträckning som denna har ett samband med sådan direkt marknadsföring.
3.
Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre
behandlas för sådana ändamål.
4.5.2016
L 119/45
Europeiska unionens officiella tidning
SV
266
Prop. 2017/18:218
Bilaga 1
4.
Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkterna 1 och 2
uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.
5.
När det gäller användningen av informationssamhällets tjänster, och trots vad som sägs i direktiv 2002/58/EG, får
den registrerade utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer.
6.
Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i
enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att
göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig
för att utföra en uppgift av allmänt intresse.
Artikel 22
Automatiserat individuellt beslutsfattande, inbegripet profilering
1.
Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling,
inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar
honom eller henne.
2.
Punkt 1 ska inte tillämpas om beslutet
a) är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige,
b) tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som
fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, eller
c) grundar sig på den registrerades uttryckliga samtycke.
3.
I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa
den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personupp
giftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.
4.
Beslut enligt punkt 2 får inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1,
såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har
vidtagits.
Avsnitt 5
Beg ränsningar
Artikel 23
Begränsningar
1.
Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller
personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter
och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de
rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för
andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett
demokratiskt samhälle i syfte att säkerställa
a) den nationella säkerheten,
b) försvaret,
c) den allmänna säkerheten,
4.5.2016
L 119/46
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
267
d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga
sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,
e) andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en
medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa
och social trygghet,
f) skydd av rättsväsendets oberoende och rättsliga åtgärder,
g) förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för
lagreglerade yrken,
h) en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall
som nämns i a–e och g,
i) skydd av den registrerade eller andras rättigheter och friheter,
j) verkställighet av civilrättsliga krav.
2.
Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så
är relevant, avseende
a) ändamålen med behandlingen eller kategorierna av behandling,
b) kategorierna av personuppgifter,
c) omfattningen av de införda begränsningarna,
d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,
e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,
f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller
kategorierna av behandling,
g) riskerna för de registrerades rättigheter och friheter, och
h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.
KAPITEL IV
Personuppgiftsansvarig och personuppgiftsbiträde
Avsnitt 1
Allmänna skyldigheter
Artikel 24
Den personuppgiftsansvariges ansvar
1.
Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolik
hetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga
tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna
förordning. Dessa åtgärder ska ses över och uppdateras vid behov.
2.
Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsan
svariges genomförande av lämpliga strategier för dataskydd.
3.
Tillämpningen av godkända uppförandekoder som avses i artikel 40 eller godkända certifieringsmekanismer som
avses i artikel 42 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.
4.5.2016
L 119/47
Europeiska unionens officiella tidning
SV
268
Prop. 2017/18:218
Bilaga 1
Artikel 25
Inbyggt dataskydd och dataskydd som standard
1.
Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning,
sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och
friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva
behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är
utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av
de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades
rättigheter skyddas.
2.
Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet,
säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den
skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras
tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes
medverkan görs tillgängliga för ett obegränsat antal fysiska personer.
3.
En godkänd certifieringsmekanism i enlighet med artikel 42 får användas för att visa att kraven i punkterna 1
och 2 i den här artikeln följs.
Artikel 26
Gemensamt personuppgiftsansvariga
1.
Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska
de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt
respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den
registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13
och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs
genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för
arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.
2.
Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas
respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt
för den registrerade.
3.
Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna
förordning med avseende på och emot var och en av de personuppgiftsansvariga.
Artikel 27
Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i
unionen
1.
Om artikel 3.2 tillämpas ska den personuppgiftsansvarige eller personuppgiftsbiträdet skriftligen utse en
företrädare i unionen.
2.
Skyldigheten enligt punkt 1 i denna artikel ska inte gälla
a) tillfällig behandling som inte omfattar behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i
artikel 9.1, eller behandling av personuppgifter avseende fällande domar i brottmål samt överträdelser, som avses i
artikel 10, och som sannolikt inte kommer att medföra en risk för fysiska personers rättigheter och friheter, med
hänsyn till behandlingens art, sammanhang, omfattning och ändamål, eller
b) en offentlig myndighet eller ett offentligt organ.
4.5.2016
L 119/48
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
269
3.
Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade, vars personuppgifter behandlas i
samband med att de erbjuds varor eller tjänster, eller vars beteende övervakas, befinner sig.
4.
Företrädaren ska på den personuppgiftsansvariges eller personuppgiftsbiträdets uppdrag, utöver eller i stället för
den personuppgiftsansvarige eller personuppgiftsbiträdet, fungera som kontaktperson för i synnerhet tillsynsmyndigheter
och registrerade, i alla frågor som har anknytning till behandlingen, i syfte att säkerställa efterlevnad av denna
förordning.
5.
Att den personuppgiftsansvarige eller personuppgiftsbiträdet utser en företrädare ska inte påverka de rättsliga
åtgärder som skulle kunna inledas mot den personuppgiftsansvarige eller personuppgiftsbiträdet.
Artikel 28
Personuppgiftsbiträden
1.
Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast
anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska
åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades
rättigheter skyddas.
2.
Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt
förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska
personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgifts
biträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot
sådana förändringar.
3.
När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan
rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med
avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och
ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och
rättigheter anges. I det avtalet eller den rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet
a) endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet
när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna
behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas
av, och i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan
uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt
denna rätt,
b) säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller
omfattas av en lämplig lagstadgad tystnadsplikt,
c) ska vidta alla åtgärder som krävs enligt artikel 32,
d) ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde,
e)
med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och
organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att
svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,
f) ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 fullgörs, med
beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå,
g) beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den
personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga
kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt, och
h) ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs
i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av
den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.
4.5.2016
L 119/49
Europeiska unionens officiella tidning
SV
270
Prop. 2017/18:218
Bilaga 1
Med avseende på led h i första stycket ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om
han anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas
dataskyddsbestämmelser.
4.
I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av specifik behandling
på den personuppgiftsansvariges vägnar ska det andra personuppgiftsbiträdet, genom ett avtal eller en annan rättsakt
enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som
de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet
enligt punkt 3, och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska
åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbiträdet
inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig
gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.
5.
Ett personuppgiftsbiträdes anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd
certifieringsmekanism som avses i artikel 42 får användas för att visa att tillräckliga garantier tillhandahålls, så som avses
punkterna 1 och 4 i den här artikeln.
6.
Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 i den här artikeln får, utan att det påverkar
tillämpningen av ett enskilt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, helt eller delvis baseras
på sådana standardavtalsklausuler som avses i punkterna 7 och 8 i den här artikeln, inbegripet när de ingår i en
certifiering som i enlighet med artiklarna 42 och 43 beviljats den personuppgiftsansvarige eller personuppgiftsbiträdet.
7.
Kommissionen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här artikeln,
i enlighet med det granskningsförfarande som avses i artikel 93.2.
8.
En tillsynsmyndighet får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här
artikeln, i enlighet med den mekanism för enhetlighet som avses i artikel 63.
9.
Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 ska upprättas skriftligen, inbegripet i ett
elektroniskt format.
10.
Om ett personuppgiftsbiträde överträder denna förordning genom att fastställa ändamålen med och medlen för
behandlingen, ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen, utan att
det påverkar tillämpningen av artiklarna 82, 83 och 84.
Artikel 29
Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende
Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets
överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgift
sansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.
Artikel 30
Register över behandling
1.
Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som
utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:
a) Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgift
sansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
b) Ändamålen med behandlingen.
c) En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
4.5.2016
L 119/50
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
271
d) De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i
tredjeländer eller i internationella organisationer.
e) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet
identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i
artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
f) Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
g) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.
2.
Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av
behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:
a) Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgift
sansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller
personuppgiftsbiträdets företrädare samt dataskyddsombudet.
b) De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.
c) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet
identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i
artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
d) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.
3.
De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.
4.
På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgift
sansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten.
5.
De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter
färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades
rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som
avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt överträdelser som avses i artikel 10.
Artikel 31
Samarbete med tillsynsmyndigheten
Den personuppgiftsansvarige och personuppgiftsbiträdet samt, i tillämpliga fall, deras företrädare ska på begäran
samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.
Avsnitt 2
Säkerhet för personuppgif ter
Artikel 32
Säkerhet i samband med behandlingen
1.
Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning,
sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och
friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder
för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
a) pseudonymisering och kryptering av personuppgifter,
4.5.2016
L 119/51
Europeiska unionens officiella tidning
SV
272
Prop. 2017/18:218
Bilaga 1
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlings
systemen och -tjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk
incident,
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska
åtgärder som ska säkerställa behandlingens säkerhet.
2.
Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i
synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig
åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
3.
Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som
avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.
4.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person
som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till
personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller
medlemsstaternas nationella rätt ålägger honom eller henne att göra det.
Artikel 33
Anmälan av en personuppgiftsincident till tillsynsmyndigheten
1.
Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte
senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är
behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska
personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en
motivering till förseningen.
2.
Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap
om en personuppgiftsincident.
3.
Den anmälan som avses i punkt 1 ska åtminstone
a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet
registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information
kan erhållas,
c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
d) beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsin
cidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
4.
Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen
tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
5.
Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring
personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det
möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.
Artikel 34
Information till den registrerade om en personuppgiftsincident
1.
Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den
personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.
4.5.2016
L 119/52
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
273
2.
Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar
beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c
och d.
3.
Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:
a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder
tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra
uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.
b) Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades
rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.
c) Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande
åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.
4.
Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får
tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att
personuppgiftsbiträdet gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.
Avsnitt 3
Konsekvensbedömning avseende dataskydd samt föregående samråd
Artikel 35
Konsekvensbedömning avseende dataskydd
1.
Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning,
sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den
personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för
skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga
risker.
2.
Den personuppgiftsansvarige ska rådfråga dataskyddsombudet, om ett sådant utsetts, vid genomförande av en
konsekvensbedömning avseende dataskydd.
3.
En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:
a) En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk
behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller
på liknande sätt i betydande grad påverkar fysiska personer.
b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter
som rör fällande domar i brottmål och överträdelser som avses i artikel 10.
c) Systematisk övervakning av en allmän plats i stor omfattning.
4.
Tillsynsmyndigheten ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som
omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1. Tillsynsmyndigheten ska
översända dessa förteckningar till den styrelse som avses i artikel 68.
5.
Tillsynsmyndigheten får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter
som inte kräver någon konsekvensbedömning avseende dataskydd. Tillsynsmyndigheten ska översända dessa
förteckningar till styrelsen.
6.
Innan de förteckningar som avses i punkterna 4 och 5 antas ska den behöriga tillsynsmyndigheten tillämpa den
mekanism för enhetlighet som avses i artikel 63 om en sådan förteckning inbegriper behandling som rör erbjudandet av
varor eller tjänster till registrerade, eller övervakning av deras beteende i flera medlemsstater, eller som väsentligt kan
påverka den fria rörligheten för personuppgifter i unionen.
4.5.2016
L 119/53
Europeiska unionens officiella tidning
SV
274
Prop. 2017/18:218
Bilaga 1
7.
Bedömningen ska innehålla åtminstone
a) en systematisk beskrivning av den planerade behandlingen och behandlingens syften, inbegripet, när det är lämpligt,
den personuppgiftsansvariges berättigade intresse,
b) en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,
c) en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och
d) de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att
säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de
registrerades och andra berörda personers rättigheter och berättigade intressen.
8.
De berörda personuppgiftsansvarigas eller personuppgiftsbiträdenas efterlevnad av godkända uppförandekoder
enligt artikel 40 ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av
dessa personuppgiftsansvariga eller personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvens
bedömning avseende dataskydd.
9.
Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras
företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller
behandlingens säkerhet.
10.
Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella
rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller
serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en
allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, ska punkterna 1–7 inte gälla, om
inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.
11.
Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i
enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.
Artikel 36
Förhandssamråd
1.
Den personuppgiftsansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning
avseende dataskydd enligt artikel 35 visar att behandlingen skulle leda till en hög risk om inte den personuppgift
sansvarige vidtar åtgärder för att minska risken.
2.
Om tillsynsmyndigheten anser att den planerade behandling som avses i punkt 1 skulle strida mot denna
förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska tillsyns
myndigheten inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgift
sansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har
enligt artikel 58. Denna period får förlängas med sex veckor beroende på hur komplicerad den planerade behandlingen
är. Tillsynsmyndigheten ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en
sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till
förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att tillsynsmyndigheten erhåller den information
som den har begärt med tanke på samrådet.
3.
Vid samråd med tillsynsmyndigheten enligt punkt 1 ska den personuppgiftsansvarige till tillsynsmyndigheten
lämna
a) i tillämpliga fall de respektive ansvarsområdena för de personuppgiftsansvariga, gemensamt personuppgiftsansvariga
och personuppgiftsbiträden som medverkar vid behandlingen, framför allt vid behandling inom en koncern,
b) ändamålen med och medlen för den avsedda behandlingen,
c) de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt
denna förordning,
d) i tillämpliga fall kontaktuppgifter till dataskyddsombudet,
4.5.2016
L 119/54
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
275
e) konsekvensbedömningen avseende dataskydd enligt artikel 35, och
f) all annan information som begärs av tillsynsmyndigheten.
4.
Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av ett förslag till lagstiftningsåtgärd som
ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstiftningsåtgärd som rör
behandling.
5.
Trots vad som sägs i punkt 1 får det i medlemsstaternas nationella rätt krävas att personuppgiftsansvariga ska
samråda med, och erhålla förhandstillstånd av, tillsynsmyndigheten när det gäller en personuppgiftsansvarigs behandling
för utförandet av en uppgift som den personuppgiftsansvarige utför av allmänt intresse, inbegripet behandling avseende
social trygghet och folkhälsa.
Avsnitt 4
Dataskyddsombud
Artikel 37
Utnämning av dataskyddsombudet
1.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna
ett dataskyddsombud om
a) behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av
domstolarnas dömande verksamhet,
b) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av
sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de
registrerade i stor omfattning, eller
c) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av
särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och
överträdelser, som avses i artikel 10.
2.
En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett
dataskyddsombud.
3.
Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller ett offentligt organ, får ett enda
dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och
storlek.
4.
I andra fall än de som avses i punkt 1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella
rätt, ska den personuppgiftsansvarige eller personuppgiftsbiträdet eller sammanslutningar och andra organ som
företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utnämna ett dataskyddsombud. Dataskydd
sombudet får agera för sådana sammanslutningar och andra organ som företräder personuppgiftsansvariga eller
personuppgiftsbiträden.
5.
Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om
lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39.
6.
Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra
uppgifterna på grundval av ett tjänsteavtal.
7.
Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter
och meddela dessa till tillsynsmyndigheten.
Artikel 38
Dataskyddsombudets ställning
1.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt
och i god tid deltar i alla frågor som rör skyddet av personuppgifter.
4.5.2016
L 119/55
Europeiska unionens officiella tidning
SV
276
Prop. 2017/18:218
Bilaga 1
2.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de
uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt
tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.
3.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot
instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av
den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska
rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.
4.
Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes
personuppgifter och utövandet av dennes rättigheter enligt denna förordning.
5.
Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller
konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.
6.
Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgifts
biträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.
Artikel 39
Dataskyddsombudets uppgifter
1.
Dataskyddsombudet ska ha minst följande uppgifter:
a) Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som
behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskydds
bestämmelser.
b) Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbe
stämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter,
inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande
granskning.
c) Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den
enligt artikel 35.
d) Att samarbeta med tillsynsmyndigheten.
e) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd
som avses i artikel 36, och vid behov samråda i alla andra frågor.
2.
Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade
med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.
Avsnitt 5
Uppförandekod och cer tif iering
Artikel 40
Uppförandekoder
1.
Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra utarbetandet av
uppförandekoder avsedda att bidra till att denna förordning genomförs korrekt, med hänsyn till särdragen hos de olika
sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.
2.
Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts
biträden får utarbeta uppförandekoder, eller ändra eller utöka sådana koder, i syfte att specificera tillämpningen av denna
förordning, till exempel när det gäller
a) rättvis och öppen behandling,
4.5.2016
L 119/56
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
277
b) personuppgiftsansvarigas berättigade intressen i särskilda sammanhang,
c) insamling av personuppgifter,
d) pseudonymisering av personuppgifter,
e) information till allmänheten och de registrerade,
f) utövande av registrerades rättigheter,
g) information till och skydd av barn samt metoderna för att erhålla samtycke från de personer som har föräldraansvar
för barn,
h) åtgärder och förfaranden som avses i artiklarna 24 och 25 samt åtgärder för att säkerställa säkerhet vid behandling i
enlighet med artikel 32,
i) anmälan av personuppgiftsincidenter till tillsynsmyndigheter och meddelande av sådana personuppgiftsincidenter till
registrerade,
j) överföring av personuppgifter till tredjeländer eller internationella organisationer,
k) utomrättsliga förfaranden och andra tvistlösningsförfaranden för lösande av tvister mellan personuppgiftsansvariga
och registrerade när det gäller behandling, utan att detta påverkar registrerades rättigheter enligt artiklarna 77
och 79.
3.
Uppförandekoder som är godkända i enlighet med punkt 5 i denna artikel och som har allmän giltighet enligt
punkt 9 i denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas
av denna förordning, även iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som inte omfattas av denna
förordning enligt artikel 3, för att tillhandahålla lämpliga garantier inom ramen för överföringar av personuppgifter till
tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 e. Sådana personuppgiftsansvariga eller
personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande
instrument, att tillämpa dessa lämpliga garantier inbegripet när det gäller registrerades rättigheter.
4.
Den uppförandekod som avses i punkt 2 i den här artikeln ska innehålla mekanismer som gör det möjligt för det
organ som avses i artikel 41.1 att utföra den obligatoriska övervakningen av att dess bestämmelser efterlevs av
personuppgiftsansvariga och personuppgiftsbiträden som tillämpar den, utan att det påverkar uppgifter eller
befogenheter för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.
5.
Sammanslutningar och andra organ som avses i punkt 2 i den här artikeln som avser att utarbeta en
uppförandekod eller ändra eller utöka befintliga uppförandekoder ska inge utkastet till uppförandekod, ändringen eller
utökningen till den tillsynsmyndighet som är behörig enligt artikel 55. Tillsynsmyndigheten ska yttra sig om huruvida
utkastet till uppförandekod, ändring eller utökning överensstämmer med denna förordning och ska godkänna ett det
utkastet till kod, ändring eller utökning om den finner att tillräckliga garantier tillhandahålls.
6.
Om utkastet till kod, eller en ändring eller utökning, godkänns i enlighet med punkt 5, och om den berörda
uppförandekoden inte avser behandling i flera medlemsstater, ska tillsynsmyndigheten registrera och offentliggöra
uppförandekoden.
7.
Om ett utkast till uppförandekod avser behandling i flera medlemsstater ska den tillsynsmyndighet som är behörig
enligt artikel 55 innan den godkänner utkastet till kod, ändring eller utökning, inom ramen för det förfarande som avses
i artikel 63 överlämna det till styrelsen som ska avge ett yttrande om huruvida utkastet till kod, ändring eller utökning
är förenlig med denna förordning eller, i de fall som avses i punkt 3 i den här artikeln, tillhandahåller lämpliga garantier.
8.
Om det i det yttrande som avses i punkt 7 bekräftas att utkastet till kod, ändring eller utökning är förenligt med
denna förordning, eller, i de fall som avses i punkt 3, tillhandahåller lämpliga garantier, ska styrelsen inlämna sitt
yttrande till kommissionen.
9.
Kommissionen får, genom genomförandeakter, besluta att den godkända koden, ändringen eller utökningen som
getts in till den enligt punkt 8 i den här artikeln har allmän giltighet inom unionen. Dessa genomförandeakter ska antas
i enlighet med det granskningsförfarande som avses i artikel 93.2.
4.5.2016
L 119/57
Europeiska unionens officiella tidning
SV
278
Prop. 2017/18:218
Bilaga 1
10.
Kommissionen ska se till att de godkända koder om vilka det har beslutats att de har allmän giltighet enligt
punkt 9 offentliggörs på lämpligt sätt.
11.
Styrelsen ska samla alla godkända uppförandekoder, ändringar och utökningar i ett register och offentliggöra dem
på lämpligt sätt.
Artikel 41
Övervakning av godkända uppförandekoder
1.
Utan att det påverkar den berörda tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58 får
övervakningen av efterlevnaden av en uppförandekod i enlighet med artikel 40 utföras av ett organ som har en lämplig
expertnivå i förhållande till kodens syfte och som ackrediteras för detta ändamål av den behöriga tillsynsmyndigheten.
2.
Ett organ som avses i punkt 1 får ackrediteras för att övervaka efterlevnaden av en uppförandekod om detta organ
har
a) visat sitt oberoende och sin expertis i förhållande till uppförandekodens syfte på ett sätt som den behöriga tillsyns
myndigheten finner tillfredsställande,
b) upprättat förfaranden varigenom det kan bedöma de berörda personuppgiftsansvarigas och personuppgiftsbiträdenas
lämplighet för att tillämpa uppförandekoden, övervaka att de efterlever dess bestämmelser och regelbundet se över
hur den fungerar,
c) upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av uppförandekoden eller det sätt på
vilket uppförandekoden har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde,
och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och
d) på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att dess uppgifter och uppdrag inte
leder till en intressekonflikt.
3.
Den behöriga tillsynsmyndigheten ska inlämna utkastet till kriterier för ackreditering av ett organ som avses i
punkt 1 i den här artikeln till styrelsen i enlighet med den mekanism för enhetlighet som avses i artikel 63.
4.
Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter och tillämpningen av
bestämmelserna i kapitel VIII ska ett organ som avses i punkt 1 i denna artikel, med förbehåll för tillräckliga
skyddsåtgärder, vidta lämpliga åtgärder i fall av en personuppgiftsansvarigs eller ett personuppgiftsbiträdes överträdelse
av uppförandekoden, inbegripet avstängning eller uteslutande av den personuppgiftsansvarige eller personuppgifts
biträdet från uppförandekoden. Det ska informera den behöriga tillsynsmyndigheten om sådana åtgärder och skälen för
att de vidtagits.
5.
Den behöriga tillsynsmyndigheten ska återkalla ackrediteringen av ett organ som avses i punkt 1 om villkoren för
ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet strider mot denna förordning.
6.
Denna artikel ska inte gälla behandling som utförs av offentliga myndigheter och organ.
Artikel 42
Certifiering
1.
Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra, särskilt på unionsnivå,
införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som syftar till att visa att
personuppgiftsansvarigas eller personuppgiftsbiträdens behandling är förenlig med denna förordning. De särskilda
behoven hos mikroföretag samt små och medelstora företag ska beaktas.
4.5.2016
L 119/58
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
279
2.
Certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som är godkända enligt punkt 5 i
denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas av denna
förordning, inrättas för att visa att det föreligger lämpliga garantier som tillhandahålls av personuppgiftsansvariga och
personuppgiftsbiträden som inte omfattas av denna förordning enligt artikel 3, inom ramen för överföringar av
personuppgifter till tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 f. Sådana personuppgift
sansvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt
bindande instrument, att tillämpa dessa lämpliga garantier, inbegripet när det gäller registrerades rättigheter.
3.
Certifieringen ska vara frivillig och tillgänglig via ett öppet förfarande.
4.
En certifiering i enlighet med denna artikel minskar inte den personuppgiftsansvariges eller personuppgiftsbiträdets
ansvar för att denna förordning efterlevs och påverkar inte uppgifter och befogenheter för de tillsynsmyndigheter som är
behöriga enligt artikel 55 eller 56.
5.
En certifiering i enlighet med denna artikel ska utfärdas av de certifieringsorgan som avses i artikel 43 eller av den
behöriga tillsynsmyndigheten på grundval av kriterier som godkänts av den behöriga myndigheten enligt artikel 58.3
eller av styrelsen enligt artikel 63. Om kriterierna har godkänts av styrelsen får detta leda till en gemensam certifiering,
det europeiska sigillet för dataskydd.
6.
Den personuppgiftsansvarige eller det personuppgiftsbiträde som låter sin behandling av uppgifter omfattas av
certifieringsmekanismen ska förse det certifieringsorgan som avses i artikel 43 eller, i tillämpliga fall, den behöriga
tillsynsmyndigheten, med all information och tillgång till behandlingsförfaranden som krävs för att genomföra certifier
ingsförfarandet.
7.
Certifiering ska utfärdas till en personuppgiftsansvarig eller ett personuppgiftsbiträde för en period på högst tre år
och får förnyas på samma villkor under förutsättning att kraven fortsätter att vara uppfyllda. Certifiering ska,
i tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten om
kraven för certifieringen inte eller inte längre uppfylls.
8.
Styrelsen ska samla alla certifieringsmekanismer och sigill och märkningar för dataskydd i ett register och
offentliggöra dem på lämpligt sätt.
Artikel 43
Certifieringsorgan
1.
Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58
ska certifieringsorgan som har lämplig nivå av expertis i fråga om dataskydd, efter att ha informerat tillsynsmyndigheten
för att den ska kunna utöva sina befogenheter enligt artikel 58.2 h när så är nödvändigt, utfärda och förnya certifiering.
Medlemsstat ska säkerställa att dessa certifieringsorgan är ackrediterade av en av eller båda följande:
a) Den tillsynsmyndighet som är behörig enligt artikel 55 eller 56,
b) det nationella ackrediteringsorgan som utsetts i enlighet med Europaparlamentets och rådets förordning (EG)
nr 765/2008 (
1
) i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av den
tillsynsmyndighet som är behörig enligt artikel 55 eller 56.
2.
Certifieringsorgan som avses i punkt 1 får ackrediteras i enlighet med den punkten endast om de har
a) visat oberoende och expertis i förhållande till certifieringens syfte på ett sätt som den behöriga tillsynsmyndigheten
finner tillfredsställande,
4.5.2016
L 119/59
Europeiska unionens officiella tidning
SV
(
1
) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i
samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).
280
Prop. 2017/18:218
Bilaga 1
b) förbundit sig att respektera de kriterier som avses i artikel 42.5 och godkänts av den tillsynsmyndighet som är
behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63,
c) upprättat förfaranden för utfärdande, periodisk översyn och återkallande av certifiering, sigill och märkningar för
dataskydd,
d) upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av certifieringen eller det sätt på vilket
certifieringen har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att
göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och
e) på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att deras uppgifter och uppdrag inte
leder till en intressekonflikt.
3.
Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske på grundval av
kriterier som godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt
artikel 63. I händelse av ackreditering enligt punkt 1 b i den här artikeln ska dessa krav komplettera dem som föreskrivs
i förordning (EG) nr 765/2008 och de tekniska regler som beskriver certifieringsorganens metoder och förfaranden.
4.
De certifieringsorgan som avses i punkt 1 ska ansvara för den korrekta bedömning som leder till certifieringen
eller återkallelsen av certifieringen, utan att det påverkar den personuppgiftsansvariges eller personuppgiftsbiträdets
ansvar att efterleva denna förordning. Ackrediteringen ska utfärdas för en period på högst fem år och får förnyas på
samma villkor under förutsättning att certifieringsorganet uppfyller de krav som anges i denna artikel.
5.
De certifieringsorgan som avses i punkt 1 ska informera de behöriga tillsynsmyndigheterna om orsakerna till
beviljandet eller återkallelsen av den begärda certifieringen.
6.
De krav som avses i punkt 3 i den här artikeln och de kriterier som avses i artikel 42.5 ska offentliggöras av
tillsynsmyndigheten i ett lättillgängligt format. Tillsynsmyndigheterna ska också översända dessa krav och kriterier till
styrelsen. Styrelsen ska samla alla certifieringsmekanismer och sigill för dataskydd i ett register och offentliggöra dem på
lämpligt sätt.
7.
Utan att det påverkar tillämpningen av kapitel VIII ska den behöriga tillsynsmyndigheten eller det nationella ackre
diteringsorganet återkalla ett certifieringsorgans ackreditering enligt punkt 1 i denna artikel om villkoren för
ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av certifieringsorganet strider mot denna
förordning.
8.
Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 i syfte att närmare ange de
krav som ska tas i beaktande för de certifieringsmekanismer för dataskydd som avses i artikel 42.1.
9.
Kommissionen får anta genomförandeakter för att fastställa tekniska standarder för certifieringsmekanismer och
sigill och märkningar för dataskydd samt rutiner för att främja och erkänna dessa certifieringsmekanismer, sigill och
märkningar. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.
KAPITEL V
Överföring av personuppgifter till tredjeländer eller internationella organisationer
Artikel 44
Allmän princip för överföring av uppgifter
Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett
tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och
personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel,
inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat
tredjeland eller en annan internationell organisation. Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att
den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.
4.5.2016
L 119/60
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
281
Artikel 45
Överföring på grundval av ett beslut om adekvat skyddsnivå
1.
Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat
att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella
organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.
2.
När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta
a) rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna, relevant lagstiftning,
både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och
straffrätt och offentliga myndigheters tillgång till personuppgifter samt tillämpningen av sådan lagstiftning,
dataskyddsregler, yrkesregler och säkerhetsbestämmelser, inbegripet regler för vidare överföring av personuppgifter till
ett annat tredjeland eller en annan internationell organisation, som ska följas i det landet eller den internationella
organisationen, rättspraxis samt faktiska och verkställbara rättigheter för registrerade och effektiv administrativ och
rättslig prövning för de registrerade vars personuppgifter överförs,
b) huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet, eller som utövar
tillsyn över den internationella organisationen, som har ansvar för att säkerställa och kontrollera att dataskyddsregler
följs, inklusive lämpliga verkställighetsbefogenheter, ge de registrerade råd och assistans när det gäller utövandet av
deras rättigheter och samarbeta med medlemsstaternas tillsynsmyndigheter, och
c) vilka internationella åtaganden det berörda tredjelandet eller den berörda internationella organisationen har gjort,
eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i
multilaterala eller regionala system, särskilt rörande skydd av personuppgifter.
3.
Kommissionen får, efter att ha bedömt om det föreligger en adekvat skyddsnivå, genom en genomförandeakt
besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en
internationell organisation säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln.
Genomförandeakten ska inrätta en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant
utveckling i det tredjelandet eller den internationella organisationen. Beslutets territoriella och sektorsmässiga tillämpning
ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken eller vilka myndigheter som är
tillsynsmyndighet(er) enligt punkt 2 b i den här artikeln. Genomförandeakten ska antas i enlighet med det gransknings
förfarande som avses i artikel 93.2.
4.
Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan
påverka hur beslut som antagits enligt punkt 3 i den här artikeln och beslut som antagits på grundval av artikel 25.6 i
direktiv 95/46/EG fungerar.
5.
Kommissionen ska, när tillgänglig information visar, i synnerhet efter den översyn som avses i punkt 3 i den här
artikeln, att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom tredjelandet i fråga eller en
internationell organisation inte längre säkerställer adekvat skydd i den mening som avses i punkt 2 i den här artikeln
och, i den mån det behövs, genom genomförandeakter återkalla, ändra eller upphäva det beslut som avses i punkt 3 i
den här artikeln utan retroaktiv verkan. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande
som avses i artikel 93.2.
När det föreligger vederbörligen motiverade och tvingande skäl till skyndsamhet ska kommissionen anta omedelbart
tillämpliga genomförandeakter i enlighet med det förfarande som avses i artikel 93.3.
6.
Kommissionen ska samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den
situation som lett till beslutet enligt punkt 5.
7.
Beslut enligt punkt 5 i den här artikeln ska inte påverka överföring av personuppgifter till tredjelandet, ett
territorium eller en eller flera specificerade sektorer inom tredjelandet, eller den internationella organisationen i fråga
enligt artiklarna 46–49.
8.
Kommissionen ska i Europeiska unionens officiella tidning och på sin webbplats offentliggöra en förteckning över de
tredjeländer och de territorier och specificerade sektorer i ett givet tredjeland samt de internationella organisationer för
vilka den har fastställt att en adekvat skyddsnivå inte eller inte längre säkerställs.
4.5.2016
L 119/61
Europeiska unionens officiella tidning
SV
282
Prop. 2017/18:218
Bilaga 1
9.
De beslut som antas av kommissionen på grundval av artikel 25.6 i direktiv 95/46/EG ska förbli i kraft tills de
ändrats, ersatts eller upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 3 eller 5 i den här artikeln.
Artikel 46
Överföring som omfattas av lämpliga skyddsåtgärder
1.
I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig eller ett personuppgiftsbiträde
endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga
skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns
tillgängliga.
2.
Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från en övervakningsmyndighet, ta
formen av
a) ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ,
b) bindande företagsbestämmelser i enlighet med artikel 47,
c) standardiserade dataskyddsbestämmelser som antas av kommissionen i enlighet med det granskningsförfarande som
avses i artikel 93.2,
d) standardiserade dataskyddsbestämmelser som antagits av en tillsynsmyndighet och godkänts av kommissionen i
enlighet med det granskningsförfarande som avses i artikel 93.2,
e) en godkänd uppförandekod enlig artikel 40 tillsammans med rättsligt bindande och verkställbara åtaganden för den
personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det
gäller registrerades rättigheter, eller
f) en godkänd certifieringsmekanism enlig artikel 42 tillsammans med rättsligt bindande och verkställbara åtaganden
för den personuppgiftsansvarige, personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när
det gäller de registrerades rättigheter.
3.
Med förbehåll för tillstånd från den behöriga tillsynsmyndigheten, får lämpliga skyddsåtgärder enligt punkt 1 också
i synnerhet ta formen av
a) avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige,
personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen,
eller
b) bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka
inbegriper verkställbara och faktiska rättigheter för registrerade.
4.
Tillsynsmyndigheten ska tillämpa den mekanism för enhetlighet som avses i artikel 63 i de fall som avses i punkt 3
i den här artikeln.
5.
Tillstånd från en medlemsstat eller tillsynsmyndighet på grundval av artikel 26.2 i direktiv 95/46/EG ska förbli
giltigt tills det, vid behov, ändrats, ersatts eller upphävts av den tillsynsmyndigheten. De beslut som fattas av
kommissionen på grundval av artikel 26.4 i direktiv 95/46/EG ska förbli i kraft tills de, vid behov, ändrats, ersatts eller
upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 2 i den här artikeln.
Artikel 47
Bindande företagsbestämmelser
1.
Den behöriga tillsynsmyndigheten ska godkänna bindande företagsbestämmelser i enlighet med den mekanism för
enhetlighet som föreskrivs i artikel 63 under förutsättning att de
a) är rättslig bindande, tillämpas på, och verkställs av alla delar som berörs inom den koncern eller grupp av företag
som deltar i gemensam ekonomisk verksamhet, inklusive deras anställda,
4.5.2016
L 119/62
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
283
b) innehåller uttryckliga bestämmelser om de registrerades lagstadgade rättigheter när det gäller behandlingen av deras
personuppgifter, och
c) uppfyller villkoren i punkt 2.
2.
De bindande företagsbestämmelser som avses i punkt 1 ska närmare ange åtminstone följande:
a) struktur och kontaktuppgifter för den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet
och för var och en av dess medlemmar,
b) vilka överföringar eller uppsättningar av överföringar av uppgifter som omfattas, inklusive kategorierna av
personuppgifter, typen av behandling och dess ändamål, den typ av registrerade som berörs samt vilket eller vilka
tredjeländer som avses,
c) bestämmelsernas rättsligt bindande natur, såväl internt som externt,
d) tillämpningen av allmänna principer för dataskydd, särskilt avgränsning av syften, uppgiftsminimering, begränsade
lagringsperioder, datakvalitet, inbyggt dataskydd och dataskydd som standard, rättslig grund för behandling,
behandling av särskilda kategorier av personuppgifter, åtgärder för att säkerställa datasäkerhet och villkoren när det
gäller vidare överföring av uppgifter till organ som inte är bundna av bindande företagsbestämmelser,
e) de registrerades rättigheter avseende behandling och medlen för att utöva dessa rättigheter, inklusive rätten att inte
bli föremål för beslut grundade enbart på automatisk behandling, inklusive profilering, enligt artikel 22, rätten att
inge klagomål till den behöriga tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 79,
rätten till prövning samt i förekommande fall rätten till kompensation för överträdelse av de bindande företagsbe
stämmelserna,
f) att den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerad inom en medlemsstats territorium tar
på sig ansvaret om en berörd enhet som inte är etablerad inom unionen bryter mot de bindande företagsbestäm
melserna; den personuppgiftsansvarige eller personuppgiftsbiträdet får helt eller delvis undantas från denna
skyldighet endast på villkor att det kan visas att den berörda enheten i företagsgruppen inte kan hållas ansvarig för
den skada som har uppkommit,
g) hur de registrerade ska informeras om innehållet i de bindande företagsbestämmelserna, särskilt de bestämmelser
som avses i leden d, e och f i denna punkt utöver den information som avses i artiklarna 13 och 14,
h) uppgifterna för varje dataskyddsombud som utsetts i enlighet med artikel 37, eller varje annan person eller enhet
med ansvar för kontrollen av att de bindande företagsbestämmelserna följs inom den koncern eller grupp av företag
som deltar i gemensam ekonomisk verksamhet, samt i fråga om utbildning och hantering av klagomål,
i) förfaranden för klagomål,
j) rutinerna inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet för att kontrollera
att de bindande företagsreglerna följs; sådana rutiner ska inbegripa dataskyddstillsyn och metoder för att säkerställa
korrigerande åtgärder för att skydda de registrerades rättigheter; resultaten av sådana kontroller bör meddelas den
person eller enhet som avses i led h och styrelsen i det kontrollerande företaget i koncernen eller gruppen av företag
som deltar i gemensam ekonomisk verksamhet, och bör på begäran vara tillgänglig för den behöriga tillsynsmyndig
heten,
k) rutinerna för att rapportera och dokumentera ändringar i bestämmelserna, samt rutinerna för att rapportera dessa
ändringar till tillsynsmyndigheten,
l) rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla medlemmar i den koncern eller grupp
av företag som deltar i gemensam ekonomisk verksamhet följer reglerna, särskilt genom att meddela tillsynsmyndig
heten resultaten av kontroller av de åtgärder som avses i led j,
m) rutinerna för att till den behöriga tillsynsmyndigheten rapportera alla rättsliga krav som en medlem i koncernen eller
gruppen av företag som deltar i gemensam ekonomisk verksamhet är underkastad i ett tredjeland och som sannolikt
kommer att ha en avsevärd negativ inverkan på de garantier som ges genom de bindande företagsbestämmelserna,
och
n) lämplig utbildning om dataskydd för personal som har ständig eller regelbunden tillgång till personuppgifter.
4.5.2016
L 119/63
Europeiska unionens officiella tidning
SV
284
Prop. 2017/18:218
Bilaga 1
3.
Kommissionen får närmare ange vilket format och vilka rutiner som ska användas för de personuppgiftsansvarigas,
personuppgiftsbiträdenas och tillsynsmyndigheternas utbyte av information om bindande företagsbestämmelser i den
mening som avses i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som
avses i artikel 93.2.
Artikel 48
Överföringar och utlämnanden som inte är tillåtna enligt unionsrätten
Domstolsbeslut eller beslut från myndigheter i tredjeland där det krävs att en personuppgiftsansvarig eller ett personupp
giftsbiträde överför eller lämnar ut personuppgifter får erkännas eller genomföras på något som helst sätt endast om det
grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp, som gäller mellan det
begärande tredjelandet och unionen eller en medlemsstat, utan att detta påverkar andra grunder för överföring enligt
detta kapitel.
Artikel 49
Undantag i särskilda situationer
1.
Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3, eller om lämpliga skyddsåtgärder
enligt artikel 46, inbegripet bindande företagsbestämmelser, får en överföring eller uppsättning av överföringar av
personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:
a) Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de
eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat
skyddsnivå eller lämpliga skyddsåtgärder.
b) Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för
att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.
c) Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan
fysisk eller juridisk person i den registrerades intresse.
d) Överföringen är nödvändig av viktiga skäl som rör allmänintresset.
e) Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
f) Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den
registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
g) Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge
allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett
berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt
angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.
När en överföring inte skulle kunna grundas på en bestämmelse i artikel 45 eller 46, inklusive bestämmelserna om
bindande företagsbestämmelser, och inget av undantagen för en särskild situation som avses i första stycket i den här
punkten är tillämpligt, får en överföring till ett tredjeland eller en internationell organisation äga rum endast
omöverföringen inte är repetitiv, endast gäller ett begränsat antal registrerade, är nödvändig för ändamål som rör den
personuppgiftsansvariges tvingande berättigade intressen och den registrerades intressen eller rättigheter och friheter inte
väger tyngre, och den personuppgiftsansvarige har bedömt samtliga omständigheter kring överföringen av uppgifter och
på grundval av denna bedömning vidtagit lämpliga skyddsåtgärder för att skydda personuppgifter. Den personuppgift
sansvarige ska informera tillsynsmyndigheten om överföringen. Den personuppgiftsansvarige ska utöver tillhanda
hållande av den information som avses i artiklarna 13 och 14 informera den registrerade om överföringen och om de
tvingande berättigade intressen som eftersträvas.
2.
En överföring enligt led g i punkt 1 första stycket får inte omfatta alla personuppgifter eller hela kategorier av
personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse
ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.
4.5.2016
L 119/64
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
285
3.
Leden a, b och c i punkt 1 första stycket samt andra stycket i samma punkt ska inte gälla åtgärder som vidtas av
offentliga myndigheter som ett led i myndighetsutövning.
4.
Det allmänintresse som avses i led d i punkt 1 första stycket ska vara erkänt i unionsrätten eller i den nationella
rätt som den personuppgiftsansvarige omfattas av.
5.
Saknas beslut om adekvat skyddsnivå, får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till
viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett
tredjeland eller en internationell organisation. Medlemsstaterna ska underrätta kommissionen om sådana bestämmelser.
6.
Den personuppgiftsansvarige eller personuppgiftsbiträdet ska bevara uppgifter både om bedömningen och om de
lämpliga skyddsåtgärder som avses i punkt 1 andra stycket i den här artikeln i det register som avses i artikel 30.
Artikel 50
Internationellt samarbete för skydd av personuppgifter
När det gäller tredjeländer och internationella organisationer ska kommissionen och tillsynsmyndigheterna vidta
lämpliga åtgärder för att
a) utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om
skydd av personuppgifter,
b) på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av
personuppgifter, bland annat genom underrättelse, hänskjutande av klagomål, bistånd vid utredningar samt
informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra
grundläggande rättigheter och friheter,
c) involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det
gäller tillämpningen av lagstiftningen om skydd av personuppgifter,
d) främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter, inklusive avseende
behörighetskonflikter med tredjeländer.
KAPITEL VI
Oberoende tillsynsmyndigheter
Avsnitt 1
Oberoende ställning
Artikel 51
Tillsynsmyndighet
1.
Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka
tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband
med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).
2.
Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta
ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII.
3.
Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska
företräda dessa myndigheter i styrelsen; medlemsstaten ska också upprätta en rutin för att se till att övriga myndigheter
följer reglerna för den mekanism för enhetlighet som avses i artikel 63.
4.
Varje medlemsstat ska senast den 25 maj 2018 anmäla till kommissionen vilka nationella bestämmelser den antar
i enlighet med detta kapitel, och alla framtida ändringar som rör dessa bestämmelser ska anmälas utan dröjsmål.
4.5.2016
L 119/65
Europeiska unionens officiella tidning
SV
286
Prop. 2017/18:218
Bilaga 1
Artikel 52
Oberoende
1.
Varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina
befogenheter i enlighet med denna förordning.
2.
Varje tillsynsmyndighets ledamot eller ledamöter ska i utförandet av sina uppgifter och utövandet av sina
befogenheter i enlighet med denna förordning stå fria från utomstående påverkan, direkt såväl som indirekt, och får
varken begära eller ta emot instruktioner av någon.
3.
Tillsynsmyndighetens ledamöter ska avhålla sig från alla handlingar som är oförenliga med deras skyldigheter och
under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras
tjänsteutövning.
4.
Varje medlemsstat ska säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella
resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och
utöva sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i styrelsens
verksamhet.
5.
Varje medlemsstat ska säkerställa att varje tillsynsmyndighet väljer och förfogar över egen personal, som ska ta
instruktioner uteslutande från den berörda tillsynsmyndighetens ledamot eller ledamöter.
6.
Varje medlemsstat ska säkerställa att varje tillsynsmyndighet blir föremål för finansiell kontroll, utan att detta
påverkar tillsynsmyndighetens oberoende och att de förfogar över en separat, offentlig årsbudget som kan ingå i den
övergripande statsbudgeten eller nationella budgeten.
Artikel 53
Allmänna villkor för tillsynsmyndighetens ledamöter
1.
Medlemsstaterna ska föreskriva att varje ledamot av deras tillsynsmyndigheter ska utnämnas genom ett genom ett
öppet förfarande med insyn av
— deras parlament,
— deras regering,
— deras statschef, eller
— ett oberoende organ som genom medlemsstatens nationella rätt anförtrotts utnämningen.
2.
Varje ledamot ska ha de kvalifikationer, den erfarenhet och den kompetens, särskilt på området skydd av
personuppgifter, som krävs för att ledamoten ska kunna utföra sitt uppdrag och utöva sina befogenheter.
3.
En ledamots uppdrag ska upphöra då mandattiden löper ut eller om ledamoten avgår eller avsätts från sin tjänst i
enlighet med den berörda medlemsstatens nationella rätt.
4.
En ledamot får avsättas endast på grund av grov försummelse eller när ledamoten inte längre uppfyller de villkor
som krävs för att utföra uppdraget.
Artikel 54
Regler för inrättandet av en tillsynsmyndighet
1.
Varje medlemsstat ska fastställa följande i lag:
a) Varje tillsynsmyndighets inrättande.
4.5.2016
L 119/66
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
287
b) De kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en
tillsynsmyndighet.
c) Regler och förfaranden för att utse varje tillsynsmyndighets ledamot eller ledamöter.
d) Mandattiden för varje tillsynsmyndighets ledamot eller ledamöter, vilken inte får understiga fyra år, utom vid
tillsättandet av de första ledamöterna efter den 24 maj 2016, då ett stegvis tillsättningsförfarande med kortare
perioder för några av ledamöterna får tillämpas om detta är nödvändigt för att säkerställa myndighetens oberoende.
e) Huruvida varje tillsynsmyndighets ledamot eller ledamöter får ges förnyat mandat, och om så är fallet, för hur många
perioder.
f) Vilka villkor som gäller för de skyldigheter som varje tillsynsmyndighets ledamot eller ledamöter och personal har,
förbud mot handlingar, yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och
vilka bestämmelser som gäller för anställningens upphörande.
2.
Varje tillsynsmyndighets ledamot eller ledamöter och personal ska i enlighet med unionsrätten eller
medlemsstaternas nationella rätt omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell
information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under
mandatperioden ska denna tystnadsplikt i synnerhet gälla rapportering från fysiska personer om överträdelser av denna
förordning.
Avsnitt 2
Behörighet, uppgif ter och befogenheter
Artikel 55
Behörighet
1.
Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt
denna förordning inom sin egen medlemsstats territorium.
2.
Om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska
tillsynsmyndigheten i den berörda medlemsstaten vara behörig. I sådana fall ska artikel 56 inte tillämpas.
3.
Tillsynsmyndigheterna ska inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin
dömande verksamhet.
Artikel 56
Den ansvariga tillsynsmyndighetens behörighet
1.
Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller
personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig
tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling
i enlighet med det förfarande som föreskrivs i artikel 60.
2.
Genom undantag från punkt 1 ska varje tillsynsmyndighet vara behörig att behandla ett klagomål som lämnats in
till denna eller en eventuell överträdelse av denna förordning, om sakfrågan i ärendet endast rör ett verksamhetsställe i
medlemsstaten eller i väsentlig grad påverkar registrerade endast i medlemsstaten.
3.
I de fall som avses i punkt 2 i den här artikeln ska tillsynsmyndigheten utan dröjsmål informera den ansvariga
tillsynsmyndigheten om detta ärende. Inom tre veckor från det att den underrättats ska den ansvariga tillsynsmyndighe
ten besluta huruvida den kommer att behandla ärendet i enlighet med det förfarande som föreskrivs i artikel 60, med
hänsyn till huruvida den personuppgiftsansvarige eller personuppgiftsbiträdet har eller inte har ett verksamhetsställe som
är beläget i den medlemsstat där den tillsynsmyndighet som lämnat informationen är belägen.
4.5.2016
L 119/67
Europeiska unionens officiella tidning
SV
288
Prop. 2017/18:218
Bilaga 1
4.
Om den ansvariga tillsynsmyndigheten beslutar att behandla ärendet ska det ske i enlighet med det förfarande som
föreskrivs i artikel 60. Den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten får lämna in ett utkast
till beslut till den ansvariga tillsynsmyndigheten. Den ansvariga tillsynsmyndigheten ska ta största möjliga hänsyn till
detta utkast till beslut när det utarbetar det utkast till beslut som avses i artikel 60.3.
5.
Om den ansvariga tillsynsmyndigheten beslutar att inte behandla ärendet ska den tillsynsmyndighet som
underrättade den ansvariga tillsynsmyndigheten behandla ärendet i enlighet med artiklarna 61 och 62.
6.
Den ansvariga tillsynsmyndigheten ska vara den personuppgiftsansvariges eller personuppgiftsbiträdets enda
motpart när det gäller den registreringsansvariges eller den personuppgiftsbiträdets gränsöverskridande behandling.
Artikel 57
Uppgifter
1.
Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt
territorium ansvara för följande:
a) Övervaka och verkställa tillämpningen av denna förordning.
b) Öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om
behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn.
c) I enlighet med medlemsstatens nationella rätt ge rådgivning åt det nationella parlamentet, regeringen och andra
institutioner och organ om lagstiftningsåtgärder och administrativa åtgärder rörande skyddet av fysiska personers
rättigheter och friheter när det gäller behandling.
d) Öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt denna
förordning.
e) På begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt denna förordning,
och om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.
f) Behandla klagomål från en registrerad eller från ett organ, en organisation eller en sammanslutning enligt artikel 80,
och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde
om hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller
samordning med en annan tillsynsmyndighet.
g) Samarbeta, inbegripet utbyta information, med och ge ömsesidigt bistånd till andra tillsynsmyndigheter för att se till
att denna förordning tillämpas och verkställs på ett enhetligt sätt.
h) Utföra undersökningar om tillämpningen av denna förordning, inbegripet på grundval av information som erhålls
från en annan tillsynsmyndighet eller annan myndighet.
i) Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunika
tionsteknik och affärspraxis.
j) Anta sådana standardavtalsklausuler som avses i artiklarna 28.8 och 46.2 d.
k) Upprätta och föra en förteckning när det gäller kravet på en konsekvensbedömning avseende dataskydd enligt
artikel 35.4.
l) Ge råd om behandling av personuppgifter enligt artikel 36.2.
m) Främja framtagande av uppförandekoder enligt artikel 40.1 samt yttra sig över och godkänna sådana
uppförandekoder som tillhandahåller tillräckliga garantier, i enlighet med artikel 40.5.
n) Uppmuntra till inrättandet av certifieringsmekanismer för dataskydd och av sigill och märkningar för dataskydd i
enlighet med artikel 42.1 samt godkänna certifieringskriterierna i enlighet med artikel 42.5.
o) I tillämpliga fall genomföra en periodisk översyn av certifieringar som utfärdats i enlighet med artikel 42.7.
4.5.2016
L 119/68
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
289
p) Utarbeta och offentliggöra kriterier för ackreditering av ett organ för övervakning av uppförandekoder enligt
artikel 41 och ett certifieringsorgan enligt artikel 43.
q) Ackreditera ett organ för övervakning av uppförandekoder enligt artikel 41 och ett certifieringsorgan enligt
artikel 43.
r) Godkänna sådana avtalsklausuler och bestämmelser som avses i artikel 46.3.
s) Godkänna sådana bindande företagsbestämmelser som avses i artikel 47.
t) Bidra till styrelsens verksamhet.
u) Hålla arkiv över överträdelser av denna förordning och åtgärder som vidtagits i enlighet med artikel 58.2.
v) Utföra eventuella andra uppgifter som rör skyddet av personuppgifter.
2.
Varje tillsynsmyndighet ska underlätta inlämningen av klagomål enligt punkt 1 f genom åtgärder såsom ett särskilt
formulär för ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.
3.
Utförandet av alla tillsynsmyndigheters uppgifter ska vara avgiftsfritt för den registrerade och, i tillämpliga fall, för
dataskyddsombudet.
4.
Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får tillsynsmyn
digheten ta ut en rimlig avgift grundad på de administrativa kostnaderna eller vägra att tillmötesgå begäran. Det åligger
tillsynsmyndigheten att visa att begäran är uppenbart ogrundad eller orimlig.
Artikel 58
Befogenheter
1.
Varje tillsynsmyndighet ska ha samtliga följande utredningsbefogenheter
a) Beordra den personuppgiftsansvarige eller personuppgiftsbiträdet, och i tillämpliga fall den personuppgiftsansvariges
eller personuppgiftsbiträdets företrädare, att lämna all information som myndigheten behöver för att kunna fullgöra
sina uppgifter.
b) Genomföra undersökningar i form av dataskyddstillsyn.
c) Genomföra en översyn av certifieringar som utfärdats i enlighet med artikel 42.7.
d) Meddela den personuppgiftsansvarige eller personuppgiftsbiträdet om en påstådd överträdelse av denna förordning.
e) Från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information
som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter.
f) Få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till
all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionens processrätt
eller medlemsstaternas nationella processrätt.
2.
Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter
a) Utfärda varningar till en personuppgiftsansvarig eller personuppgiftsbiträdet om att planerade behandlingar sannolikt
kommer att bryta mot bestämmelserna i denna förordning.
b) Utfärda reprimander till en personuppgiftsansvarig eller personuppgiftsbiträdet om behandling bryter mot
bestämmelserna i denna förordning.
c) Förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få
utöva sina rättigheter enligt denna förordning.
4.5.2016
L 119/69
Europeiska unionens officiella tidning
SV
290
Prop. 2017/18:218
Bilaga 1
d) Förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker i enlighet med
bestämmelserna i denna förordning och om så krävs på ett specifikt sätt och inom en specifik period,
e) Förelägga den personuppgiftsansvarige att meddela den registrerade att en personuppgiftsincident har inträffat.
f) Införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.
g) Förelägga om rättelse eller radering av personuppgifter samt begränsning av behandling enligt artiklarna 16, 17
och 18 och underrätta mottagare till vilka personuppgifterna har lämnats ut om dessa åtgärder enligt artiklarna 17.2
och 19.
h) Återkalla en certifiering eller beordra certifieringsorganet att återkalla en certifiering som utfärdats enligt artikel 42
eller 43, eller beordra certifieringsorganet att inte utfärda certifiering om kraven för certifiering inte eller inte längre
uppfylls.
i) Påföra administrativa sanktionsavgifter i enlighet med artikel 83 utöver eller i stället för de åtgärder som avses i detta
stycke, beroende på omständigheterna i varje enskilt fall.
j) Förelägga om att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas.
3.
Varje tillsynsmyndighet ska ha samtliga följande befogenheter att utfärda tillstånd och att ge råd:
a) Ge råd till den personuppgiftsansvarige i enlighet med det förfarande för förhandssamråd som avses i artikel 36.
b) På eget initiativ eller på begäran avge yttranden till det nationella parlamentet, medlemsstatens regering eller, i
enlighet med medlemsstatens nationella rätt, till andra institutioner och organ samt till allmänheten, i frågor som rör
skydd av personuppgifter.
c) Ge tillstånd till behandling enligt artikel 36.5 om medlemsstatens rätt kräver ett sådant förhandstillstånd.
d) Avge ett yttrande om och godkänna utkast till uppförandekoder enligt artikel 40.5.
e) Ackreditera certifieringsorgan i enlighet med artikel 43.
f) Utfärda certifieringar och godkänna kriterier för certifiering i enlighet med artikel 42.5.
g) Anta standardiserade dataskyddsbestämmelser enligt artiklarna 28.8 och 46.2 d.
h) Godkänna avtalsklausuler enligt artikel 46.3 a.
i) Godkänna administrativa överenskommelser enligt artikel 46.3 b.
j) Godkänna bindande företagsbestämmelser enligt artikel 47.
4.
Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga
skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas
nationella rätt i enlighet med stadgan.
5.
Varje medlemsstat ska i lagstiftning fastställa att dess tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga
myndigheterna om överträdelser av denna förordning och vid behov att inleda eller på övrigt vis delta i rättsliga
förfaranden, för att verkställa bestämmelserna i denna förordning.
6.
Varje medlemsstat får i lagstiftning föreskriva att dess tillsynsmyndighet ska ha ytterligare befogenheter utöver dem
som avses i punkterna 1, 2 och 3. Utövandet av dessa befogenheter ska inte påverka den effektiva tillämpningen av
kapitel VII.
Artikel 59
Verksamhetsrapporter
Varje tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet, vilken kan omfatta en förteckning över typer
av anmälda överträdelser och typer av åtgärder som vidtagits i enlighet med artikel 58.2. Rapporterna ska översändas till
det nationella parlamentet, regeringen och andra myndigheter som utsetts genom medlemsstatens nationella rätt. De ska
göras tillgängliga för allmänheten, kommissionen och styrelsen.
4.5.2016
L 119/70
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
291
KAPITEL VII
Samarbete och enhetlighet
Avsnitt 1
Samarbete
Artikel 60
Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna
1.
Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med
denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheter
na ska utbyta all relevant information med varandra.
2.
Den ansvariga tillsynsmyndigheten får när som helst begära att andra berörda tillsynsmyndigheter ger ömsesidigt
bistånd i enlighet med artikel 61 och får genomföra gemensamma insatser i enlighet med artikel 62, i synnerhet för att
utföra utredningar eller övervaka genomförandet av en åtgärd som avser en personuppgiftsansvarig eller ett personupp
giftsbiträde som är etablerad i en annan medlemsstat.
3.
Den ansvariga tillsynsmyndigheten ska utan dröjsmål meddela de andra berörda tillsynsmyndigheterna den
relevanta informationen i ärendet. Den ska utan dröjsmål lägga fram ett utkast till beslut för de andra berörda tillsyns
myndigheterna så att de kan avge ett yttrande och ta vederbörlig hänsyn till deras synpunkter.
4.
Om någon av de andra berörda tillsynsmyndigheterna inom en period av fyra veckor efter att de har rådfrågats i
enlighet med punkt 3 i den här artikeln uttrycker en relevant och motiverad invändning mot utkastet till beslut ska den
ansvariga tillsynsmyndigheten, om den inte instämmer i den relevanta och motiverade invändningen eller anser att
invändningen inte är relevant eller motiverad, överlämna ärendet till den mekanism för enhetlighet som avses
i artikel 63.
5.
Om den ansvariga tillsynsmyndigheten avser att följa den relevanta och motiverade invändningen ska den till de
andra berörda tillsynsmyndigheterna överlämna ett reviderat utkast till beslut så att de kan avge ett yttrande. Detta
reviderade utkast till beslut ska omfattas av det förfarande som avses i punkt 4 inom en period av två veckor.
6.
Om ingen av de andra berörda tillsynsmyndigheterna har gjort invändningar mot det utkast till beslut som den
ansvariga tillsynsmyndigheten har lagt fram inom den period som avses i punkterna 4 och 5 ska den ansvariga tillsyns
myndigheten och de berörda tillsynsmyndigheterna anses samtycka till detta utkast till beslut och ska vara bundna av
det.
7.
Den ansvariga tillsynsmyndigheten ska anta och meddela beslutet till den personuppgiftsansvariges eller
personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe, allt efter omständigheterna, och underrätta de andra
berörda tillsynsmyndigheterna och styrelsen om beslutet i fråga, inbegripet en sammanfattning av relevanta fakta och en
relevant motivering. Den tillsynsmyndighet till vilken ett klagomål har lämnats in ska underrätta den enskilde om
beslutet.
8.
Om ett klagomål avvisas eller avslås ska den tillsynsmyndighet till vilken klagomålet lämnades in, genom undantag
från punkt 7, anta beslutet och meddela den enskilde samt informera den personuppgiftsansvarige.
9.
Om den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna är överens om att avvisa eller avslå
delar av ett klagomål och att vidta åtgärder beträffande andra delar av klagomålet ska ett separat beslut antas för var och
en av dessa delar av frågan. Den ansvariga tillsynsmyndigheten ska anta beslutet om den del som gäller åtgärder som
avser den personuppgiftsansvarige och meddela det till den personuppgiftsansvariges eller personuppgiftsbiträdets
huvudsakliga eller enda verksamhetsställe på medlemsstatens territorium och underrätta den enskilde om detta, medan
den enskildes tillsynsmyndighet ska anta beslutet för den del som gäller avvisande av eller avslag på klagomålet och
meddela det till den enskilde och underrätta den personuppgiftsansvarige eller personuppgiftsbiträdet om detta.
10.
Efter att den personuppgiftsansvarige eller personuppgiftsbiträdet har meddelats om den ansvariga myndighetens
beslut i enlighet med punkterna 7 och 9 ska den personuppgiftsansvarige eller personuppgiftsbiträdet vidta nödvändiga
åtgärder för att se till att beslutet efterlevs vad gäller behandling med koppling till alla deras verksamhetsställen i
unionen. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska meddela den ansvariga tillsynsmyndigheten vilka
åtgärder som har vidtagits för att efterleva beslutet, och den ansvariga tillsynsmyndigheten ska informera de andra
berörda tillsynsmyndigheterna.
4.5.2016
L 119/71
Europeiska unionens officiella tidning
SV
292
Prop. 2017/18:218
Bilaga 1
11.
Om en berörd tillsynsmyndighet under exceptionella omständigheter har skäl att anse att det finns ett brådskande
behov av att agera för att skydda registrerades intressen ska det skyndsamma förfarande som avses i artikel 66 tillämpas.
12.
Den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna ska förse varandra med den
information som krävs enligt denna artikel på elektronisk väg med användning av ett standardiserat format.
Artikel 61
Ömsesidigt bistånd
1.
Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och
tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det
ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden
om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.
2.
Varje tillsynsmyndighet ska vidta lämpliga åtgärder som krävs för att besvara en begäran från en annan
tillsynsmyndighet utan onödigt dröjsmål och inte senare än en månad efter det att den tagit emot begäran. Till sådana
åtgärder hör bland annat att översända relevant information om genomförandet av en pågående utredning.
3.
En begäran om bistånd ska innehålla all nödvändig information, inklusive syftet med begäran och skälen till denna.
Information som utbytts får endast användas för det syfte för vilket den har begärts.
4.
Den tillsynsmyndighet som tar emot en begäran får endast vägra att tillmötesgå begäran om
a) den inte är behörig att behandla den sakfråga som begäran avser eller de åtgärder som det begärs att den ska utföra,
eller
b) det skulle stå i strid med denna förordning eller unionsrätten eller den nationella rätt i en medlemsstat som tillsyns
myndigheten omfattas av att tillmötesgå begäran.
5.
Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om
resultatet eller, allt efter omständigheterna, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider. Den
tillsynsmyndighet som tagit emot begäran ska redogöra för sina skäl för att vägra tillmötesgå begäran i enlighet med
punkt 4.
6.
Den tillsynsmyndighet som tar emot en begäran ska som regel tillhandahålla den information som begärts av
andra tillsynsmyndigheter på elektronisk väg med användning av ett standardiserat format.
7.
Tillsynsmyndigheter som tar emot en begäran får inte ta ut någon avgift för åtgärder som vidtagits av dem till följd
av en begäran om ömsesidigt bistånd. Tillsynsmyndigheter får i undantagsfall komma överens med andra tillsynsmyn
digheter om regler för ersättning från varandra för vissa utgifter i samband med tillhandahållande av ömsesidigt bistånd.
8.
Om en tillsynsmyndighet inte tillhandahåller den information som avses i punkt 5 i denna artikel inom en månad
efter det att den erhållit begäran från en annan tillsynsmyndighet får den begärande myndigheten anta en provisorisk
åtgärd på sin medlemsstats territorium i enlighet med artikel 55.1. I detta fall ska det brådskande behov av att agera
enligt artikel 66.1 anses vara uppfyllt och kräva ett brådskande bindande beslut från styrelsen i enlighet med
artikel 66.2.
9.
Kommissionen får genom genomförandeakter närmare ange format och förfaranden för sådant ömsesidigt bistånd
som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt
mellan tillsynsmyndigheter och styrelsen, i synnerhet det standardiserade format som avses i punkt 6 i den här artikeln.
Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.
Artikel 62
Tillsynsmyndigheters gemensamma insatser
1.
Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och
gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter
deltar.
4.5.2016
L 119/72
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
293
2.
Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om
ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att
uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma
insatserna. Den tillsynsmyndighet som är behörig enligt artikel 56.1 eller 56.4 ska bjuda in tillsynsmyndigheterna i var
och en av de berörda medlemsstaterna att delta i de gemensamma insatserna och ska utan dröjsmål svara på en annan
tillsynsmyndighets begäran att få delta.
3.
En tillsynsmyndighet får, i enlighet med medlemsstatens nationella rätt och efter godkännande från ursprung
slandets tillsynsmyndighet, tilldela befogenheter, inklusive utredningsbefogenheter, till ledamöter eller personal från
ursprungslandets tillsynsmyndighet som deltar i gemensamma insatser eller, i den mån lagstiftningen i den medlemsstat
som är värdland för tillsynsmyndigheten tillåter detta, medge att ursprungslandets tillsynsmyndighets ledamöter eller
personal utövar utredningsbefogenheter enligt lagstiftningen i ursprungslandets tillsynsmyndighets medlemsstat. Sådana
utredningsbefogenheter får endast utövas under vägledning och i närvaro av ledamöter eller personal från värdlandets
tillsynsmyndighet. Ledamöter och personal från ursprungslandets tillsynsmyndighet ska omfattas av den medlemsstats
nationella rätt som gäller för värdlandets tillsynsmyndighet.
4.
Om personal från ursprungslandets tillsynsmyndighet verkar i en annan medlemsstat i enlighet med punkt 1 ska
värdtillsynsmyndighetens medlemsstat ansvara för deras handlingar, vilket inbegriper ansvar för skador som personalen
vållar i samband med insatserna, i enlighet med rätten i den medlemsstat på vars territorium personalen verkar.
5.
Den medlemsstat på vars territorium skadorna förorsakades ska ersätta sådana skador enligt de villkor som gäller
för skador som förorsakas av dess egen personal. Den medlemsstat vars tillsynsmyndighets tjänstemän har orsakat en
person skada på någon annan medlemsstats territorium ska fullt ut ersätta den andra medlemsstaten för det belopp som
denna har betalat ut till den personens rättsinnehavare.
6.
Utan att det påverkar rättigheterna gentemot tredje man och tillämpningen av punkt 5, ska varje medlemsstat i de
fall som nämns i punkt 1 avstå från att kräva ersättning från en annan medlemsstat för skador som avses i punkt 4.
7.
Om en gemensam insats planeras och en tillsynsmyndighet inte inom en månad har uppfyllt sin skyldighet enligt
punkt 2 i den här artikeln, andra meningen får övriga tillsynsmyndigheter anta provisoriska åtgärder på sina respektive
medlemsstaters territorium i enlighet med artikel 55. I detta fall ska det brådskande behov av att agera enligt artikel 66.1
anses vara uppfyllt och kräva ett yttrande eller ett brådskande bindande beslut från styrelsen i enlighet med artikel 66.2.
Avsnitt 2
Enhetlighet
Artikel 63
Mekanism för enhetlighet
För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med
varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta
avsnitt.
Artikel 64
Yttrande från Styrelsen
1.
Styrelsen ska avge ett yttrande när en behörig tillsynsmyndighet avser att anta någon av åtgärderna nedan. I detta
syfte ska den behöriga tillsynsmyndigheten skicka utkastet till beslut till styrelsen när det
a) syftar till att anta en förteckning över behandling som omfattas av kravet på en konsekvensbedömning avseende
dataskydd enligt artikel 35.4,
b) rör ett ärende i enlighet med artikel 40.7 om huruvida ett utkast till uppförandekoder eller en ändring eller
förlängning av en uppförandekod är förenlig med denna förordning,
4.5.2016
L 119/73
Europeiska unionens officiella tidning
SV
294
Prop. 2017/18:218
Bilaga 1
c) syftar till att godkänna kriterierna för ackreditering av ett organ enligt artikel 41.3 eller ett certifieringsorgan enligt
artikel 43.3,
d) syftar till att fastställa standardiserade dataskyddsbestämmelser enligt artiklarna 46.2 d och 28.8,
e) syftar till att godkänna sådana avtalsklausuler som avses i artikel 46.3 a, eller
f) syftar till att godkänna bindande företagsbestämmelser enligt artikel 47.
2.
Varje tillsynsmyndighet, styrelsens ordförande eller kommissionen får i syfte att erhålla ett yttrande begära att
styrelsen granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat, i synnerhet om en
behörig myndighet inte uppfyller sina skyldigheter i fråga om ömsesidigt bistånd i enlighet med artikel 61 eller i fråga
om gemensamma insatser i enlighet med artikel 62.
3.
I de fall som avses i punkterna 1 och 2 ska styrelsen avge ett yttrande i den fråga som ingivits till den, förutsatt att
den inte redan har avgett ett yttrande i samma fråga. Detta yttrande ska antas med enkel majoritet av styrelsens
ledamöter inom åtta veckor. Denna period får förlängas med ytterligare sex veckor med hänsyn till sakfrågans
komplexitet. Vad gäller det utkast till beslut som avses i punkt 1 som spridits till styrelsens ledamöter i enlighet med
punkt 5, ska en ledamot som inte har gjort invändningar inom en rimlig period som ordföranden angett anses samtycka
till utkastet till beslut.
4.
Tillsynsmyndigheterna och kommissionen ska utan onödigt dröjsmål i ett standardiserat elektroniskt format till
styrelsen översända all relevant information, som allt efter omständigheterna får utgöras av en sammanfattning av
sakförhållanden, utkastet till beslut, grunden till att en sådan åtgärd är nödvändig och synpunkter från övriga berörda
tillsynsmyndigheter.
5.
Styrelsens ordförande ska utan onödigt dröjsmål och på elektronisk väg upplysa
a) styrelsens ledamöter samt kommissionen om all relevant information som meddelats styrelsen i ett standardiserat
format; styrelsens sekretariat ska vid behov tillhandahålla översättningar av relevant information; och
b) den tillsynsmyndighet som, allt efter omständigheterna, avses i punkterna 1 och 2 samt kommissionen om yttrandet,
och ska också offentliggöra det.
6.
Den behöriga tillsynsmyndigheten får inte anta sitt utkast till beslut enligt punkt 1 inom den period som avses i
punkt 3.
7.
Den tillsynsmyndighet som avses i punkt 1 ska ta största möjliga hänsyn till styrelsens yttrande och ska, inom två
veckor efter att yttrandet inkommit, i ett standardiserat elektroniskt format meddela styrelsens ordförande om huruvida
den kommer att hålla fast vid eller ändra sitt utkast till beslut, och i förekommande fall översända det ändrade utkastet
till beslut.
8.
Om den berörda tillsynsmyndigheten underrättar styrelsens ordförande inom den period som avses i punkt 7 i den
här artikeln om att den inte avser att följa styrelsens yttrande, helt eller delvis, och tillhandahåller en relevant motivering,
ska artikel 65.1 tillämpas.
Artikel 65
Tvistlösning genom styrelsen
1.
För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska styrelsen anta ett
bindande beslut i följande fall:
a) Om en berörd tillsynsmyndighet i ett fall som avses i artikel 60.4 har gjort en relevant och motiverad invändning
mot ett utkast till beslut av den ansvariga myndigheten, eller om den ansvariga myndigheten har avslagit denna
invändning med motiveringen att den inte var relevant eller motiverad. Det bindande beslutet ska avse alla ärenden
som är föremål för den relevanta och motiverade invändningen, särskilt frågan om huruvida det föreligger en
överträdelse av denna förordning.
4.5.2016
L 119/74
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
295
b) Om det finns motstridiga åsikter om vilken av de berörda tillsynsmyndigheterna som är behörig för det huvudsakliga
verksamhetsstället.
c) Om en behörig tillsynsmyndighet inte begär ett yttrande från styrelsen i de fall som avses i artikel 64.1, eller inte
följer ett yttrande som styrelsen avger enligt artikel 64. I detta fall får varje berörd tillsynsmyndighet eller
kommissionen översända ärendet till styrelsen.
2.
Det beslut som avses i punkt 1 ska antas inom en månad efter det att sakfrågan hänskjutits med två tredjedels
majoritet av styrelsens ledamöter. Denna period får förlängas med ytterligare en månad med hänsyn till sakfrågans
komplexitet. Det beslut som avses i punkt 1 ska vara motiverat och riktat till den ansvariga tillsynsmyndigheten och alla
berörda tillsynsmyndigheter och ska vara bindande för dem.
3.
Om styrelsen inte har kunnat anta något beslut inom de perioder som avses i punkt 2 ska den anta sitt beslut
inom två veckor efter utgången av den andra månad som avses i punkt 2 med enkel majoritet av styrelsens ledamöter.
Om styrelsens ledamöter är delade i frågan ska beslutet antas i enlighet med ordförandens röst.
4.
De berörda tillsynsmyndigheterna ska inte anta något beslut om den sakfråga som ingivits till styrelsen i enlighet
med punkt 1 under de perioder som avses i punkterna 2 och 3.
5.
Styrelsens ordförande ska utan onödigt dröjsmål meddela de berörda tillsynsmyndigheterna det beslut som avses i
punkt 1. Kommissionen ska informeras om detta. Beslutet ska utan dröjsmål offentliggöras på styrelsens webbplats efter
att tillsynsmyndigheten har meddelat det slutliga beslut som avses i punkt 6.
6.
Den ansvariga tillsynsmyndigheten eller, allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet
har ingetts ska anta sitt slutliga beslut på grundval av det beslut som avses i punkt 1 i den här artikeln, utan onödigt
dröjsmål och senast en månad efter det att styrelsen har meddelat sitt beslut. Den ansvariga tillsynsmyndigheten eller,
allt efter omständigheterna, den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta styrelsen om vilken
dag dess slutliga beslut meddelas till den personuppgiftsansvarige respektive personuppgiftsbiträdet och den registrerade.
De berörda tillsynsmyndigheternas slutliga beslut ska antas i enlighet med bestämmelserna i artikel 60.7, 60.8 och 60.9.
Det slutliga beslutet ska hänvisa till det beslut som avses i punkt 1 i den här artikeln och ska precisera att det beslut som
avses i punkt 1 kommer att offentliggöras på styrelsens webbplats i enlighet med punkt 5 i den här artikeln. Det beslut
som avses i punkt 1 i den här artikeln ska fogas till det slutliga beslutet.
Artikel 66
Skyndsamt förfarande
1.
Under exceptionella omständigheter får en berörd tillsynsmyndighet med avvikelse från den mekanism för
enhetlighet som avses i artiklarna 63, 64 och 65 eller det förfarande som avses i artikel 60 omedelbart vidta
provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte
överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades
rättigheter och friheter. Tillsynsmyndigheten ska utan dröjsmål underrätta de andra berörda tillsynsmyndigheterna,
styrelsen och kommissionen om dessa åtgärder och om skälen till att de vidtas.
2.
Om en tillsynsmyndighet har vidtagit en åtgärd enligt punkt 1 och anser att definitiva åtgärder skyndsamt måste
antas, får den begära ett brådskande yttrande eller ett brådskande bindande beslut från styrelsen; den ska då motivera
varför den begär ett sådant yttrande eller beslut.
3.
Om en behörig tillsynsmyndighet inte har vidtagit någon lämplig åtgärd i en situation som kräver skyndsam
handling för att skydda registrerades rättigheter och friheter, får vilken tillsynsmyndighet som helst begära ett
brådskande yttrande eller, i tillämpliga fall, ett brådskande bindande beslut från styrelsen, varvid den ska motivera varför
den begär ett sådant yttrande eller beslut och varför åtgärden måste vidtas skyndsamt.
4.
Genom undantag från artiklarna 64.3 och 65.2 ska ett brådskande yttrande eller ett brådskande beslut enligt
punkterna 2 och 3 i den här artikeln antas inom två veckor med enkel majoritet av styrelsens ledamöter.
4.5.2016
L 119/75
Europeiska unionens officiella tidning
SV
296
Prop. 2017/18:218
Bilaga 1
Artikel 67
Utbyte av information
Kommissionen får anta genomförandeakter med allmän räckvidd i syfte att närmare ange tillvägagångssätten för
elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och styrelsen, särskilt det
standardiserade format som avses i artikel 64.
Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.
Avsnitt 3
Europeiska dataskyddsstyrelsen
Artikel 68
Europeiska dataskyddsstyrelsen
1.
Europeiska dataskyddsstyrelsen (nedan kallad styrelsen) inrättas härmed som ett unionsorgan och ska ha ställning
som juridisk person.
2.
Styrelsen ska företrädas av sin ordförande.
3.
Styrelsen ska bestå av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller
deras respektive företrädare.
4.
Om en medlemsstat har mer än en tillsynsmyndighet som ansvarar för att övervaka tillämpningen av
bestämmelserna i denna förordning ska en gemensam företrädare utses i enlighet med den medlemsstatens nationella
rätt.
5.
Kommissionen ska ha rätt att delta i styrelsens verksamhet och möten utan rösträtt. Kommissionen ska utse en
egen företrädare. Styrelsens ordförande ska underrätta kommissionen om styrelsens verksamhet.
6.
I de fall som avses i artikel 65 ska Europeiska datatillsynsmannen endast ha rösträtt i fråga om beslut som rör
principer och regler som är tillämpliga på unionens institutioner, organ och byråer, och som i allt väsentligt motsvarar
dem i denna förordning.
Artikel 69
Oberoende
1.
Styrelsen ska vara oberoende när den fullgör sina uppgifter eller utövar sina befogenheter i enlighet med
artiklarna 70 och 71.
2.
Utan att detta påverkar kommissionens rätt att lämna en begäran enligt artikel 70.1 b och 70.2 ska styrelsen när
den fullgör sina uppgifter eller utövar sina befogenheter varken begära eller ta emot instruktioner av någon.
Artikel 70
Styrelsens uppgifter
1.
Styrelsen ska se till att denna förordning tillämpas enhetligt. För detta ändamål ska styrelsen, på eget initiativ eller i
förekommande fall på begäran av kommissionen, i synnerhet
a) övervaka och säkerställa korrekt tillämpning av denna förordning i de fall som avses i artiklarna 64 och 65 utan att
det påverkar de nationella tillsynsmyndigheternas uppgifter,
4.5.2016
L 119/76
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
297
b) ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella
förslag till ändring av denna förordning,
c) ge kommissionen råd om format och förfaranden för informationsutbyte mellan personuppgiftsansvariga,
personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser,
d) utfärda riktlinjer, rekommendationer och bästa praxis beträffande förfaranden för att radera länkar, kopior eller
reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster enligt artikel 17.2,
e) på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen behandla frågor om tillämpningen
av denna förordning och utfärda riktlinjer, rekommendationer och bästa praxis i syfte att främja en enhetlig
tillämpning av denna förordning,
f) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange
kriterierna och villkoren för profileringsbaserade beslut enligt artikel 22.2,
g) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att konstatera sådana
personuppgiftsincidenter och fastställa sådant onödigt dröjsmål som avses i artikel 33.1 och 33.2 och för de
särskilda omständigheter under vilka en personuppgiftsansvarig eller ett personuppgiftsbiträde är skyldig att anmäla
personuppgiftsincidenten,
h) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt angående de
omständigheter under vilka en personuppgiftsincident sannolikt kommer att leda till hög risk för rättigheterna och
friheterna för de fysiska personer som avses i artikel 34.1,
i) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange
kriterierna och kraven för överföringar av personuppgifter på grundval av bindande företagsbestämmelser som
personuppgiftsansvariga eller personuppgiftsbiträden följer samt ytterligare nödvändiga krav för att säkerställa
skyddet för personuppgifter för berörda registrerade enligt artikel 47,
j) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att närmare ange
kriterierna och villkoren för överföring av personuppgifter på grundval av artikel 49.1,
k) utforma riktlinjer för tillsynsmyndigheterna i fråga om tillämpningen av de åtgärder som avses i artikel 58.1, 58.2
och 58.3 och fastställandet av administrativa sanktionsavgifter i enlighet med artikel 83,
l) se över den praktiska tillämpningen av de riktlinjer och rekommendationer samt den bästa praxis som avses i
leden e och f,
m) utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led e i denna punkt för att fastställa
gemensamma förfaranden för fysiska personers rapportering av överträdelser av denna förordning enligt artikel 54.2,
n) främja utarbetandet av uppförandekoder och införandet av certifieringsmekanismer för dataskydd och sigill och
märkningar för dataskydd i enlighet med artiklarna 40 och 42,
o) ackreditera certifieringsorgan och utföra sin periodiska översyn i enlighet med artikel 43 och föra ett offentligt
register över ackrediterade organ i enlighet med artikel 43.6 och över de ackrediterade personuppgiftsansvariga eller
personuppgiftsbiträdena som är etablerade i tredjeländer i enlighet med artikel 42.7,
p) närmare ange de krav som avses i artikel 43.3 i syfte att ackreditera certifieringsorgan enligt artikel 42,
q) avge ett yttrande till kommissionen om de certifieringskrav som avses i artikel 43.8,
r) avge ett yttrande till kommissionen om de symboler som avses i artikel 12.7,
s) avge ett yttrande till kommissionen för bedömningen av adekvat skyddsnivå i ett tredjeland eller en internationell
organisation, inklusive för bedömningen av huruvida ett tredjeland, ett territorium eller en eller flera specificerade
sektorer inom det tredjelandet, eller en internationell organisation inte längre säkerställer en adekvat skyddsnivå; i
detta syfte ska kommissionen lämna all nödvändig dokumentation till styrelsen, inklusive korrespondens med
regeringen i tredjelandet, med avseende på tredjelandet, territoriet eller den specificerade sektorn, eller till
databehandlingssektorn i tredjelandet eller den internationella organisationen,
4.5.2016
L 119/77
Europeiska unionens officiella tidning
SV
298
Prop. 2017/18:218
Bilaga 1
t) avge yttranden om utkast till beslut som läggs fram av tillsynsmyndigheter inom den mekanism för enhetlighet som
avses i artikel 64.1, i ärenden som ingivits i enlighet med artikel 64.2 och anta bindande beslut i enlighet med
artikel 65, inbegripet de fall som avses i artikel 66,
u) främja samarbete och effektivt bilateralt och multilateralt utbyte av bästa praxis och information mellan tillsynsmyn
digheterna,
v) främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna och där så är
lämpligt även med tillsynsmyndigheter i tredjeländer eller internationella organisationer,
w) främja utbyte av kunskap och dokumentation om lagstiftning om och praxis för dataskydd med tillsynsmyndigheter
för dataskydd i hela världen.
x) avge yttranden över de uppförandekoder som utarbetas på unionsnivå i enlighet med artikel 40.9, och
y) föra ett offentligt elektroniskt register över tillsynsmyndigheters beslut och domstolars avgöranden i frågor som
hanteras inom mekanismen för enhetlighet.
2.
När kommissionen begär rådgivning från styrelsen får den ange en tidsfrist med hänsyn till hur brådskande ärendet
är.
3.
Styrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och bästa praxis till kommissionen och
till den kommitté som avses i artikel 93, samt offentliggöra dem.
4.
När så är lämpligt ska styrelsen samråda med berörda parter och ge dem möjlighet att yttra sig inom rimlig tid.
styrelsen ska, utan att det påverkar tillämpningen av artikel 76, offentliggöra resultatet av samrådsförfarandet.
Artikel 71
Rapporter
1.
Styrelsen ska sammanställa en årsrapport om skydd av fysiska personer vid behandling inom unionen och, i
förekommande fall, i tredjeländer och internationella organisationer. Rapporten ska offentliggöras och översändas till
Europaparlamentet, rådet och kommissionen.
2.
Årsrapporten ska också innehålla en översikt över den praktiska tillämpningen av de riktlinjer och rekommen
dationer och den bästa praxis som avses i artikel 70.1 l liksom de bindande beslut som avses i artikel 65.
Artikel 72
Förfarande
1.
Styrelsen ska fatta beslut med enkel majoritet av dess ledamöter, om inte annat anges i denna förordning.
2.
Styrelsen ska själv anta sin arbetsordning med två tredjedels majoritet av sina ledamöter och fastställa sina
arbetsformer.
Artikel 73
Ordförande
1.
Styrelsen ska med enkel majoritet välja en ordförande och två vice ordförande bland sina ledamöter.
2.
Ordförandens och de vice ordförandenas mandattid ska vara fem år och kunna förnyas en gång.
4.5.2016
L 119/78
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
299
Artikel 74
Ordförandens uppgifter
1.
Ordföranden ska ha i uppgift att
a) sammankalla till styrelsens möten och planera dagordningen,
b) meddela beslut som antas av styrelsen i enlighet med artikel 65 till den ansvariga tillsynsmyndigheten och de berörda
tillsynsmyndigheterna,
c) se till att styrelsens uppgifter fullgörs i tid, särskilt i fråga om den mekanism för enhetlighet som avses i artikel 63.
2.
Fördelningen av uppgifter mellan ordföranden och de vice ordförandena ska fastställas i styrelsens arbetsordning.
Artikel 75
Sekretariatet
1.
Styrelsen ska förfoga över ett sekretariat som ska tillhandahållas av Europeiska datatillsynsmannen.
2.
Sekretariatet ska utföra sina uppgifter enbart under ledning av ordföranden för styrelsen.
3.
Den personal vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna
förordning ska följa separata rapporteringsvägar från den personal som utför de uppgifter som Europeiska datatill
synsmannen tilldelas.
4.
När så är lämpligt ska styrelsen och Europeiska datatillsynsmannen fastställa och offentliggöra ett samförståndsavtal
för genomförande av denna artikel, som fastställer villkoren för deras samarbete, och som ska tillämpas på den personal
vid Europeiska datatillsynsmannen som utför de uppgifter som styrelsen tilldelas genom denna förordning.
5.
Sekretariatet ska förse styrelsen med analysstöd samt administrativt och logistiskt stöd.
6.
Sekretariatet ska särskilt ansvara för
a) styrelsens löpande arbete,
b) kommunikationen mellan styrelsens ledamöter, dess ordförande och kommissionen,
c) kommunikationen med andra institutioner och med allmänheten,
d) användningen av elektroniska medel för intern och extern kommunikation,
e) översättning av relevant information,
f) förberedelser och uppföljning av styrelsens möten,
g) förberedelse, sammanställning och offentliggörande av yttranden, beslut om lösning av tvister mellan tillsynsmyn
digheter och andra texter som antas av styrelsen.
Artikel 76
Konfidentialitet
1.
Styrelsens överläggningar ska vara konfidentiella i de fall som styrelsen bedömer detta vara nödvändigt, i enlighet
med vad som anges i dess arbetsordning.
4.5.2016
L 119/79
Europeiska unionens officiella tidning
SV
300
Prop. 2017/18:218
Bilaga 1
2.
Tillgången till handlingar som skickas till styrelsens ledamöter, till experter eller till företrädare för tredje part ska
regleras av Europaparlamentets och rådets förordning (EG) nr 1049/2001 (
1
).
KAPITEL VIII
Rättsmedel, ansvar och sanktioner
Artikel 77
Rätt att lämna in klagomål till en tillsynsmyndighet
1.
Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som
anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna
in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats
eller där det påstådda intrånget begicks.
2.
Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med
klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.
Artikel 78
Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut
1.
Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol
ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som
meddelats av en tillsynsmyndighet.
2.
Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol,
ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med
artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur
det fortskrider med det klagomål som ingetts med stöd av artikel 77 eller vilket beslut som har fattats med anledning av
det.
3.
Talan mot en tillsynsmyndighet ska väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt
säte.
4.
Om talan väcks mot ett beslut som fattats av en tillsynsmyndighet och som föregicks av ett yttrande från eller
beslut av styrelsen inom ramen för mekanismen för enhetlighet ska tillsynsmyndigheten vidarebefordra detta yttrande
eller beslut till domstolen.
Artikel 79
Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde
1.
Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol,
inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som
anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes
personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.
2.
Talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat
där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. Alternativt får sådan talan väckas vid
domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller
personuppgiftsbiträdet är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.
4.5.2016
L 119/80
Europeiska unionens officiella tidning
SV
(
1
) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets,
rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).
Prop. 2017/18:218
Bilaga 1
301
Artikel 80
Företrädande av registrerade
1.
Den registrerade ska ha rätt att ge ett organ, en organisation eller sammanslutning utan vinstsyfte, som har
inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är
verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter,
i uppdrag att lämna in ett klagomål för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 77, 78
och 79 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i
artikel 82 om så föreskrivs i medlemsstatens nationella rätt.
2.
Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här
artikeln, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet
som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen
eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av
behandlingen.
Artikel 81
Vilandeförklaring av förfaranden
1.
Om en behörig domstol i en medlemsstat har information om att förfaranden som rör samma sakfråga vad gäller
behandling av samma personuppgiftsansvarige eller personuppgiftsbiträde pågår i en domstol i en annan medlemsstat
ska den kontakta denna domstol i den andra medlemsstaten för att bekräfta förekomsten av sådana förfaranden.
2.
Om förfaranden som rör samma sakfråga vad gäller behandling av samma personuppgiftsansvarige eller
personuppgiftsbiträde pågår i en domstol i en annan medlemstat får alla andra behöriga domstolar än den där
förfarandena först inleddes vilandeförklara förfarandena.
3.
Om dessa förfaranden prövas i första instans får varje domstol, utom den vid vilken förfarandena först inleddes,
också förklara sig obehörig på begäran av en av parterna, om den domstol vid vilken förfarandena först inleddes är
behörig att pröva de berörda förfarandena och dess lagstiftning tillåter förening av dessa.
Artikel 82
Ansvar och rätt till ersättning
1.
Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha
rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.
2.
Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling
som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av
behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till
personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.
3.
Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den
inte på något sätt är ansvarig för den händelse som orsakade skadan.
4.
Om mer än en personuppgiftsansvarig eller ett personuppgiftsbiträde, eller både en personuppgiftsansvarig och ett
personuppgiftsbiträde, har medverkat vid samma behandling, och om de enligt punkterna 2 och 3 är ansvariga för
eventuell skada som behandlingen orsakat ska varje personuppgiftsansvarig eller personuppgiftsbiträde hållas ansvarig
för hela skadan för att säkerställa att den registrerade får effektiv ersättning.
5.
Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, i enlighet med punkt 4, har betalat full ersättning
för den skada som orsakats ska den personuppgiftsansvarige eller personuppgiftsbiträdet ha rätt att från de andra
personuppgiftsansvariga eller personuppgiftsbiträdena som medverkat vid samma behandling återkräva den del av
ersättningen som motsvarar deras del av ansvaret för skadan i enlighet med de villkor som fastställs i punkt 2.
4.5.2016
L 119/81
Europeiska unionens officiella tidning
SV
302
Prop. 2017/18:218
Bilaga 1
6.
Domstolsförfaranden för utövande av rätten till ersättning ska tas upp vid de domstolar som är behöriga enligt den
nationella rätten i den medlemsstat som avses i artikel 79.2.
Artikel 83
Allmänna villkor för påförande av administrativa sanktionsavgifter
1.
Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna
artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt,
proportionellt och avskräckande.
2.
Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i
stället för de åtgärder som avses i artikel 58.2 a–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska
påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till
följande:
a) Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens
karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.
b) Om överträdelsen skett med uppsåt eller genom oaktsamhet.
c) De åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som
de registrerade har lidit.
d) Graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet med beaktande av de tekniska och
organisatoriska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32.
e) Eventuella relevanta tidigare överträdelser som den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig
skyldig till.
f) Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella
negativa effekter.
g) De kategorier av personuppgifter som påverkas av överträdelsen.
h) Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, särskilt huruvida och i vilken omfattning
den personuppgiftsansvarige eller personuppgiftsbiträdet anmälde överträdelsen.
i) När åtgärder enligt artikel 58.2 tidigare har förordnats mot den berörda personuppgiftsansvarige eller personuppgifts
biträdet vad gäller samma sakfråga, efterlevnad av dessa åtgärder.
j) Tillämpandet av godkända uppförandekoder i enlighet med artikel 40 eller godkända certifieringsmekanismer i
enlighet med artikel 42.
k) Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom
ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.
3.
Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller
sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna
förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den
allvarligaste överträdelsen.
4.
Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter
på upp till 10 000 000 EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under
föregående budgetår, beroende på vilket värde som är högst:
a) Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarna 8, 11, 25–39, 42 och 43.
b) Certifieringsorganets skyldigheter enligt artiklarna 42 och 43.
c) Övervakningsorganets skyldigheter enligt artikel 41.4.
4.5.2016
L 119/82
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
303
5.
Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter
på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under
föregående budgetår, beroende på vilket värde som är högst:
a) De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.
b) Registrerades rättigheter enligt artiklarna 12–22.
c) Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation enligt
artiklarna 44–49.
d) Alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX.
e) Underlåtenhet att rätta sig efter ett föreläggande eller en tillfällig eller permanent begränsning av behandling av
uppgifter eller ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med
artikel 58.2 eller underlåtelse att ge tillgång till uppgifter i strid med artikel 58.1.
6.
Vid underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyndigheten i enlighet med artikel 58.2 ska det i
enlighet med punkt 2 i den här artikeln påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om
det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på
vilket värde som är högst:
7.
Utan att det påverkar tillsynsmyndigheternas korrigerande befogenheter enligt artikel 58.2 får varje medlemsstat
fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga
myndigheter och organ som är inrättade i medlemsstaten.
8.
Tillsynsmyndighetens utövande av sina befogenheter enligt denna artikel ska omfattas av lämpliga rättssäkerhets
garantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och
rättssäkerhet.
9.
Om det i medlemsstatens rättssystem inte finns några föreskrifter om administrativa sanktionsavgifter får den här
artikeln tillämpas så att förfarandet inleds av den behöriga tillsynsmyndigheten och sanktionsavgifterna sedan utdöms av
behörig nationell domstol, varvid det säkerställs att rättsmedlen är effektiva och har motsvarande verkan som de
administrativa sanktionsavgifter som påförs av tillsynsmyndigheter. De sanktionsavgifter som påförs ska i alla händelser
vara effektiva, proportionella och avskräckande. Dessa medlemsstater ska till kommissionen anmäla de bestämmelser i
deras lagstiftning som de antar i enlighet med denna punkt senast den 25 maj 2018, samt utan dröjsmål anmäla
eventuell senare ändringslagstiftning eller ändringar som berör dem.
Artikel 84
Sanktioner
1.
Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för
överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga
åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.
2.
Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med
punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.
KAPITEL IX
Bestämmelser om särskilda behandlingssituationer
Artikel 85
Behandling och yttrande- och informationsfriheten
1.
Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och
informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller
litterärt skapande.
4.5.2016
L 119/83
Europeiska unionens officiella tidning
SV
304
Prop. 2017/18:218
Bilaga 1
2.
Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller
litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter),
kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer
eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet)
och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till
integritet med yttrande- och informationsfriheten.
3.
Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antagit i enlighet med
punkt 2, samt utan dröjsmål anmäla eventuell senare ändringslagstiftning eller ändringar som berör dem.
Artikel 86
Behandling och allmänhetens tillgång till allmänna handlingar
Personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för
utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt
eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman
allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna
förordning.
Artikel 87
Behandling av nationella identifikationsnummer
Medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat
vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för
identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter
och friheter enligt denna förordning.
Artikel 88
Behandling i anställningsförhållanden
1.
Medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter
och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering,
genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning,
planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt
skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och
komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsför
hållandet.
2.
Dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet,
berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av
personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt
övervakningssystem på arbetsplatsen.
3.
Varje medlemsstat ska till kommissionen anmäla de bestämmelser i sin lagstiftning som den antar i enlighet med
punkt 1 senast den 25 maj 2018, samt utan dröjsmål anmäla eventuella senare ändringar som berör dem.
Artikel 89
Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga
eller historiska forskningsändamål eller statistiska ändamål
1.
Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska
ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och
friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt
4.5.2016
L 119/84
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
305
principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa
ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte
medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.
2.
Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det
i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15,
16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning
som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen,
och sådana undantag krävs för att uppnå dessa ändamål.
3.
Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten eller i medlemsstaternas
nationella rätt föreskrivas om undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21 med
förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i den här artikeln i den utsträckning som sådana
rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana
undantag krävs för att uppnå dessa ändamål.
4.
Om behandling enligt punkterna 2 och 3 samtidigt har andra ändamål, ska undantagen endast tillämpas på
behandling för de ändamål som avses i dessa punkter.
Artikel 90
Tystnadsplikt
1.
Medlemsstaterna får anta särskilda bestämmelser för att fastställa tillsynsmyndigheternas befogenheter enligt
artikel 58.1 e och f gentemot personuppgiftsansvariga eller personuppgiftsbiträden som enligt unionsrätten eller
medlemsstaternas nationella rätt eller bestämmelser som fastställts av behöriga nationella organ omfattas av tystnadsplikt
eller andra motsvarande former av förbud mot att lämna ut uppgifter, om det är nödvändigt och står i proportion till
vad som behövs för att förena rätten till skydd för personuppgifter och tystnadsplikten. Dessa bestämmelser ska endast
tillämpas med avseende på personuppgifter som den personuppgiftsansvarige eller personuppgiftsbiträdet har erhållit
i samband med en verksamhet som omfattas av denna tystnadsplikt.
2.
Varje medlemsstat ska till kommissionen anmäla de bestämmelser den har antagit i enlighet med punkt 1 senast
den 25 maj 2018, samt utan dröjsmål anmäla eventuella ändringar som berör dem.
Artikel 91
Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund
1.
Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av denna
förordning tillämpar övergripande bestämmelser om skyddet av fysiska personer i samband med behandling, får sådana
befintliga bestämmelser fortsätta att tillämpas under förutsättning att de görs förenliga med denna förordning.
2.
Kyrkor och religiösa samfund som tillämpar övergripande bestämmelser i enlighet med punkt 1 i denna artikel ska
vara föremål för kontroll av en oberoende tillsynsmyndighet som kan vara specifik, förutsatt att den uppfyller de villkor
som fastställs i kapitel VI i denna förordning.
KAPITEL X
Delegerade akter och genomförandeakter
Artikel 92
Utövande av delegeringen
1.
Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna
artikel.
4.5.2016
L 119/85
Europeiska unionens officiella tidning
SV
306
Prop. 2017/18:218
Bilaga 1
2.
Den befogenhet att anta delegerade akter som avses i artikel 12.8 och artikel 43.8 ska ges till kommissionen tills
vidare från och med den 24 maj 2016.
3.
Den delegering av befogenhet som avses i artikel 12.8 och artikel 43.8 får när som helst återkallas av Europapar
lamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör
att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i
beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.
4.
Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.
5.
En delegerad akt som antas enligt artikel 12.8 och artikel 43.8 ska träda i kraft endast om varken Europapar
lamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av tre månader från den dag då
akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden,
har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på
Europaparlamentets eller rådets initiativ.
Artikel 93
Kommittéförfarande
1.
Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i
förordning (EU) nr 182/2011.
2.
När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.
3.
När det hänvisas till denna punkt ska artikel 8 i förordning (EU) nr 182/2011, jämförd med artikel 5 i samma
förordning, tillämpas.
KAPITEL XI
Slutbestämmelser
Artikel 94
Upphävande av direktiv 95/46/EG
1.
Direktiv 95/46/EG ska upphöra att gälla med verkan från och med den 25 maj 2018.
2.
Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till
arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom
artikel 29 i direktiv 95/46/EG, ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom
denna förordning.
Artikel 95
Förhållande till direktiv 2002/58/EG
Denna förordning ska inte innebära några ytterligare förpliktelser för fysiska eller juridiska personer som behandlar
personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i
allmänna kommunikationsnät i unionen, när det gäller områden inom vilka de redan omfattas av särskilda skyldigheter
för samma ändamål i enlighet med direktiv 2002/58/EG.
4.5.2016
L 119/86
Europeiska unionens officiella tidning
SV
Prop. 2017/18:218
Bilaga 1
307
Artikel 96
Förhållande till tidigare ingångna avtal
De internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som
ingicks av medlemsstaterna före den 24 maj 2016 och som är förenliga med unionsrätten i dess lydelse innan detta
datum, ska fortsätta att gälla tills de ändras, ersätts eller återkallas.
Artikel 97
Kommissionsrapporter
1.
Senast den 25 maj 2020 och därefter vart fjärde år ska kommissionen överlämna en rapport om tillämpningen
och översynen av denna förordning till Europaparlamentet och rådet.
2.
Inom ramen för de utvärderingar och översyner som avses i punkt 1 ska kommissionen särskilt undersöka hur
följande bestämmelser tillämpas och fungerar:
a) Kapitel V om överföring av personuppgifter till tredjeländer och internationella organisationer, särskilt när det gäller
beslut som antagits enligt artikel 45.3 i den här förordningen och beslut som antagits på grundval av artikel 25.6 i
direktiv 95/46/EG.
b) Kapitel VII om samarbete och enhetlighet.
3.
Med avseende på tillämpningen av punkt 1 får kommissionen begära information från medlemsstaterna och till
synsmyndigheterna.
4.
Kommissionen ska när den utför de utvärderingar och översyner som avses i punkterna 1 och 2 ta hänsyn till
ståndpunkter och slutsatser från Europaparlamentet, rådet och andra relevanta organ och källor.
5.
Kommissionen ska om nödvändigt överlämna lämpliga förslag om ändring av denna förordning, med särskild
hänsyn till informationsteknikens utveckling och mot bakgrund av tendenserna inom informationssamhället.
Artikel 98
Översyn av andra unionsrättsakter om dataskydd
Kommissionen ska, om så är lämpligt, lägga fram lagstiftningsförslag i syfte att ändra andra unionsrättsakter om skydd
av personuppgifter, för att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på
behandling. Detta gäller i synnerhet bestämmelserna om skyddet för fysiska personer i samband med behandling som
utförs av unionens institutioner, organ och byråer samt om det fria flödet av sådana uppgifter.
Artikel 99
Ikraftträdande och tillämpning
1.
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens
officiella tidning.
2.
Den ska tillämpas från och med den 25 maj 2018.
4.5.2016
L 119/87
Europeiska unionens officiella tidning
SV
308
Prop. 2017/18:218
Bilaga 1
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 27 april 2016.
På Europaparlamentets vägnar
M. SCHULZ
Ordförande
På rådets vägnar
J.A. HENNIS-PLASSCHAERT
Ordförande
4.5.2016
L 119/88
Europeiska unionens officiella tidning
SV
Sammanfattning av betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49)
Utredningens uppdrag
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Utredningen har i detta betänkande valt att benämna den nya rättsakten dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna och ska börja tillämpas den 25 maj 2018. Genom dataskyddsförordningen upphävs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), vilket innebär att personuppgiftslagen (1998:204, PUL) måste upphävas.
En särskild utredare fick den 25 februari 2016 regeringens uppdrag att lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen (dir. 2016:15). Utredningen, som tog sig namnet Dataskyddsutredningen (Ju 2016:04), fick även i uppdrag att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter. I Dataskyddsutredningens uppdrag ingick också bl.a. att överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. I Dataskyddsutredningens uppdrag ingick dock inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som finns i bl.a. särskilda registerförfattningar.
Utredningen har fått i uppdrag att föreslå kompletterande regleringar för behandling av personuppgifter inom utbildningsområdet, med undantag för forskningsverksamhet. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den ska skydda den enskildes fri- och rättigheter.
I utredningens uppdrag ingår att undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå.
Uppdraget omfattar även att analysera om det utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet.
I utredningens uppdrag ingår vidare att se över vilka anpassningar av studiestödsdatalagen (2009:287), studiestödsdataförordningen (2009:321), förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, förordningen (2011:268) om lärar- och förskollärarregister och förordningen (2006:39) om register och doku-
mentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar som behövs med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag som utredningen kan komma att lämna.
Slutligen ingår det även i utredningens uppdrag att analysera om det behövs något författningsstöd – utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna – för att personuppgifter även fortsättningsvis ska kunna behandlas i betygsdatabasen BEDA, i de register som Myndigheten för yrkeshögskolan (MYH) svarar för samt i registret över deltagare i studiecirklar och annan folkbildningsverksamhet hos studieförbunden.
Skollagsreglerad utbildningsverksamhet
Utredningen bedömer att det för huvudmän inom skolväsendet och aktörer enligt 24 och 25 kap. skollagen (2010:800) finns en i svensk rätt fastställd uppgift av allmänt intresse att tillhandahålla, anordna och bedriva utbildning och annan pedagogisk verksamhet. Även en kommuns åligganden enligt skollagen är en i svensk rätt fastställd uppgift av allmänt intresse. För sådan personuppgiftsbehandling som är nödvändig för utförandet av dessa uppgifter är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan dessa organ i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Dessa kan även i viss utsträckning använda sig av samtycke som rättslig grund (artikel 6.1 a). Vidare kan enskilda huvudmän även tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).
Beträffande behandling av känsliga personuppgifter bedömer utredningen att kommuner, landsting och staten, även som huvudmän inom skolväsendet, kan finna stöd för viss sådan behandling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Enligt utredningens bedömning har enskilda huvudmän – när de anordnar utbildning enligt skollagen – samma behov av att kunna behandla känsliga personuppgifter som offentliga huvudmän. De enskilda huvudmännen kan dock inte grunda sådan behandling i dataskyddslagen annat än i den mån offentlighetsprincipen och sekretesslagstiftningen enligt författning gäller i ett organs verksamhet. I dessa fall möjliggör 3 kap. 3 § 2 dataskyddslagen sådan behandling av känsliga personuppgifter som är oundviklig i organets verksamhet som en direkt följd av bland annat tryckfrihetsförordningens och offentlighets- och sekretesslagens (2009:400) bestämmelser om allmänna handlingar och diarieföring.
Vissa skolformer och anordnare av vissa utbildningar har dessutom ett behov av att kunna behandla känsliga personuppgifter mer systematiskt, bl.a. grundsärskolan och sameskolan, som det inte finns stöd för i dataskyddslagen. Detsamma gäller för kommunerna när de ska utföra vissa uppgifter som de är ålagda enligt skollagen.
Utredningen bedömer därför att det finns behov av att möjliggöra sådan behandling. För tydlighets skull föreslår utredningen att det i ett nytt 28 a kapitel i skollagen ska införas bl.a. motsvarande bestämmelser som Dataskyddsutredningen föreslår i 3 kap. 3 och 4 §§ dataskyddslagen. Kapitlet ska tillämpas vid den personuppgiftsbehandling som både offentliga och enskilda huvudmän, hemkommunen och aktörer enligt 24 och 25 kap. skollagen utför.
Vidare föreslås att huvudmän för vissa skolformer, bl.a. grundsärskolan och specialskolan, och för vissa utbildningar, bl.a. Rh-anpassad utbildning och fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd, under vissa förutsättningar får behandla uppgifter om hälsa. Sameskolan föreslås få behandla uppgifter om etniskt ursprung under vissa förutsättningar.
Hemkommunen föreslås få behandla uppgifter om hälsa i vissa fall och uppgift om hälsa och etniskt ursprung när det är nödvändigt för att fullgöra skyldighet enligt 7 kap. 21 § skollagen.
För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Huvudmän för de skolformer och utbildningar som föreslås få behandla uppgifter om hälsa respektive etniskt ursprung under vissa förutsättningar undantas dock från förbudet för just sökbegrepp som avslöjar hälsa respektive etniskt ursprung. Detsamma gäller för hemkommunen i de fall den getts särskild möjlighet att behandla vissa känsliga personuppgifter. Regeringen föreslås få meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som tillåts.
Vidare föreslås regeringen få meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av skollagen.
Förslaget till dataskyddslag innehåller en upplysningsbestämmelse som tydliggör att förbudet i artikel 10 mot behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel inte gäller för myndigheter. Utredningen bedömer att i förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting kommer personuppgifter som rör fällande domar i brottmål och liknande i de enskilda fall sådan behandling bedöms nödvändig kunna behandlas med stöd av dataskyddsförordningen.
Utredningen bedömer att det för fristående skolor finns skäl att möjliggöra behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel i elevhälsan i löpande text om det är absolut nödvändigt för ändamålet med behandlingen och i skriftlig dokumentation som ska föras enligt 5 kap. 24 § skollagen om det är absolut nödvändigt för ändamålet med behandlingen.
Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och
rättigheter, för huvudmän inom skolväsendet, hemkommunen och aktörer enligt 24 och 25 kap. skollagen kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen inte krävs en särskild lag för den personuppgiftsbehandling som utförs av huvudmännen inom skolväsendet. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utredningen föreslår.
Utredningen anser att goda skäl talar för att det ska tas fram en uppförandekod för skolväsendets personuppgiftsbehandling. Utredningen föreslår därför att regeringen ger lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.
Universitets- och högskolesektorn
Behov av reglering
Utredningen bedömer att det för statliga högskolor och enskilda utbildningsanordnare med examenstillstånd enligt lagen (1993:792) om tillstånd att utfärda vissa examina finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva högskoleutbildning. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan lärosätena i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Lärosätena kan i viss utsträckning även använda sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).
Beträffande behandling av känsliga personuppgifter bedömer utredningen att statliga högskolor kan finna stöd för sådan behandling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § dataskyddslagen. Dataskyddsutredningens förslag, med undantag för behandling av känsliga personuppgifter med anledning av offentlighetsprincipen, gäller endast för myndigheter. Eftersom utredningen bedömer att enskilda utbildningsanordnare har samma behov som statliga högskolor att behandla känsliga personuppgifter föreslår utredningen att det i lagen om tillstånd att utfärda vissa examina ska införas bestämmelser med motsvarande innebörd som de som Dataskyddsutredningen föreslår.
Vidare bedömer utredningen att enskilda utbildningsanordnare, i ärenden om avskiljande av studenter från utbildning, har samma behov som statliga högskolor att behandla personuppgifter som rör fällande domar i brottmål. Utredningen föreslår därför en bestämmelse som möjliggör sådan behandling, eftersom dataskyddsförordningen och dataskyddslagen endast medger att statliga högskolor behandlar sådana uppgifter.
För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det ska införas en be-
stämmelse om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för lärosätenas del kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen krävs en särskild lag för statliga högskolors personuppgiftsbehandling. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utredningen föreslår.
Förordningen om redovisning av studier m.m. vid universitet och högskolor
Utredningen bedömer att bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor utgör i enlighet med artikel 6.1 c i dataskyddsförordningen fastställda rättsliga förpliktelser för statliga högskolor att föra ett studieregister och för Statistiska centralbyrån att föra ett universitets- och högskoleregister samt ett register för sammanställning av statistik över högskolornas personal. Förandet av nämnda register är dessutom fastställda uppgifter av allmänt intresse i enlighet med första ledet i artikel 6.1 e. För UHR:s del finns det genom bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor en fastställd uppgift av allmänt intresse att föra ett antagningsregister.
Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förordningen om redovisning av studier m.m. vid universitet och högskolor är därmed i sig förenlig med dataskyddsförordningen.
För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 1 kap. 1 § andra stycket ska utgå och ersättas med nya bestämmelser i en ny paragraf. I den nya paragrafen, 1 a §, ska det upplysas om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Utredningen föreslår vidare att bestämmelserna om information, rättelse och skadestånd samt intern kontroll över studieregistret som finns i 1 kap. 4 och 5 §§ samt 2 kap. 1 § tredje stycket ska upphävas, eftersom det finns direkt tillämpliga bestämmelser i dataskyddsförordningen med motsvarande innehåll. Bestämmelsen om överklagande i 1 kap. 6 § föreslår utredningen också ska upphävas, eftersom det finns bestämmelser om överklagande i dataskyddslagen. Avslutningsvis föreslår utredningen att hänvisningarna till 13 § PUL, som finns i 2 kap. 5 a § och 4 kap. 3 §, ska ändras på så sätt att de hänvisar till artikel 9.1 i dataskyddsförordningen i stället. I artikel 9.1 finns motsvarande förbud mot behandling av känsliga personuppgifter som finns i 13 § PUL.
Utredningen lyfter även fram att den tekniska utvecklingen och den praktiska hanteringen av personuppgifter när det gäller redovisning m.m. vid universitet och högskolor har gjort att det finns ett behov av en omfattande översyn av förordningen. En sådan översyn som utredningen bedömer är påkallad krävs dock inte för att anpassa förordningen till dataskyddsförordningen och den reglering som Dataskyddsutredningen har föreslagit. Utredningen lämnar därför inga förslag i dessa delar.
Yrkeshögskolan och andra eftergymnasiala utbildningar
Behov av reglering
Utredningen bedömer att det för anordnare av utbildningar inom yrkeshögskolan och sådana utbildningar som avses i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva sådana utbildningar. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan utbildningsanordnarna i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och, beträffande utbildningsanordnarna inom yrkeshögskolan, andra ledet i artikel 6.1 e (myndighetsutövning). Utbildningsanordnarna kan i viss utsträckning även använda sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).
Beträffande behandling av känsliga personuppgifter inom yrkeshögskolan bedömer utredningen att offentliga utbildningsanordnare kan finna stöd för sådan behandling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § dataskyddslagen. För tydlighets skull föreslår utredningen dock att det i lagen (2009:128) om yrkeshögskolan, som gäller för både offentliga och enskilda utbildningsanordnare, ska införas motsvarande bestämmelser som Dataskyddsutredningen föreslår och att dessa ska gälla för både offentliga och enskilda utbildningsanordnare, eftersom dessa har samma behov av att behandla känsliga personuppgifter. Ett undantag finns dock, enskilda utbildningsanordnare inom yrkeshögskolan omfattas inte av offentlighetsprincipen. Utredningens förslag i denna del omfattar således endast offentliga utbildningsanordnare.
Utredningen föreslår att motsvarande bestämmelser om behandling av känsliga personuppgifter också ska föras in i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. De som anordnar sådana utbildningar har samma behov som anordnare av utbildningar inom yrkeshögskolan att behandla känsliga personuppgifter. Eftersom de som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte omfattas av offentlighetsprincipen ska det dock inte föras in någon
bestämmelse som möjliggör behandling av känsliga personuppgifter som krävs enligt lag.
Vidare bedömer utredningen att det för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns skäl att möjliggöra behandling av personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande av studerande från utbildning. Utredningen föreslår därför sådana bestämmelser, eftersom dataskyddsförordningen och dataskyddslagen endast medger att offentliga utbildningsanordnare inom yrkeshögskolan behandlar sådana uppgifter.
För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det i lagen om yrkeshögskolan och förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Motsvarande sökförbud ska även gälla för personuppgifter som rör fällande domar i brottmål i fråga om enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för utbildningsanordnarnas del kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen krävs en särskild lag för den personuppgiftsbehandling som utförs av de offentliga utbildningsanordnarna inom yrkeshögskolan. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utredningen föreslår.
MYH:s register
Utredningen bedömer att det för MYH finns en i svensk rätt fastställd rättslig förpliktelse och uppgift av allmänt intresse att svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar inom yrkeshögskolan som bedrivs som uppdragsutbildningar. Utredningen bedömer att motsvarande gäller för det register över uppgifter om de studerande i utbildningarna enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar som MYH också ska svara för. MYH kan därmed tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen för sådan personuppgiftsbehandling som är nödvändig vid förandet av registren. Utredningen bedömer att det inte finns något ytterligare regleringsbehov.
Vidare bedömer utredningen att utbildningsanordnarna inom yrkeshögskolan kan tillämpa samma rättsliga grunder när de lämnar uppgifter om de studerande till MYH. Något ytterligare regleringsbehov finns därmed inte heller för deras del.
För att säkerställa att anordnarna av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har en rättslig grund att tillämpa när de ska lämna uppgifter till MYH, föreslår utredningen att MYH ska bemyndigas att meddela föreskrifter om uppgiftslämningen på motsvarande sätt som i 2 kap. 17 § förordningen (2009:130) om yrkeshögskolan.
Folkbildning
Folkhögskolorna
Utredningen bedömer att folkhögskolorna, som stöd för sin personuppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin behandling av personuppgifter. Folkhögskolor som anordnar utbildning motsvarande kommunal vuxenutbildning i svenska för invandrare kan behandla personuppgifter om studerande i den verksamheten även med stöd av första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse. Känsliga personuppgifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.
Utredningen bedömer att nämnda rättsliga grunder är tillräckliga för att nödvändig behandling av personuppgifter inom folkhögskolorna ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.
Studieförbunden
Utredningen bedömer att studieförbunden, som stöd för sin personuppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin behandling av personuppgifter. Känsliga personuppgifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.
Utredningen bedömer att den rättsliga grunden samtycke är tillräcklig för att nödvändig behandling av personuppgifter inom studieförbunden ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.
Register över deltagare i studieförbundens verksamhet
Utredningen bedömer att Folkbildningsrådet och studieförbunden kan använda samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för behandling av personuppgifter i Folkbildningsrådets centrala uppgiftssamlingar över deltagare i studiecirkel och annan folkbildningsverksamhet när dataskyddsförordningen ska börja tillämpas. Utredningen anser att varken 2 kap. 6 § andra stycket regeringsformen eller något annat skäl fordrar att det införs någon särskild reglering.
CSN:s studiestödsverksamhet
Utredningen bedömer att Centrala studiestödsnämnden (CSN) har en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 e. Studiestödsdatalagen med tillhörande förordning är därmed i sig förenliga med dataskyddsförordningen.
För att anpassa studiestödsdatalagens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 § ska ersättas med en upplysningsbestämmelse om dataskyddsförordningen samt, i andra stycket, en reglering om förhållandet till dataskyddslagen. Det nuvarande andra stycket, som reglerar studiestödsdatalagens förhållande till lagen (2001:99) om den officiella statistiken, ska flyttas till ett nytt tredje stycke. Bestämmelserna i 6 och 8 §§, vilka reglerar begränsningar i rätten att behandla personuppgifter respektive användningen av sökbegrepp, föreslår utredningen ska ändras på så sätt att de ska omfatta samtliga kategorier av personuppgifter som räknas upp i artikel 9.1 i dataskyddsförordningen. Bestämmelsen i 7 § tredje stycket om återkallande av samtycke och 15 §, vilken reglerar rättelse och skadestånd, ska upphävas, eftersom det i dessa delar finns direkt tillämpliga bestämmelser i dataskyddsförordningen. Avslutningsvis ska bestämmelserna i 16 § tredje stycket och 16 § studiestödsdataförordningen ändras på så sätt att formuleringen ”historiska, statistiska eller vetenskapliga ändamål” ändras till ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
Betygsdatabasen BEDA
Utredningen föreslår att UHR:s uppgift att ansvara för en nationell databas för betygsuppgifter från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå, betygsdatabasen BEDA, ska fastställas genom att den förs in i en bestämmelse i förordningen (2012:811) med instruktion för Universitets- och högskolerådet. Såväl ändamålet med registret att användas vid antagning av studenter till studier vid universitet och högskolor som det statistiska ändamål uppgifterna i registret används för ska fastställas i bestämmelsen.
Utredningen bedömer vidare att Statens skolverk (Skolverket) behöver komplettera sina föreskrifter (SKOLFS 2011:142) om uppgiftsinsamling från huvudmännen inom skolväsendet m.m. för att huvudmännen som bedriver kommunal vuxenutbildning på gymnasial nivå ska ha en rättslig grund att tillämpa när de fullgör sin skyldighet att lämna uppgifter om gymnasieexamen genom att lämna uppgifterna till UHR.
Om utredningens förslag genomförs och om Skolverket kompletterar sina föreskrifter bedömer utredningen att ändamålsenliga behandlingar i BEDA, som samtidigt skyddar den enskildes fri- och rättigheter, kan göras även när dataskyddsförordningen ska börja tillämpas. Utredningen
anser att det inte finns något ytterligare regleringsbehov med anledning av regeringsformens bestämmelser. Utredningen anser inte heller att det finns anledning att med stöd av artikel 89.2 i dataskyddsförordningen föreskriva om undantag från den registrerades rättigheter som avses i artiklarna 15, 16, 18 och 21, dvs. rätt till information om personuppgifter som behandlas, rätt att få felaktiga personuppgifter rättade, rätt att kräva begränsning av behandling och rätt att göra invändningar mot behandling.
Lärar- och förskollärarregistret
Utredningen bedömer att bestämmelserna i förordningen om lärar- och förskollärarregister utgör i enlighet med artikel 6.1 c i dataskyddsförordningen en fastställd rättslig förpliktelse för Skolverket att föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Förandet av registret är dessutom en för Skolverket fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.
Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förordningen om lärar- och förskollärarregister är därmed i sig förenlig med dataskyddsförordningen.
För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 § ska utgå och ersättas med en upplysning om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Utredningen föreslår vidare att det i ett nytt tredje stycke i 6 § ska finnas en hänvisning till artikel 5.1 b i dataskyddsförordningen. Hänvisningen ersätter den nuvarande hänvisningen till finalitetsprincipen i 9 § PUL som finns i 6 § andra stycket. Bestämmelserna om information i 10 § föreslås ändras på så sätt att de endast reglerar den informationsskyldighet som gäller utöver den informationsskyldighet som kommer att gälla enligt dataskyddsförordningen. Slutligen föreslår utredningen att bestämmelserna om rättelse och skadestånd i 11 § ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga.
Kommunernas register över ungdomar som de har aktivitetsansvar för
Utredningen bedömer att det i svensk rätt finns en i enlighet med artikel 6.1 c i dataskyddsförordningen fastställd rättslig förpliktelse för kommunerna att föra ett register över de ungdomar som omfattas av kommunens aktivitetsansvar enligt 29 kap. 9 § skollagen. Förandet av registren är dessutom en för kommunerna fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.
Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är därmed i sig förenlig med dataskyddsförordningen.
För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 § ska utgå och ersättas med en upplysning om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Vidare föreslår utredningen att bestämmelsen i 5 § om förbud mot att behandla känsliga personuppgifter ska hänvisa till artikel 9.1 i stället för 13 § PUL. Bestämmelsen i 5 § om förbud mot att behandla uppgifter om lagöverträdelser m.m. ska ändras så att den när dataskyddsförordningen och dataskyddslagen ska börja tillämpas kommer att ha samma materiella innebörd som i dagsläget. Slutligen föreslår utredningen att bestämmelserna om rättelse och skadestånd i 6 § ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga.
Övriga myndigheter med anknytning till utbildningsområdet
Direktiven anger inte att det ska göras en analys av om det behöver införas kompletterande regleringar för personuppgiftsbehandlingen hos sådana myndigheter vars verksamhet anknyter till utbildningsområdet t.ex. Statens skolinspektion, Skolverket och UHR. Enligt utredningens uppfattning omfattas därför inte den personuppgiftsbehandling som sker vid dessa myndigheter av utredningens uppdrag, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling.
Då det finns ett intresse av vägledning har utredningen dock funnit anledning att göra en generell och övergripande analys av myndigheternas möjligheter att behandla personuppgifter sett i ljuset av dataskyddsförordningen och den av Dataskyddsutredningen föreslagna dataskyddslagen.
Utredningen bedömer att statliga och kommunala myndigheters verksamhet inom utbildningsområdet i allt väsentligt är en uppgift av allmänt intresse. Denna verksamhet framgår normalt av uppdrag och åligganden i författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser. Uppgiften av allmänt intresse är fastställd genom dessa författningar, beslut och kommunala reglementen. Myndigheterna kan därigenom grunda nödvändig behandling av personuppgifter på första ledet i artikel 6.1 e i dataskyddsförordningen.
Utredningen konstaterar dock att det ankommer på myndigheterna att själva gå igenom all personuppgiftsbehandling som sker inom myndig-
heten och säkerställa att den har stöd i och är förenlig med dataskyddsförordningens och dataskyddslagens bestämmelser.
Konsekvenser
Utredningen bedömer att utredningens förslag till regleringar inte kommer att innebära någon kostnadsökning för stat, kommuner, landsting och enskilda huvudmän som tillhandahåller och anordnar utbildningsverksamhet. Vidare bedömer utredningen att förslagen är neutrala rörande integritetsskyddet och att förslagen inte förväntas få några andra konsekvenser.
Ikraftträdande och övergångsbestämmelser
Utredningen föreslår att den nya förordningen – förordningen om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen – och ändringsförfattningarna ska träda i kraft den 25 maj 2018.
Vidare föreslår utredningen tre övergångsbestämmelser för studiestödsdatalagen, förordningen om lärar- och förskollärarregister, förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar samt förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt den första ska äldre föreskrifter fortfarande gälla för ärenden hos Datainspektionen eller aktuell myndighet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet. Den andra övergångsbestämmelsen ska ange att äldre föreskrifter fortfarande gäller för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet. Enligt den sista övergångsbestämmelsen ska äldre föreskrifter om skadestånd fortfarande gälla för skada som har orsakats före ikraftträdandet.
Betänkandets lagförslag
Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina
Härigenom föreskrivs att det i lagen (1993:792) om tillstånd att utfärda vissa examina ska införas fyra nya paragrafer, 10–13 §§, av följande lydelse.
10 § Bestämmelserna i 11–13 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid enskilda utbildningsanordnares behandling av personuppgifter, om inte annat följer av 11–13 §§ eller föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
11 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en enskild utbildningsanordnare
1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,
2. om uppgifterna har lämnats till den enskilde utbildningsanordnaren och behandlingen krävs enligt lag, eller
3. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
12 § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare i löpande text i ett ärende om avskiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.
13 § Vid behandling enligt 11 och 12 §§ får en enskild utbildningsanordnare inte använda sökbegrepp som avslöjar känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan
Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögskolan ska införas sju nya paragrafer, 19 a–19 g §§, samt närmast före 19 a § en ny rubrik av följande lydelse.
Behandling av personuppgifter
19 a § Bestämmelserna i 19 b–19 g §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid utbildningsanordnares behandling av personuppgifter, om inte annat följer av 19 b–19 f §§ eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
19 b § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
19 c § Statliga universitet och högskolor samt andra statliga myndigheter, kommuner och landsting som anordnar utbildning får med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter om uppgifterna har lämnats till universitetet, högskolan, myndigheten, kommunen eller landstinget och behandlingen krävs enligt lag.
19 d § Utöver vad som följer av 19 b och 19 c §§ får känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
19 e § Utbildningsanordnare med en enskild fysisk eller juridisk person som huvudman får behandla personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av studerande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.
19 f § Vid behandling enligt 19 b–19 d §§ får en utbildningsanordnare inte använda sökbegrepp som avslöjar känsliga personuppgifter. Vid behandling enligt 19 e § får en enskild utbildningsanordnare inte använda
sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål.
19 g § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i studiestödsdatalagen (2009:287)
Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287)
dels att 15 § ska upphävas,
dels att rubriken närmast före 15 § ska utgå,
dels att 2, 6–8 och 16 §§ samt rubriken närmast före 2 § ska ha följande lydelse.
Nuvarande lydelse
Förhållandet till personuppgiftslagen och lagen om den officiella statistiken
Föreslagen lydelse
Förhållandet till annan dataskyddsreglering
2 §
I den mån personuppgiftslagen (1998:204) innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i denna lag, ska personuppgiftslagen tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen (2001:99) om den officiella statistiken och anslutande författningar tillämpas i stället för denna lag.
6 §
Särskilda begränsningar gäller för behandling av personuppgifter som
1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. avser lagöverträdelser som innefattar brott, domar i brottmål,
Särskilda begränsningar gäller för behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt för behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk
straffprocessuella tvångsmedel eller administrativa frihetsberövanden, eller
3. rör hälsa eller sexualliv.
Uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.
person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Särskilda begränsningar gäller även för behandling av personuppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Uppgifter enligt första och andra stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.
7 §
Trots 4 § första stycket får personuppgifter behandlas i Centrala studiestödsnämndens studiestödsverksamhet med den registrerades samtycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke.
Uppgifter som behandlas med samtycke enligt första stycket får också behandlas enligt 4 § andra stycket.
I de fall då behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke, har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.
8 §
Som sökbegrepp får inte användas
1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning,
2. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,
3. uppgifter som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott, eller
4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.
3. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,
4. uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, eller
5. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.
Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas uppgifter som rör
1. hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och
2. inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.
16 §
Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.
Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektro-
niskt.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter gäller fortfarande för ärenden hos Datainspektionen eller Centrala studiestödsnämnden som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.
3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.
4. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.
Förslag till lag om ändring i skollagen (2010:800)
Härigenom föreskrivs att det i skollagen (2010:800) ska införas ett nytt kapitel, 28 a kap., av följande lydelse.
28 a kap. Behandling av personuppgifter
1 § Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som utförs med stöd av denna lag eller föreskrifter som meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar samt beslut som meddelats med stöd av dessa av
1. en huvudman inom skolväsendet enligt 2 kap.,
2. en hemkommun enligt denna lag, eller
3. en aktör enligt 24 och 25 kap.
Förhållandet till annan dataskyddsreglering 2 § Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter, om inte annat följer av bestämmelserna i detta kapitel eller föreskrifter som har meddelats med stöd av 9 § tredje stycket eller 10 § eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Detta kapitel ska inte tillämpas på vårdgivares behandling av personuppgifter inom hälso- och sjukvården eller Kriminalvårdens verksamhet enligt 24 kap. 10 §.
Känsliga personuppgifter 3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av ett sådant organ som avses i 1 §
1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller
2. om uppgifterna har lämnats till organet och behandlingen krävs enligt lag.
4 § I grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna får med stöd av artikel 9.2 g i dataskyddsförordningen uppgifter om hälsa behandlas om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vad som föreskrivs i första stycket gäller även
1. i gymnasieskolan med Rh-anpassad utbildning,
2. i utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning,
3. i fristående förskoleklass som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling enligt 9 kap. 17 §,
4. i fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 10 kap. 35 § 2, och
5. i fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 15 kap. 33 § 1.
5 § I sameskolan får med stöd av artikel 9.2 g i dataskyddsförordningen uppgifter om etniskt ursprung behandlas om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
6 § En hemkommun får med stöd av artikel 9.2 g i dataskyddsförordningen behandla uppgifter om hälsa om det är nödvändigt för handläggningen av
1. ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket,
2. ett ärende om en sökande tillhör målgruppen för gymnasiesärskolan enligt 18 kap. 5 §, eller
3. ett ärende om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd.
För att behandlingen enligt första stycket ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
7 § En hemkommun får med stöd av artikel 9.2 g i dataskyddsförordningen behandla uppgifter om etniskt ursprung och hälsa i form av elevens namn, personnummer, samordningsnummer, adress och vårdnadshavare om det är nödvändigt för att fullgöra skyldigheter enligt 7 kap. 21 §.
8 § Utöver vad som följer av 3–7 §§ får ett organ som avses i 1 § behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
9 § Vid behandling enligt 3–8 §§ får sökbegrepp som avslöjar känsliga personuppgifter inte användas. Förbudet i första stycket gäller inte användning av sökbegrepp som avslöjar
1. hälsa i de utbildningsformer som anges i 4 §,
2. etniskt ursprung i sameskolan som anges i 5 §,
3. hälsa i hemkommunen i ärenden som anges i 6 §, och
4. hälsa eller etniskt ursprung i form av namn, personnummer, samordningsnummer och adress i hemkommunen som anges i 7 §.
Regeringen får meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som anges i andra stycket.
10 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hän-
syn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.
Personuppgifter som rör lagöverträdelser 11 § Fristående skolor får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel
1. i elevhälsan i löpande text om det är absolut nödvändigt för ändamålet med behandlingen, och
2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 § om det är absolut nödvändigt för ändamålet med behandlingen.
Denna lag träder i kraft den 25 maj 2018.
Förteckning över remissinstanser
Efter remiss har yttranden över betänkandet avgetts av Kammarrätten i Stockholm, Förvaltningsrätten i Linköping, Justitiekanslern, Kriminalvården, Migrationsverket, Datainspektionen, Försäkringskassan, Barnombudsmannen, Statens institutionsstyrelse, Statistiska centralbyrån, Statens skolverk, Statens skolinspektion, Specialpedagogiska skolmyndigheten, Sameskolstyrelsen, Skolväsendets överklagandenämnd, Skolforskningsinstitutet, Myndigheten för yrkeshögskolan, Universitetskanslersämbetet, Universitets- och högskolerådet, Överklagandenämnden för högskolan, Högskolans avskiljandenämnd, Centrala studiestödsnämnden, Överklagandenämnden för studiestöd, Försvarshögskolan, Karlstads universitet, Göteborgs universitet, Uppsala universitet, Södertörns högskola, Högskolan i Skövde, Luleå tekniska universitet, Dalarnas läns landsting, Jönköpings läns landsting, Västerbottens läns landsting, Askersunds kommun, Bergs kommun, Eskilstuna kommun, Eslövs kommun, Göteborgs kommun, Halmstads kommun, Kils kommun, Luleå kommun, Stockholms kommun, Trollhättans kommun, Umeå Kommun, Varbergs kommun, Vilhelmina kommun, Transportstyrelsen, Sveriges lantbruksuniversitet, Arbetsförmedlingen, Academedia AB, Chalmers tekniska högskola AB, Dataskydd.net, Folkbildningsrådet, Friskolornas riksförbund, Funktionsrätt Sverige, Stiftelsen Högskolan i Jönköping, Lärarnas riksförbund, Riksförbundet för barn, unga och vuxna med utvecklingsstörning (FUB), Rörelsefolkhögskolornas intresseorganisation, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna, Sveriges förenade studentkårer, Sveriges Kommuner och Landsting och Sveriges skolledarförbund.
Utanför remisslistan har dessutom Svensk kollektivtrafik inkommit med yttranden.
Följande myndigheter och organisationer har beretts tillfälle att yttra sig men har avstått: Riksdagens ombudsmän (JO), Skolforskningsinstitutet, Blekinge läns landsting, Västra Götalands läns landsting, Enköpings kommun, Falköpings kommun, Grums kommun, Gullspångs kommun, Gällivare kommun, Haninge Kommun, Hudiksvalls kommun, Kalmar kommun, Kramfors kommun, Kristianstad kommun, Ockelbo kommun, Ronneby kommun, Säters kommun, Upplands-Bro kommun, Vadstena kommun, Västerviks kommun, Växjö kommun, Örebro kommun, Fridaskolorna AB, Fria konstnärliga och hantverksinriktade utbildningar, FSO Fria förskolor, Idéburna skolors riksförbund, Internationella Engelska skolan AB, Kunskapsskolan AB, Ladokkonsortiet, Lärarförbundet, Sophiahemmet Högskola, Sveriges elevråd och Sveriges universitets- och högskoleförbund.
Lagrådsremissens lagförslag
Lagförslag
Regeringen har följande förslag till lagtext.
Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina
Härigenom föreskrivs i fråga om lagen (1993:792) om tillstånd att utfärda vissa examina3
dels att nuvarande 5 och 6 §§ ska betecknas 6 och 5 §§,
dels att det ska införas fem nya paragrafer, 10–14 §§, och närmast före 10 § en ny rubrik av följande lydelse,
dels att det ska införas en ny rubrik närmast före 1 § som ska lyda ”Tillstånd att utfärda examina”, en ny rubrik närmast före den nya 6 § som ska lyda ”Uppföljning och utvärdering”, en ny rubrik närmast före 7 § som ska lyda ”Återkallelse av tillstånd” och en ny rubrik närmast före 8 § som ska lyda ”Utfärdande av examina utan tillstånd”.
Behandling av personuppgifter
10 § Bestämmelserna i 13 och 14 §§ tillämpas vid behandling av personuppgifter i verksamhet hos en enskild utbildningsanordnare som har fått tillstånd att utfärda examina och som bedrivs med stöd av denna lag, bestämmelser för utbildningen som kan finnas i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.
11 § Bestämmelserna i 13 och 14 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i 13 och 14 §§ har samma betydelse som i EU:s dataskyddsförordning.
12 § Bestämmelser som kompletterar EU:s dataskyddsförordning finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.
3 Senaste lydelse av 5 § 2000:1371 6 § 2000:1371.
13 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare
1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller
2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För enskilda utbildningsanordnare som enligt 3 kap. 3 § tredje stycket dataskyddslagen jämställs med myndigheter finns det även bestämmelser om behandling av känsliga personuppgifter med stöd av artikel 9.2 g i EU:s dataskyddsförordning i 3 kap. 3 § första stycket 1 dataskyddslagen. Bestämmelser om sökbegränsningar för sådana utbildningsanordnare finns i 3 kap. 3 § andra stycket dataskyddslagen.
14 § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning.
För enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv finns det även bestämmelser om nödvändig behandling för det syftet av sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § andra stycket dataskyddslagen.
Denna lag träder i kraft den 1 augusti 2018.
Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan
Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögskolan ska införas fem nya paragrafer, 19 a–19 e §§, och närmast före 19 a § en ny rubrik av följande lydelse.
Behandling av personuppgifter
19 a § Bestämmelserna i 19 d och 19 e §§ tillämpas vid behandling av personuppgifter i verksamhet inom yrkeshögskolan som bedrivs av en enskild utbildningsanordnare med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som kan finnas i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.
19 b § Bestämmelserna i 19 d och 19 e §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i 19 d och 19 e §§ har samma betydelse som i EU:s dataskyddsförordning.
19 c § Bestämmelser som kompletterar EU:s dataskyddsförordning finns även i lagen (2018:000) med kompletterande bestämmelser till
EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.
19 d § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare
1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller
2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För myndigheter finns bestämmelser om behandling av känsliga personuppgifter med stöd av artikel 9.2 g i EU:s dataskyddsförordning i 3 kap. 3 § första stycket dataskyddslagen. Bestämmelser om sökbegränsningar för myndigheter finns i 3 kap. 3 § andra stycket dataskyddslagen.
19 e § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare om behandlingen är nödvändig för en
hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en studerande från utbildning.
För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § första stycket dataskyddslagen.
Denna lag träder i kraft den 1 augusti 2018.
Förslag till lag om ändring i studiestödsdatalagen (2009:287)
Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287)
dels att 7 och 15 §§ ska upphöra att gälla,
dels att rubriken närmast före 15 § ska utgå,
dels att 2, 5, 6, 8, 10 och 16 §§ och rubriken närmast före 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.
Nuvarande lydelse
Förhållandet till personupp-
giftslagen och lagen om den officiella statistiken
Föreslagen lydelse
Förhållandet till annan data-
skyddsreglering
2 §
I den mån personuppgiftslagen (1998:204) innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i denna lag, ska personuppgiftslagen tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet.
Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen ( 2001:99 ) om den officiella statistiken och anslutande författningar tillämpas i stället för denna lag.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.
2 a §
Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.
Vid Centrala studiestödsnämndens behandling av person-
uppgifter för att framställa statistik ska lagen ( 2001:99 ) om den officiella statistiken och anslutande författningar tillämpas i stället för denna lag.
5 §
Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får utföras även om den registrerade motsätter sig behandlingen.
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
6 §
Särskilda begränsningar gäller för behandling av personuppgifter som
1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, eller
3. rör hälsa eller sexualliv. Uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och personuppgifter som avses i artikel 10 samma förordning får behandlas av Centrala studiestödsnämnden för ändamål som avses i 4 § första stycket 1 och 6 och andra stycket.
8 §
Som sökbegrepp får inte användas
1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,
Det är förbjudet att använda sökbegrepp som avslöjar
1. känsliga personuppgifter,
2. personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning,
3. uppgifter som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott, eller
3. uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, eller
4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.
Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas uppgifter som rör
1. hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och
2. inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.
Sökbegrepp som avslöjar uppgifter som anges i första stycket får dock användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen.
Sökbegrepp får också användas om de avslöjar uppgifter som rör
1. hälsa, om det är nödvändigt för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och
2. inkomst och förmögenhet, om det är nödvändigt för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.
10 §
Direktåtkomst till och annat elektroniskt utlämnande utan den registrerades samtycke av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4 och 6–8 §§ följs.
Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4, 6 och 8 §§ följs.
16 §
Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.
Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
Denna lag träder i kraft den 1 augusti 2018.
Förslag till lag om ändring i skollagen (2010:800)
Härigenom föreskrivs att det i skollagen (2010:800) ska införas ett nytt kapitel, 28 a kap., av följande lydelse.
28 a kap. Behandling av personuppgifter
1 § Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som kan finnas i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.
Detta kapitel ska inte tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården.
Förhållandet till annan dataskyddsreglering 2 § Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i detta kapitel har samma betydelse som i EU:s dataskyddsförordning.
3 § Bestämmelser som kompletterar EU:s dataskyddsförordning finns även i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.
Känsliga personuppgifter 4 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas hos en enskild huvudman enligt 2 kap. eller hos en enskild aktör enligt 24 eller 25 kap.
1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller
2. i annat fall, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
För myndigheter och organ som enligt 3 kap. 3 § tredje stycket dataskyddslagen jämställs med myndigheter finns det även bestämmelser om behandling av känsliga personuppgifter med stöd av artikel 9.2 g i EU:s dataskyddsförordning i 3 kap. 3 § första stycket dataskyddslagen. Bestämmelser om sökbegränsningar för myndigheter och sådana organ finns i 3 kap. 3 § andra stycket dataskyddslagen.
5 § Regeringen får meddela föreskrifter om undantag från de sökbegränsningar som avses i 4 § andra stycket denna lag och i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om hälsa i verksamhet hos en huvudman för
1. grundsärskola,
2. specialskolan,
3. gymnasiesärskola,
4. särskild utbildning för vuxna,
5. gymnasieskola med Rh-anpassad utbildning,
6. utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och
7. förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd.
Regeringen får också meddela föreskrifter om undantag från sökbegränsningen i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om
1. etniskt ursprung i verksamhet hos en huvudman för sameskolan, och
2. hälsa och etniskt ursprung i verksamhet hos en kommun.
Personuppgifter som rör lagöverträdelser 6 § Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas i verksamhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet
1. i löpande text inom elevhälsan, och
2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 §. För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § första stycket
dataskyddslagen. För andra än myndigheter som är
skyldiga att följa föreskrifter om arkiv finns det även bestämmelser om nödvändig behandling för det syftet av sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § andra stycket dataskyddslagen.
Denna lag träder i kraft den 1 augusti 2018.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2018-03-21
Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka
Behandling av personuppgifter på utbildningsområdet
Enligt en lagrådsremiss den 1 mars 2018 har regeringen (Utbildningsdepartementet) beslutat inhämta Lagrådets yttrande över förslag till
1. lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa
examina,
2. lag om ändring i lagen (2009:128) om yrkeshögskolan,
3. lag om ändring i studiestödsdatalagen (2009:287),
4. lag om ändring i skollagen (2010:800).
Förslagen har inför Lagrådet föredragits av kanslirådet Anita Stawarz och departementssekreteraren Drazenko Jozic.
Förslagen föranleder följande yttrande av Lagrådet:
Förslaget till lag om ändring i lagen om tillstånd att utfärda vissa examina
10 §
Orden ”som kan finnas” bör bytas mot ”finns”, särskilt som det av författningskommentaren framgår att bestämmelser av åsyftat slag redan i dag förekommer i andra författningar.
12 §
Paragrafens inledning bör kunna förenklas enligt följande.
Bestämmelser om behandling av personuppgifter finns även i lagen…
13 §
Tredje stycket bör kunna förenklas enligt följande.
För vissa enskilda utbildningsanordnare som jämställs med myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.
14 §
Upplysningsbestämmelsen i andra stycket framstår som överflödig och kan undvaras.
Förslaget till lag om ändring i lagen om yrkeshögskolan
19 a §
Se Lagrådets synpunkt angående 10 § lagen om tillstånd att utfärda vissa examina. För att uppnå en enhetlighet i förhållande till motsvarande bestämmelse i skollagen bör vidare orden ”av en enskild utbildningsanordnare” utgå.
19 c §
Se Lagrådets synpunkt angående 12 § lagen om tillstånd att utfärda vissa examina.
19 d §
Tredje stycket bör kunna förenklas enligt följande.
För myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.
Förslaget till lag om ändring i studiestödsdatalagen
Rubriken närmast före 2 §
Med hänsyn till intresset av enhetlighet bör rubriken utformas med beaktande av hur motsvarande rubriker har utformats i andra registerlagar som anpassas med anledning av EU:s dataskyddsförordning. Rubriken bör därför ändras till ”Förhållandet till annan reglering”. (Jfr remissförslaget till ändring i skollagen, som inte är en registerlag.)
2 a §
Eftersom lagen med kompletterande bestämmelser till EU:s dataskyddsförordning inte förekommer i någon av de följande paragraferna i lagen saknas skäl att införa en särskild benämning på lagen. Den inskjutna satsen ”här benämnd dataskyddslagen” bör därför utgå.
Förslaget till lag om ändring i skollagen
Kapitlets placering I remissen föreslås att det nya kapitlet ska införas i skollagen som 28 a kap. Denna placering innebär att kapitlets bestämmelser kommer efter 28 kap. som har rubriken Överklagande. Det framstår sakligt sett som en
mindre lämplig placering. Det är naturligare att det nya kapitlet i stället placeras efter 26 kap. som ett nytt 26 a kap. Bestämmelserna kommer då före de båda kapitel som reglerar överklagandefrågor.
1 §
Se Lagrådets synpunkt angående 10 § lagen om tillstånd att utfärda vissa examina.
3 §
Se Lagrådets synpunkt angående 12 § lagen om tillstånd att utfärda vissa examina.
4 §
Tredje stycket bör kunna förenklas enligt följande.
För myndigheter och vissa organ finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.
5 §
Hänvisningarna till andra bestämmelser i paragrafens inledning bör förtydligas enligt följande.
Regeringen får meddela föreskrifter om undantag från de sökbegränsningar som avses i 4 § andra stycket samt i 3 kap. 3 § andra stycket dataskyddslagen…
6 §
Andra stycket bör kunna förenklas enligt följande.
För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Där finns det även bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv.
Utbildningsdepartementet
Utdrag ur protokoll vid regeringssammanträde den 5 april 2018
Närvarande: statsminister Löfven, ordförande, och statsråden M Johansson, Baylan, Hallengren, Bucht, Hultqvist, Andersson, Bolund, Shekarabi, Fridolin, Linde, Ekström, Fritzon, Eneroth
Föredragande: statsrådet Gustav Fridolin
Regeringen beslutar proposition 2017/18:218 Behandling av personuppgifter på utbildningsområdet