Prop. 2017/18:218

Behandling av personuppgifter på utbildningsområdet

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 5 april 2018

Stefan Löfven

Gustav Fridolin (Utbildningsdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag till lagändringar på utbildningsområdet som innebär kompletteringar och anpassningar till – Europaparlamentets och rådets förordning (EU) 2016/679 av den

27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), – den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna

lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, och – föreskrifter som meddelas med stöd av den lagen.

De kompletterande bestämmelser inom utbildningsområdet som här föreslås syftar till att möjliggöra en fortsatt ändamålsenlig behandling av personuppgifter på detta område samtidigt som den enskildes fri- och rättigheter skyddas, oavsett om behandlingen utförs av offentliga eller enskilda aktörer. Ändringar föreslås i – lagen (1993:792) om tillstånd att utfärda vissa examina, – lagen (2009:128) om yrkeshögskolan, – studiestödsdatalagen (2009:287), och – skollagen (2010:800).

Lagändringarna föreslås träda i kraft den 1 augusti 2018.

1. Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1. lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina,

2. lag om ändring i lagen (2009:128) om yrkeshögskolan,

3. lag om ändring i studiestödsdatalagen (2009:287),

4. lag om ändring i skollagen (2010:800).

2. Lagförslag

Regeringen har följande förslag till lagtext.

2.1. Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina

Härigenom föreskrivs i fråga om lagen (1993:792) om tillstånd att utfärda vissa examina1

dels att nuvarande 5 och 6 §§ ska betecknas 6 och 5 §§,

dels att det ska införas fem nya paragrafer, 10–14 §§, och närmast före 10 § en ny rubrik av följande lydelse,

dels att det ska införas en ny rubrik närmast före 1 § som ska lyda ”Tillstånd att utfärda examina”, en ny rubrik närmast före den nya 6 § som ska lyda ”Uppföljning och utvärdering”, en ny rubrik närmast före 7 § som ska lyda ”Återkallelse av tillstånd” och en ny rubrik närmast före 8 § som ska lyda ”Utfärdande av examina utan tillstånd”.

Nuvarande lydelse Föreslagen lydelse

Behandling av personuppgifter

10 §

Bestämmelserna i 13 och 14 §§ tillämpas vid behandling av personuppgifter i verksamhet hos en enskild utbildningsanordnare som har fått tillstånd att utfärda examina och som bedrivs med stöd av denna lag, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

11 §

Bestämmelserna i 13 och 14 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om

1 Senaste lydelse av 5 § 2000:1371 6 § 2000:1371.

upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i 13 och 14 §§ har samma betydelse som i EU:s dataskyddsförordning.

12 §

Bestämmelser om behandling av personuppgifter finns även i lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

13 §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller

2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

För vissa enskilda utbildningsanordnare som jämställs med myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

14 §

Personuppgifter som rör fällande domar i brottmål får be-

handlas av en enskild utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning.

För enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv finns det även bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen.

Denna lag träder i kraft den 1 augusti 2018.

2.2. Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan

Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögskolan ska införas fem nya paragrafer, 19 a–19 e §§, och närmast före 19 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

Behandling av personuppgifter

19 a § Bestämmelserna i 19 d och 19 e §§ tillämpas vid behandling av personuppgifter i verksamhet inom yrkeshögskolan som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

19 b § Bestämmelserna i 19 d och 19 e §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Termer och uttryck i 19 d och 19 e §§ har samma betydelse som i EU:s dataskyddsförordning.

19 c § Bestämmelser om behandling av personuppgifter finns även i lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

19 d § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller

2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. För myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

19 e § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en studerande från utbildning. För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § första stycket dataskyddslagen.

Denna lag träder i kraft den 1 augusti 2018.

2.3. Förslag till lag om ändring i studiestödsdatalagen (2009:287)

Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287)

dels att 7 och 15 §§ ska upphöra att gälla,

dels att rubrikerna närmast före 7 och 15 §§ ska utgå,

dels att 2, 5, 6, 8, 10 och 16 §§ och rubriken närmast före 2 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 2 a §, av följande lydelse.

Nuvarande lydelse

Förhållandet till personupp-

giftslagen och lagen om den officiella statistiken

Föreslagen lydelse

Förhållandet till

annan

reglering

2 §

I den mån personuppgiftslagen (1998:204) innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i denna lag, ska personuppgiftslagen tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet.

Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen ( 2001:99 ) om den officiella statistiken och anslutande författningar tillämpas i stället för denna lag.

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

2 a §

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna lag.

Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik

ska lagen ( 2001:99 ) om den officiella statistiken och anslutande författningar tillämpas i stället för denna lag.

5 §

Behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke får utföras även om den registrerade motsätter sig behandlingen.

Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

6 §

Särskilda begränsningar gäller för behandling av personuppgifter som

1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,

2. avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, eller

3. rör hälsa eller sexualliv. Uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och personuppgifter som avses i artikel 10 i samma förordning får behandlas av Centrala studiestödsnämnden för ändamål som avses i 4 § första stycket 1 och 6 och andra stycket.

8 §

Som sökbegrepp får inte användas

1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,

2. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,

3. uppgifter som rör hälsa, sex-

Det är förbjudet att använda sökbegrepp som avslöjar

1. känsliga personuppgifter,

2. personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning,

3. uppgifter som rör inkomst,

ualliv, inkomst, förmögenhet eller anledning till studieavbrott, eller

förmögenhet eller anledning till studieavbrott, eller

4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.

Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas uppgifter som rör

1. hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och

2. inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.

Sökbegrepp som avslöjar uppgifter som anges i första stycket får dock användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen.

Sökbegrepp får också användas om de avslöjar uppgifter som rör

1. hälsa, om det är nödvändigt för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och

2. inkomst och förmögenhet, om det är nödvändigt för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.

10 §

Direktåtkomst till och annat elektroniskt utlämnande utan den registrerades samtycke av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4 och 6–8 §§ följs.

Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4, 6 och 8 §§ följs.

16 §

Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.

Denna lag träder i kraft den 1 augusti 2018.

2.4. Förslag till lag om ändring i skollagen (2010:800)

Härigenom föreskrivs i fråga om skollagen (2010:800)

dels att 1 kap. 12 § ska ha följande lydelse,

dels att det ska införas ett nytt kapitel, 26 a kap., av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

12 §2

Lagen är uppdelad i 29 kapitel. Lagen är uppdelad i 30 kapitel.

Dessa är – inledande bestämmelser (1 kap.), – huvudmän och ansvarsfördelning (2 kap.), – barns och elevers utveckling mot målen (3 kap.), – kvalitet och inflytande (4 kap.), – trygghet och studiero (5 kap.), – åtgärder mot kränkande behandling (6 kap.), – skolplikt och rätt till utbildning (7 kap.), – förskolan (8 kap.), – förskoleklassen (9 kap.), – grundskolan (10 kap.), – grundsärskolan (11 kap.), – specialskolan (12 kap.), – sameskolan (13 kap.), – fritidshemmet (14 kap.), – gymnasieskolan (15–17 a kap.), – gymnasiesärskolan (18 och 19 kap.), – kommunal vuxenutbildning (20 kap.), – särskild utbildning för vuxna (21 kap.), – entreprenad och samverkan (23 kap.), – särskilda utbildningsformer (24 kap.), – annan pedagogisk verksamhet (25 kap.), – tillsyn, statlig kvalitetsgranskning och nationell uppföljning och utvärdering (26 kap.),

– behandling av personuppgifter (26 a kap.),

– Skolväsendets överklagandenämnd och Lärarnas ansvarsnämnd (27 kap.),

– överklagande (28 kap.), och – övriga bestämmelser (29 kap.).

2 Senaste lydelse 2015:482.

26 a kap. Behandling av personuppgifter

1 §

Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

Detta kapitel ska inte tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården.

Förhållande till annan dataskyddsreglering

2 §

Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i detta kapitel har samma betydelse som i EU:s dataskyddsförordning.

3 § Bestämmelser om behandling av personuppgifter finns även i lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

Känsliga personuppgifter

4 §

Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas hos en enskild huvudman enligt 2 kap. eller hos en enskild aktör enligt 24 eller 25 kap.

1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller

2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

För myndigheter och vissa andra organ finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

5 §

Regeringen får meddela föreskrifter om undantag från de sökbegränsningar som avses i 4 § andra stycket denna lag och i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om hälsa i verksamhet hos en huvudman för

1. grundsärskola,

2. specialskolan,

3. gymnasiesärskola,

4. särskild utbildning för vuxna,

5. gymnasieskola med Rh-anpassad utbildning,

6. utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har

en språkstörning, och

7. förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd.

Regeringen får också meddela föreskrifter om undantag från sökbegränsningen i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om

1. etniskt ursprung i verksamhet hos en huvudman för sameskolan, och

2. hälsa och etniskt ursprung i verksamhet hos en kommun.

Personuppgifter som rör lagöverträdelser

6 §

Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas i verksamhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet

1. i löpande text inom elevhälsan, och

2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 §.

För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Där finns det även bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv.

Denna lag träder i kraft den 1 augusti 2018.

3. Ärendet och dess beredning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen, som börjar tillämpas den 25 maj 2018, finns i svensk lydelse i bilaga 1.

Regeringen beslutade den 30 juni 2016 att tillkalla en särskild utredare som bl.a. fick i uppdrag att undersöka vilken reglering av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dels regleringen i dataskyddsförordningen, dels den generella reglering som den redan tillsatta Dataskyddsutredningen (Ju 2016:04) hade i uppdrag att föreslå med anledning av dataskyddsförordningen. Den nya utredningen, som tog sig namnet Utbildningsdatautredningen (U 2016:03), överlämnade i juni 2017 betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49). En sammanfattning av betänkandet finns i bilaga 2. Utredningens lagförslag finns i bilaga 3. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissyttrandena och en sammanställning av dessa finns tillgängliga i Utbildningsdepartementet (U2017/02586/RS).

Datainspektionen har

beretts tillfälle yttra sig över ett utkast till

lagrådsremiss. Utkastet överensstämmer i allt väsentligt med lagrådsremissen. Vissa myndigheter och enskilda har beretts tillfälle att yttra sig över delar av utkastet till lagrådsremiss. Dessa är Statens skolverk, Statens skolinspektion, Specialpedagogiska skolmyndigheten, Sameskolstyrelsen, Sveriges Kommuner och Landsting, Friskolornas Riksförbund, Lärarförbundet, Lärarnas riksförbund Sveriges skolledarförbund, Riksförbundet FUB (avsnitt 2.4, 9.1, 13.3) Myndigheten för yrkeshögskolan (avsnitt 2.2, 20.2), Chalmers tekniska högskola AB (avsnitt 2.1, 20.1), Sveriges förenade studentkårer (avsnitt 9.2.7) Statistiska centralbyrån, Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna (avsnitt 5, 5.4, 9.4, 13.6) och Centrala Studiestödsnämnden (avsnitt 9.5, 13.7, 15, 18.2). Yttranden har inkommit från samtliga utom Lärarförbundet, Lärarnas riksförbund, Sveriges skolledarförbund, Riksförbundet FUB och Myndigheten för yrkeshögskolan. Chalmers tekniska högskola har avstått från att yttra sig. Synpunkterna behandlas i respektive avsnitt. Inkomna yttranden finns tillgängliga i Utbildningsdepartementet (U2017/02586/RS).

Lagrådet

Regeringen beslutade den 1 mars 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Lagrådets synpunkter behandlas i avsnitt 16 och i författningskommentaren. I förhållande till lagrådsremissens lagförslag har vissa språkliga och redaktionella ändringar gjorts.

Förslaget till följdändring i 1 kap. 12 § skollagen (2010:800) är författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets hörande skulle sakna betydelse. Regeringen har därför inte inhämtat Lagrådets yttrande över det förslaget.

4. Ändringar i EU-rätten medför behov av ändringar i den svenska regleringen av behandling av personuppgifter

4.1. Dataskyddsdirektivet ska ersättas av en dataskyddsförordning

När myndigheter och enskilda behandlar personuppgifter inom utbildningsområdet sker det i huvudsak med stöd av personuppgiftslagen (1998:204), förkortad PUL. Med utbildningsområdet avses bl.a. skolväsendet och annan verksamhet som regleras i skollagen (2010:800), den verksamhet som bedrivs av universitet och högskolor, yrkeshögskolan, folkbildningen och studiestödet.

PUL är en lag som har tillkommit i syfte att genomföra Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Syftet med direktivet är åstadkomma en likvärdig skyddsnivå i alla medlemsstater i fråga om fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter och därigenom eliminera hindren mot det fria flödet av personuppgifter mellan medlemsstaterna (artikel 1 och skäl 7–9). Direktivet utgör i sin tur en precisering av Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konventionen kompletteras av ett antal rekommendationer som har antagits av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. Under 2010 inledde Europarådet en översyn av dataskyddskonventionen. Hur lång tid det kommer att ta innan översynen är klar är svårt att förutse.

Dataskyddsdirektivet har ett begränsat tillämpningsområde. Det är inte tillämpligt på t.ex. behandling som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. PUL har dock, till skillnad från direktivet, gjorts generellt tillämplig och är därför tillämplig även utanför EU-rättens område. Skälet för detta är att den svenska dataskyddsreglering som gällde före införandet av PUL i princip var generellt tillämplig på all automatisk behandling av personregister, med vissa undantag. När den dåvarande datalagen (1973:289) skulle ersättas av PUL, ansågs det lämpligt att även den nya lagen skulle omfatta sådan verksamhet som faller utanför EU-rätten (prop. 1997/98:44 s. 40 f.). PUL ska dock inte tillämpas om avvikande bestämmelser finns i annan lag eller förordning, dvs. PUL är subsidiär i förhållande till annan författningsreglering.

Sedan dataskyddsdirektivet beslutades har den ekonomiska och sociala integrationen på EU:s inre marknaden lett till en betydande ökning av gränsöverskridande flöden av personuppgifter. Vidare har den snabba tekniska utvecklingen och globaliseringen skapat nya utmaningar i fråga om skyddet av personuppgifter. Dessa förändringar har av EU:s med-

lemsstater ansetts kräva en stark och mer sammanhängande ram för dataskyddet inom EU. Dataskyddsdirektivet har inte heller förhindrat bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter har ansetts förhindra det fria flödet av personuppgifter och anses därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

Av bl.a. ovan nämnda skäl antogs den 27 april 2016 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Den nya rättsakten, som i det följande benämns dataskyddsförordningen, syftar till att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen syftar även till att skapa rättslig säkerhet och öppenhet för ekonomiska aktörer, ge fysiska personer i alla medlemsstater samma rättigheter och skyldigheter och ålägga dem som ansvarar för personuppgifterna samma ansvar. På så sätt avses övervakningen av behandling av personuppgifter bli enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt (skäl 10 och 13 till dataskyddsförordningen).

Dataskyddsförordningen har i likhet med dataskyddsdirektivet ett begränsat tillämpningsområde. Vid sidan av dataskyddsförordningen gäller Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

Dataskyddsförordningen ska tillämpas från och med den 25 maj 2018 då dataskyddsdirektivet upphör att gälla (artikel 99.2 och 94.1 i dataskyddsförordningen). Dataskyddsförordningen kommer alltså att ersätta dataskyddsdirektivet. Denna förändring innebär att PUL kommer att upphävas och att det även i övrigt kommer att behöva göras ändringar i svensk rätt.

4.2. Dataskyddsförordningen är direkt tillämplig men kan kompletteras i nationell rätt

Dataskyddsförordningen är till alla delar bindande och direkt tillämplig i medlemsstaterna (artikel 99.2 i dataskyddsförordningen). Att en EUförordning ska ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat framgår också av Fördraget om Europeiska unionens funktionssätt (artikel 288 andra stycket). Till skillnad från EU-direktiv ska alltså EU-förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av en-

skilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser.

Även om dataskyddsförordningen, till skillnad från dataskyddsdirektivet, är direkt tillämplig i medlemsstaterna, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Sådana bestämmelser måste dock vara förenliga med dataskyddsförordningen och avse en fråga som får regleras genom nationell rätt. Möjligheten till kompletterande nationella bestämmelser gäller framför allt för bestämmelser som reglerar förhållandena inom den offentliga sektorn i respektive medlemsstat. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. när det handlar om behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2 i dataskyddsförordningen). Förordningen har därmed i vissa delar en direktivliknande karaktär. Om förordningen föreskriver att förtydliganden eller begränsningar av dess bestämmelser kan eller ska göras i medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (skäl 8 till dataskyddsförordningen).

4.3. Dataskyddsförordningen ska kompletteras av en ny svensk övergripande lag och förordning om dataskydd

Till följd av att dataskyddsdirektivet upphävs och ersätts av dataskyddsförordningen beslutade regeringen den 15 februari 2018 propositionen Ny dataskyddslag (prop. 2017/18:105). I propositionen, som baseras på ett betänkande från den i avsnitt 3 nämnda Dataskyddsutredningen (SOU 2017:39), föreslås att PUL ska upphävas. I stället ska bestämmelser som kompletterar dataskyddsförordningen och är av generell karaktär samlas i en ny övergripande lag om dataskydd. För att betona att lagen inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen, föreslås den benämnas lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Den föreslagna nya lagen förkortas i det följande dataskyddslagen.

På motsvarande sätt som PUL har ett vidare tillämpningsområde än dataskyddsdirektivet, föreslås en bestämmelse i dataskyddslagen som utsträcker dataskyddsförordningens tillämpningsområde (1 kap. 2 §). Dataskyddslagen innehåller bl.a. bestämmelser som upplyser om innehållet i dataskyddsförordningen, förtydligar innehållet i dataskyddsförordningens bestämmelser och kompletterar dataskyddsförordningen i vissa delar. Det anges också att bestämmelser i annan lag eller förordning som rör behandling av personuppgifter och som avviker från dataskyddslagen ska ha företräde framför dataskyddslagen (1 kap. 6 § dataskyddslagen), dvs. dataskyddslagen är subsidiär till andra författningar. Det innebär att dataskyddslagen, på motsvarande sätt som PUL, kommer att kunna kompletteras av s.k. registerförfattningar, dvs. författningar som

reglerar behandling av personuppgifter på ett avgränsat område. För närvarande kompletteras PUL av ca 200 registerförfattningar. På utbildningsområdet gäller t.ex. studiestödsdatalagen (2009:287), studiestödsdataförordningen (2009:321) och förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor.

4.4. Dataskyddsförordningen behöver även kompletteras genom svenska bestämmelser på utbildningsområdet

För att den behandling av personuppgifter som i dag sker på utbildningsområdet ska kunna fortsätta när dataskyddsförordningen och dataskyddslagen börjar gälla finns det även behov av kompletterande bestämmelser om personuppgiftsbehandling på utbildningsområdet. De frågor som aktualiseras på utbildningsområdet och där regeringen ser behov att lämna förslag till riksdagen eller informera om sin bedömning gäller förekomsten av rättslig grund för att behandla personuppgifter (avsnitt 9), behandling av känsliga personuppgifter (avsnitt 13), behandling av personuppgifter som rör lagöverträdelser (avsnitt 14) och att studiestödsdatalagen ska anpassas till dataskyddsförordningen (avsnitt 15).

Nedan ges först en kortfattad redogörelse för gällande rätt då den nya dataskyddsförordningen till stor del baseras på dataskyddsdirektivets struktur och innehåll (avsnitt 4.5). Därefter ges en kort beskrivning av vilka nyheter dataskyddsförordningens reglering innebär (avsnitt 4.6).

4.5. Närmare om gällande rätt

Dataskyddsdirektivet

Dataskyddsdirektivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter. Det syftar även till att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma.

Huvuddragen i direktivet är följande. Direktivet gäller för sådan behandling av personuppgifter som helt eller delvis sker på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (artikel 2 b och 3.1 i dataskyddsdirektivet).

Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, t.ex. behandling som gäller allmän

säkerhet, statens säkerhet eller statens verksamhet på straffrättens område.

Direktivet är inte heller tillämpligt på behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål undantas från direktivets materiella bestämmelser (artikel 3.2 och 9).

Medlemsstaterna ska enligt direktivet föreskriva vissa principer för uppgifternas kvalitet. Dessa innebär bl.a. följande. Personuppgifter ska behandlas på ett korrekt och lagligt sätt. Uppgifterna får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och de får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses oförenligt med det ursprungliga ändamålet, förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder.

Medlemsstaterna ska vidare föreskriva att personuppgifter endast får behandlas i bl.a. följande fall: när samtycke lämnats, när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det finns en i författning reglerad förpliktelse att behandling av uppgifterna skall ske, när det är nödvändigt för att skydda den enskildes grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller som ett led i myndighetsutövning eller efter en intresseavvägning mellan de berättigade intressen som finns för behandlingen och den registrerades rättigheter (artikel 6 och 7).

Så kallade känsliga uppgifter, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt uppgifter som rör hälsa och sexualliv. får som huvudregel inte behandlas. Det finns dock vissa undantag, bl.a. om den enskilde uttryckligen samtycker, för ideella föreningars medlemsregister, för hälso- och sjukvårdens administration och vid författningsreglerade skyldigheter. Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet än dem som anges i direktivet, dock endast under förutsättning att det sker av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtas. Medlemsstaterna ska vidare bestämma på vilka villkor nationella identifikationsnummer får behandlas. Vidare får uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder bara behandlas i vissa angivna fall (artikel 8).

Med registeransvarig avses den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Med registerförare avses den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning (artikel 2 d och 2 e).

När personuppgifter samlas in ska de registrerade informeras bl.a. om vem som är registeransvarig och vad uppgifterna ska användas till. All behandling av personuppgifter ska enligt huvudregeln anmälas till en tillsynsmyndighet. Behandling av personuppgifter som innebär särskilda integritetsrisker får inte förekomma utan att tillsynsmyndigheten först

gett tillstånd till detta. Den registrerade ska ha rätt att få sina rättigheter enligt den nationella lagen prövad av tillsynsmyndigheten och domstol. Överföring av personuppgifter till ett tredje land får i princip endast ske om det mottagande landet har en acceptabel skyddsnivå (se bl.a. artikel 10, 18–20, 22 och 25).

Personuppgiftslagen

Dataskyddsdirektivet har, som angetts ovan, genomförts i svensk rätt huvudsakligen genom PUL. Bestämmelserna i PUL har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. PUL följer i princip dataskyddsdirektivets struktur. Liksom direktivet innehåller PUL bestämmelser om behandling av personuppgifter som helt eller delvis är automatiserad, men även annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. PUL gäller både myndigheter och enskilda som behandlar personuppgifter på detta sätt. Lagen gäller dock inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (5 och 6 §§ PUL). Vidare anges att PUL inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen samt att vissa angivna bestämmelser inte ska tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §). Det anges även att PUL inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter samt att bestämmelserna inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 §).

Liksom direktivet innehåller PUL bl.a. grundläggande krav på behandling av personuppgifter, när behandling av personuppgifter är tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m. och skyldighet att lämna information till den registrerade. De som i direktivet benämns som registeransvarig och registerförare motsvaras i PUL av personuppgiftsansvarig och personuppgiftsbiträde (3 §).

4.6. Likheter och skillnader mellan dataskyddsdirektivet och dataskyddsförordningen

Som nämnts baseras dataskyddsförordningen till stor del på dataskyddsdirektivets struktur och innehåll. Precis som dataskyddsdirektivet, ska dataskyddsförordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1).

Definitionerna av begreppen personuppgifter och behandling i dataskyddsförordningen har, jämfört med dataskyddsdirektivets definitioner, endast justerats något redaktionellt och kompletterats med något ytterligare exempel på vad som utgör personuppgifter respektive behandling (artikel 4 punkt 1 och 2 i dataskyddsförordningen).

Definitionerna av personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen motsvarar definitionerna av registeransvarig och registerförare i dataskyddsdirektivet (artikel 4 punkt 7 och 8).

I likhet med dataskyddsdirektivet innehåller dataskyddsförordningen grundläggande principer för behandling av personuppgifter som i stort sett är oförändrade, en reglering av när behandling av personuppgifter är tillåten, förbud mot behandling av känsliga personuppgifter och undantag från detta förbud i vissa fall, begränsningar i fråga om behandling av personuppgifter om lagöverträdelser m.m. och bestämmelser om information till den registrerade (t.ex. artikel 5, 6, 9 10 och 12–15.)

Jämfört med dataskyddsdirektivet medför dock dataskyddsförordningen bl.a. följande förändringar.

Det territoriella tillämpningsområdet utvidgas

Dataskyddsförordningen ska i likhet med dataskyddsdirektivet tillämpas på behandling av personuppgifter som sker inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen. Vidare ska dataskyddsförordningen, i likhet med dataskyddsdirektivet, också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerade i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten (artikel 3.1 och 3.3 i dataskyddsförordningen).

En skillnad jämfört med dataskyddsdirektivets ordalydelse är dock att förordningen under vissa omständigheter även ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förutsättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen (artikel 3.2 i dataskyddsförordningen).

De registrerades rättigheter förstärks

Den registrerades rättigheter har förstärkts i dataskyddsförordningen i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade har preciserats och utvidgats och det anges bl.a. uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form (artikel 12–23).

Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20).

Vidare har en tydligare rätt till radering (”rätt att bli bortglömd”) införts (artikel 17).

Ett krav på samtycke införs för situationer när informationssamhällets tjänster erbjuds barn

När det gäller barn införs ett krav på att samtycke ges eller behandlingen godkänns av barnets vårdnadshavare när informationssamhällets tjänster erbjuds direkt till ett barn under 16 år. Medlemsstaterna får dock föreskriva en lägre ålder, men inte under 13 år (artikel 8). I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås en åldersgräns på 13 år (2 kap. 4 § dataskyddslagen). Barns särställning och särskilda utsatthet poängteras också på flera ställen i förordningen.

En skyldighet att anmäla personuppgiftsincidenter införs

Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter (artikel 33).

Ett krav på konsekvensanalyser ersätter en allmän anmälningsskyldighet

Genom dataskyddsförordningen införs även ett krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter (artikel 35). Den allmänna anmälningsskyldigheten till tillsynsmyndigheten tas däremot bort.

Det finns ingen missbruksregel och vissa förändringar görs när det gäller de rättsliga grunderna för personuppgiftsbehandling

När dataskyddsförordningen börjar tillämpas kommer den så kallade missbruksregeln i 5 a § PUL inte längre att finnas kvar. Såväl dataskyddsdirektivet som PUL innebär att behandling av personuppgifter förutsätter tillämpning av ett antal s.k. hanteringsregler. Missbruksregeln innebär att vissa av dessa hanteringsregler inte behöver tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Detta gäller dock endast under förutsättning att behandlingen inte innebär en kränkning av den registrerades personliga integritet. Bestämmelsen har tillkommit för att förenkla regleringen om personuppgiftsbehandling och bestämmelsen har ett relativt vitt tillämpningsområde (jfr HFD 2015 ref 3). Någon motsvarighet till missbruksregeln finns dock inte i dataskyddsförordningen.

Enligt dataskyddsförordningen är det vidare inte tillåtet för myndigheter att, när de fullgör sina uppgifter, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan de berättigade intressen som finns för behandlingen och den registrerades rättigheter och intressen (intresseavvägning, artikel 6.1 i dataskyddsförordningen). I skäl 43 till dataskyddsförordningen förtydligas också att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är begränsat.

Ett nytt krav är vidare att den rättsliga grund som personuppgiftsbehandlingen stödjer sig på i vissa fall ska vara fastställd i enlighet med

unionsrätten eller i nationell rätt. Detta gäller om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Hur rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning fastställs i enlighet med svensk rätt förtydligas i 2 kap. 1–3 §§ i den föreslagna dataskyddslagen. Frågan om rättsliga grunder för behandling av personuppgifter på utbildningsområdet behandlas i avsnitt 9.

Förändringar när det gäller känsliga personuppgifter och lagöverträdelser

Det har också skett vissa ändringar i fråga om vilka uppgifter som omfattas av förbudet mot behandling av känsliga personuppgifter och i fråga om vilka uppgifter om lagöverträdelser m.m. som får behandlas. Det redogörs närmare för dessa förändringar i avsnitt 13.1 och 14.1.

Kompletterande nationella bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser samt personnummer och samordningsnummer föreslås i 3 kap. dataskyddslagen. Frågan om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser på utbildningsområdet behandlas i avsnitt 13 och 14.

Förhållandet till offentlighetsprincipen blir tydligare

Utrymmet för att ge offentlighetsprincipen företräde framför dataskyddsregleringen blir tydligare, genom en uttrycklig och direkt tillämplig bestämmelse i artikel 86 i dataskyddsförordningen. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Härigenom möjliggörs alltså en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter. Ett tydliggörande av bl.a. detta föreslås i 1 kap. 7 § dataskyddslagen.

Administrativa sanktionsavgifter och andra åtgärder som syftar till en enhetlig tillämpning införs

Genom förordningen införs ett nytt gemensamt system med administrativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förordningen. Kompletterande nationella bestämmelser om sanktionsavgifter föreslås i 6 kap. 2–7 §§ dataskyddslagen. Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, till exempel genom åtgärder som godkännande av uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra. Det införs också en ny princip om en enda kontaktpunkt, som ska underlätta för personuppgiftsansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen även i enskilda fall (t.ex. artikel 40, 43, 57, 68– 76 och 83).

4.7. Regeringsformen avgör om kompletterande svensk reglering ska införas på lag- eller förordningsnivå

När det gäller införande av svensk reglering som kompletterar dataskyddsförordningen behöver regeringsformens (RF) grundläggande bestämmelser till skydd för den personliga integriteten beaktas.

Tidigare gällde att varje medborgare, i den utsträckning som närmare anges i lag, skulle skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling (tidigare 2 kap. 3 § andra stycket RF). Bestämmelsen gav dock inte något individuellt rättighetsskydd för enskilda, utan innebar enbart att lagstiftaren var skyldig att i lag upprätthålla någon form av skydd för den personliga integriteten i fråga om automatiserad behandling av personuppgifter.

Till följd av en grundlagsändring som trädde i kraft den 1 januari 2011 gäller numer att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta skydd kan dock begränsas genom lag (2 kap. 6 § andra stycket och 20 § första stycket 2 RF).

Vid införandet av nya bestämmelser som avser behandling av personuppgifter behöver därmed bedömas om regleringen utgör ett sådant betydande intrång som kräver lagform, eller om regleringen kan införas på förordningsnivå. Förarbetena till grundlagsbestämmelsen ger ledning vid en sådan bedömning (propositionen En reformerad grundlag [prop. 2009/10:80 s. 171 f.]).

5. Vad avses med utbildningsområdet?

Utbildningsområdet omfattar bl.a. skolväsendet och annan verksamhet som regleras i skollagen, den verksamhet som bedrivs av universitet och högskolor, yrkeshögskolan, folkbildningen och studiestödet. Området omfattar utbildning hos offentliga och enskilda utbildningsanordnare som är erkända av det allmänna, t.ex. genom tillstånd, offentlig finansiering eller genom att utbildningen berättigar till studiestöd. Däremot omfattas inte rent privaträttslig utbildning. I propositionen behandlas inte behandling av personuppgifter på utbildningsområdet som sker med stöd av lagen om den officiella statistiken (2001:99) och förordningen om den officiella statistiken (2001:100). Nedan redogörs närmare för olika delar av utbildningsområdet.

5.1. Skollagsreglerad verksamhet

Skolväsendet regleras i skollagen (2010:800) och anslutande förordningar och omfattar skolformerna förskola, förskoleklass, grundskola,

grundsärskola, specialskola, sameskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild utbildning för vuxna. I skolväsendet ingår också fritidshem som kompletterar utbildningen i förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan och vissa särskilda utbildningsformer (1 kap. 1 § skollagen). I skollagen finns även bestämmelser om vissa särskilda utbildningsformer och annan pedagogisk verksamhet som bedrivs i stället för utbildning inom skolväsendet (1 kap. 2 §, 24 kap. och 25 kap.skollagen). Som exempel kan nämnas internationella skolor, utbildning vid särskilda ungdomshem, utbildning för barn och elever som vårdas på sjukhus, öppen förskola och omsorg under tid då förskola eller fritidshem inte erbjuds.

Utbildning inom skolväsendet anordnas av både offentliga och enskilda aktörer. Kommuner är huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem. Staten är huvudman för specialskola och sameskola och för förskoleklass och fritidshem vid en skolenhet inom dessa skolformer. I viss utsträckning får ett landsting vara huvudman för gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild utbildning för vuxna. Efter ansökan som prövas av Statens skolinspektion, eller i vissa fall av kommunen där utbildningen ska bedrivas, får en enskild godkännas som huvudman för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola och fritidshem (2 kap. skollagen).

Det finns också vissa möjligheter för huvudmän inom skolväsendet att sluta avtal om att någon annan enskild fysisk eller juridisk person utför vissa uppgifter enligt skollagen, s.k. entreprenad (23 kap. skollagen).

I det följande används begreppet skollagsreglerad verksamhet som samlingsbegrepp för de verksamheter som regleras i skollagen.

Inom den skollagsreglerade verksamheten kan vissa utbildningar både på grundläggande och gymnasial nivå berättiga till studiestöd (se vidare avsnitt 5.5).

5.2. Universitet och högskolor

Vid universitet och högskolor ges eftergymnasial utbildning på grundnivå, avancerad nivå och forskarnivå. Examina utfärdas på grundnivå, avancerad nivå och forskarnivå. I vissa fall krävs tillstånd för att utfärda examina.

De flesta universitet och högskolor har staten som huvudman och omfattas av högskolelagen (1992:1494) och högskoleförordningen (1993:100). Universitetskanslersämbetet prövar frågor om examenstillstånd. Tillstånd att utfärda examina kan också ges av regeringen till enskilda utbildningsanordnare enligt lagen (1993:792) om tillstånd att utfärda vissa examina.

I det följande används högskolor som samlingsbegrepp för universitet och högskolor, oavsett om det är fråga om statliga eller enskilda utbildningsanordnare.

Statliga högskoleutbildningar och ett stort antal utbildningar vid enskilda utbildningsanordnare som har tillstånd att utfärda examina

enligt lagen om tillstånd att utfärda vissa examina berättigar till studiestöd (se vidare avsnitt 5.5).

5.3. Yrkeshögskolan och andra eftergymnasiala utbildningar

Yrkeshögskolan inrättades 2009 som en fristående utbildningsform med ett gemensamt regelverk för eftergymnasiala yrkesutbildningar vid sidan av högskolan. Yrkeshögskolan regleras i lagen (2009:128) om yrkeshögskolan. Myndigheten för yrkeshögskolan (MYH) är förvaltningsmyndighet för yrkeshögskolan och beslutar vilka utbildningar som får ingå där. Utbildning inom yrkeshögskolan får anordnas av statliga universitet och högskolor, andra statliga myndigheter, kommuner, landsting och enskilda fysiska eller juridiska personer. Ett beslut om att en utbildning får ingå i yrkeshögskolan kan innebära att anordnaren kan få statsbidrag eller särskilda medel för utbildningen. En yrkeshögskoleutbildning berättigar också de studerande till studiestöd. Det finns också utbildningar där anordnarna i stället för att få statsbidrag eller särskilda medel kan ta ut studerandeavgifter. Även dessa utbildningar berättigar de studerande till studiestöd. En utbildning inom yrkeshögskolan ska svara mot behov av kvalificerad arbetskraft i arbetslivet som inte tillgodoses genom en utbildning enligt högskolelagen (1992:1434) eller en utbildning som kan leda fram till en examen enligt lagen (1993:792) om tillstånd att utfärda vissa examina. En anordnare av utbildning inom yrkeshögskolan får efter anmälan bedriva sådan utbildning även som uppdragsutbildning.

Även konst- och kulturutbildningar är en eftergymnasial utbildningsform. Utbildningarna finns inom exempelvis dans, musik, teater, film, konst och mode. De bedrivs av enskilda fysiska eller juridiska personer men står under statlig tillsyn. MYH prövar frågor om stöd enligt förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Både utbildning inom yrkeshögskolan enligt lagen om yrkeshögskolan som inte är uppdragsutbildning och utbildning som har förklarats berättiga till studiestöd genom beslut av Myndigheten för yrkeshögskolan enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar berättigar till studiestöd (se avsnitt 5.5).

5.4. Folkbildningen

Folkbildningen har traditionellt sett innefattat fyra grenar: folkbibliotek, folkhögskolor, föreläsningsföreningar och studieförbund. Folkbibliotekets verksamhet regleras i bibliotekslagen (2013:801). Det statliga anslaget för stöd till folkbildningen tilldelas enbart folkhögskolor och studieförbund och deras verksamhet.

De flesta folkhögskolor drivs av folkrörelser eller andra organisationer. Övriga folkhögskolor ägs och drivs av regioner eller landsting. Folkhögskolan är huvudsakligen en utbildningsform för vuxna. De flesta studie-

förbunden är ideella organisationer. Studieförbunden driver bl.a. studiecirkelverksamhet och kulturverksamhet.

Folkbildningen finansieras huvudsakligen. genom statsbidrag enligt förordningen (2015:218) om statsbidrag till folkbildningen. Folkbildningsrådet (FBR), som är en ideell organisation där organisationer som företräder folkhögskolor och studieförbund är medlemmar, beslutar vilka folkhögskolor, studieförbund och studerandeorganisationer inom folkhögskolan som ska få del av statsbidraget och fördelar tillgängliga medel mellan dem. Folkhögskolor och studieförbund som FBR fördelar statsbidrag till enligt den nämnda förordningen kan även få statsbidrag enligt förordningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk och förordningen (2015:521) om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända invandrare. Vidare kan folkhögskolorna ansöka hos Specialpedagogiska skolmyndigheten om statsbidrag för kostnader för särskilt utbildningsstöd som erbjuds deltagare med funktionsnedsättningar enligt förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd. Specialpedagogiska skolmyndigheten beviljar det statsbidraget enbart till de folkhögskolor som av FBR har tilldelats statsbidrag till folkbildningen. Det finns även andra statsbidrag som folkhögskolor och studieförbund kan ansöka om för att genomföra olika typer av verksamhet. Det är t.ex. fallet med statsbidrag enligt förordningen (2016:1364) om statsbidrag till verksamheter för asylsökande m.fl. som beviljas av länsstyrelsen. Den del av folkbildningsverksamhet som finansieras genom olika former av statsbidrag benämns i denna proposition statsbidragsfinansierad folkbildning.

Folkbildningen kan dessutom finansieras på annat sätt. Det kan t.ex. handla om bidrag för uppdragsutbildningar, bidrag från kommun och landsting eller region samt bidrag från privata aktörer. Den delen av folkbildningsverksamheten benämns i propositionen folkbildning som finansieras på annat sätt än genom statsbidrag.

Statsbidrag enligt förordningen om statsbidrag till folkbildningen och förordningen om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända invandrare får också direkt lämnas till Studieförbundet SISU Idrottsutbildarna (SISU) för idrottens studie-, bildnings- och utbildningsverksamhet. SISU beslutar vilka som bedriver sådan verksamhet som ska få statsbidrag och fördelar tillgängliga medel mellan dem. Även SISU mottar andra former av finansiering för sin verksamhet.

Att fördela statsbidrag är en förvaltningsuppgift som innefattar myndighetsutövning. En sådan uppgift får bara överlämnas till enskilda med stöd av lag (12 kap. 4 § RF). FBR och SISU fördelar statsbidrag med stöd av lagen (1976:1046) om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde. Av 2 kap. 4 § offentlighets- och sekretesslagen (2009:400, OSL) och bilagan till den lagen framgår att FBR och SISU i deras verksamhet att fördela statsbidrag ska tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter samt att de i den verksamheten också ska jämställas med myndigheter vid tillämpning av OSL.

Kvalifikationer från folkbildningen kan vara behörighetsgivande vid ansökan till t.ex. högskolan eller yrkeshögskolan. Vissa utbildningar som anordnas av folkhögskolor berättigar till studiestöd (se avsnitt 5.5).

5.5. Studiestödet

Till utbildningsområdet hör även studiestödet. Studiestödet består framför allt av ekonomiskt stöd till enskilda i form av bl.a. studiehjälp och studiemedel. Sedan den 2 juli 2017 finns också ett nytt studiestöd, studiestartsstöd, som ett komplement till studiemedelssystemet. Studiestödet administreras av Centrala studiestödsnämnden (CSN).

Bestämmelser som avser studiestödet finns framförallt i studiestödslagen (1999:1395), studiestödsförordningen (2000:655), lagen (2017:527) om studiestartsstöd, förordningen (2017:532) om studiestartsstöd, studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321).

En förteckning över de läroanstalter och utbildningar vid vilka studiestöd kan lämnas finns i en bilaga till studiestödsförordningen.

5.6. Den nationella referensramen för livslångt lärande

Den 23 april 2008 beslutade Europaparlamentet och rådet en rekommendation om en europeisk referensram för kvalifikationer för livslångt lärande (rekommendationen om EQF, EUT C 111, 6.5.2008). Syftet med rekommendationen är att bidra till att modernisera utbildningssystemen inom Europa samt stärka kopplingarna mellan utbildning och arbetsliv (ingresspunkt 13). Syftet med den europeiska referensramen, som finns intagen som bilaga II till rekommendationen, är att främja livslångt lärande och förbättra anställbarhet, rörlighet och social integrering för arbetstagare och studerande inom EU (ingresspunkt 12). Referensramen består av åtta nivåer som beskriver det resultat av lärande i form av kunskaper, färdigheter och kompetenser som är av betydelse för respektive nivå. Resultat av lärande är ett centralt begrepp i rekommendationen och kan utryckas som det en individ vet, förstår och kan göra när en lärandeprocess är avslutad. Enligt rekommendationen definieras en kvalifikation som ett formellt resultat av en bedömnings- och valideringsprocess som ges när ett behörigt organ fastställer att en person har uppnått resultat av lärande som motsvarar fastställda kriterier (bilaga I till rekommendationen). Med kvalifikation avses således ett dokumenterat resultat av lärande i form av kunskaper, färdigheter och kompetenser, t.ex. utbildningsbevis, examina, certifikat och diplom. Referensramen omfattar alla typer av kvalifikationer från såväl utbildningssystemet som arbetslivet. Referensramen beskriver inte enskilda personers meriter utan ska fungera som ett översättningsverktyg som på systemnivå kan beskriva olika kvalifikationer i form av resultat av lärande. Det innebär att den ska underlätta jämförelser mellan de kvalifikationer som utfärdas i olika medlemsstater. För att bidra till att skapa förtroende för de

kvalifikationer som utfärdas rekommenderas medlemsstaterna att tillämpa de principer för kvalitetssäkring inom högre och yrkesinriktad utbildning som är framtagna till stöd för genomförandet av den europeiska referensramen för kvalifikationer (bilaga III till rekommendationen). För att underlätta jämförelse mellan ländernas kvalifikationer bör medlemsstaterna införa nationella referensramar som kan kopplas till den europeiska referensramen. Detta ska ske genom att medlemsstaterna på ett tydligt sätt hänvisar nivåerna i de nationella referensramarna till de nivåer som anges i den europeiska referensramen i bilaga II till rekommendationen om EQF. Medlemsstaterna rekommenderas också att se till att alla nya bevis på kvalifikationer och Europassdokument som utfärdas av behöriga myndigheter innehåller en tydlig hänvisning till den relevanta nivån i den europeiska referensramen för kvalifikationer. På så sätt kan man öka användarvänligheten och underlätta för arbetsgivare att förstå nivån på ett kvalifikationsbevis som en arbetssökande uppvisar. Rekommendationen har ersatts av rådets rekommendation av den 22 maj 2017 om den europeiska referensramen för kvalifikationer för livslångt lärande och om upphävande av Europaparlamentets och rådets rekommendation av den 23 april 2008 om en europeisk referensram för kvalifikationer för livslångt lärande (EUT C 189, 15.6.2017). Rekommendationen syftar till att stärka den europeiska referensramen som gemensam referensram med åtta uttryckta nivåer i form av läranderesultat, som fungerar som ett verktyg för översättning mellan olika referensramar eller system för kvalifikationer och deras olika nivåer (ingresspunkt 28).

I Sverige har den nationella referensramen reglerats i förordningen (2015:545) om referensram för kvalifikationer för livslångt lärande. Syftet med referensramen är enligt 1 § att underlätta jämförelser nationellt och internationellt av vilka nivåer sådana kvalifikationer motsvarar i fråga om kunskaper, färdigheter och kompetenser för att därigenom främja livslångt lärande och förbättra anställningsbarhet, rörlighet och social integration för arbetstagare och studerande inom EU. Referensramen består av åtta nivåer som finns i bilaga 1 till förordningen. En kvalifikation ska anses motsvara den nivå i referensramen som bäst överensstämmer med de kunskaper, färdigheter och kompetenser som kvalifikationen representerar. Kvalifikationer vars resultat av lärande är författningsreglerade motsvarar de nivåer som anges i bilaga 2 (3 §). Den som utfärdar en kvalifikation som inte anges i bilaga 2 får ansöka om att få ett beslut om vilken nivå kvalifikationen motsvarar i referensramen. En förutsättning för att en kvalifikation ska kunna motsvara en nivå i referensramen är att den som utfärdar kvalifikationen bedriver ett systematiskt kvalitetsarbete där kvalitetssäkring av kvalifikationen ingår. Ansökan prövas av Myndigheten för yrkeshögskolan. Ett beslut gäller i tio år (4 §).

I bilaga 2 till förordningen har kvalifikationer, vars resultat av lärande är författningsreglerade, från samtliga i detta avsnitt behandlade delar av utbildningsområdet nivåplacerats. Som exempel kan nämnas att slutbetyg från grundsärskolan och slutbetyg från särskild utbildning för vuxna på grundläggande nivå har placerats på nivå 1. På nivå 2 återfinns bl.a. slutbetyg från grundskolan, specialskolan, kommunal vuxenutbildning på grundläggande nivå, gymnasiesärskolebevis från gymnasiesärskolan,

gymnasiesärskolebevis från särskild utbildning för vuxna på gymnasial nivå, betyg från utbildning i svenska för invandrare kurs D, eller motsvarande utbildning som bedrivs vid folkhögskola, betyg från kommunal vuxenutbildning i svenska för invandrare kurs D, eller motsvarande utbildning som bedrivs vid folkhögskola samt i intyg om godkänt resultat från allmän kurs på grundskolenivå från folkhögskola. Det finns inga kvalifikationer inplacerade på nivå 3. På nivå 4 finns bl.a. gymnasieexamen från gymnasieskolan, gymnasieexamen från kommunal vuxenutbildning och intyg om godkänt resultat från allmän kurs på gymnasial nivå från folkhögskola. Nivå 5 innehåller gymnasieingenjörsexamen från gymnasieskolan och yrkeshögskoleexamen från yrkeshögskolan. På nivå 6 har bl.a. examina på grundnivå enligt bilaga 2 till högskoleförordningen och kvalificerad yrkeshögskoleexamen från yrkeshögskolan placerats. Examina på avancerad nivå enligt bilaga 2 till högskoleförordningen, bilagan till förordningen (1993:221) för Sveriges lantbruksuniversitet och bilagan till förordningen (2007:1164) för Försvarshögskolan finns på nivå 7 och slutligen finns på nivå 8 examina på forskarnivå enligt bilaga 2 till högskoleförordningen och bilagan till förordningen för Sveriges lantbruksuniversitet.

5.7. Behandling av personuppgifter hos myndigheter som inte själva bedriver utbildning behandlas med ett undantag inte i denna proposition

Behov av behandling av personuppgifter finns hos myndigheter vars verksamhet anknyter till det skollagsreglerade området men som inte själva anordnar eller bedriver utbildning, såsom Statens skolinspektion, Statens skolverk, Skolväsendets överklagandenämnd och Lärarnas ansvarsnämnd. På motsvarande sätt har myndigheter, vars verksamhet anknyter till högskoleområdet men som inte anordnar eller bedriver utbildning, behov av att behandla personuppgifter. Det gäller t.ex. Universitets- och högskolerådet (UHR), Universitetskanslersämbetet, Överklagandenämnden för högskolan och Högskolans avskiljandenämnd.

När det gäller yrkeshögskolan har Myndigheten för yrkeshögskolan (MYH), som är förvaltningsmyndighet för yrkeshögskolan och som är den myndighet som beslutar om stöd enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, behov av att behandla personuppgifter, även om MYH inte själv anordnar eller bedriver utbildning.

I propositionen Ny dataskyddslag görs bedömningen att den rättsliga grunden uppgift av allmänt intresse i artikel 6.1. e i dataskyddsförordningen är tillämplig på den verksamhet som myndigheterna bedriver inom ramen för sin befogenhet. (prop. 2017/18:105 s. 57). Vidare föreslås i den propositionen generella bestämmelser för behandling av personuppgifter som bl.a. gäller myndigheters behandling av känsliga personuppgifter och lagöverträdelser (3 kap. 3–4 §§ och 8 § dataskydds-

lagen). Regeringen bedömer mot denna bakgrund att det i fråga om personuppgiftsbehandling hos ovan nämnda myndigheter redan har lämnats förslag och bedömningar i propositionen Ny dataskyddslag som medför att det saknas anledning att även i denna proposition behandla samma frågor. I de fall det därutöver finns behov av anpassningar till den nya dataskyddsregleringen i fråga om ovan nämnda myndigheter bedöms detta kunna ske inom ramen för det fortsatta förordningsarbetet.

När det gäller studiestödet kan konstateras att CSN visserligen inte bedriver utbildning. Som nämnts i avsnitt 4.3. finns det dock registerförfattningar på studiestödsområdet och dessa behöver anpassas till den nya dataskyddsförordningen och den nya dataskyddslagen. Frågor om studiestödet behandlas därför i denna proposition.

6. För att personuppgiftsbehandling ska vara laglig krävs en rättslig grund

Som framgått av avsnitt 4 får behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde bara ske om det finns en tillämplig rättslig grund. Dessa är enligt artikel 6.1 att – den registrerade har lämnat sitt samtycke till att dennes person-

uppgifter behandlas för ett eller flera specifika ändamål (samtycke, artikel 6.1 a), – behandlingen är nödvändig för att fullgöra ett avtal i vilket den

registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (avtal, artikel 6.1 b), – behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som

åvilar den personuppgiftsansvarige (rättslig förpliktelse, artikel 6.1 c), – behandlingen är nödvändig för att skydda intressen som är av grund-

läggande betydelse för den registrerade eller för en annan fysisk person (skydda intressen, artikel 6.1 d), – behandlingen är nödvändig för att utföra en uppgift av allmänt

intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (uppgift av allmänt intresse och myndighetsutövning, artikel 6.1 e), eller – behandlingen är nödvändig för ändamål som rör den personupp-

giftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning, artikel 6.1.f).

Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.

Som framgått av avsnitt 4 förtydligas i skäl 43 till dataskyddsförordningen att utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är

begränsat. Vidare är skillnaderna mot gällande rätt att det inte är tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning, och att de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt skäl 41 i dataskyddsförordningen bör den rättsliga grunden vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.

Nedan ges en närmare redogörelse för de rättsliga grunderna samtycke, uppgift av allmänt intresse, myndighetsutövning, rättslig förpliktelse och intresseavvägning.

6.1. Samtycke som rättslig grund

Om en behandling grundar sig på samtycke ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (artikel 6.1 a och 7.1).

Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11).

Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).

Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).

Artikel 29-gruppen, som är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet bestående av en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna, en företrädare för EU-kommissionen och den europeiske datatillsynsmannen, har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de be-

handlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en uppgift av allmänt intresse snarare än samtycke (yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 13–14 och 16–17).

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. I propositionen Ny dataskyddslag gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (s. 58).

6.2. Uppgift av allmänt intresse som rättslig grund

Enligt artikel 6.1.e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för behandlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av artikel 6.3 sista meningen framgår att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Vilka uppgifter är av allmänt intresse?

Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte har definierats vare sig i dataskyddsdirektivet eller i dataskyddsförordningen och innebörden har heller inte ännu utvecklats av EU-domstolen.

Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 till dataskyddsförordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det kan konstateras att begreppet förekommer i motsvarande bestämmelser i dataskyddsdirektivet (artikel 7 e) och personuppgiftslagen (10 § d) och att ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser.

Som anförts i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 56) gör regeringen bedömningen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. På motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och landsting att utföra av allmänt intresse. Detta måste enligt regeringens mening gälla även i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse.

Begreppet uppgifter av allmänt intresse omfattar inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i dataskyddsförordningen (den rättsliga grunden rättslig förpliktelse) behöver den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid enligt kommunallagen (2017:725) begränsad till angelägenheter av just allmänt intresse. Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna. Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas tillhandahållande av bostäder och fritids- och idrottsanläggningar, åtgärder för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obligatorisk uppgift).

Vissa myndigheter, t.ex. Lantmäteriet, har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet måste enligt regeringens mening anses vara motiverad av ett allmänt intresse.

Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är således av allmänt intresse. Det är därmed den rättsliga grunden uppgift av allmänt intresse som vanligen bör tillämpas av myndigheter. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.

Vid tillämpningen av den rättsliga grunden allmänt intresse spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör.

I propositionen Ny dataskyddslag anser regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse (prop. 2017/18:105 s. 56). Detta för att myndigheternas verksamhet ska kunna fungera även i fortsättningen mot bakgrund av dataskyddsförordningens begränsningar för myndigheter att tillämpa såväl samtycke som intresseavvägning som rättsliga grunder för att behandla personuppgifter inom ramen för sin verksamhet. Ytterligare en väsentlig förändring i förhållande till gällande rätt är att det enligt dataskyddsförordningen inte räcker med att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med unionsrätten eller nationell rätt.

Vad avses med att den rättsliga grunden ska vara fastställd i nationell rätt?

I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 48 f.) framhålls att kraven i artikel 6.3 på att grunden för behandlingen ska fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, inte innebär att det krävs en reglering i den nationella rätten av den personuppgiftsbehandling som ska ske med stöd av art. 6.1.e utan det som måste ha stöd i rättsordningen i stället är uppgiften av allmänt intresse. Något motsvarande krav på att grunden för

behandlingen ska vara fastställd i unionsrätt eller nationell rätt finns inte i dataskyddsdirektivet. Det har därför t.ex. ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om uppgiften inte är fastställd i författning eller liknande. Detta har bl.a. inneburit att grunden uppgift av allmänt intresse har kunnat åberopas av enskilda som utför sådana uppgifter utan författningsstöd. I detta avseende innebär dataskyddsförordningen en väsentlig förändring i förhållande till vad som gäller idag.

Att grunden för en behandling ska vara fastställd i nationell rätt är visserligen en nyhet i förhållande till dataskyddsdirektivet, men i nämnda proposition konstateras att det inte är någon nyhet när det gäller svenska myndigheters behandling av personuppgifter då legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat (s. 50). Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26 s. 59). Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.

När det gäller den bestämmelse i artikel 6.3 som anger att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas konstateras i propositionen Ny dataskyddslag att bestämmelsen motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att dataskyddsförordningens krav i artikel 6.3 är uppfyllt i fråga om bl.a. de uppgifter av allmänt intresse som fastställs i enlighet med svensk rätt.

Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Statliga myndigheter får sina uppdrag och befogenheter av riksdag och regering – i myndighetsinstruktioner, regleringsbrev och andra regeringsbeslut. På motsvarande sätt följer de kommunala myndigheternas obligatoriska uppgifter av åligganden som fastställts i lag eller förordning. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden. En behandling av personuppgifter måste dock i det enskilda fallet vara nödvändig i förhållande till uppgiften av allmänt intresse och följa de

grundläggande principer som gäller för personuppgiftsbehandling i art. 5 (se mer om nödvändighetsrekvisitet nedan och om nämnda principer i avsnitt 7.1). Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen (2017:900), där det anges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.

Såväl offentliga som privata aktörer kan tillämpa den rättsliga grunden uppgift av allmänt intresse

Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns det en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det saknar då betydelse om en privat aktör utför verksamheten på direkt uppdrag av en myndighet eller på eget initiativ.

Avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende förskoleverksamhet och skola, hälso- och sjukvård samt stöd och service till personer med funktionsnedsättning. Inom den traditionellt statliga sektorn kan nämnas rikstäckande infrastruktur, kommunikation och energiförsörjning. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fri stående från den offentliga sektorn. I flera av dessa fall är verksamheten av kommersiell karaktär och bygger i viss utsträckning på avtal med den registrerade. I den mån behandling av personuppgifter är nödvändig kan den i sådana fall ske med stöd av artikel 6.1 b i dataskyddsförordningen (den rättsliga grunden avtal), även om uppgiften inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs dock uppgiften i bl.a. hälso- och sjukvårdslagen (2017:30). På motsvarande sätt regleras uppgiften att tillhandahålla stöd och service till personer med funktionsnedsättning av lagen (1993:387) om stöd och service till vissa funktionshindrade och uppgiften att tillhandahålla insatser inom socialtjänsten av socialtjänstlagen (2001:453). Skolväsendets uppgifter fastställs i skollagen, som gäller för både offentliga och enskilda anordnare av utbildning. I avsnitt 5 beskrivs kortfattat på vilket sätt även andra uppgifter på utbildningsområdet har fastställts i svensk rätt.

De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande måste anses vara av denna karaktär oavsett om de faktiskt utförs i myndighetens egen regi eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig

myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså även den privata utföraren, entreprenören eller det kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet avseende en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.

Det bör noteras att en uppdragstagare som är personuppgiftsbiträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen. När det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen eller att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten.

Reglering i dataskyddslagen

Av skäl 41 till dataskyddsförordningen kan man dra slutsatsen att den rättsliga grunden inte måste fastställas i en av riksdagen beslutad lag men däremot att grunden måste vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt. Vad detta konkret innebär i svensk rätt när det gäller uppgift av allmänt intresse har preciserats i förslaget till dataskyddslag (2 kap. 2 § 1). Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Av skäl 41 framgår också att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart.

Nödvändighetsrekvisitet

Som nämnts ovan får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (art. 6 1 e). Syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse (art. 6.3).

Nödvändighetsrekvisitet gäller redan enligt artikel 7 dataskyddsdirektivet och 10 § PUL. Enligt Svenska Akademiens Ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan

underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta innebörd. Nödvändighetsrekvisitet i artikel 7 i dataskyddsdirektivet har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av nödvändighetsrekvisitet i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.

Att det ska vara nödvändigt att behandla en uppgift ska enligt regeringens bedömning således inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resultatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening. Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (prop. 2017/18:105 s. 60).

6.3. Myndighetsutövning som rättslig grund

Enligt dataskyddsförordningen får personuppgifter även behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. För att grunden ska kunna tillämpas krävs att rätten att utöva myndighet är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Den personuppgiftsansvarige behöver inte vara skyldig att utföra uppgiften för att den rättsliga grunden ska vara tillämplig, men behandlingen måste vara nödvändig (artikel 6.1 e andra ledet och 6.3). Vad som avses med att en rättslig grund ska vara fastställd i nationell rätt och att en behandling ska vara nödvändig har behandlats i avsnitt 6.1.2.

Begreppet myndighetsutövning har en EU-gemensam innebörd. I propositionen Ny dataskyddslag (prop. 2017/18:105) anges att utgångspunkten i svensk rätt är att det som i Sverige brukar anses som myndig-

hetsutövning faller under begreppet och att detta bör gälla även fortsättningsvis (s. 62). Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde.

Av naturliga skäl är det i första hand statliga och kommunala myndigheter som ägnar sig åt myndighetsutövning. Även juridiska och fysiska personer kan dock med stöd av lag anförtros förvaltningsuppgifter som innefattar myndighetsutövning (12 kap. 4 § RF). I propositionen Ny dataskyddslag noteras att den rättsliga grunden myndighetsutövning kan tillämpas av alla personuppgiftsansvariga som har tilldelats myndighetsutövande befogenheter (prop. 2017/18:105, s. 63

)

.

Liksom i fråga om den rättsliga grunden uppgift av allmänt intresse, får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att efterleva den rättliga grunden myndighetsutövning. Detta får ske genom att närmare fastställa specifika krav för personuppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling (artikel 6.2 i dataskyddsförordningen).

I propositionen Ny dataskyddslag föreslås att det i dataskyddslagen tydliggörs hur den rättsliga grunden myndighetsutövning kan vara uttryckt. Enligt förslaget i 2 kap. 2 § 2 dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.

6.4. Rättslig förpliktelse som rättslig grund

Dataskyddsförordningen tillåter även behandling av personuppgifter om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. För att grunden ska kunna tillämpas krävs att den rättsliga förpliktelsen är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.1 c och 6.3 första stycket).

Till skillnad från de rättsliga grunderna uppgift av allmänt intresse och myndighetsutövning, ska syftet med behandlingen fastställas i den rättsliga grunden (artikel 6.3 andra stycket). I propositionen Ny dataskyddslag anges att kravet torde innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår av den reglering som förpliktelsen grundas på eller det beslut där förpliktelsen anges. Det ska alltså vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifter ska ske (prop. 2017/18:105 s. 54).

I fråga om den rättsliga grunden rättslig förpliktelse gör dataskyddsförordningen inte skillnad på offentliga eller privata organ.

Liksom i fråga om de rättsliga grunderna uppgift av allmänt intresse och myndighetsutövning, får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att efterleva den rättliga grunden rättslig förpliktelse. Detta får ske genom att närmare fastställa specifika krav för personuppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling (artikel 6.2 i dataskyddsförordningen).

I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att det anges i 2 kap. 1 § dataskyddslagen att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag eller annan författning, följer av kollektivavtal, eller följer av beslut som har meddelats med stöd av lag eller annan författning.

6.5. Intresseavvägning som rättslig grund

Behandling av personuppgifter är enligt dataskyddsförordningen även laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (artikel 6.1 f första stycket)

Som nämnts tidigare gäller denna grund inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter (artikel 6.1 f andra stycket).

I propositionen Ny dataskyddslag gör regeringen bedömningen att när det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten (prop. 2017/18:105 s. 59).

7. Principer som måste följas vid behandling av personuppgifter

7.1. Allmänna principer för personuppgiftsbehandling

Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen innebär inte att behandling kan ske av vilka upp-

gifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen.

Dataskyddsförordningen innehåller ett antal principer som gäller och ska tillämpas vid all behandling av personuppgifter. Dessa principer är i stort sett desamma enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna efterlevs. Principerna framgår av artikel 5 i dataskyddsförordningen.

För det första ska uppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet, artikel 5.1 a).

Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska emellertid inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning, artikel 5.1 b).

Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering, artikel 5.1 c).

Uppgifterna ska dessutom vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet, artikel 5.1.d).

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering, artikel 5.1.e).

Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet, artikel 5.1 f).

7.2. Det finns en särskild reglering för s.k. känsliga personuppgifter

Dataskyddsförordningen innehåller, i likhet med dataskyddsförordningen, ett principiellt förbud mot behandling av särskilda kategorier av uppgifter samt flera undantag från detta förbud (artikel 9 i dataskyddsförordningen respektive 8 i dataskyddsdirektivet). I PUL används benämningen känsliga uppgifter för de personuppgifter som omfattas av denna särskilda reglering. Dessa är enligt dataskyddsdirektivet och PUL upp-

gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I dataskyddsförordningen utvidgas den särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Förbudet ska enligt artikel 9.2 inte tillämpas i någon av de situationer som beskrivs i artikel 9.2 a–j. Förbudet gäller t.ex. inte om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionslagstiftningen eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

Ska uppgifterna benämnas särskilda kategorier av personuppgifter eller känsliga personuppgifter?

I såväl det nuvarande dataskyddsdirektivet som i dataskyddsförordningen benämns de personuppgifter som omfattas av förbudet som särskilda kategorier av personuppgifter i artikeltexten. I dataskyddsförordningens beaktandeskäl omnämns de på ett par ställen som känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL har särskilda kategorier av personuppgifter kallats känsliga personuppgifter utan att detta närmare har kommenterats i förarbetena. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslår regeringen att begreppet känsliga personuppgifter fortsatt bör användas som samlingsbenämning i dataskyddslagen för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen. Bakgrunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext.

7.3. Den finns även en särskild reglering om personuppgifter om lagöverträdelser

Dataskyddsförordordningen innehåller även en artikel om behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder (artikel 10). Behandling av sådana personuppgifter får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Artikel 10 i dataskyddsförordningen skiljer sig något från regleringen i artikel 8.5 dataskyddsdirektivet. Förordningens bestämmelse har begränsats till enbart fällande brottmålsdomar och överträdelser eller därmed sammanhängande säkerhetsåtgärder. En annan skillnad i förord-

ningen jämfört med direktivet är att hänvisningen till personuppgifter om avgöranden i tvistemål och administrativa sanktioner har tagits bort.

8. Anordnande av utbildning är både en uppgift av allmänt intresse och ett viktigt allmänt intresse

Regeringens bedömning: Anordnande och bedrivande av utbildning är en uppgift av allmänt intresse enligt artikel 6.1. e i dataskyddsförordningen. Anordnande och bedrivande av utbildning är även ett sådant viktigt allmänt intresse som krävs för behandling av känsliga personuppgifter enligt artikel 9.2 g i dataskyddsförordningen.

Utredningens bedömning: Överensstämmer med regeringens bedömning att utbildning är en uppgift av allmänt intresse. Utredningen har dock inte redovisat sin bedömning i detta avseende på ett samlat sätt för hela utbildningsområdet. Utredningen har inte heller redovisat någon samlad bedömning i frågan om utbildning är ett viktigt allmänt intresse, utan har redovisat en bedömning i fråga om några delar av utbildningsområdet samt lämnat förslag till ändringar i skollagen och lagen om yrkeshögskolan som utgår från att anordnande av utbildning enligt dessa lagar är ett viktigt allmänt intresse.

Remissinstanserna: Datainspektionen delar bedömningen att anordnande och bedrivande av utbildning i och för sig kan uppfylla ett allmänt intresse. Remissinstanserna i övrigt har inte haft några synpunkter på om anordnande och bedrivande av utbildning i och för sig utgör en uppgift av allmänt intresse. Det stora flertalet remissinstanser har inte heller några synpunkter på eller har inget att erinra mot utredningens bedömningar rörande utbildning som ett viktigt allmänt intresse

.

Datainspektionen ifrågasätter om utredningens förslag till undantag som möjliggör behandling av känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen uppfyller artikelns krav på viktigt allmänt intresse.

Skälen för regeringen bedömning: Av principerna för behandling av personuppgifter i dataskyddsförordningen framgår att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet, artikel 5.1 a). För att en behandling ska vara laglig krävs att det finns en rättslig grund för behandlingen. Som framgår av avsnitt 6 krävs för att den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 ska kunna åberopas att grunden för behandlingen ska fastställas i unionsrätten eller i nationell rätt som den personuppgiftsansvarige omfattas av.

I artikel 14.1 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fortbildning.

I Fördraget om Europeiska unionens funktionssätt anges också att EU ska bidra till utvecklingen av en utbildning av god kvalitet genom att

främja samarbetet mellan medlemsstaterna och genom att vid behov stödja och komplettera deras insatser, och genomföra en yrkesutbildningspolitik som ska understödja och komplettera medlemsstaternas insatser (artikel 165.1 och 166.1). På EU-nivå har det även på flera sätt kommit till uttryck att utbildning ur flera perspektiv tillskrivs en viktig roll inom unionen. Några exempel på detta är följande.

En viktig del i Europa 2020-strategin, som är EU:s agenda för tillväxt och jobb fram till 2020, är kvantitativa mål på EU-nivå inom fem områden, varav utbildning utgör ett område. Målen fastställdes av Europeiska rådet i juni 2010 och ska vara uppfyllda senast 2020. Medlemsstaterna har även fastställt nationella mål inom samma områden, dvs. bland annat på utbildningsområdet. Uppnådda framsteg avseende de nationella målen redovisas årligen till EU-kommissionen.

I rådets slutsatser av den 12 maj 2009 om en strategisk ram för europeiskt utbildningssamarbete (Utbildning 2020) betonas dels att utbildning är av avgörande betydelse när det gäller att möta de många socioekonomiska, demografiska, miljömässiga och tekniska utmaningar som Europa och dess medborgare står inför i dag och kommer att stå inför under kommande år, dels att effektiv investering i humankapital genom förbättrade utbildningssystem är en väsentlig del av den europeiska strategin för att skapa den höga hållbara och kunskapsbaserade tillväxt och sysselsättning som utgör kärnan i Lissabonstrategin, samtidigt som självförverkligande, social sammanhållning och aktivt medborgarskap främjas (EUT C 119, 28.5.2009).

Som nämnts i avsnitt 5.6 beslutade vidare Europaparlamentet och rådet den 23 april 2008 en rekommendation om en europeisk referensram för kvalifikationer för livslångt lärande (rekommendationen om EQF, EUT C 111, 6.5.2008). Syftet med rekommendationen är att bidra till att modernisera utbildningssystemen inom Europa samt stärka kopplingarna mellan utbildning och arbetsliv (ingresspunkt 13). Med kvalifikation avses ett dokumenterat resultat av lärande i form av kunskaper, färdigheter och kompetenser, t.ex. utbildningsbevis, examina, certifikat och diplom. För att underlätta jämförelse mellan ländernas kvalifikationer bör medlemsstaterna införa nationella referensramar som kan kopplas till den europeiska referensramen. I Sverige har den nationella referensramen reglerats i förordningen (2015:545) om referensram för kvalifikationer för livslångt lärande. Syftet med referensramen är enligt 1 § att underlätta jämförelser nationellt och internationellt av vilka nivåer sådana kvalifikationer motsvarar i fråga om kunskaper, färdigheter och kompetenser för att därigenom främja livslångt lärande och förbättra anställningsbarhet, rörlighet och social integration för arbetstagare och studerande inom EU. I bilaga 2 till förordningen har kvalifikationer vars resultat av lärande är författningsreglerade nivåplacerats. Som framgått har kvalifikationer från såväl skollagsreglerad verksamhet, universitet och högskolor, yrkeshögskolan och folkbildningen nivåplacerats i den bilagan. I övrigt kan en kvalifikation nivåplacerats efter beslut av Myndigheten för yrkeshögskolan.

Vikten av utbildning framhålls också i den svenska grundlagen. I regeringsformen (RF) anges att det allmänna särskilt ska trygga rätten till bl.a. utbildning, att alla barn som omfattas av den allmänna skolplikten har rätt till kostnadsfri grundläggande utbildning i allmän skola och att

det allmänna också ska svara för att högre utbildning finns (1 kap. 2 § andra stycket och 2 kap. 18 § första stycket RF). I Europeiska konventionen till skydd för de mänskliga rättigheterna anges att ingen får förvägras rätten till undervisning (artikel 2 i protokollet till konventionen). Konventionen gäller enligt lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna, som svensk lag

Regeringen anser att det redan i EU-rätten finns stöd för att utbildning utgör såväl en uppgift av allmänt intresse som ett viktigt allmänintresse. Det faktum att rätten till utbildning också lyfts fram i svensk grundlag och i Europakonventionen om mänskliga rättigheter bekräftar detta. Även förekomsten av den europeiska referensramen för kvalifikationer för livslångt lärande och de till den referensramen anslutande nationella referensramarna bekräftar detta.

Nedan kommer regeringen i avsnitt 9 att redogöra för andra mer specifika författningar inom de olika delarna av utbildningsområdet som bidrar till att anordnande och bedrivande av utbildning inom respektive del av utbildningsområdet anses vara en fastställd uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. I anslutning till detta redogörs även för vilka andra rättsliga grunder i artikel 6.1 som skulle kunna vara aktuella att tillämpa inom olika delar av utbildningsområdet.

Frågan vilken kompletterande reglering som behövs i svensk rätt för att känsliga personuppgifter och uppgifter om lagöverträdelser ska kunna behandlas på utbildningsområdet i den utsträckning som är nödvändigt återkommer regeringen till i avsnitt 13 och 14.

9. Rättsliga grunder för personuppgiftsbehandling inom utbildningsområdet

9.1. Skollagsreglerad verksamhet

9.1.1. Vilka personuppgifter behandlas inom skollagsreglerad verksamhet?

Nedan ges en översiktlig beskrivning av de huvudsakliga behandlingar av personuppgifter som sker på det skollagsreglerade området. En närmare redogörelse för behandlingar av känsliga personuppgifter och uppgifter om lagöverträdelser ges i avsnitt 13.3.1 och 14.3.1.

Behandling vid mottagande och erbjudande av plats

Inom kommunernas organisation för bl.a. mottagande och erbjudande av plats i de olika skolformerna behandlas bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa. Sådan behandling förekommer även när andra huvudmän prövar frågor om mottagande, såsom Specialpedagogiska skolmyndigheten som prövar frågor om mottagande i specialskolan, och Sameskolstyrelsen som prövar frågor

om mottagande i sameskolan. Inför mottagandet i vissa skolformer, t.ex. grundsärskolan (som är avsedd för barn med en utvecklingsstörning), specialskolan (som är avsedd för barn med vissa funktionsnedsättningar) och särskild utbildning för vuxna (som är avsedd för vuxna med en utvecklingsstörning) behandlas också känsliga personuppgifter. Inför mottagandet av elever i sameskolan behandlas uppgifter som kan avslöja etniskt ursprung.

Behandling inom skolväsendet

Personuppgifter om barn och elever behandlas i skolväsendet för administrativa ändamål för att kunna planera, genomföra och följa upp elevernas utbildning. Inom skolornas elevadministration behandlas uppgifter om bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa. Vid skapandet av klasslistor behandlas personuppgifter i form av namn och adress. I skolorna behandlas också elevens personuppgifter i samband med registrering av elevers frånvaro respektive närvaro. Personuppgifter behandlas i dokumentation inför bl.a. utvecklingssamtal, vid upprättandet av skriftliga individuella utvecklingsplaner i låg- och mellanstadiet och vid upprättande av individuella studieplaner i gymnasieskolan, gymnasiesärskolan och vuxenutbildningen. Personuppgifter behandlas också under och vid dokumentation av olika typer av utredningar, t.ex. om särskilt stöd eller vid kränkande behandling. Vid upprättandet av t.ex. en lista över elevers ämnesval, såsom språkval och modersmålsundervisning, behöver också personuppgiftsbehandling ske. Även vid dokumentation inför betygssättning och av själva betygssättningen, t.ex. i betygsregister, behandlas elevernas personuppgifter i form av namn, personnummer och betyg i ämnen, kurser och gymnasiearbete (t.ex. 3 kap.8 och 13 §§, 6 kap. 10 §, 7 kap. 17 §, 10 kap.7, 12 och 13 §§, 15 kap.19 och 20 §§ och 16 kap. 25 §skollagen).

Även vid lämnande av information till eleven eller elevens vårdnadshavare kan personuppgiftsbehandling bli aktuell beroende på hur informationen lämnas t.ex. genom ett e-postmeddelande (3 kap. 4 § skollagen).

Beroende av val av it-lösning kan det administrativa systemet vara integrerat med funktioner för det dagliga pedagogiska och administrativa arbetet för lärarna med t.ex. närvarohantering, betygssättning, provscheman, planeringar, nyheter, elevinlämningar och kommunikation mellan lärare och elev respektive vårdnadshavare.

Elevernas personuppgifter kan även behandlas automatiskt i undervisningen genom att t.ex. en lärare anvisar eleverna till att lämna in en uppsats via en lärplattform eller via e-post. En annan situation där det sker personuppgiftsbehandling är om eleverna får ett konto på skolans server eller får en bärbar dator och eleverna använder dessa till att t.ex. skriva sina elevarbeten eller leta efter information på internet.

Personuppgiftsbehandling förekommer också i form av att eleverna fotograferas av personalen i syfte att dokumentera verksamheten och vid skolfotografering. Personuppgiftsbehandling i form av ljud- och filminspelningar kan även förekomma i undervisningssammanhang, vid elevarbeten och för bedömning.

Även i skolbiblioteken behandlas elevernas personuppgifter för att personalen ska kunna ha kontroll över vilka böcker som är utlånade till vem.

Skolorna behandlar även elevernas personuppgifter vid resultatuppföljningar som görs för huvudmannens systematiska kvalitetsarbete och för nationell uppföljning och utvärdering (4 kap. 3 § och 26 kap. 25 §skollagen, förordningen [1992:1083] om viss uppgiftsskyldighet för huvudmännen inom skolväsendet m.m. och Skolverkets föreskrifter [SKOLFS 2011:142] om uppgiftsinsamling från huvudmännen inom skolväsendet m.m., ändrad genom [SKOLFS 2017:18]).

Särskilt om behandling i förskolan, fritidshemmet och pedagogisk omsorg

I förskolorna, fritidshemmen och pedagogisk omsorg behandlas barnens och elevernas personuppgifter i form av i vart fall namn för att kunna planera och genomföra respektive uppdrag att stimulera barnens och elevernas utveckling och lärande. Personalen i respektive verksamhet behöver även kunna notera när ett barn eller en elev kommit respektive gått för dagen. Personuppgiftsbehandling förekommer också i form av att barnen fotograferas av personalen i syfte att dokumentera verksamheten och barnens lärande och inför samtal med vårdnadshavare. Även inom dessa verksamheter kan det finnas behov av att kunna behandla känsliga personuppgifter, t.ex. uppgifter om allergier.

Särskilt om fristående förskolors och skolors behandling

Huvudmän för fristående förskolor och skolor har behov av att behandla samma uppgifter som offentliga huvudmän. Därutöver behandlar enskilda huvudmän även barnens och elevernas personuppgifter i samband med att de informerar kommunen om att de tagit emot ett barn eller en elev för att huvudmannen ska få bidrag från hemkommunen. I de fall en elev har ett omfattande behov av särskilt stöd eller ska erbjudas modersmålsundervisning ska hemkommunen betala ett tilläggsbelopp. I ansökan om tilläggsbelopp förekommer känsliga personuppgifter om eleven, t.ex. uppgift om funktionsnedsättning och behov av tekniska hjälpmedel (9 kap.19 och 21 §§ och 10 kap.37 och 39 §§skollagen). Sådana uppgifter kan även förekomma om en ansökan om tilläggsbelopp överklagas med stöd av 28 kap. 5 § skollagen.

Särskilt om behandling av känsliga personuppgifter

Känsliga personuppgifter kan förekomma vid vissa personuppgiftsbehandlingar, t.ex. i uppgiftssamlingar om allergier inom elevhälsan och i samband med skolmåltider, uppgifter om funktionsnedsättning och olika diagnoser inom elevhälsan, elevhälsoteam och åtgärdsprogram. I elevernas individuella utvecklingsplaner kan integritetskänsliga omdömen och bedömningar av elevernas möjligheter att nå kunskapskraven förekomma.

När en skola utreder och beslutar om särskilt stöd respektive åtgärdsprogram behandlas också personuppgifter som kan vara känsliga (3 kap. skollagen). Sådan behandling av personuppgifter kan även förekomma

inom elevhälsans psykosociala och specialpedagogiska verksamhet som inte omfattas av patientdatalagen.

Känsliga personuppgifter om hälsa kan även behöva behandlas i samband med att skolbibliotek förfogar över upphovsrättsligt skyddade verk som elever med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

Om disciplinära åtgärder vidtas ska dessa dokumenteras skriftligt varvid personuppgiftsbehandling sker (3 kap.5 a, 8 och 9 §§ och 5 kap. 24 §skollagen).

Som har nämnts ovan behandlas vidare känsliga personuppgifter om hälsa vid prövning av mottagande i grundsärskolan, specialskolan, gymnasiesärskolan, och särskild utbildning för vuxna enligt 7, 18 och 21 kap. skollagen. Även en uppgift om att en elev går i en sådan skola är en känslig uppgift. Motsvarande gäller känsliga personuppgifter om etnicitet vid mottagande och fullgörande av skolplikt i sameskolan.

Behovet av behandling av känsliga personuppgifter på det skollagsreglerade området redogörs för närmare i avsnitt 13.3.

9.1.2. Den rättsliga grunden uppgift av allmänt intresse kan användas inom skollagsreglerad verksamhet

Regeringens bedömning: Genom bestämmelser i skollagen med anslutande föreskrifter och beslut fattade med stöd av dessa är tillhandahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet en i svensk rätt fastställd uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.

Utredningens bedömning:

Överensstämmer med regeringens bedöm-

ning.

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,

Barnombudsmannen, Askersunds kommun, Eskilstuna kommun, Eslövs kommun och Halmstads kommun har inte några synpunkter på bedömningen. Sveriges Kommuner och Landsting, Friskolornas riksförbund och Specialpedagogiska skolmyndigheten delar uttryckligen utredningens bedömning.

Även Stockholms kommun delar bedömningen, men är tveksam till om den rättsliga grunden fullt ut täcker digitala läromedel som är molnbaserade antingen genom olika typer av webbtjänster eller genom applikationer. Vissa av dessa tjänster skulle kunna hanteras på sådant sätt att det innebär att personuppgifter inte behöver behandlas och därmed kan det ifrågasättas om det uppfyller kravet på nödvändighet enligt artikel 6.1 e i fördraget. Även Luleå kommun pekar på svårigheten att avgöra om en applikation är nödvändig för att fullgöra en undervisningsuppgift.

Datainspektionen anser att utredningens redovisning är bristfällig.

Inspektionen anser att den behöver kompletteras med en analys som visar

vilken behandling som är nödvändig utifrån skolornas verksamhet och en redovisning som visar att skollagen och därtill hörande bestämmelser ger stöd för den behandlingen och att dessa är tydliga, precisa och dess

tillämpning förutsägbar för personer som omfattas av den.

Inspektionen

anser vidare att det inte möjligt att presumera att de åtgärder som myndigheterna vidtar i syfte att utföra sina uppdrag och åligganden och som antagits i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre i sig har en legal grund som offentliggjorts genom tydliga, precisa och förutsägbara regler. Enligt Datainspektionen har utredningen inte visat att det kommer att finnas rättsligt stöd för all behandling av personuppgifter som är av betydelse för skolverksamheterna. Vilhelmina kommun delar bedömningen att det saknas tillräcklig analys.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning

Som framgått av föregående avsnitt finns det behov av att behandla en rad personuppgifter på det skollagsreglerade området. Som anges i avsnitt 6 förutsätter personuppgiftsbehandlingen en i EU-rätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskyddsförordningen).

Tillhandahållande, anordnande och bedrivande av utbildning är en uppgift av allmänt intresse

Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.2.

Som framgår av avsnitt 8 anser regeringen att det av såväl EU-rätten som regeringsformen framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. Skolväsendet, som beskrivs i avsnitt 5.1, regleras i skollagen med anslutande föreskrifter. I förarbetena till den nuvarande skollagen anförs att utbildningen är av betydelse både för den enskilda individens utveckling och för samhällsutvecklingen (prop. 2009/10:165 s. 634). Regeringen har i två propositioner från i mars 2017 ansett att undervisning inom skolväsendet får anses vara en uppgift av allmänt intresse i den mening som avses i 10 § PUL (prop. 2016/17:156 s. 43 och prop. 2016/17:161 s. 21).

Skollagen innehåller förutom bestämmelser om skolväsendet och särskilda utbildningsformer även bestämmelser om bl.a. annan pedagogisk verksamhet i form av pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds (25 kap.). Även om annan pedagogisk verksamhet i strikt mening inte skulle inrymmas i begreppet utbildning så erbjuds sådan verksamhet huvudsakligen i stället för eller som komplement till förskola eller fritidshem. Enligt regeringens bedömning bör därför även annan pedagogisk verksamhet vara en uppgift av allmänt intresse i dataskyddsförordningens mening. Detsamma gäller för öppen fritidsverksamhet som erbjuds av en huvudman.

I egenskap av hemkommun har en kommun enligt skollagen ansvar för en rad viktiga uppgifter i samband med utbildningen. Det handlar t.ex. om att se till att utbildning i olika skolformer kommer till stånd för alla barn i kommunen, att tillhandahålla skolskjuts eller att lämna bidrag till enskilda huvudmän för fristående förskolor och fristående skolor. Dessa uppgifter utgör viktiga förutsättningar för en fungerande skolverksamhet och bör därför enligt regeringens bedömning anses som uppgifter av allmänt intresse i dataskyddsförordningens mening.

Regeringens bedömning är således att tillhandahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet enligt skollagen med anslutande föreskrifter är en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

Även det förhållandet att vissa utbildningar på grundläggande och gymnasial nivå kan berättiga till studiestöd enligt studiestödslagen och studiestödsförordningen kan enligt regeringens uppfattning läggas till grund för bedömningen om att anordnande och bedrivande av dessa utbildningar är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

Den rättsliga grunden är fastställd i bl.a. skollagen

Av artikel 6.3 dataskyddsförordningen framgår att när det är fråga om behandling av personuppgifter som är nödvändiga för att utföra en uppgift av allmänt intresse ska grunden för behandlingen fastställas i enlighet med unionsrätten eller nationell rätt. I förslaget till dataskyddslag tydliggörs att den rättsliga grunden uppgift av allmänt intresse kan vara fastställd i svensk rätt om uppgiften följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 2 §). Av kommentaren paragrafen framgår att även privaträttsligt bedriven verksamhet av allmänt intresse omfattas av formuleringen (prop. 2017/18:105 s. 190).

Av 2 kap. skollagen framgår att huvudmän inom skolväsendet är kommuner, landsting, staten och, efter godkännande, enskilda. Skolväsendets, de särskilda utbildningsformernas och annan pedagogisk verksamhets samt hemkommunernas uppdrag och åligganden framgår av skollagen men även av flera förordningar som alla antagits i enlighet med grundlagens bestämmelser om normgivningskompetens.

Skollagen anger vilka ramar som gäller för all skolverksamhet. Där finns de övergripande målen och riktlinjerna för skolan. Vidare framgår att det ska finnas en läroplan för varje skolform och fritidshemmet som utgår från bestämmelserna i skollagen av (1 kap. 11 § skollagen). Läroplanerna, som är förordningar, ska tillsammans med skollagen styra verksamheten i skolan. I ämnes- och kursplanerna står vilket syfte och mål undervisningen i varje ämne ska ha. Kursplanerna talar inte om hur undervisningen ska läggas upp eller vilka arbetssätt som ska användas. Däremot anger kursplanerna vilka kunskapskvalitéer som ska utvecklas hos eleverna.

Av 2 kap. 8 § skollagen framgår att huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i denna lag, föreskrifter som har meddelats med stöd av lagen och de bestämmelser för

utbildningen som kan finnas i andra författningar. Detta gäller såväl offentliga som enskilda huvudmän.

Skollagen är en omfattande lag som är ca 150 sidor lång. Den närmare innebörden av uppdragen och åliggandena inom olika skolformer framgår av 2–21 kap. skollagen och föreskrifter som har sin grund i lagen. Dessa är t.ex. skolförordningen (2011:185), gymnasieförordningen (2010:2039), förordningen (SKOLFS 2010:37) om läroplan för grundskolan, förskoleklassen och fritidshemmet, förordningen (SKOLFS 2011:144) om läroplan för gymnasieskolan, förordningen (SKOLFS 2010:14) om examensmål för gymnasieskolans nationella program, förordningen (SKOLFS 2010:261) om ämnesplaner för de gymnasiegemensamma ämnena och Skolverkets föreskrifter (SKOLFS 2011:19) om kunskapskrav för grundskolans ämnen.

En uppgift som åligger huvudmännen är själva undervisningen. Med undervisning avses sådana målstyrda processer som under ledning av lärare och förskollärare syftar till utveckling och lärande genom inhämtande och utvecklande av kunskaper och värden (1 kap. 3 § skollagen). Med utbildning avses enligt samma bestämmelse den verksamhet inom vilken undervisning sker utifrån bestämda mål. Av förarbetena (prop. 2009/10:165 s. 217 f.) framgår att begreppet undervisning fått en definition som är anpassad för såväl förskola och fritidshem som skola och vuxenutbildning. Begreppet har getts en vid tolkning i dessa verksamheter. Med undervisning avses inte bara så kallad katederundervisning, utan även t.ex. förmedlande och undersökande undervisningsmetodik. Det är centralt i den kunskapssyn som genomsyrar skolväsendets samtliga styrdokument att undervisningen syftar till att eleverna ska inhämta samt utveckla både kunskaper och värden. I förskolan bildar omsorg, utveckling och lärande en helhet i undervisningen.

I förarbetena anges vidare att begreppet utbildning utgör en övergripande term som beskriver all den verksamhet som omfattas av de övergripande målen i skolförfattningarna. Begreppet utbildning är ett vidare begrepp än undervisning och kan omfatta annan verksamhet än undervisning både i den inre och den yttre miljön, t.ex. på skolgården, i matsalen eller i form av organiserat lärande förlagt till en arbetsplats. Utbildning kan dessutom omfatta annan verksamhet som äger rum t.ex. vid lägerskolor, utflykter eller olika former av praktik eller annan verksamhetsförlagd verksamhet. I förskolan har utbildningsbegreppet ett brett pedagogiskt perspektiv där omsorg, utveckling och lärande bildar en helhet. I begreppet utbildning omfattas också de frivilliga konfessionella inslag som förskolor och skolor med enskild huvudman kan ha (1 kap. 7 § skollagen).

De ovannämnda föreskrifterna anger mål med undervisningen, men inte exakt i minsta detalj hur undervisningen ska läggas upp eller vilka arbetssätt som ska användas. Läraren har ett visst mått av bestämmande över undervisningens innehåll men måste hålla sig inom vissa ramar. Kursplanerna tillsammans med de övergripande målen i läroplanen är grunden för planering och genomförande av en lärares undervisning. Enligt läroplanen ska läraren svara för att eleverna får pröva olika arbetssätt och arbetsformer. Av läroplanen framgår att läraren ska svara för att alla elever får ett reellt inflytande på arbetssätt, arbetsformer och undervisningens innehåll samt se till att detta inflytande ökar med

stigande ålder och mognad. En lärare kan dock bestämma t.ex. vilka läromedel eleverna ska använda, vilka uppgifter som de ska lösa och vilka hjälpmedel som eventuellt ska användas, t.ex. dator eller miniräknare. Detta innebär emellertid inte att själva undervisningen inte är fastställd i svensk rätt. Den undervisning som bedrivs av lärarna i skolorna har sitt stöd i skollagen med anslutande föreskrifter eftersom dessa sätter ramarna för undervisningen. Även själva undervisningen är enligt regeringens bedömning fastställd genom skollagen och anslutande föreskrifter och därigenom tydlig, precis och förutsägbar (jfr skäl 41 till dataskyddsförordningen).

Som exempel på personuppgiftsbehandling som kan anses nödvändig på grund av huvudmännens uppgifter enligt skollagen kan t.ex. nämnas elevregister för administration av elevernas närvaro (7 kap. 17 § skollagen), dokumentation av elevernas kunskaper inför ett utvecklingssamtal, uppgifter i en skriftlig individuell utvecklingsplan (t.ex. 10 kap.12 och 13 §§skollagen) och betygssättning (3 kap. 13 § skollagen). Det finns vidare tydliga dokumentationskrav i skollagen. Som exempel kan nämnas

att ö

verenskommelser vid utvecklingssamtal i de obligatoriska

skolformerna ska dokumenteras i elevens skriftliga individuella utvecklingsplan (10 kap. 13 §, 11 kap. 16 §, 12 kap. 13 § och 13 kap. 13 §skollagen). Om en elev är i behov av särskilt stöd ska det upprättas ett åtgärdsprogram. Av programmet ska framgå hur behovet av särskilt stöd ska tillgodoses, när åtgärderna ska följas upp och utvärderas och vem som är ansvarig för uppföljningen respektive utvärderingen. (3 kap. 9 § skollagen). De disciplinära åtgärder och andra särskilda åtgärder som vidtas för att tillförsäkra trygghet och studiero i skolan ska dokumenteras skriftligen (5 kap. 24 § skollagen). Även planen mot kränkande behandling (6 kap. 8 § skollagen) och det systematiska kvalitetsarbetet (4 kap. 6 § skollagen) ska dokumenteras.

Även de övriga skyldigheter som enligt skollagen åligger hemkommunen är enligt regeringens bedömning sådana uppgifter av allmänt intresse som är fastställda genom bestämmelserna i skollagen som reglerar just den aktuella uppgiften. Det gäller t.ex. att ansvara för att utbildning i grundskolan kommer till stånd (10 kap. 24 skollagen) och att lämna bidrag till enskilda huvudmän för fristående förskolor och fristående skolor (8 kap. 21 § och 10 kap. 37 §skollagen).

Mot denna bakgrund har enligt regeringens bedömning de åtgärder som huvudmännen och hemkommunerna vidtar i syfte att utföra uppdragen eller uppfylla åligganden enligt skollagen och anslutande föreskrifter en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler som står i proportion till de mål som eftersträvas. Uppgiften av allmänt intresse, dvs. att tillhandahålla, anordna och bedriva utbildning, är således fastställd genom skollagen med anslutande föreskrifter.

I det följande utvecklas också närmare hur den rättsliga grunden för nödvändig personuppgiftsbehandling är fastställd i fråga om utbildning i särskilda utbildningsformer och annan pedagogisk verksamhet.

Det finns fastställda uppgifter av allmänt intresse i fråga om utbildning i särskilda utbildningsformer…

I 24 kap. skollagen finns bestämmelser om s.k. särskilda utbildningsformer som bedrivs i stället för utbildning inom skolväsendet. Bestämmelserna gäller bl.a. utbildning vid särskilda ungdomshem, utbildning för intagna i kriminalvårdsanstalt, internationella skolor, utbildning vid folkhögskola som motsvarar kommunal vuxenutbildning i svenska för invandrare, utbildning för barn och elever som vårdas på sjukhus eller en institution som är knuten till ett sjukhus och utbildning i hemmet eller på annan lämplig plats. Nedan redogörs för regeringens bedömning av hur den rättsliga grunden för personuppgiftsbehandling är fastställd i fråga om dessa utbildningsformer.

…i form av särskilda ungdomshem…

Utbildning vid särskilda ungdomshem ska för skolpliktiga barn som vistas där och inte lämpligen kan fullgöra sin skolplikt på annat sätt, anordnas genom försorg av huvudmannen för hemmet. De barn som inte längre är skolpliktiga och inte lämpligen kan fullgöra sin skolgång på annat sätt ska genom huvudmannens försorg ges möjlighet att delta i utbildning (24 kap.8 och 9 §§skollagen).

Barn som genom en brottmålsdom dömts till sluten ungdomsvård placeras på särskilt ungdomshem. Dessa barn omfattas också av nämnda bestämmelser (32 kap. 5 § brottsbalken samt 1 och 12 §§ lagen [1998:603] om verkställighet av sluten ungdomsvård). Statens institutionsstyrelse (SiS) ansvarar för verkställigheten (3 § lagen om verkställighet av sluten ungdomsvård). I den del av myndighetens verksamhet som avser verkställighet av sluten ungdomsvård ska enligt Utredningen om 2016 års dataskyddsdirektiv förslaget till brottsdatalag (2018:000) tillämpas, eftersom det är fråga om en straffrättslig påföljd (SOU 2017:29, Brottsdatalag, avsnitt 8.4.2). I lagrådsremissen Brottsdatalag delar regeringen de bedömningar som utredningen gjort när det gäller tillvägagångssätt i gränsdragningsfrågor. I den lagrådsremissen anges också att ytterligare vägledning kring enskilda verksamheter inom myndigheterna kan fås genom de bedömningar som utredningen redovisar i delbetänkandet (s. 111–112).

Däremot är den föreslagna brottsdatalagens bestämmelser inte tillämpliga på personuppgiftsbehandling som inte är en följd av att den dömde överlämnats till sluten ungdomsvård, utan sker inom ramen för skolplikten. Det beror på att det inte är fråga om verkställighet av en påföljd. Detsamma gäller barn vars personuppgifter behandlas med anledning av att de får utbildning vid särskilda ungdomshem och som placerats där med stöd av socialtjänstlagen (2001:453) eller lagen (1990:52) om särskilda bestämmelser om vård av unga. Inte heller då är den föreslagna brottsdatalagens bestämmelser tillämpliga, eftersom det inte är fråga om verkställighet av en påföljd. Det är således dataskyddsförordningens bestämmelser som ska tillämpas på personuppgiftsbehandlingen i dessa fall. Genom bestämmelserna i t.ex. 24 kap. 8 § skollagen är SiS anordnande av utbildning för skolpliktiga barn som vistas i ungdomshemmet om de inte lämpligen kan fullgöra sin skolplikt på annat sätt en fastställd uppgift av allmänt intresse. Vidare anges i bestämmelsen att relevanta

bestämmelser i skollagen rörande grundskolan eller i förekommande fall grundsärskolan eller specialskolan ska tillämpas med nödvändiga avvikelser. SiS kan alltså i dess fall grunda nödvändig personuppgiftsbehandling på att den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen är fastställd i svensk rätt.

…internationella skolor…

Med en internationell skola avses en skola där utbildningen följer ett annat lands läroplan eller en internationell läroplan och som i första hand riktar sig till elever som är bosatta i Sverige för en begränsad tid 24 kap. 2 § skollagen).

En elev får under vissa förutsättningar fullgöra sin skolplikt i en internationell skola på grundskolenivå (24 kap.24 §§skollagen). De internationella skolorna på grundskolenivå är ålagda att följa vissa föreskrifter i förordningen (2015:801) om internationella skolor så länge som godkännandet för den enskilde respektive medgivandet för den kommunala huvudmannen gäller. Av föreskrifterna framgår bl.a. att utbildningen ska vara utformad så att den som helhet betraktad är likvärdig med utbildningen i grundskolan. Elever som är bosatta i Sverige för en begränsad tid ska ges undervisning i svenska och om Sverige i den omfattning som de behöver. Undervisning i svenska för övriga skolpliktiga elever ska bedrivas enligt läroplanen för grundskolan och kursplanen i svenska (4–6 §§). Av 24 kap.3 och 4 §§skollagen framgår att barn under vissa förutsättningar får fullgöra sin skolplikt i en internationell skola på grundskolenivå. Regeringen bedömer mot denna bakgrund att den utbildning som de internationella skolorna på grundskolenivå bedriver är en uppgift av allmänt intresse. Denna uppgift är fastställd i svensk rätt genom bestämmelserna i 24 kap.2, 3 a och 4 a §§skollagen, tillsammans med relevanta bestämmelser i förordningen om internationella skolor och Statens skolinspektions beslut om antingen ett godkännande eller förklaring som huvudman för en internationell skola på grundskolenivå. Enligt regeringens bedömning kan en internationell skola på grundskolenivå således tillämpa den rättsliga grunden uppgift av allmänt intresse för nödvändig personuppgiftsbehandling.

En internationell skola på gymnasienivå har en enskild huvudman och följer en utländsk eller internationell läroplan. Det finns inga bestämmelser om att huvudmannen ska ha ett godkännande för att få bedriva utbildningen, men för att vara berättigad till bidrag för elever från deras hemkommuner måste huvudmannen få en förklaring om rätt till bidrag från Skolinspektionen (24 kap.6 och 6 a §§skollagen). För att en enskild huvudman för en internationell skola på gymnasienivå ska förklaras berättigad till bidrag enligt skollagen krävs bl.a. att utbildningen är utformad så att den som helhet betraktad är likvärdig med utbildningen i gymnasieskolan. Dess allmänna mål och värdegrund får inte strida mot de allmänna mål och den värdegrund som gäller för utbildning inom skolväsendet (7 § förordningen [2015:801] om internationella skolor).

Regeringen bedömer att den utbildning som den internationella skolan bedriver är en uppgift av allmänt intresse som är fastställd i svensk rätt genom bestämmelserna i 24 kap.2, 6 och 6 a §§skollagen tillsammans

med relevanta bestämmelser i förordningen om internationella skolor och ett beslut från Skolinspektionen om förklaring om rätt till bidrag. Den internationella skolan är dock inte bunden av t.ex. skollagens bestämmelser om betygssättning (se 3 kap. 13 § skollagen som särskilt räknar upp vilka skolformer som omfattas). Skolan måste inte heller ansöka om tillstånd att sätta betyg, anordna prövning samt utfärda betyg, gymnasieexamen och intyg enligt de bestämmelser som gäller för gymnasieskolan (förordningen [2012:509] om betygsrätt för viss utbildning vid internationella skolor). Att eleverna ska få betyg kan dock framgå av den utländska eller internationella läroplanen som skolan följer. Om behandling av personuppgifter för att kunna betygsätta eleverna inom den internationella skolan är nödvändig för att utföra uppgiften av allmänt intresse, dvs. anordna utbildning, bör sådan behandling kunna ske med stöd av den rättsliga grunden utföra uppgift av allmänt intresse fastställd i skollagen, förordningen om internationella skolor och beslutet från Skolinspektionen.

…folkhögskolans vuxenutbildning i svenska för invandrare…

Om en folkhögskola har getts rätt att sätta betyg, anordna prövning samt utfärda betyg och intyg och förklarat sig ha för avsikt att ta emot den sökande till utbildningen har den som har rätt att delta i kommunal vuxenutbildning i svenska för invandrare rätt att i stället delta i folkhögskolans motsvarande vuxenutbildning i svenska för invandrare (24 kap. 11 § skollagen). En folkhögskola som väljer att bedriva sådan utbildning utför genom anordnandet av just den utbildningen en uppgift av allmänt intresse som är fastställd genom 24 kap. 11 § skollagen. Om folkhögskolan bedömer att behandlingen av personuppgifter är nödvändig för att den ska kunna bedriva utbildningen i svenska för invandrare kan den tillämpa den rättsliga grunden i artikel 6.1 e för att behandla personuppgifter som hör till just den delen av folkhögskolans verksamhet.

…barn och elever som vårdas på sjukhus eller annan motsvarande institution…

Skollagen innehåller även bestämmelser om utbildning för barn och elever som vårdas på sjukhus eller annan motsvarande institution. Huvudmannen för institutionen ska svara för att barn som vårdas på sjukhus eller en institution som är knuten till ett sjukhus, får tillfälle att delta i utbildning som så långt det är möjligt motsvarar den som erbjuds i förskola, förskoleklass eller fritidshem (24 kap. 16 § skollagen). Enligt regeringens bedömning kan huvudmannen för institutionen grunda nödvändig personuppgiftsbehandling för att utföra uppgiften utbildning motsvarande den som erbjuds i förskola, förskoleklass eller fritidshem på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fastställd genom bestämmelsen i 24 kap. 16 § skollagen tillsammans med de bestämmelser om den aktuella utbildningen som huvudmannen anordnar.

Under vissa förutsättningar kan en elev t.ex. i grundskolan få särskild undervisning på sjukhus eller på en institution som är knuten till ett sjukhus (24 kap.1719 §§skollagen). Det är kommunen där institu-

tionen finns som ska anordna denna. Undervisningen ska så långt möjligt motsvara den undervisning som eleven inte kan delta i. Regeringen bedömer att kommunen kan grunda den behandling av personuppgifter som är nödvändig för att utföra uppgiften särskild undervisning på den rättsliga grunden uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap.1719 §§skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola.

… och särskild undervisning i hemmet eller annan lämplig plats

En kommun kan enligt regeringens bedömning även på motsvarande vis grunda nödvändig personuppgiftsbehandling för att utföra särskild undervisning i hemmet eller annan lämplig plats på den rättsliga grunden uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap.2022 §§skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola.

Rättslig grund för utbildning för intagna på kriminalvårdsanstalt regleras i brottsdatalagen

Kriminalvården ansvarar för utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna på kriminalvårdsanstalt (24 kap. 10 § skollagen). Kriminalvården får enligt 3 kap.1 och 2 §§fängelselagen (2010:610) bestämma att en intagen ska ha studier som sysselsättning. Någon åldersgräns gäller inte för sådan verksamhet. När studier är anvisad sysselsättning ingår de som ett led i verkställigheten av utdömda fängelsestraff. Enligt Utredningen om 2016 års dataskyddsdirektiv bör därför den föreslagna brottsdatalagen tillämpas på behandlingen av personuppgifterna med anledning av studierna (SOU 2017:29, s 217). I lagrådsremissen Brottsdatalag delar regeringen de bedömningar som utredningen gjort när det gäller tillvägagångssätt i gränsdragningsfrågor. I den lagrådsremissen anges också att ytterligare vägledning kring enskilda verksamheter inom myndigheterna kan fås genom de bedömningar som utredningen redovisar i delbetänkandet (s. 111–112). Bestämmelser om rättslig grund för behandling av personuppgifter som behövs för att en behörig myndighet ska kunna verkställa en straffrättslig påföljd föreslås i 2 kap. 1 § brottsdatalagen.

Det finns fastställda uppgifter av allmänt intresse för annan pedagogisk verksamhet…

I 25 kap. skollagen finns bestämmelser om s.k. annan pedagogisk verksamhet som bedrivs i stället för utbildning inom skolväsendet. Bestämmelserna gäller pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds. Nedan redogörs för regeringens bedömning av hur den rättsliga grunden för personuppgiftsbehandling är fastställd i fråga om dessa verksamheter.

…i form av pedagogisk omsorg…

Enligt 25 kap. 2 § skollagen ska kommunen sträva efter att i stället för förskola eller fritidshem erbjuda ett barn pedagogisk omsorg om barnets vårdnadshavare önskar det. Med pedagogisk omsorg avses främst familjedaghem och flerfamiljslösningar. Sådan verksamhet utförs ofta i den privata aktörens egna hem (SOU 2016:62 s. 171). Genom att pedagogisk verksamhet är reglerad i skollagen bör en sådan verksamhet anses vara en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelsen i 25 kap. 2 § skollagen. Kommunen har således stöd för den behandling av personuppgifter som är nödvändig för att kunna efterleva bestämmelsen.

…öppen förskola…

Som komplement till förskola och pedagogisk omsorg får en kommun anordna öppen förskola (25 kap. 3 § skollagen). Den öppna förskolan ska erbjuda barn en pedagogisk verksamhet i samarbete med medföljande vuxna samtidigt som de vuxna ges möjlighet till social gemenskap. Barn och föräldrar har ingen formell plats att ta i anspråk och barnen är inte inskrivna i den öppna förskolan. Verksamheten vänder sig till barn och föräldrar som är hemma på dagarna, t.ex. under föräldraledigheten. För dessa är verksamheten en viktig social träffpunkt, där barnen ges tillfälle att tillsammans med en förälder eller annan vuxen delta i en verksamhet i gruppens form, som syftar till att ge pedagogisk stimulans (prop. 2009/10:165 s. 528). Genom bestämmelsen i 25 kap. 3 § skollagen och kommunens beslut att anordna öppen förskola är enligt regeringens bedömning uppgiften av allmänt intresse, dvs. att anordna öppen förskola, fastställd.

…öppen fritidsverksamhet…

Öppen fritidsverksamhet får erbjudas elever i de utbildningsformer där skolplikt kan fullgöras, i stället för fritidshem från och med höstterminen det år eleven fyller 10 år till och med vårterminen det år eleven fyller 13 år. Verksamheten ska genom pedagogisk verksamhet komplettera utbildningen i de olika utbildningsformer i vilka skolplikt kan fullgöras och erbjuda eleven möjlighet till utveckling och lärande samt en meningsfull fritid och rekreation (14 kap. 7 § och 25 kap. 4 §skollagen). Den öppna fritidsverksamheten är en enklare form av verksamhet som inte erbjuder samma grad av omsorg och tillsyn, och elevgrupperna kan vara mer flexibla än på fritidshemmen. Genom att verksamheten regleras i skollagen är den enligt regeringens bedömning en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom den aktuella bestämmelsen. Huvudmännen har därför stöd för behandling av personuppgifter som är nödvändig för verksamheten, såsom t.ex. personuppgifter som behövs för att planera verksamheten.

…omsorg för barn under tid då förskola eller fritidshem inte erbjuds…

Av 25 kap. 5 § skollagen framgår att kommunen ska sträva efter att erbjuda omsorg för barn under tid då förskola eller fritidshem inte erbjuds i den omfattning det behövs med hänsyn till föräldrars förvärvsarbete och

familjens situation i övrigt. Av förarbetena till bestämmelsen framgår att omsorg för barn under s.k. obekväma arbetstider inte ska betraktas som en skolform, till skillnad från förskolan, och inte heller åläggas de krav som ställs på en sådan verksamhet (prop. 2009/10:165 s. 532). Utgångspunkten är att omsorgen ska erbjudas i den omfattning det behövs med hänsyn till föräldrarnas förvärvsarbete eller familjens situation i övrigt, om föräldrarna inte själva kan ordna omsorgen. Att ”sträva efter” innebär att kommunen inte utan vidare kan avstå från att tillhandahålla sådan omsorg. Ambitionen måste vara att tillhandahålla omsorg även under s.k. obekväm arbetstid åt familjer som har behov av det. Om kommunen vid en viss tidpunkt inte har någon efterfrågan måste kommunen ändå planera för att tillhandahålla omsorg, när situationen förändras. Eftersom kommunerna genom bestämmelsen i skollagen ges ett uppdrag att ordna barnomsorg under s.k. obekväm arbetstid får sådan verksamhet anses vara en uppgift av allmänt intresse som är fastställd genom bestämmelsen. Kommunerna kan således behandla personuppgifter som är nödvändiga för att kunna utföra uppgiften att tillhandahålla barnomsorg på obekväm arbetstid.

…och vid entreprenad

Entreprenad enligt skollagen innebär att en huvudman med bibehållet huvudmannaskap sluter avtal med någon annan om att denne utför uppgifter inom utbildning eller annan verksamhet enligt skollagen (23 kap. 1 § första stycket skollagen). Om en enskild med stöd av bestämmelserna i 23 kap. skollagen och avtal anordnar t.ex. pedagogisk omsorg eller annan verksamhet på entreprenad anses denne utföra uppgiften av allmänt intresse på uppdrag av kommunen. Även i dessa fall är enligt regeringens bedömning uppgiften av allmänt intresse fastställd i författning (se även avsnitt 6.2).

Sammanfattningsvis kan nödvändig personuppgiftsbehandling ske med stöd av den fastställda rättsliga grunden uppgiften av allmänt intresse

Utöver vad som anges ovan om hur den rättsliga grunden är fastställd har regeringen också, som nämnts i avsnitt 6.2, i propositionen Ny dataskyddslag bedömt att den grad av tydlighet och precision som krävs i fråga om den rättsliga grunden enligt skäl 41 i dataskyddsförordningen måste bedömas från fall till fall, utifrån behandlingens karaktär. Det torde stå klart att en behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten, såsom när det gäller behandling av elevers namn i reguljär skolverksamhet, kan ske med stöd av en rättslig grund som är allmänt hållen. Vidare anges att utgångspunkten bör vara att dataskyddsförordningens krav på proportionalitet i artikel 6.3 andra stycket är uppfyllt i fråga om rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning som fastställs i enlighet med svensk rätt (prop. 2017/18:105 s. 51). Mot denna bakgrund och med stöd av analysen ovan konstaterar regeringen att den verksamhet som sker med stöd av skollagen och anslutande föreskrifter är uppgifter av allmänt intresse som har legala grunder som, till skillnad mot vad Datainspektionen har anfört, har fastställts genom tydliga, precisa och förutsebara regler i nationell rätt som är proportionerliga mot

det mål som eftersträvas. Behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på skollagen och anslutande föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

När det gäller frågan om vilken behandling som är nödvändig, t.ex. vid användningen av sådana digitala läromedel som uppmärksammats av

Stockholms kommun och Luleå kommun, kan konstateras att den personuppgiftsansvarige ansvarar för att bedöma om syftet med behandlingen är nödvändigt för att utföra en uppgift av allmänt intresse (artikel 5.2 och 6.3 i dataskyddsförordningen), se vidare avsnitt 6.2.

9.1.3. Den rättsliga grunden myndighetsutövning kan användas i vissa fall

Regeringens bedömning: Huvudmän inom området som regleras av skollagen vidtar vissa åtgärder med stöd av skollagen som innefattar myndighetsutövning, t.ex. betygssättning och beslut om särskilt stöd.

Den behandling av personuppgifter som är nödvändig för myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,

Barnombudsmannen, Askersunds, Eskilstuna, Eslövs och Halmstads kommuner, har inte några synpunkter på bedömningen. Sveriges Kommuner och Landsting, Friskolornas riksförbund, Specialpedagogiska skolmyndigheten och Stockholms kommun delar utredningens bedömning.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.3. Som anges där, framgår det av propositionen Ny dataskyddslag (prop. 2017/18:105) att utgångspunkten i svensk rätt är att det som i

Sverige brukar anses som myndighetsutövning faller in under dataskyddsförordningens begrepp och att detta bör gälla även fortsättningsvis (s. 62).

Den största delen av skolornas verksamhet, undervisning, utgörs av faktiskt handlande. Bara en liten del av verksamheten i förskolor och skolor utgör ärendehandläggning som innebär myndighetsutövning mot enskild. Det kan handla om ärenden som rör mottagande av elever, särskilt stöd, avstängning av elever eller befrielse från sådana inslag i undervisningen som är obligatoriska (t.ex. 3 kap. 9 §, 5 kap. 14 § och 7 kap.5 och 19 §§skollagen). Även betygssättning av elevernas kunskaper är en form av myndighetsutövning. De allmänna bestämmelserna om betyg-

sättning finns i bl.a. 3 kap. 13 § skollagen, de olika skolformskapitlen i skollagen och i förordningarna för de olika skolformerna såsom t.ex. gymnasieförordningen (2010:2039).

Enligt regeringens bedömning är grunden för behandlingen redan i dag fastställd i skollagen och anslutande föreskrifter. Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna utföra nödvändig behandling av personuppgifter som ingår i myndighetsutövningen med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen.

När det gäller frågan om vilken behandling som är nödvändig kan konstateras att det ankommer på den personuppgiftsansvarige att bedöma om syftet med behandlingen är nödvändigt för att utföra en uppgift av allmänt intresse (artikel 5.2 och 6.3 i dataskyddsförordningen), se vidare avsnitt 6.2.

Regeringen anser vidare att även artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa ingår i uppgiften att anordna utbildning.

9.1.4. Den rättsliga grunden rättslig förpliktelse kan användas i vissa fall

Regeringens bedömning:Skollagen innehåller bestämmelser som gör det nödvändigt för verksamhetsutövarna att behandla personuppgifter. Behandlingen kan i dessa fall göras med stöd av den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i dataskyddsförordningen.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,

Barnombudsmannen, Askersunds, Eskilstuna, Eslövs och Halmstads kommuner har inte några synpunkter på bedömningen. Sveriges Kommuner och Landsting, Friskolornas riksförbund, Specialpedagogiska skolmyndigheten och Stockholms kommun delar utredningens bedömning.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i dataskyddsförordningen har beskrivits i avsnitt 6.4.

Utredningen om offentlighet och sekretess i skolan (2002:10) ansåg att skolmyndigheter enligt den då gällande skollagen och andra författningar hade en rättslig skyldighet i PUL:s mening att fullgöra sina åligganden gentemot eleverna i fråga om såväl undervisning som elevvård (SOU 2003:103 s. 199).

Datainspektionen har ansett att den skyldighet för myndigheter som följer av offentlighetsprincipen är en sådan rättslig skyldighet som avses

i motsvarande bestämmelse i PUL (Datainspektionens rapport 2005:3 Övervakning i arbetslivet. Kontroll av de anställdas Internet och epostanvändning m.m., s. 15.)

En skillnad mellan PUL och dataskyddsförordningen är dock att dataskyddsförordningen kräver att den rättsliga förpliktelsen ska vara fastställd i svensk rätt och att syftet med behandlingen ska vara fastställt i den rättsliga grunden.

Skollagen innehåller många rättsliga förpliktelser för de huvudmän som bedriver skolverksamhet enligt lagen. Exempel på sådana är att eleven och elevens vårdnadshavare fortlöpande ska informeras om elevens utveckling (3 kap. 4 §), ett åtgärdsprogram ska utarbetas för en elev som ska ges särskilt stöd (3 kap. 9 §), att elevens kunskaper ska betygsättas i vissa skolformer (3 kap. 13 §), att grundskolan och gymnasieskolan och motsvarande skolformer ska erbjuda modersmålsundervisning under vissa förutsättningar (10 kap. 7 §, 11 kap. 10 §, 12 kap. 7 §, 13 kap. 7 §, 15 kap. 19 § och 18 kap. 19 §), och att rektorn ska se till att vårdnadshavaren till en elev i vissa skolformer, t.ex. grundskolan, samma dag informeras om eleven utan giltigt skäl uteblir från den obligatoriska verksamheten (7 kap. 17 §). Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden i artikel 6.1 c för sin nödvändiga personuppgiftsbehandling.

Regeringen bedömer att även artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa ingår i uppgiften att anordna utbildning.

9.1.5. Intresseavvägning kan användas men blir sällan aktuell

Regeringens bedömning: Enskilda huvudmän inom området som regleras av skollagen kan behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen. Den förutsätter att – behandlingen är nödvändig för ändamål som rör den person-

uppgiftsansvariges eller en tredje parts berättigade intressen, och – att inte den registrerades intressen eller grundläggande rättigheter

och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Eftersom även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 f i dataskyddsförordningen är tillämplig, behöver dock intresseavvägning sällan eller aldrig användas.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,

Sveriges Kommuner och Landsting, Barnombudsmannen, Askersunds, Eskilstuna, Eslövs, Halmstads och Stockholms kommuner har inte några synpunkter på bedömningen. Friskolornas riksförbund och Specialpedagogiska skolmyndigheten delar utredningens bedömning.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen har beskrivits i avsnitt 6.5. Grunden gäller inte för behandling av personuppgifter som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom skolor med staten, en kommun eller ett landsting som huvudman är myndigheter som fullgör sina uppgifter när de tillhandahåller utbildning enligt skollagen, är det endast skolor med enskild huvudman som kan tillämpa grunden intresseavvägning till stöd för sin personuppgiftsbehandling.

Som framgått ovan i avsnitt 8, är bedömer regeringen att artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för anordnande av utbildning enligt skollagen och anslutande föreskrifter, oavsett om huvudmannen är offentlig eller enskild. Enligt regeringens uppfattning bör enskilda skolhuvudmän i skollagsreglerad verksamhet därför sällan eller aldrig behöva använda den rättsliga grunden intresseavvägning i artikel 6.1 f. Den enskilda huvudman som avser att tillämpa den rättsliga grunden intresseavvägning har dock vid intresseavvägningen särskilt att beakta barns rätt till integritetsskydd (artikel 6.1 f i dataskyddsförordningen).

9.1.6. Den rättsliga grunden samtycke kan användas i begränsad utsträckning

Regeringens bedömning: Huvudmän inom det skollagsreglerade området kan i begränsad utsträckning använda sig av den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen för sin personuppgiftsbehandling.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Statens skolverk, Statens skolinspektion, Skolväsendets överklagandenämnd,

Barnombudsmannen, Askersunds, Eskilstuna, Eslövs och Halmstads kommuner har inte några synpunkter på bedömningen. Datainspektionen, Sveriges Kommuner och Landsting, Friskolornas riksförbund, Specialpedagogiska skolmyndigheten och Stockholms kommun delar utredningens bedömning.

Datainspektionen framhåller dock att samtycke förutsätter att det rör sig om sådant som inte är relaterat till själva kärnverksamheten och där vårdnadshavaren eller eleven faktiskt kan säga nej utan problem. Friskolornas riksförbund och Sveriges Kommuner och Landsting anser att det, utöver de situationer som utredningen nämnt, även finns andra likartade situationer där samtycke bör kunna utgöra rättslig grund. Stockholms kommun anger digitala läromedel och tjänster som exempel, då det i dessa fall finns risk för att det saknas annan rättslig grund.

Förvaltningsrätten i Linköping bedömer att det i praktiken kan uppstå gränsdragningssvårigheter för den personuppgiftsansvariga i den dagliga

verksamheten, såsom svårigheter att bedöma om en viss personuppgiftsbehandling, som är nödvändig för elevers deltagande i en viss aktivitet på skolan, även är nödvändig enligt artikel 6.1 c eller e i dataskyddsförordningen. Likaså innebär det svårigheter för den personuppgiftsansvariga att i ett sådant skede bedöma om ett samtycke kan användas på ett lagenligt sätt. Införandet av en uppförandekod är därför enligt förvaltningsrätten av stor betydelse för efterlevnaden av regleringen. Uppsala universitet framför också att det är oklart i vilken utsträckning barn, utan vårdnadshavares inblandning, kan samtycka till personuppgiftsbehandling och anser att det bör utredas ytterligare. Möjligen bör det även övervägas om inte regleringen av de rättsliga grunderna, däribland samtycke inom utbildningsverksamhet, och eventuellt principerna för tillåten personuppgiftsbehandling bör tas in i det nya kapitel som föreslås i skollagen.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1. När det gäller uppgifter om barn och specialfallet skolor har artikel 29-gruppen uttalat sig i ett yttrande. I yttrandet anges beträffande behandling av barns personuppgifter i skolan bl.a. att samtycke till behandling av alla uppgifter som kan ge upphov till diskriminering måste vara otvetydigt och att överföring till tredje part i marknadsföringssyfte är beroende av om vårdnadshavarna på förhand har underrättats och gett sitt samtycke. (Yttrande 2/2009 om skydd för uppgifter om barn [Allmänna riktlinjer och specialfallet skolor] s. 12 f.) Artikel 29-gruppen synes således anse att samtycke kan användas som rättslig grund för personuppgiftsbehandling inom skolor, i vart fall i vissa fall.

Enligt regeringens bedömning är det möjligt att för viss personuppgiftsbehandling använda sig av samtycke även i förhållandet mellan ett barns vårdnadshavare och en förskola samt mellan en elevs vårdnadshavare, eller eleven själv beroende på ålder, och en skola. Ett exempel på när samtycke skulle kunna vara lämplig grund för behandling av personuppgifter är inför fotografering av eleverna i syfte att skapa elektroniska skolkataloger eller för att dokumentera verksamheten i förskola och skola, inte minst i syfte att kunna redogöra för den för barnens vårdnadshavare. I sammanhanget kan även nämnas att artikel 29-gruppen anser att samtycke från vårdnadshavarna ska inhämtas om en skola har för avsikt att t.ex. lägga ut individuella foton av eleverna med uppgift om deras identitet på internet (Yttrande 2/2009 om skydd för uppgifter om barn [Allmänna riktlinjer och specialfallet skolor] s. 18). Genom att samtycke hämtas in har berörda parter möjlighet att säga nej till att eleverna tas med på fotona.

Såsom Friskolornas riksförbund, Sveriges Kommuner och Landsting och Stockholms kommun framfört skulle det kunna även uppstå andra likartade situationer där samtycke skulle kunna användas som rättslig grund. Denna möjlighet är dock något som får bedömas från fall till fall av huvudmannen.

När det gäller gränsdragningen mellan olika rättsliga grunder, som

Förvaltningsrätten i Linköping uppmärksammar, menar regeringen att det varken finns anledning eller är möjligt att hämta in samtycke om behandlingen av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse eller för myndighetsutövning eller om behandlingen är en rättslig förpliktelse, eftersom samtycke enligt skäl 43 inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Det gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Detta får anses gälla även fristående skolor när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller myndighetsutövning eller behandlingen är en rättslig förpliktelse, se vidare avsnitt 6.1.

Att personuppgifter som rör barn anses särskilt skyddsvärda framgår av flera av dataskyddsförordningens bestämmelser och betonas i skälen. En närmare redogörelse för detta finns i dataskyddsutredningens betänkande SOU 2017:39 s. 140 f. Som nämnts i avsnitt 4.6 föreslås vidare i propositionen Ny dataskyddslag (prop. 2017/18:105) att det ska införas en bestämmelse i 2 kap. 4 § dataskyddslagen som innebär att vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke om barnet är minst 13 år. Som regeringen återkommer till i avsnitt 11 avser också regeringen att ge en lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet. Regeringen bedömer att några ytterligare åtgärder som rör barns samtycke specifikt i utbildningssammanhang inte är påkallade för närvarande.

När det gäller Uppsala universitets synpunkt att det möjligen bör övervägas om regleringen av de rättsliga grunderna, däribland samtycke inom utbildningsverksamhet, bör tas in i skollagen kan det konstateras att frågan i vilken utsträckning de rättsliga grunderna i dataskyddsförordningen bör återges i svensk rätt redan har behandlats i avsnitt 8 i propositionen Ny dataskyddslag (prop. 2017/18:105). Det saknas därför anledning att här ytterligare överväga frågan.

9.2. Universitets- och högskolesektorn

9.2.1. Vilka personuppgifter behandlas inom högskolesektorn?

Nedan ges en översiktlig beskrivning av de huvudsakliga behandlingar av personuppgifter som sker inom högskolesektorn. En beskrivning av behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål m.m. på området lämnas i avsnitt 13.4.1 och 14.4.1.

Behandling i studieadministrativt syfte

För behandling av personuppgifter på högskoleområdet gäller, utöver PUL, även förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor. Av förordningen följer att varje högskola ska dokumentera uppgifter om studenter och föra ett studieregister där uppgifter anges individuellt för varje student. I studieregistret behandlas uppgifter om namn, personnummer, behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet, examen och sådana uppgifter som krävs för att uppgifter ska kunna lämnas till Statistiska centralbyrån (SCB) och UHR. Registret får också innehålla de uppgifter om studenter som behövs för resultatredovisning.

Ändamålet med studieregistret är att säkra att uppgifter om sökande till utbildning, genomgångna studier, betyg över utbildningar och examina bevaras. Utöver det ska uppgifterna kunna ligga till grund för uppföljning och utvärdering, för antagning av studenter, för beslut om anmälningsavgift och studieavgift, för avstängning av studieavgiftsskyldiga studenter, för administration inom respektive högskola, för utlämnande i vissa fall till andra myndigheter, för sådan officiell statistik som avses i 3 kap. samt för resurstilldelning (2 kap. 1–3, och 5–6 och 8 §§ förordningen om redovisning av studier m.m. vid universitet och högskolor).

För studieadministration använder samtliga statliga högskolor och några av de enskilda utbildningsanordnarna sig bl.a. av det nationella systemet Ladok. Ladok används även för utbyte av information mellan högskolor och andra myndigheter.

Behandling vid antagning till utbildning

I förordningen om redovisning av studier m.m. vid universitet och högskolor finns även bestämmelser om ett antagningsregister. Ett sådant register, där uppgifter anges individuellt för varje student, får föras av UHR. Ändamålet med registret är att vara till hjälp för högskolor vid antagning av studenter. Uppgifterna i antagningsregistret får hämtas in från högskolornas studieregister. Antagningsregistret får, precis som studieregistret, omfatta uppgifter om namn, personnummer, behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet och examen. Registret får även omfatta behörighetsgrundande meriter, urvalsgrundande meriter och uppgifter och, med vissa undantag, de uppgifter i övrigt som en student åberopar i samband med antagning till en utbildning (4 kap. 1 och 3 §§ förordningen om redovisning av studier m.m. vid universitet och högskolor).

För handläggningen vid antagningsförfarandet använder sig UHR av ett system som heter NyA. UHR registrerar, granskar och bedömer de sökandes meriter. Bedömningen leder till att sökande blir antagna, reservplacerade eller strukna om de är obehöriga. En högskolas beslut om att en sökande inte uppfyller kraven på behörighet för att bli antagen till utbildning får överklagas (12 kap. 2 § 2 högskoleförordningen).

Behandling i samband med högskoleprovet

En möjlighet att antas till högskoleutbildning på grundnivå och avancerad nivå är genom resultat på högskoleprovet. UHR ansvarar för att provet tas fram och beslutar om resultat på provet. De statliga högskolor som ska använda provet som urvalsgrund ska genomföra provet. Provet får även genomföras av UHR (7 kap.12, 20 och 26 §§högskoleförordningen).

För genomförandet av högskoleprovet finns det två webbplatser, dels hogskoleprov.nu där provdeltagare anmäler sig och då anger namn, personnummer, adress och telefonnummer, dels hpadmin.uhr.se, som är ett system där handläggare på lärosätena administrerar lokaler, personal och provdeltagare samt skickar placeringsbesked till personalen och kallelser till provdeltagare. UHR förvaltar webbplatserna men det är lärosätena som är personuppgiftsansvariga. UHR är dock personuppgiftsansvarig för det register där resultaten från högskoleprovet finns samlade, HP-registret.

Behandling i utbildningen

Som hjälpmedel i undervisningen används s.k. läroplattformar. Plattformarna är webbaserade och i dessa samlats sådana specifika moment som krävs för genomförandet av en kurs, t.ex. hämtning av kursmaterial och inlämnande av uppgifter. Genom plattformarna underlättas dessutom kommunikationen mellan lärare och studenter och information kan spridas på ett snabbt och enkelt sätt. I plattformarna behandlas personuppgifter som hämtas från det aktuella lärosätets Ladoksystem. I läroplattformarna behandlas personuppgifter i form av t.ex. namn, e-post, personnummer, användar-id kopplat till lärosätets övriga it-system, uppgifter om betyg och uppgifter över studentens användning av läroplattformen.

Behandling i samband med tillgodoräknande av tidigare utbildning och verksamhet

En student kan under vissa förutsättningar få tillgodoräkna sig tidigare utbildning eller verksamhet. En högskolas beslut om tillgodoräknande av utbildning eller yrkesverksamhet kan överklagas (6 kap. 6–8 §§ och 12 kap. 2 § 3 högskoleförordningen [1993:100]). När en person ansöker om tillgodoräknande ska denne ange namn, personnummer och aktuella kontaktuppgifter. Sökanden ska även lämna en utförlig beskrivning av hur denne uppfyller lärandemålen.

Behandling i högskolebibliotekens verksamhet

Vid alla universitet och högskolor som omfattas av högskolelagen (1992:1434) ska det finnas tillgång till bibliotek. Dessa bibliotek ska svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid högskolan. Ett högskolebibliotek ska avgiftsfritt ställa litteratur ur de egna samlingarna till andra högskolebiblioteks förfogande (12 § bibliotekslagen och 2 kap. 16 § högskoleförordningen). I denna verksamhet behandlas personuppgifter i syfte att hålla reda på utlånade böcker. Känsliga personuppgifter om hälsa kan

även behöva behandlas i samband med att biblioteket förfogar över upphovsrättsligt skyddade verk som personer med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

Behandling som avser alumner

Hos lärosätena finns databaser där tidigare studenter, s.k. alumner, kan registrera sig. Genom registreringen kan alumner t.ex. komma i kontakt med andra alumner eller högskolan. Genom alumnverksamheten kan även kontakterna med näringslivet öka och förbättras. Vid registreringen förs personuppgifter i form av namn, personnummer och utbildning över från Ladok. Därutöver kan alumnen lägga till uppgifter om sitt nuvarande arbete m.m. Alumnen kan själv välja i vilken omfattning vissa uppgifter ska synas. Att registrera sig i en alumndatabas vid ett lärosäte är helt frivilligt och vid registreringen godkänner alumnen att dennes personuppgifter behandlas.

Studentkårernas behandling

Vissa bestämmelser som rör studentkårer finns i högskolelagen (1992:1434). Ett statligt universitet eller en statlig högskola ska besluta att en sammanslutning av studenter vid högskolan får ställning som studentkår för en viss tid, om sammanslutningen uppfyller vissa i lagen angivna krav. En studentkår ska ha som huvudsakligt syfte att bevaka och medverka i utvecklingen av utbildningen och förutsättningarna för studier vid högskolan. Verksamhetsområdet för en studentkår får inte täcka mer än en högskola och ska sammanfalla med minst en organisatorisk eller geografiskt avgränsad del av högskolan. En studentkår ska vara demokratiskt uppbyggd och kunna representera studenterna inom kårens verksamhetsområde. Alla studenter inom en studentkårs verksamhetsområde ska ha rätt att vara medlemmar i kåren, om de uppfyller de krav som ställs för medlemskap i kåren. Den student som är medlem i studentkåren ska ha rösträtt vid val till studentkårens högsta beslutande organ (4 kap.812 §§högskolelagen).

En studentkår vid ett statligt universitet eller en statlig högskola får utse sådana ledamöter i högskolans styrelse som studenterna enligt 2 kap. 4 § högskolelagen (1992:1434) har rätt att utse. En studentkår vid en högskola får också utse och entlediga sådana representanter som har rätt att vara representerade när beslut fattas eller beredning sker som har betydelse för utbildningen eller studenternas situation vid högskolan. Statliga universitet och högskolor får meddela föreskrifter om hur en studentkår vid högskolan ska redovisa sin verksamhet och sitt medlemsantal (6 och 7 §§ studentkårsförordning [2009:769]).

Av ovannämnda följer att studentkårerna har visst behov av att hantera uppgifter om studenter som är medlemmar i kåren, t.ex. i form av ett medlemsregister. Såvitt regeringen kan bedöma har studentkårerna inte något omedelbart behov av att behandla känsliga personuppgifter.

9.2.2. Den rättsliga grunden uppgift av allmänt intresse kan användas av högskolorna

Regeringens bedömning: Genom bestämmelser i högskolelagen med anslutande föreskrifter, lagen om tillstånd att utfärda vissa examina och beslut fattade med stöd av dessa är anordnande och bedrivande av utbildning och annan pedagogisk verksamhet en i svensk rätt fastställd uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Flertalet remissinstanser, såsom t.ex. Karlstads universitet, Göteborgs universitet, Högskolan i Skövde, Stiftelsen Högskolan i Jönköping och Överklagandenämnden för högskolan, har inte några synpunkter på eller har inget att erinra mot bedömningen. Luleå tekniska universitet delar utredningens bedömning.

Stiftelsen Högskolan i Jönköping efterfrågar dock ett förtydligande av om även enskilda utbildningsanordnare kan utföra personuppgiftsbehandling motsvarande den som statliga lärosäten är rättsligt förpliktade att göra enligt förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, men med tillämpning av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

Datainspektionen saknar en analys som visar vilken behandling som är nödvändig utifrån universitet och högskolors verksamhet, särskilt i själva utbildningsverksamheteten. Datainspektionen noterar att den digitala tekniken är en självklar del av utbildningen, men att det inte fördjupas vad detta kan innehålla. Enligt Datainspektionen har utredningen inte visat att det finns en i nationell rätt fastställd grund som uppfyller kraven i dataskyddsförordningen. Karlstads universitet anser att det hade varit värdefullt med en grundlig genomgång av studenters behandling av personuppgifter.

Skälen för regeringens bedömning

Som framgår av avsnitt 9.2.1 finns det behov av att behandla en rad personuppgifter på högskoleområdet. Regeringen anser, till skillnad mot

Datainspektionen, att den redogörelse som lämnats av utredningen och som motsvaras av avsnitt 9.2.1 utgör en i detta sammanhang tillräcklig analys av universitets och högskolors behov av att behandla personuppgifter.

Som anges i avsnitt 6 förutsätter personuppgiftsbehandlingen en i EUrätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskyddsförordningen). Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.2.

Anordnande och bedrivande av statlig högskoleutbildning är en uppgift av allmänt intresse

Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. Därtill finns högskolelagen (1992:1434) med anslutande författningar, såsom högskoleförordningen (1993:100) som innehåller närmare bestämmelser om högskoleutbildning. Av högskolelagen framgår t.ex. att ett tillstånd att utfärda examina bara lämnas om det bl.a. i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas (1 kap. 10 a och 13 §§). Vidare uttalas bl.a. följande i förarbetena till högskolelagen (prop. 1992/93:1 s. 9 f.).

Genom högre utbildning och forskning kan de kulturella och humanistiska värden som är en del av det goda samhället förstärkas. Det är också bara genom en avancerad utbildning och forskning som Sverige kan hävda sig i en hårdnande internationell konkurrens. Att både öka antalet högskoleutbildade och att höja kvaliteten inom utbildningen och forskningen blir i detta perspektiv avgörande för Sveriges framtida utveckling.

[…] I ökande utsträckning kommer vi att leva i en internationell miljö där kunskapsmässig kompetens är avgörande för vårt lands välstånd.

Regeringens bedömning är således att statliga högskolors anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Även det förhållandet att högskoleutbildningar hos både offentliga och privata utbildningsanordnare berättigar till studiestöd enligt studiestödslagen och studiestödsförordningen kan enligt regeringens uppfattning läggas till grund för bedömningen om att anordnande och bedrivande av dessa utbildningar är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

Den rättsliga grunden för statliga högskolor är fastställd i svensk rätt

Vad anordnande och bedrivande av högskoleutbildning innebär för statliga högskolor preciseras i högskolelagen och högskoleförordningen. För Sveriges lantbruksuniversitet och Försvarshögskolan finns ytterligare bestämmelser i förordningen (1993:221) för Sveriges lantbruksuniversitet och förordningen (2007:1164) för Försvarshögskolan.

Enligt högskolelagen ska staten som huvudman anordna högskolor för utbildning och forskning. I högskolornas uppgift ingår även att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta (1 kap. 2 § högskolelagen).

I 1 kap. högskolelagen preciseras ytterligare vad uppgiften att anordna och bedriva högskoleutbildning innebär. Av bestämmelserna där framgår bl.a. följande. Utbildningen ska ges på grundnivå, avancerad nivå och forskarnivå. Utbildning på t.ex. grundnivå ska väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Utbildningen ska utveckla studenternas förmåga att göra självständiga och kritiska bedömningar samt deras förmåga att

självständigt urskilja, formulera och lösa problem. Utbildningen ska även utveckla studenternas beredskap att möta förändringar i arbetslivet. Inom det område som utbildningen avser ska studenterna, utöver kunskaper och färdigheter, utveckla förmåga att söka och värdera kunskap på vetenskaplig nivå, följa kunskapsutvecklingen och utbyta kunskaper även med personer utan specialkunskaper inom området.

Ytterligare precisering av vad uppgiften att anordna och bedriva högskoleutbildning innebär framgår av 6 kap. högskoleförordningen. All utbildning på grundnivå och avancerad nivå ska bedrivas i form av kurser. För en kurs ska det finnas en kursplan. I kursplanen ska anges kursens nivå, antal högskolepoäng, mål, krav på särskild behörighet, formerna för bedömning av studenternas prestationer och de övriga föreskrifter som behövs (6 kap. 13–15 §§). I kursplanerna finns således den mest konkreta preciseringen av vad en specifik utbildning innebär i form av bl.a. former för undervisning och bedömning. Vidare får kurser sammanföras till utbildningsprogram. För utbildningsprogrammen ska det finnas en utbildningsplan. Utbildningsplanen ska ange de kurser som programmet omfattar, kraven på särskild behörighet och de övriga föreskrifter som behövs (6 kap. 13, 16 och 17 §§). De angivna bestämmelserna i högskoleförordningen gäller även för Sveriges lantbruksuniversitet och Försvarshögskolan (se 5 kap. 2 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 2 § förordningen för Försvarshögskolan).

Enligt 6 kap. 4 § högskoleförordningen får det inom utbildningen vidare bara avläggas de examina som anges i bilaga 2 till högskoleförordningen (examensordningen). I examensordningen anges det på vilken nivå en viss examen ska avläggas och vilka krav som ska uppfyllas för en viss examen (6 kap. 5 §). Motsvarande bestämmelser finns i 5 kap. 1 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 1 § förordningen för Försvarshögskolan.

I examensordningen i bilagan till högskoleförordningen finns således en förteckning över vilka examina som får avläggas på grundnivå, avancerad nivå och forskarnivå. För respektive examen finns också en beskrivning av vilka krav som ska uppfyllas i fråga om t.ex. antal högskolepoäng, kunskaper och färdigheter samt självständiga arbeten. I examensbeskrivningarna anges vidare att också de preciserade krav som varje högskola själv bestämmer inom ramen för kraven i examensbeskrivningen ska gälla. Motsvarande bestämmelser finns i bilagorna till förordningen för Sveriges lantbruksuniversitet och förordningen för Försvarshögskolan.

På en genomgången kurs ska det vidare sättas ett betyg och en student som har fått en kurs godkänd ska på begäran få ett kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få ett examensbevis av högskolan (6 kap.9, 18 och 20 §§högskoleförordningen). Även dessa bestämmelser gäller för Sveriges lantbruksuniversitet och Försvarshögskolan enligt 5 kap. 2 § respektive 4 kap. 2 § i de förordningar som särskilt reglerar deras verksamhet.

Härutöver kan uppgifter och åligganden för de statliga högskolorna även framgå av andra författningar, t.ex. förordningen om redovisning av studier m.m. vid universitet och högskolor. Som angetts i avsnitt 6.2 föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) en bestämmelse i 2 kap. 2 § 1 dataskyddslagen som anger att personupp-

gifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen bl.a. om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer beslut som meddelats med stöd av lag eller annan författning. Uppgifter och åligganden kan således även framgå av t.ex. regleringsbrev till de statliga högskolorna. Som nämnts ovan ska det för en kurs och ett utbildningsprogram vidare finnas en kursplan respektive en utbildningsplan. Beslut om fastställande av sådana planer ska fattas av personer med vetenskaplig eller konstnärlig kompetens (2 kap. 5 § högskolelagen och prop. 2009/10:149 s. 35 f.).

I avsnitt 6.2 finns det en redogörelse för regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105) i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportionalitetsbedömningen i artikel 6.3 i dataskyddsförordningen. Med stöd av analysen ovan konstaterar regeringen att det genom högskolelagen, högskoleförordningen och förordningarna för Sveriges lantbruksuniversitet och Försvarshögskolan, men även genom andra författningar och beslut, finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva högskoleutbildning innebär för statliga högskolor och som är proportionerliga mot de mål som eftersträvas.

Till skillnad mot Datainspektionen bedömer därför regeringen att det för statliga högskolor finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning, och att nödvändig personuppgiftsbehandling därmed kan ske med stöd av artikel 6.1 e i dataskyddsförordningen.

Även enskilda utbildningsanordnares anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse som är fastställd i svensk rätt

Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. I förarbetena till högskolelagen uttalar regeringen också att statligt huvudmannaskap i myndighetsform bara är en av många möjliga verksamhetsformer för universitet och högskolor. Det behövs också alternativ till den statliga verksamheten om mångfald och konstruktiv konkurrens ska befordras (prop. 1992/93:1 s. 24).

Även enskilda utbildningsanordnare kan få tillstånd att utfärda sådana examina som regeringen, enligt vad som anges i högskolelagen, meddelat föreskrifter om. Tillstånd lämnas av regeringen, men endast om utbildningen vilar på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivs så att den i övrigt uppfyller de krav som ställs på utbildning i 1 kap. högskolelagen. Detta innebär bl.a. att en förutsättning för tillstånd att utfärda examina är att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. För varje examen som tillståndet avser ska utbildningen också svara mot de särskilda krav som enligt förordningsbestämmelser gäller för denna examen vid de universitet och högskolor som omfattas av högskolelagen (1, 2 och 6 §§ lagen [1993:792] om tillstånd att utfärda vissa examina). Regeringen bedömer således att även högskoleutbildning som anordnas och bedrivs av enskilda utbildningsanordnare med tillstånd att utfärda examen enligt

lagen om tillstånd att utfärda vissa examina är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningens som i enlighet med artikel 6.3 är fastställd i svensk rätt.

Som nämnts tidigare föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) en bestämmelse i dataskyddslagen som anger att en uppgift av allmänt intresse även kan framgå av ett beslut förutsatt att beslutet har meddelats med stöd av lag eller annan författning. Detta innebär att även de preciserade krav som enskilda utbildningsanordnarna beslutar fastställer den rättsliga grunden uppgift av allmänt intresse. Uppgifter och åligganden för enskilda utbildningsanordnares kan även framgå av regeringens beslut att bevilja tillstånd att utfärda examina. Som exempel kan nämnas att ett examenstillstånd får förenas med villkor om rätt för enskilda att ta del av handlingar hos utbildningsanordnaren (4 § lagen om tillstånd att utfärda vissa examina). Av 2 kap. 4 § offentlighets- och sekretesslagen (2009:400, OSL) och lagens bilaga framgår att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos bl.a. Chalmers tekniska högskola AB och Stiftelsen Högskolan i Jönköping, som är en enskild utbildningsanordnare. Dessa ska vid tillämpningen av OSL då jämställas med myndigheter.

I avsnitt 6.2 har redogjorts för regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105) i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportionalitetsbedömningen i artikel 6.3 i dataskyddsförordningen. Med stöd av analysen ovan anser regeringen att det genom lagen om tillstånd att utfärda vissa examina, med dess hänvisningar till bestämmelser i högskolelagen och högskoleförordningen, men även andra författningar och beslut, finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva högskoleutbildning innebär för enskilda utbildningsanordnare och som är proportionerliga mot de mål som eftersträvas.

Regeringen bedömer därför, till skillnad från Datainspektionen, att det även för enskilda utbildningsanordnare med tillstånd enligt lagen om tillstånd att utfärda vissa examina finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning, och att nödvändig personuppgiftsbehandling därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen.

Det kan dock konstateras att regleringen av de statliga högskolornas verksamhet är mer omfattande än den som finns för de enskilda utbildningsanordnarnas verksamhet. Som Stiftelsen Högskolan i Jönköping noterar gäller t.ex. inte förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor för enskilda utbildningsanordnare. För enskilda utbildningsanordnare saknas också preciserade bestämmelser om t.ex. antagningsförfarandet, studieadministration, tillgodoräknande av tidigare utbildning och verksamhet, disciplinära åtgärder och avskiljande. Men detta utesluter enligt regeringens bedömning inte att artikel 6.1 e i dataskyddsförordningen kan tillämpas av enskilda på behandling för sådana uppgifter och ändamål. Enligt dataskyddsförordningen ska behandlingen vara nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.3 andra stycket första meningen). Till skillnad mot vad som gäller grunden rättslig förpliktelse, behöver

ändamålet således inte framgå av den författning eller det beslut där själva uppgiften har fastställts. Av artikel 5.2 i dataskyddsförordningen följer också att det är den personuppgiftsansvarige som ska kunna visa att uppgifter behandlas för nödvändiga ändamål.

9.2.3. Den rättsliga grunden myndighetsutövning kan användas i vissa fall av högskolorna

Regeringens bedömning: Statliga högskolor kan vidta vissa åtgärder med stöd av högskolelagen som innefattar myndighetsutövning gentemot en student, t.ex. vid beslut om antagning, tillgodoräknande av utbildning eller yrkesverksamhet, examination och disciplinära åtgärder. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i EU:s dataskyddsförordning.

Även enskilda utbildningsanordnare kan vidta åtgärder som innefattar myndighetsutövning, nämligen utfärdande vissa examina enligt lagen om tillstånd att utfärda sådan. Den behandling av personuppgifter som ingår i myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.

Skälen för regeringens bedömning

Den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.3.

Statliga högskolor kan i vissa fall använda den rättsliga grunden myndighetsutövning

Statliga högskolor ska sätta betyg på en student som genomgått en kurs, om inte högskolan föreskriver något annat. Betyget ska beslutas av en av högskolan särskilt utsedd lärare, en så kallad examinator (6 kap. 18 § högskoleförordningen). En student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få examensbevis av högskolan (6 kap.9 och 20 §§högskoleförordningen). En högskolas beslut att avslå en students begäran att få examensbevis eller kursbevis är överklagbart (12 kap. 2 § 6 högskoleförordningen). Betygsättning och examination är således exempel på statliga högskolors myndighetsutövning som fastställts i svensk rätt.

Även beslut om antagning, tillgodoräknande av utbildning eller yrkesverksamhet och disciplinpåföljd enligt 6, 7 och 10 kap. högskoleförordningen är för statliga högskolors del myndighetsutövning. Beslut om att en sökande inte uppfyller kraven på behörighet för att bli antagen, om tillgodoräknande av utbildning eller yrkesverksamhet och om disciplinpåföljderna avstängning och varning får också överklagas (12 kap. 2 § 2

och 3 samt 3 § högskoleförordningen). Även på dessa områden sker alltså myndighetsutövning som är fastställd i svensk rätt.

Statliga högskolor kan därmed i dessa fall använda sig av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen för nödvändig personuppgiftsbehandling.

Enskilda utbildningsanordnares möjlighet att använda rättsliga grunden myndighetsutövning är mycket begränsad

Förvaltningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Om uppgiften innefattar myndighetsutövning får ett överlämnande dock endast göras med stöd av lag (12 kap. 4 § andra stycket regeringsformen).

När det gäller överlämnande av förvaltningsuppgifter som utgör myndighetsutövning till enskilda utbildningsanordnare, framgår det av 1 och 6 §§ lagen (1993:792) om tillstånd att utfärda vissa examina att en enskild utbildningsanordnare endast efter tillstånd av regeringen får utfärda sådana examina som regeringen med stöd av högskolelagen meddelat föreskrifter om. Detta omfattar även så kallade gemensamma examina enligt 2 a och 2 b §§ i samma lag. En enskild utbildningsanordnare som har fått tillstånd att utfärda examina får, under vissa förutsättningar, utfärda en sådan gemensam examen i vilken en examen som tillståndet avser ingår, tillsammans med vissa andra kategorier av lärosäten (2 a och 2 b §§ lagen om tillstånd att utfärda vissa examina). I högskolelagen anges också att en gemensam examen får utfärdas av en högskola som anges i bilagan till högskolelagen tillsammans med bl.a. en enskild utbildningsanordnare. En högskola som får utfärda en sådan examen får också besluta att i viss utsträckning överlåta förvaltningsuppgifter i fråga om antagning till och tillgodoräknande av utbildning till bl.a. en enskild utbildningsanordnare (1 kap.17 och 18 §§högskolelagen).

9.2.4. Den rättsliga grunden rättslig förpliktelse kan användas i vissa fall av högskolorna

Regeringens bedömning: Det finns fastställda rättsliga förpliktelser som gör det nödvändigt för statliga högskolor att behandla personuppgifter.

Även för vissa enskilda utbildningsanordnare kan det finnas sådana rättsliga förpliktelser. Behandlingen kan i dessa fall göras med stöd av den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i EU:s dataskyddsförordning.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i dataskyddsförordningen har beskrivits i avsnitt 6.4.

Ett exempel på en rättslig förpliktelse för statliga högskolor som enligt regeringens bedömning är tillräckligt tydlig för att ligga till grund för nödvändig personuppgiftsbehandling är att en student som har fått en

kurs godkänd på begäran ska få kursbevis av högskolan (6 kap. 20 § första stycket högskoleförordningen). Ett annat, liknande exempel, är att en student som uppfyller fordringarna för en examen på begäran ska få examensbevis av högskolan (6 kap. 9 § högskoleförordningen). Båda dessa exempel förutsätter att i vart fall namn och personnummer behandlas för att kurs- och examensbeviset ska kunna utfärdas. Ytterligare ett exempel på en rättslig förpliktelse är enligt regeringens bedömning att de statliga högskolorna ska dokumentera uppgifter om studenter och föra ett studieregister där vissa uppgifter ska dokumenteras (2 kap. 1 § förordningen [1993:1153] om redovisning av studier m.m. vid universitet och högskolor).

Eftersom personuppgiftsbehandlingen på högskoleområdet till största delen dock bör kunna ske med stöd av den rättsliga grunden uppgift av allmänt intresse saknas anledning att göra en mer ingående analys av vilka av de bestämmelser som gäller för högskolorna som kan anses vara så tydliga att de anses utgöra rättsliga förpliktelser.

9.2.5. Intresseavvägning kan användas men blir sällan aktuell för högskolorna

Regeringens bedömning: Enskilda utbildningsanordnare kan behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i EU:s dataskyddsförordning. Den förutsätter att – behandlingen är nödvändig för ändamål som rör den person-

uppgiftsansvariges eller en tredje parts berättigade intressen, och – att inte den registrerades intressen eller grundläggande rättigheter

och friheter väger tyngre och kräver skydd av personuppgifter. Eftersom även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 f i dataskyddsförordningen är tillämplig, behöver dock intresseavvägning sällan eller aldrig användas.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen har beskrivits i avsnitt 6.5. Grunden gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom statliga högskolor är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt högskolelagen med anslutande föreskrifter, är det endast enskilda utbildningsanordnare som kan tillämpa grunden intresseavvägning till stöd för sin personuppgiftsbehandling.

Som framgått ovan i avsnitt 9.2.2, bedömer regeringen att artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, är tillämplig som rättslig grund för anordnande och bedrivande av högskoleutbildning, och att det gäller både för statliga högskolor och för enskilda utbildningsanordnare. Enligt regeringens uppfattning bör enskilda utbildningsanordnare därför sällan eller aldrig behöva använda den rättsliga grunden

intresseavvägning i artikel 6.1.f för att kunna behandla personuppgifter i sådan verksamhet som omfattas av tillståndet att utfärda examina.

9.2.6. Den rättsliga grunden samtycke kan användas i begränsad utsträckning av högskolorna

Regeringens bedömning: Statliga högskolor och enskilda utbildningsanordnare kan i begränsad utsträckning använda sig av den rättsliga grunden samtycke i artikel 6.1 a i EU:s dataskyddsförordning för sin personuppgiftsbehandling.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot bedömningen.

Luleå tekniska universitet påpekar att oavsett om det är fråga om en statlig högskola eller en enskild utbildningsanordnare råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Användningen av samtycke som rättslig grund är därmed tämligen begränsat, vilket kan tydliggöras ytterligare genom att formulera bedömningen som att samtycke kan användas i begränsad utsträckning.

Skälen för regeringens bedömning: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen beskrivs i avsnitt 6.1. Som anges där är möjligheten att använda samtycke som rättslig grund begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Om behandlingen av personuppgifter grundar sig på samtycke från den registrerade ska den personuppgiftsansvarige kunna visa detta (artikel 7.1 i dataskyddsförordningen). Ett exempel på när såväl en statlig högskola som en enskild utbildningsanordnare kan använda samtycke som rättslig grund är, enligt regeringens bedömning, vid registrering av tidigare studenter i alumndatabaser. I detta fall är det fråga om en tjänst som är helt frivillig, utan direkt koppling till den lagstadgade rätten att studera för den som uppfyller behörighetskraven. Det kan även uppstå andra likartade situationer där samtycke skulle kunna användas som rättslig grund, men denna möjlighet är dock något som får bedömas från fall till fall av utbildningsanordnaren.

När det gäller Luleå tekniska universitets förslag till formulering i fråga om möjligheten att använda den rättsliga grunden samtycke, noterar regeringen att utredningen ömsom uttryckt det som att grunden kan användas i viss utsträckning, ömsom som att den kan användas i begränsad utsträckning. Regeringen antar att utredningen med de båda formuleringarna har avsett detsamma, nämligen att uttrycka den restriktivitet som även enligt regeringen bör gälla för användningen av samtycke som rättslig grund.

9.2.7. De rättsliga grunderna uppgift av allmänt intresse, samtycke och intresseavvägning kan användas av studentkårerna

Regeringens bedömning: Genom bestämmelser i högskolelagen och studentkårsförordningen är det i svensk rätt fastställt att studentkårerna vid statliga universitet och högskolor bedriver verksamhet som är en uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.

Studentkårerna kan även använda sig av den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen för sin personuppgiftsbehandling.

Studentkårerna kan även behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen. Det kräver dock att kåren först gör en avvägning mellan behovet av behandlingen och den registrerades intressen.

Utredningens bedömning: Utredningen har inte gjort någon bedömning i fråga om stundkårerna.

Remissinstanserna: Sveriges förenade studentkårer (SFS) beklagar att utredningen har förbisett studentkårernas roll för utbildningsområdet och inte gjort någon bedömning av hur dataskyddsförordningen kommer att påverka dem. SFS anser vidare att kårerna bör få det stöd eller resurser de behöver för att hantera kraven från den nya dataskyddsförordningen utan att deras förutsättningar att utföra sitt uppdrag försämras. Övriga remissinstanser har inte yttrat sig i fråga om studentkårerna roll.

Som nämnts i avsnitt 3 har SFS beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. SFS har inga synpunkter på bedömningen.

Skälen för regeringens bedömning

De rättsliga grunderna uppgift av allmänt intresse, samtycke och intresseavvägning i artikel 6.1 a och f i dataskyddsförordningen har beskrivits i avsnitt 6.

Studentkårerna vid statliga universitet och högskolor kan använda uppgift av allmänt intresse som rättslig grund i offentligt reglerad verksamhet

Av 4 kap.9 och 11 §§högskolelagen (1992:1434) följer att en studentkår ska ha som huvudsakligt syfte att bevaka och medverka i utvecklingen av utbildningen och förutsättningarna för studier vid högskolan. Den ska också vara demokratiskt uppbyggd och kunna representera studenterna inom kårens verksamhetsområde. Vissa specifika uppgifter inom högskolans verksamhet som studentkåren ansvarar för enligt studentkårsförordningen (2009:769) har också redogjorts för i avsnitt 9.2.1. Alla studenter inom en studentkårs verksamhetsområde har rätt att bli medlemmar i kåren, om de uppfyller de krav som ställs för medlemskap.

Den student som är medlem i studentkåren ska ha rösträtt vid val till studentkårens högsta beslutande organ (4 kap.12 §§högskolelagen). Statliga universitet och högskolor får meddela föreskrifter om hur en studentkår vid högskolan ska redovisa sin verksamhet och sitt medlemsantal (6 § studentkårsförordningen).

Studentkårerna utför således vissa uppgifter av allmänt intresse som är fastställda genom tillräckligt tydliga, precisa och förutsägbara bestämmelser. De kan därmed utföra behandling av personuppgifter som är nödvändig för att utöva offentligt reglerad verksamhet som grundas på nämnda föreskrifter med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

Studentkårerna kan använda samtycke och intresseavvägning som rättslig grund

Av regeringens proposition Frihet och inflytande – kårobligatoriets avskaffande framgår att synen på studentsammanslutningarnas ställning har varit omdiskuterad, men att regeringen inte ser några alternativ till att betrakta studentsammanslutningarna som privaträttsliga organ (prop. 2008/09:154 s 19).

Enligt regeringens bedömning råder inte en sådan betydande ojämlikhet mellan studentkåren och en student att ett samtycke till behandling av personuppgifter inte kan anses lämnas frivilligt enligt skäl 43 i dataskyddsförordningen. Regeringen bedömer därför att studentkårer både vid statliga universitet och högskolor och vid enskilda utbildningsanordnare, kan använda den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen för sin personuppgiftsbehandling.

Eftersom studentkårerna är privaträttsliga organ kan de även behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen. Det kräver dock att kåren först gör en avvägning mellan behovet av behandlingen och den registrerades intressen enligt artikel 6.1 f i dataskyddsförordningen.

9.3. Yrkeshögskolan och andra eftergymnasiala utbildningar

9.3.1. Vilka personuppgifter behandlas inom yrkeshögskolan och andra eftergymnasiala utbildningar?

Nedan ges en översiktlig beskrivning av de huvudsakliga behandlingar av personuppgifter som sker inom yrkeshögskolan och inom konst- och kulturutbildningar och vissa andra utbildningar. En närmare redogörelse för behandlingar av känsliga personuppgifter och uppgifter om lagöverträdelser ges i avsnitt 13.5.1 och 14.5.1.

Behandling inom yrkeshögskolan

En utbildning inom yrkeshögskolan ska vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Om inte alla behöriga sökande

till en utbildning kan tas emot, ska ett urval göras bland de sökande (15 och 17 §§ lagen om yrkeshögskolan). Av bestämmelser om behörighet och urval framgår bl.a. att tillämpliga urvalsgrunder är betyg, särskilt prov, tidigare utbildning och yrkeserfarenhet (3 kap. 1–7 §§ förordningen [2009:130] om yrkeshögskolan). I samband med antagning till utbildning inom yrkeshögskolan behandlas därmed personuppgifter i form av namn, personnummer, kontaktuppgifter och den sökandes olika utbildningar och meriter.

Utbildningen inom yrkeshögskolan ska bedrivas i form av en eller flera kurser. Betyg ska sättas på en genomförd kurs med något av uttrycken icke godkänt, godkänt och väl godkänt. I den obligatoriska kursplanen ska anges vilka principer för betygssättning och former för kunskapskontroll som ska tillämpas (2 kap. 4, 9–11 §§ förordningen om yrkeshögskolan). I bedrivandet av själva utbildningen behandlas således personuppgifter i form av i vart fall namn, personnummer och genomförda moment i undervisningen och den studerandes då erhållna resultat.

En studerande inom yrkeshögskolan ska, under vissa förutsättningar, för en del av utbildningen kunna få tillgodoräkna sig annan genomgången utbildning eller motsvarande kunskaper, färdigheter och kompetenser som har förvärvats i yrkesverksamhet eller på annat sätt (2 kap. 12 § förordningen om yrkeshögskolan). I fråga om prövning av tillgodoräknande behandlas därmed personuppgifter i form av namn, personnummer och sökandens tidigare meriter.

Utbildningsanordnaren får utfärda utbildningsbevis och examensbevis. För att en studerande ska få avsluta utbildningen med en yrkeshögskoleexamen respektive en kvalificerad yrkeshögskoleexamen behöver vissa angivna krav vara uppfyllda. En studerande som uppfyller kraven för en examen ska på begäran få ett examensbevis av den ansvariga utbildningsanordnaren. En studerande som inte har fullgjort vad som krävs för en examen eller som inte begär att få ett examensbevis ska på begäran få ett utbildningsbevis (14 § lagen om yrkeshögskolan och 2 kap. 13–16 §§ förordningen om yrkeshögskolan). För att nämnda bevis ska kunna utfärdas behöver det behandlas personuppgifter i form av namn, personnummer, genomförda kurser och betyg.

Utbildning inom yrkeshögskolan, för vilken utbildningsanordnaren får statsbidrag eller särskilda medel, ska vara avgiftsfri för de studerande. Enstaka inslag som de studerande får betala ett obetydligt belopp för får dock förekomma. Anordnare av utbildningar som inte får statsbidrag eller särskilda medel får ta ut skäliga studerandeavgifter (9 § lagen om yrkeshögskolan). Behandling av personuppgifter kan därmed förekomma för att fastställa skyldighet att betala vissa avgifter och att betalning har skett.

Vidare har Myndigheten för yrkeshögskolan (MYH) ett bemyndigande att meddela föreskrifter om att den ansvariga utbildningsanordnaren ska lämna uppgifter till MYH om de studerande och deras studieresultat, betyg och examina. MYH får även meddela föreskrifter om på vilket sätt och när uppgifterna ska lämnas (2 kap. 17 § förordningen om yrkeshögskolan). Med stöd av bemyndigandet har MYH meddelat föreskrifter om studiedokumentation (MYHFS 2016:8). Av dessa framgår att utbildningsanordnarna för varje utbildning ska lämna uppgifter om de studerandes fullständiga personnummer, förnamn och efternamn. Uppgifterna

ska rapporteras till myndigheten genom en av myndigheten tillhandahållen digital plattform eller tjänst. För detta ändamål använder MYH sig av ett studiedokumentationssystem. Vidare ska uppgifter om de studerandes resultat rapporteras till MYH löpande och utan dröjsmål. Om betyg inte kan sättas ska detta rapporteras. Om en kurs har tillgodoräknats ska det framgå av rapporteringen. Kopior på examensbevis och utbildningsbevis skickas in till MYH. Ett examensbevis ska innehålla uppgifter i form av bl.a. den studerandes fullständiga personnummer, förnamn och efternamn, examensarbete, betyg och eventuella tillgodoräknanden. Samma uppgifter, med undantag för uppgift om examensarbete, ska också finnas i ett utbildningsbevis (3–9 §§ MYHFS 2016:8).

Behandling inom konst- och kulturutbildningar och vissa andra utbildningar

Bestämmelser om eftergymnasiala konst- och kulturutbildningar och vissa andra utbildningar finns i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Behörig att antas till utbildningen är den som har genomgått gymnasieskolan eller gymnasiesärskolan eller motsvarande utbildning. Behörig att antas är också den som annars bedöms kunna tillgodogöra sig utbildningen (24 §) För varje utbildning ska det finnas en utbildningsplan. Av denna ska framgå bl.a. de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen. Av planen ska även framgå hur bl.a. behörighetsbedömningar, urval och antagning ska dokumenteras (13 §). I samband med antagning till utbildning behandlas därmed personuppgifter i form av namn, personnummer, kontaktuppgifter och den sökandes olika utbildningar och meriter.

Utbildningen ska bedrivas i form av en eller flera kurser. För varje kurs ska det finnas en kursplan. Av kursplanen ska framgå bl.a. de former för kunskapskontroll som ska tillämpas. Det ska även framgå om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas. Efter en genomförd kurs ska betyg sättas eller ett intyg utfärdas. En studerande som avslutat en utbildning ska på begäran få ett utbildningsbevis av den ansvariga utbildningsanordnaren där utbildningens innehåll och den studerandes resultat anges (12 och 14–16 §§). I bedrivandet av själva utbildningen och för utfärdandet av intyg och utbildningsbevis behandlas således personuppgifter i form av i vart fall namn, personnummer och genomförda moment i undervisningen och den studerandes då erhållna resultat.

Om det finns särskilda skäl får utbildningsanordnaren i enskilda fall besluta att den som är antagen till utbildningen får anstånd med att påbörja studierna eller fortsätta sina studier efter studieuppehåll (24 a §). I samband med sådana beslut kan därmed personuppgifter behöva behandlas.

Utbildningsanordnarna får ta ut studerandeavgifter. Dessa ska dock vara skäliga i förhållande till utbildningens karaktär och de kostnader som utbildningsanordnaren har för utbildningen (10 §

)

. Behandling av personuppgifter kan därmed förekomma för att fastställa skyldighet att betala vissa avgifter och att betalning har skett.

MYH ska svara för ett register över uppgifter om de studerande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis (2 § 6 förordningen med instruktion för Myndigheten för yrkeshögskolan). Behandling av personuppgifter behöver därmed ske när utbildningsanordnarna lämnar nyss nämnda uppgifter till MYH.

9.3.2. Den rättsliga grunden uppgift av allmänt intresse kan användas

Regeringens bedömning: Genom bestämmelser i lagen om yrkeshögskolan med anslutande föreskrifter och beslut fattade med stöd av dessa är anordnande och bedrivande av utbildning inom yrkeshögskolan en i svensk rätt fastställd uppgift av allmänt intresse.

Genom bestämmelser i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande myndighetsföreskrifter och beslut meddelade med stöd av dessa är det i svensk rätt fastställt att anordnande och bedrivande av sådana utbildningar också är en uppgift av allmänt intresse.

Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot bedömningen.

Datainspektionen saknar en analys som visar vilken behandling som är nödvändig utifrån yrkeshögskolans verksamhet och en redovisning som visar att lagen om yrkeshögskolan och därtill hörande bestämmelser ger stöd för den behandlingen. Det visas inte i betänkandet att de bestämmelser som utredningen bedömer vara tillräckliga för att kunna åberopa uppgift av allmänt intresse uppfyller kraven i skäl 41 på att den rättsliga grunden bör vara tydlig, precis och förutsägbar och att lagstiftningen är proportionerligt mot det mål som eftersträvas enligt artikel 6.3 sista meningen i dataskyddsförordningen.

Skälen för regeringens bedömning

Som framgått av avsnitt 9.3.1 finns det behov av att behandla en rad personuppgifter inom yrkeshögskolan, inom konst- och kulturutbildningar och inom vissa andra utbildningar. Regeringen anser, till skillnad mot Datainspektionen, att den redogörelse som lämnas där utgör en i detta sammanhang tillräcklig analys av behovet av att behandla personuppgifter inom yrkeshögskolan.

Som anges i avsnitt 6 förutsätter personuppgiftsbehandlingen en i EUrätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskyddsförordningen). Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.2.

Anordnande och bedrivande av utbildning inom yrkeshögskolan är en uppgift av allmänt intresse

Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. Lagen om yrkeshögskolan med anslutande föreskrifter innehåller närmare bestämmelser om utbildning inom yrkeshögskolan. I förarbetena till den lagen uttalas bl.a. följande (prop. 2008/09:68 s. 14 f., 17 f. och 20).

Utbyggnaden av högre utbildning i Sverige har under de senaste åren varit stor och är en viktig del av utbildningspolitiken. Andelen personer med eftergymnasial utbildning som är tre år lång eller längre har sedan 1990 ökat från 11 till 21 procent. Trots detta finns det från arbetslivet en efterfrågan på kvalificerad yrkeskompetens som inte tillgodoses av högskolans nuvarande utbildningsutbud. Denna efterfrågan finns inom samhällets alla sektorer och den har stadigt ökat under de senaste åren. För att möta denna efterfrågan har det inom andra statliga utbildningsformer och utanför det offentliga utbildningsväsendet utvecklats utbildningar som kombinerar teori med praktik och aktivt lärande i arbetslivet. De kunskaper och färdigheter som en studerande förvärvar i sådan utbildning bidrar till utveckling av produktionen av varor och tjänster och därmed till ekonomisk tillväxt. Kunskaperna och färdigheterna ökar även den enskildes möjligheter till ett mera aktivt samhällsliv.

[…] Det är regeringens uppfattning att utbildningssektorn behöver en utbildningsform på eftergymnasial nivå där arbetslivsgenererad kunskap är en huvudkomponent.

[…] En utbildning inom yrkeshögskolan bör normalt ge en specialiserad utbildning med inriktning mot ett definierat yrkesområde och vara grundad på faktiskt definierade behov på kort sikt. Högskoleutbildning har i jämförelse en större bredd och ett större djup, och därmed ett betydligt längre perspektiv i förhållande till arbetsmarknadens behov. Båda utbildningsformerna fyller viktiga funktioner, men på olika nivåer och med olika långa perspektiv.

Regeringen bedömer således att anordnande och bedrivande av utbildning inom yrkeshögskolan är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Även det förhållandet att utbildningar inom yrkeshögskolan enligt lagen om yrkeshögskolan som inte är uppdragsutbildningar berättigar till studiestöd enligt studiestödslagen och studiestödsförordningen kan enligt regeringens uppfattning läggas till grund för bedömningen att anordnande och bedrivande av dessa utbildningar är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

Den rättsliga grunden är fastställd i bl.a. lagen om yrkeshögskolan

Vad det innebär att anordna och bedriva eftergymnasiala yrkesutbildningar preciseras i lagen om yrkeshögskolan och förordningen om yrkeshögskolan. Med ett fåtal undantag gäller bestämmelserna i dessa författningar för såväl offentliga som enskilda utbildningsanordnare.

Bestämmelserna i lagen om yrkeshögskolan syftar bl.a. till att inom yrkeshögskolan säkerställa att eftergymnasiala yrkesutbildningar som svarar mot arbetslivets behov kommer till stånd. Vidare ska en utbildning inom yrkeshögskolan väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Den ska vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Om inte alla behöriga sökande kan tas emot ska ett urval göras (1, 5, 15 och 17 §§ lagen om yrkeshögskolan). I förordningen om yrkeshögskolan finns det mer preciserade bestämmelser om behörighet och urval (3 kap.).

I lagen om yrkeshögskolan anges de allmänna målen för utbildningen. Utbildningen har sin grund i kunskap som genererats dels i produktionen av varor och tjänster, dels i vetenskap. Den ska utformas så att en hög kvalitet och yrkesrelevans nås. Utbildningen ska vidare ge sådana teoretiska, praktiska och erfarenhetsbaserade kunskaper som krävs för att självständigt och i arbetslag kunna utföra kvalificerade uppgifter i arbetslivet. Den ska präglas av såväl stark arbetslivsanknytning som teoretisk förankring. Utbildningen ska utvecklas och bedrivas i samverkan mellan arbetsliv och utbildningsanordnare. Slutligen ska den bidra till att bryta traditioner i fråga om könsbundna utbildnings- och yrkesval (6 §).

MYH beslutar om en utbildning ska ingå i yrkeshögskolan (1 kap. 4 § förordningen om yrkeshögskolan). I 2 kap. förordningen om yrkeshögskolan finns mer preciserade bestämmelser om utbildningen, bl.a. om utbildningens omfattning och kurser, utbildningsplan, kursplan, betyg, tillgodoräknande, examen, examens- och utbildningsbevis. MYH får utfärda föreskrifter om utbildningsplan och kursplan. MYH har i MYHFS 2009:1 fastställt vad som ska gälla för utbildningsanordnarnas kursplaner.

I avsnitt 6.2 finns en redogörelse för regeringens bedömning i propositionen Ny dataskyddslag i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportionalitetsbedömningen i artikel 6.3 i dataskyddsförordningen. Mot bakgrund av analysen ovan anser regeringen att det genom lagen och förordningen om yrkeshögskolan, anslutande myndighetsföreskrifter samt bl.a. MYH:s beslut att en utbildning ska ingå i yrkeshögskolan, till vilket det ska bifogas bl.a. en utbildningsplan (1 kap. 4 och 5 §§ förordningen om yrkeshögskolan), finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva eftergymnasiala yrkesutbildningar innebär och som är proportionerliga mot de mål som eftersträvas. Regeringen bedömer därför, till skillnad mot Datainspektionen, att det för utbildningsanordnarna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva eftergymnasiala yrkesutbildningar. Detta innebär att samtliga åtgärder som utbildningsanordnarna företar i syfte att bedriva utbildningsverksamhet som har sin grund i nu nämnda författningar och beslut är att anse som utförande av en uppgift av allmänt intresse enligt dataskyddsförordningen.

Anordnande av konst- och kulturutbildningar och vissa andra utbildningar är en uppgift av allmänt intresse

Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse. Artikel 6.1 e i dataskyddsförordningen är inte begränsad till offentliga aktörer, utan även privaträttsliga organ kan utföra en uppgift av allmänt intresse. Konst- och kulturutbildningar och vissa andra utbildningar som anordnas av enskilda fysiska och juridiska personer omfattas av förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Enligt denna förordning ska utbildningen bedrivas på en eftergymnasial nivå, även om det vid behov får förekomma inslag av gymnasial karaktär (5 §). Det är således fråga om huvudsakligen eftergymnasiala studier. En av förutsättningarna för att få stöd enligt förordningen är att utbildningen är en av tre olika typer (3 och 4 §§).

Den första typen avser utbildningar som förbereder för högskoleutbildningar som kan leda fram till konstnärliga examina. Av avsnitt 9.2.2 framgår att regeringen bedömer att anordnande och bedrivande av högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse. Utbildningar enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska således bl.a. förbereda för högskoleutbildning som kan leda fram till en konstnärlig examen som det enligt svensk rätt finns ett allmänt intresse av att utfärda. I MYH:s statistiska årsrapport 2016 anges bl.a. att konkurrensen om platserna på konstnärliga utbildningar inom högskolan är så hög att de sökande i praktiken måste ha genomgått någon slags förberedande utbildning för att klara antagningsproven som ofta består av arbetsprover eller auditions (s. 90). Enligt regeringens bedömning är anordnande och bedrivande av sådana utbildningar som förbereder för högskoleutbildningar som kan leda fram till konstnärliga examina därmed en uppgift av allmänt intresse.

En andra typ av utbildning som omfattas av bestämmelserna i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är sådan utbildning som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området (4 §). Det är således en form av eftergymnasial yrkesutbildning som, liksom övriga utbildningar enligt förordningen, kan berättiga till stöd i form av tillsyn, en förklaring att de studerande är berättigade till studiestöd eller statsbidrag (25 §). Enligt regeringens bedömning är även anordnande och bedrivande av sådana utbildningar som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området därmed en uppgift av allmänt intresse.

Den tredje typen av utbildningar som omfattas av bestämmelserna i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är sådana som har ett innehåll som syftar till att bevara eller utveckla kulturarvet (4 §). I fråga om kulturarvet uttalar regeringen i förarbetena till förslag till museilag bl.a. följande (prop. 2016/17:116 s. 63 f.).

Utöver dess kollektiva funktioner är kulturarvet också en outtömlig resurs i enskilda människors strävan efter att förstå sig själva i större sammanhang och i tiden. Kulturarvet kan användas för att utveckla

kunskaper och förmågor som berikar livet och gör det möjligt att förhålla sig till den egna samtiden på nya sätt. Ett aktivt utbildnings- och bildningsarbete behövs också för att ge enskilda möjlighet att skapa reflekterande förhållningssätt till samhällets kollektiva minnen och till de berättelser om ursprung och tillhörighet vi alla är omgivna av. I kulturarvsarbetet skapas kontinuerligt ny kunskap om det förflutna, om samtiden och om vart vi som samhälle är på väg.

[…] På ett personligt plan framträder kulturarvets värden egentligen först genom försök att tillägna sig det. För att alla ska få förutsättningar att möta kulturarvet på detta sätt är det centralt att barn och unga, oavsett föräldrarnas bakgrund, får en god grund att stå på redan under utbildningstiden. I vuxen ålder är det viktigt att ha förvärvat vissa kunskaper och färdigheter för att det inte ska finnas höga trösklar att ta sig över för att få tillgång till den gemensamma historien. Vidare är det centralt att studenter fortsätter att söka sig till ämnesområden som i särskilt hög grad bidrar till en förståelse av kulturarvets betydelse – typiskt sett de traditionella humanistiska ämnena – vid landets universitet och högskolor.

[…] Ett aktivt förhållningssätt till kulturarvet kan dock bidra till bildning i kvalificerad bemärkelse just genom att det – utöver sakkunskaper om äldre tid – öppnar upp nya perspektiv, vidgar horisonter och sätter det invanda i fråga. På så vis övar det förmågor som för den enskilde är till nytta i många sammanhang och som bidrar till samhällets utveckling.

[…] Det har ofta påpekats att kulturarvet i Sverige inte enbart ligger i svenska medborgares intresse, utan att dessa kulturuttryck snarare måste ses som en del av den samlade kulturella mångfalden och rikedomen i världen.

Av uttalandena framgår att kulturarvets bevarande och utvecklande är av mycket stort värde och att det är mycket viktigt att studerande söker sig till sådana utbildningar. Anordnande och bedrivande av sådana utbildningar är det därmed enligt regeringens bedömning en uppgift av allmänt intresse.

Regeringen anser således att anordnande och bedrivande av de tre olika typer av utbildningar som kan få stöd genom bestämmelserna i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en uppgift av allmänt intresse. Även det förhållandet att utbildningar enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar efter beslut av Myndigheten för yrkeshögskolan kan berättiga till studiestöd, kan enligt regeringens uppfattning läggas till grund för bedömningen att anordnande och bedrivande av dessa utbildningar är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

Den rättsliga grunden är fastställd i bl.a. förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar

I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar preciseras vad det innebär att anordna och bedriva utbild-

ningarna. Utbildningen ska bl.a. ge en teoretisk förankring inom det konstnärliga eller kulturella området och vila på vetenskaplig eller konstnärlig grund eller på beprövad erfarenhet (5 §). Behörig att antas till utbildningen är den som har genomgått gymnasieskolan eller gymnasiesärskolan eller motsvarande utbildning samt den som annars bedöms kunna tillgodogöra sig utbildningen. Därutöver får utbildningsanordnaren ställa krav på särskilda förkunskaper (24 §).

Vidare ska utbildningen bedrivas i form av en eller flera kurser. För varje utbildning ska det finnas en utbildningsplan. Av planen ska bl.a. utbildningens mål och inriktning framgå samt de kurser som ingår i utbildningen, antalet timmar lärar- eller handledarledd verksamhet som utbildningen omfattar I förekommande fall ska planen även beskriva de krav på särskilda förkunskaper som ställs upp, de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen, hur behörighetsbedömningar, urval, antagning, kunskapskontroll och studieresultat samt arkivering av studieresultat ska dokumenteras. För varje kurs ska det vidare finnas en kursplan. Av kursplanen ska framgå kursens benämning, målen för kursen, kursens huvudsakliga innehåll, om kursen helt eller delvis ges på engelska, de former för kunskapskontroll som ska tillämpas, och om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas (12–14 §§). Förordningen innehåller också bestämmelser om betyg, intyg och utbildningsbevis (15–17 §§). Det är MYH som fattar beslut om utbildning ska ges stöd i form av tillsyn, en förklaring att de studerande är berättigade till studiestöd eller statsbidrag (25 §).

MYH får också meddela föreskrifter om utbildningsplaner och kursplaner, betyg, intyg och utbildningsbevis samt verkställigheten av förordningen (40 §). Föreskrifter om kurs- och utbildningsplaner har MYH meddelat i MYH 2015:2 och MYH 2016:16.

I avsnitt 6.2 finns en redogörelse för regeringens bedömning i propositionen Ny dataskyddslag i fråga om kraven på den rättsliga grundens tydlighet, precision och förutsägbarhet i skäl 41 och proportionalitetsbedömningen i artikel 6.3 i dataskyddsförordningen. Med stöd av analysen ovan anser regeringen att det i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande föreskrifter finns tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva sådana utbildningar innebär och som är proportionerliga mot de mål som eftersträvas. Regeringens bedömning är därför att det för utbildningsanordnarna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva dessa utbildningar. Samtliga åtgärder som utbildningsanordnarna vidtar i syfte att bedriva utbildningsverksamhet som har sin grund i den nämnda författningen, anslutande myndighetsföreskrifter och beslut meddelade med stöd av dessa är därmed att anse som utförande av en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

9.3.3. Den rättsliga grunden myndighetsutövning kan användas i vissa fall

Regeringens bedömning: Utbildningsanordnarna inom yrkeshögskolan kan vidta vissa åtgärder med stöd av lagen om yrkeshögskolan och anslutande föreskrifter som innefattar myndighetsutövning gentemot en studerande, t.ex. examination. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i EU:s dataskyddsförordning.

Enskilda som anordnar och bedriver utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar saknar däremot möjlighet att tillämpa den rättsliga grunden myndighetsutövning.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.

Skälen för regeringens bedömning

Vissa åtgärder inom yrkeshögskolan utgör myndighetsutövning

Den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.3. Som också anges där, framgår det av propositionen Ny dataskyddslag att utgångspunkten i svensk rätt är att det som i Sverige brukar anses som myndighetsutövning faller in under dataskyddsförordningens begrepp och att detta bör gälla även fortsättningsvis (prop. 2017/18:105 s. 62).

Anordnare av yrkeshögskoleutbildning får utfärda utbildningsbevis och examensbevis. Regeringen eller den myndighet som regeringen bestämmer har också bemyndigats att meddela föreskrifter om utbildningsbevis och examensbevis (14 § andra stycket lagen om yrkeshögskolan). Den studerande ska under vissa förutsättningar få ett examensbevis eller ett utbildningsbevis. Bevisen utfärdas av ledningsgruppen. Ett beslut av ansvarig utbildningsanordnare om avslag på en studerandes begäran att få examensbevis eller utbildningsbevis får överklagas till Överklagandenämnden för högskolan (2 kap. 15 och 16 §§, 4 kap. 2 § och 8 kap. 2 § första stycket förordningen om yrkeshögskolan). Ytterligare exempel på myndighetsutövning är statliga universitets och högskolors beslut om antagning och tillgodoräknande, som får överklagas till Överklagandenämnden för högskolan (8 kap. 2 § andra stycket förordningen om yrkeshögskolan).

Verksamheten hos dem som anordnar och bedriver utbildning inom yrkeshögskolan omfattar därmed i vissa delar myndighetsutövning som är fastställd i svensk rätt. Den behandling av personuppgifter som är nödvändig i samband med dessa moment kan därmed grunda sig på den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen.

Anordnande av konst- och kulturutbildningar och vissa andra utbildningar innefattar inte myndighetsutövning

Enskilda som anordnar och bedriver sådan utbildning som omfattas av förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska sätta betyg eller utfärda intyg. De ska vidare utfärda utbildningsbevis om en studerande begär det (15–17 §§). Även i dessa utbildningsanordnares verksamhet finns således inslag som är att likna vid myndighetsutövning.

Förvaltningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Innefattar uppgiften myndighetsutövning får ett överlämnande dock endast göras med stöd av lag (12 kap. 4 § andra stycket regeringsformen). Bestämmelserna om konst- och kulturutbildningar och vissa andra utbildningar finns inte i lag utan i en förordning. Enligt regeringens bedömning är det därmed inte i svensk rätt fastställt att anordnarna av sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har getts myndighetsutövande befogenheter. Dessa utbildningsanordnare kan därmed inte tillämpa den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen för sin personuppgiftsbehandling. Som framgår av avsnitt 9.3.2 har de dock i stället möjlighet att tillämpa den rättsliga grunden uppgift av allmänt intresse i artikel 6.1. e i dataskyddsförordningen. Vidare kan de tillämpa den rättsliga grunden rättslig förpliktelse i vissa fall, se nästa avsnitt.

9.3.4. Den rättsliga grunden rättslig förpliktelse kan användas i vissa fall

Regeringens bedömning: Det finns fastställda rättsliga förpliktelser som gör det nödvändigt för dem som anordnar och bedriver utbildning inom yrkeshögskolan att behandla personuppgifter. Behandlingen kan i dessa fall göras med stöd av den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i EU:s dataskyddsförordning.

Detsamma gäller för den som bedriver utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden rättslig förpliktelse i artikel 6.1 c i dataskyddsförordningen har beskrivits i avsnitt 6.4.

En studerande inom yrkeshögskolan ska på begäran under vissa förutsättningar få ett examensbevis eller ett utbildningsbevis (2 kap. 15 och 16 §§ förordningen [2009:139] om yrkeshögskolan. Även en studerande som avslutat en utbildning som omfattas av förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska på begäran få ett utbildningsbevis av den ansvariga utbildningsanordnaren (17 §).

Nämnda förpliktelser för utbildningsanordnarna förutsätter att i vart fall namn och personnummer behandlas för att respektive bevis ska kunna utfärdas. Detta är enligt regeringens bedömning exempel på rättsliga förpliktelser som är tillräckligt tydliga för att nödvändig personuppgiftsbehandling ska kunna ske med stöd av artikel 6.1 c i dataskyddsförordningen.

Ytterligare exempel på rättsliga förpliktelser finns i Myndigheten för yrkeshögskolans (MYH:s) föreskrifter om studiedokumentation (beslutade med stöd av 2 kap. 17 § andra stycket förordningen om yrkeshögskolan). Av föreskrifterna framgår att utbildningsanordnarna inom yrkeshögskolan ska dokumentera ett flertal uppgifter om de studerande och deras studieresultat och rapportera dessa uppgifter till MYH.

Utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har därmed vissa rättsliga förpliktelser. Förpliktelserna är fastställda genom bestämmelser i svensk rätt och av dem framgår det för vilka syften det är nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c är därmed tillämplig på sådana behandlingar.

Som framgått ovan i avsnitt 9.3.2, bedömer regeringen att även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen kan tillämpas för den behandling av personuppgifter som är nödvändig i sammanhanget, eftersom fullgörandet av förpliktelserna också ingår i uppgiften att anordna och bedriva utbildningar inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

9.3.5. Intresseavvägning kan användas men blir sällan aktuell

Regeringens bedömning: Enskilda utbildningsanordnare inom yrkeshögskolan och de som anordnar utbildningar som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning i artikel 6.1 f i EU:s dataskyddsförordning. Den förutsätter – att behandlingen är nödvändig för ändamål som rör den person-

uppgiftsansvariges eller en tredje parts berättigade intressen, och – att inte den registrerades intressen eller grundläggande rättigheter

och friheter väger tyngre och kräver skydd av personuppgifter. Eftersom även den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen är tillämplig, behöver dock intresseavvägning sällan eller aldrig användas.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inte några synpunkter på eller har inget att erinra mot bedömningen.

Skälen för regeringens bedömning: Den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsförordningen har beskrivits i avsnitt

6.4. Grunden gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom offentliga utbildningsanordnare inom yrkeshögskolan är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt lagen om yrkeshögskolan med anslutande föreskrifter, kan de inte tillämpa den rättsliga grunden intresseavvägning i artikel 6.1 f för sin personuppgiftsbehandling. Det är således endast de enskilda utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar som kan använda sig av artikel 6.1 f som grund för sin personuppgiftsbehandling. I avsnitt 9.3.2 bedömer regeringen att anordnande och bedrivande av utbildning inom yrkeshögskolan och enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en i svensk rätt fastställd uppgift av allmänt intresse. Även om den rättsliga grunden intresseavvägning i artikel 6.1 f kan användas av enskilda, bör enskilda utbildningsanordnare enligt regeringens uppfattning därmed sällan eller aldrig behöva tillämpa den grunden.

9.3.6. Den rättsliga grunden samtycke kan användas i begränsad utsträckning

Regeringens bedömning: De som anordnar och bedriver utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, kan i begränsad utsträckning behandla personuppgifter utifrån den rättsliga grunden samtycke i artikel 6.1 a i EU:s dataskyddsförordning.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot bedömningen.

Datainspektionen delar utredningens bedömning att det kan finnas utrymme för samtycke när det rör sig om sådant som inte är relaterat till själva kärnverksamheten. Datainspektionen påpekar att det utifrån den enskildes perspektiv är samma beroendeställning som gör sig gällande oavsett om det rör sig om privat eller offentlig utbildningsverksamhet, när det är fråga om samma typ av verksamhet. I detta fall är det dessutom huvudsakligen frågan om offentlig finansierad verksamhet.

Skälen för regeringens bedömning: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1. Som anges där aktualiseras samtycke främst inom områden som inte är offentligrättsligt reglerade.

Såvitt avser yrkeshögskolan finns dock en omfattande reglering för verksamheten. Även för utbildningar som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns det en tydlig reglering. Behovet av att använda samtycke som rättslig grund torde, enligt regeringens bedömning, därmed vara begränsat för utbildningsanordnarna. Som Datainspektionen påpekar finns det inte anledning att i detta avseende göra skillnad på privat och offentlig ut-

bildningsverksamhet, när det är fråga om samma typ av verksamhet och beroendeställning för den enskilde.

9.4. Folkbildningen

9.4.1. Behandling av personuppgifter inom statsbidragsfinansierad folkbildning

Behandling inom folkhögskolan

Folkhögskolornas verksamhet är en utbildningsform som av tradition har beskrivits med orden fri och frivillig. Som framgått av avsnitt 5.4 finansieras folkbildningen till stor del av allmänna medel. Folkbildningsrådet (FBR), som är en ideell förening, prövar med stöd av 7 b § lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde och 5 § förordningen om statsbidrag till folkbildningen, frågor om fördelning av statsbidrag mellan folkhögskolor och studieförbund. Vidare anges i nämnda förordning och i de villkor och riktlinjer som FBR har fastställt för verksamheten, vissa ramar för den verksamhet som kan få statsbidrag, t.ex. beträffande studieomdömen. Någon särskild reglering för folkhögskolornas personuppgiftsbehandling finns inte. I dagsläget är det således bestämmelserna i PUL som folkhögskolorna har att tillämpa vid behandling av personuppgifter.

Folkhögskolorna inhämtar normalt ett samtycke till behandlingen från den enskilde. Det är därmed den rättsliga grunden samtycke som folkhögskolorna tillämpar som stöd för sin behandling av personuppgifter.

Nästan samtliga 154 folkhögskolor använder administrationsprogrammet SchoolSoft anpassat för folkhögskolan för sin behandling av deltagarnas personuppgifter. Respektive folkhögskola väljer vilka personuppgifter den vill registrera, men för- och efternamn är obligatoriska uppgifter. I samband med ansökan om statsbidrag sker inte någon behandling av personuppgifter. Folkhögskolorna behandlar personuppgifter för att t.ex. kunna handlägga anmälningar och utfärda intyg.

Folkhögskolorna använder olika läroplattformar, t.ex. Ping Pong och itslearning, men även Google drive och SharePoint. De personuppgifter som behandlas är bl.a. personnummer, adress och telefonnummer.

De folkhögskolor som bedriver internat registrerar på gruppnivå uppgifter om allergi. Det förekommer även att vissa folkhögskolor som anordnar kontakttolkutbildning antecknar tolkspråk i sitt register.

Behandling inom studieförbunden

Studieförbunden tillhandahåller ett brett utbud av studiecirklar, kulturprogram och annan folkbildningsverksamhet. Som framgått av avsnitt 5.4 prövar FBR och Studieförbundet SISU Idrottsutbildarna (SISU) frågor om fördelning av statsbidrag mellan folkhögskolor och studieförbund med stöd 7 b och 8 §§ lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde samt 5 och 6 §§ förordningen om statsbidrag till folkbildningen. Liksom i fråga om folkhögskolorna, anges i nämnda förordning vissa ramar för studieförbund som kan få statsbidrag. Någon särskild reglering för

studieförbundens personuppgiftsbehandling finns inte. I dagsläget är det således bestämmelserna i PUL som studieförbunden har att tillämpa vid behandling av personuppgifter.

Studieförbunden inhämtar samtycke från deltagaren och tillämpar samtycke som rättslig grund för sin personuppgiftsbehandling. I samband med ansökan om statsbidrag sker inte någon behandling av personuppgifter. Ändamålen med behandlingen av personuppgifterna är bl.a. administration av studieverksamhet efter att statsbidrag har lämnats.

Nio av de tio studieförbunden som FBR fördelar statsbidrag till använder sig av ett administrativt system som Gustavgruppen utvecklat. Gustav är en akronym för gemensam utveckling av studieförbundens administrativa verksamhetssystem. Gustav är ett samarbete mellan studieförbunden och sker inom ramen för Studieförbunden i samverkan (Studieförbunden) som är studieförbundens bransch- och intresseorganisation. I det administrativa systemet behandlas uppgift om ålder, kön, adress, telefonnummer och personnummer. På individnivå behandlas inte några känsliga personuppgifter. I ett noteringsfält kan uppgifter om allergier eller funktionsnedsättning förekomma som en information för att nödvändiga förberedelser och val av lokal m.m. ska kunna göras.

Det förekommer att vissa studieförbund som anordnar kontakttolkutbildning antecknar tolkspråk i sitt register.

Inom SISU anordnas utbildning på både nationell nivå och på distriktsnivå. Oavsett på vilken nivå utbildningen anordnas inhämtas samtycke från deltagarna till stöd för behandlingen av deras personuppgifter.

FBR:s och SISU:s behandling av personuppgifter för fördelning och redovisning av statsbidrag

Utöver att pröva frågor om fördelning av statsbidrag mellan folkhögskolor och studieförbund ska FBR och SISU kontinuerligt följa upp och utvärdera verksamheten i förhållande till folkbildningens syften och de villkor som har föreskrivits för att statsbidrag ska lämnas. FBR och SISU ska också, i enlighet med de riktlinjer som regeringen meddelar, lämna regeringen sådana sakuppgifter om verksamheten och sådan verksamhetsredovisning som behövs för uppföljning och utvärdering (15 § förordningen om statsbidrag till folkbildningen).

Regeringen beslutar årligen om riktlinjer för FBR och SISU. I riktlinjerna för FBR anges bl.a. att det totala antalet deltagare, antalet utrikes födda deltagare och deltagarnas utbildningsbakgrund ska redovisas till regeringen. Enligt riktlinjerna för SISU ska bl.a. antalet deltagardagar och deltagare framgå av SISU:s redovisning. Någon redovisning till regeringen av deltagares personuppgifter krävs dock inte (se t.ex. regeringens beslut 2017-12-13, Riktlinjer för 2018 för Folkbildningsrådet i fråga om användningen av anslagen 14:1 och 14:3 inom utgiftsområde 17 Kultur, medier trossamfund och fritid, U2017/04974/UF, och regeringens beslut 2017-12-13, Riktlinjer för 2018 för studieförbundet SISU Idrottsutbildarna i fråga om användningen av anslagen 14:1 och 14:3 inom utgiftsområde 17 Kultur, medier, trossamfund och fritid, U2017/04975/UF).

Vid sin fördelning och redovisning av statsbidrag kan FBR och SISU använda sig av aggregerade uppgifter från den statistik som tas fram en-

ligt förordningen (2001:100) om den officiella statistiken. Det är Statistiska centralbyrån (SCB) som är statistikansvarig myndighet för statistikområdet Folkhögskola och Myndigheten för kulturanalys som är statistikansvarig myndighet för statistikområdet Studieförbund. I den utsträckning som det uppstår ett behov av att FBR och SISU behandlar uppgifter på individnivå för att fördela och redovisa statsbidrag kan den behandlingen av personuppgifter enligt regeringens bedömning utföras med den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e EU:s dataskyddsförordning. Genom bestämmelser i lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde och förordningen om statsbidrag till folkbildningen och regeringens årliga beslut med riktlinjer för FBR och SISU är det fastställt att FBR:s och SISU:s fördelning och redovisning av statsbidrag till folkbildning är en uppgift av allmänt intresse. Mot den bakgrunden anser regeringen att den behandling av personuppgifter om deltagare i folkbildningsverksamheten som utförs av FBR och SISU och som är nödvändig för fördelning och redovisning av statsbidrag till folkbildning kan utföras med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

9.4.2. Den rättsliga grunden uppgift av allmänt intresse kan användas vid bedrivandet av utbildning inom statsbidragsfinansierad folkbildning

Regeringens bedömning: Genom bestämmelser i förordningen om statsbidrag till folkbildningen är det fastställt i svensk rätt att folkhögskolornas och studieförbundens bedrivande av utbildnings-, bildnings- och kulturverksamhet är en uppgift av allmänt intresse. Den behandling av personuppgifter som är nödvändig för att utöva verksamhet som grundas på nämnda föreskrifter kan därmed ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i

EU:s dataskyddsförordning.

Utredningens bedömning: Utredningen har bedömt att folkhögskolorna och studieförbunden bör använda den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen som rättslig grund för sin personuppgiftsbehandling. Enligt utredningen bör folkhögskolor som anordnar utbildning motsvarande kommunal vuxenutbildning i svenska för invandrare, vilken regleras av skollagen med anslutande föreskrifter, kunna behandla personuppgifter om studerande i den verksamheten även med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen. Utredningen anser att den reglering av folkhögskolorna och studieförbunden som finns i föreskrifter och andra styrande dokument i och för sig även i övrigt skulle kunna anses utgöra en i nationell rätt fastställd uppgift av allmänt intresse, men att det är tveksamt hur behandling av personuppgifter inom folkhögskolorna utan samtycke skulle kunna förenas med ledorden ”fri och frivillig” som gäller för folkbildningen. Enligt utredningen bör det inte vara aktuellt för de icke offentligt drivna folkhögskolornas eller studieförbund att tillämpa

den rättsliga grunden intresseavvägning i artikel 6.1 f i dataskyddsdirektivet.

Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig har tillstyrkt eller inte haft något att invända mot bedömningen. Detta gäller bl.a. Statens skolverk, Statens skolinspektion, Myndigheten för yrkeshögskolan, Sveriges Kommuner och Landsting (SKL), Jönköpings läns landsting, Folkbildningsrådet, Lärarnas Riksförbund, Lärarförbundet och Studieförbundet SISU Idrottsutbildarna.

SKL delar utredningens bedömning, men anser att det är bekymmersamt om den uppfattningen inte delas av de rättsliga instanser som har att pröva myndigheternas tillämpning av bestämmelserna i dataskyddsförordningen. SKL anser att regeringen bör beakta att utredningen avstått från att utreda möjligheterna för folkhögskolorna att tillämpa den rättsliga grunden uppgift av allmänt intresse.

Datainspektionen delar inte uppfattningen att folkhögskolor och studieförbunden kan stödja sin personuppgiftsbehandling på samtycke och ifrågasätter om det finns rättsligt stöd för den behandling av personuppgifter som är nödvändig för folkhögskolornas verksamhet. Studieförbunden i samverkan anser att nödvändiga personuppgifter ska behandlas av folkhögskolor och studieförbunden med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt.

Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna och Statistiska centralbyrån tillstyrker eller har inga synpunkter på bedömningen. Studieförbunden i samverkan anser att det genom 2 § förordningen (2015:218), där det framgår att folkhögskolorna och studieförbunden bedriver utbildnings-, bildnings- och kulturverksamhet, även är fastställt att folkhögskolornas och studieförbundens bildnings- och kulturverksamhet är en uppgift av allmänt intresse.

Skälen för regeringens bedömning

Folkhögskolorna och studieförbunden bör inte använda samtycke som rättslig grund

Som framgått finns det inom folkbildningen ett visst behov av att behandla personuppgifter. Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1.

Folkhögskolorna och studieförbunden tillämpar i dagsläget samtycke som rättslig grund för sin personuppgiftsbehandling. Utredningen har också föreslagit att samtycke bör användas som rättslig grund även efter det att dataskyddsförordningen har trätt i kraft. Som skäl har utredningen bl.a. angett att deltagande i en studiecirkel eller annan folkbildningsverksamhet som anordnas av ett studieförbund är frivilligt. Enligt utredningen råder det inte en sådan betydande ojämlikhet mellan den de enskilda vars personuppgifter behandlas och folkhögskolorna eller studieförbunden att ett samtycke till behandling av personuppgifter inte kan anses ha lämnats frivilligt.

Datainspektionen anser dock att det inte är möjligt att dra en parallell mellan att folkhögskolans och studieförbundens studieform är frivillig

och att det skulle innebära att även behandlingen av personuppgifterna är frivillig. Vad dataskyddsförordningen anger om frivillighet i samband med samtycke i skäl 42 och 43 visar att det är i förhållande till behandlingen av personuppgifter frivilligheten ska bedömas.

Enligt Datainspektionen kan utbildningen som en folkhögskola kan ge många gånger vara av vikt för den enskilde, t.ex. om det är fråga om en yrkesutbildning, en komplettering av grund- eller gymnasieskolan eller en förberedande studie för att kunna söka en högskoleutbildning. Det innebär att den enskilde mycket väl kan vara lika beroende av en utbildning som folkhögskolan ger som av annan utbildningsverksamhet. Enligt artikel 7 punkt 3 i dataskyddsförordningen ska den registrerade ha rätt att när som helst återkalla sitt samtycke och i skäl 42 anges att samtycke inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. Resultatet av att inte ge eller att återkalla samtycket i dessa sammanhang innebär enligt Datainspektionen förmodligen att personen inte kan gå utbildningen eller får avbryta sina studier.

Även när det gäller studieförbunden anser Datainspektionen att trots att deltagande i studieförbundet må vara frivilligt är det inte valbart för studiedeltagaren att registreras. Den enskilde måste bli registrerad för att verksamheten ska kunna få bidrag. Verksamheten har också en uppgiftsskyldighet. Verksamheten blir således beroende av att den enskilde lämnar ett samtycke för att den ska kunna fullgöra sin uppgiftsskyldighet och erhålla statsbidrag.

Av ovan angivna skäl anser Datainspektionen att folkhögskolor och studieförbund inte kan stödja sin personuppgiftsbehandling på samtycke annat än i speciella situationer, t.ex. vid fotografering som ligger utanför kärnverksamheten.

Regeringen delar Datainspektionens uppfattning och anser att folkhögskolorna och studieförbunden på grund av de av Datainspektionen angivna skälen inte bör använda den rättsliga grunden samtycke.

Folkhögskolorna och studieförbunden kan använda den rättsliga grunden uppgift av allmänt intresse

Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.2. Som framgår av avsnitt 8 anser regeringen att det såväl av EU-rätten som svensk rätt framgår att anordnande och bedrivande av utbildning är en uppgift av allmänt intresse och dessutom ett viktigt allmänt intresse.

Därtill kommer att både folkhögskolor och studieförbund som ansöker om och får statsbidrag omfattas av bestämmelser i förordningen om statsbidrag till folkbildningen. Av förordningen framgår att folkhögskolor och studieförbund bedriver utbildnings-, bildnings- och kulturverksamhet samt att Studieförbundet SISU Idrottsutbildarna bedriver utbildnings- och bildningsverksamhet (2 och 3 §§). Syftet med statens stöd till folkbildningen är att stödja verksamhet som bidrar till att stärka och utveckla demokratin och bidra till att göra det möjligt för en ökad mångfald människor att påverka sin livssituation och skapa engagemang att delta i samhällsutvecklingen. Syftet med statsbidraget är även att bidra till att utjämna utbildningsklyftor och höja bildnings- och utbildningsnivån i

samhället samt att bidra till att bredda intresset för och öka delaktigheten i kulturlivet. För att statsbidrag ska lämnas till folkhögskola eller ett studieförbund ska verksamheten ha en inriktning som överensstämmer med syftet med statsbidraget (1 och 7 §§ förordningen om statsbidrag till folkbildningen).

När det gäller folkhögskolorna förutsätter statsbidrag bl.a. att undervisningen är avgiftsfri och att allmänna kurser avsedda främst för dem som saknar grundskole- och gymnasieutbildning årligen ska utgöra minst 15 procent av verksamheten. Kraven på resultat av lärande på allmän kurs ska motsvara de krav som ställs på motsvarande utbildning inom grund- och gymnasieskolan och intyg om godkänt resultat på allmän kurs på grundskolenivå respektive gymnasial nivå ska utfärdas till dem som bedöms kunna tillgodogöra sig studier på gymnasial nivå respektive uppnår de krav som ställs för grundläggande behörighet till högskolestudier eller yrkehögskolestudier (8 och 9 §§). De studerande som sedan söker till högskolan söker i en egen urvalsgrupp bara för folkhögskolestuderande (bilaga 3 till högskoleförordningen [1993:100]).

Som nämnts prövar FBR frågor om fördelning av statsbidrag mellan folkhögskolor och studieförbund. Enligt organisationens stadgar har FBR i uppgift att sprida kunskap om folkbildningen och bevaka folkhögskolan som utbildningsform i utbildningsystemet. I dokument som antas av FBR ges folkhögskolorna anvisningar om studieomdömen och intyg om behörighet för gymnasiestudier och högskole- eller yrkeshögskolestudier. Studieförbundet SISU Idrottsutbildarna prövar frågor om fördelning av statsbidrag till idrottens studie-, bildnings- och utbildningsverksamhet (7 b och 8 §§ lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde och 4, 5 och 6 §§ förordningen om statsbidrag till folkbildningen). Som nämnts i avsnitt 5.4 följer det också av 2 kap. 4 § OSL och bilagan till den lagen att FBR och SISU i deras verksamhet att fördela statsbidrag ska tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter samt att de i denna verksamhet ska jämställas med myndigheter vid tillämpning av OSL.

Som Studieförbunden i samverkan har påpekat är målet med folkbildningspolitiken enligt regeringens folkbildningsproposition Allas kunskap – allas bildning (prop. 2013/14:172) att folkbildningen ska ge alla möjlighet att tillsammans med andra öka sin kunskap och bildning för personlig utveckling och delaktighet i samhället. Av propositionen framgår också att målet syftar till att på ett övergripande men tydligt sätt formulera statens intentioner med folkbildningspolitiken och statsbidraget till folkbildningen (s. 19 f.).

Mot denna bakgrund anser regeringen att folkhögskolornas och studieförbundens anordnande och bedrivande av statsbidragsfinansierad utbildning är en uppgift av allmänt intresse. Av samma skäl delar regeringen även Studieförbundens uppfattning att även folkhögskolornas och studieförbundens bildnings- och kulturverksamhet är en uppgift av allmänt intresse. Uppgifterna av allmänt intresse är fastställda i nationell rätt genom förordningen om statsbidrag till folkbildningen och de beslut som FBR och SISU fattar med stöd av lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde och statsbidragsförordningen. Regeringen anser också att den rättsliga

grunden är tillräckligt tydlig, precis och dess tillämpning tillräckligt förutsägbar för de personer som omfattas av den samt att regleringen är proportionell i förhållande till målen. Regeringen anser därför att den behandling av personuppgifter som är nödvändig i folkhögskolornas och studieförbundens utbildnings-, bildnings och kulturverksamhet kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen. Av samma skäl torde den rättsliga grunden uppgift av allmänt intresse även kunna användas när folkhögskolor och studieförbunden anordnar sådan verksamhet som finansieras genom statsbidrag enligt någon annan statsbidragsförordning.

Även det förhållandet att vissa utbildningar inom folkhögskolan berättigar till studiestöd enligt studiestödslagen och studiestödsförordningen kan enligt regeringens uppfattning läggas till grund för bedömningen att anordnade och bedrivande av dessa utbildningar inom folkbildningen är en uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

I avsnitt 9.1.2 har också redogjorts för regeringens bedömning att en folkhögskola som anordnar motsvarande utbildning till kommunal vuxenutbildning i svenska för invandrare enligt 24 kap. 11 § skollagen utför en uppgift av allmänt intresse som är fastställd i skollagen.

9.4.3. De rättsliga grunderna uppgift av allmänt intresse eller intresseavvägning kan användas vid behandling av personuppgifter inom folkbildning som finansieras på annat sätt än genom statsbidrag

Regeringens bedömning: Både den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e och den rättsliga grunden intresseavvägning i artikel 6.1 f i EU:s dataskyddsförordning kan, beroende på omständigheterna, användas vid behandling av personuppgifter inom folkbildning som finansieras på annat sätt än genom statsbidrag.

Utredningens bedömning: Utredningen har inte gjort någon bedömning i denna del.

Remissinstanserna: Remissinstanserna har inte haft några synpunkter.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt.

Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna och Statistiska centralbyrån tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Förutom den verksamhet inom folkbildningen som finansieras genom statsbidrag genomför folkbildningen även annan verksamhet med hjälp av annan finansiering. Det kan t.ex. handla om bidrag från privaträttsliga aktörer, kommuner och landsting eller regioner och andra offentligrättsliga aktörer. När det gäller behandling av personuppgifter kan det t.ex. handla om att administrera anmälningar och rapporteringar av verksamheter.

När det gäller den folkbildning som bedrivs genom bidrag från kommuner och landsting eller regioner kan det ändå bli aktuellt att använda

den rättsliga grunden uppgift av allmänt intresse för behandling av personuppgifter. Begreppet uppgift av allmänt intresse omfattar inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Den personuppgiftsansvarige behöver inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid enligt kommunallagen (2017:725) begränsad till angelägenheter av just allmänt intresse. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden. Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna. På folkbildningsområdet innebär det att den folkbildningsverksamhet som omfattas av fullmäktiges beslut grundat på den allmänna befogenheten kan anses som en uppgift av allmänt intresse och att den behandling av personuppgifter som är nödvändig för den verksamheten kan utföras med stöd av den rättsliga grunden uppgift av allmänt intresse som avses i artikel 6.1 e dataskyddsförordningen.

För folkbildningen som finansieras av privaträttsliga aktörer som t.ex. stiftelser och liknande organisationer och som inte omfattas av rätten till studiestöd saknas offentligrättsliga regler som närmare reglerar verksamheten. Eftersom det saknas den reglering som avses i 2 kap. 2 § 1 dataskyddslagen finns det inte förutsättningar för att använda den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e dataskyddsförordningen för behandling av personuppgifter för den verksamhet inom folkbildningen som finansieras av privaträttsliga aktörer. Eftersom folkhögskolor och studieförbund inte är myndigheter utan enskilda organ har de möjlighet, att efter erforderlig avvägning mellan behovet av behandlingen och den registrerades intressen i enlighet med artikel 6.1 f i dataskyddsförordningen, behandla personuppgifter om deltagare i verksamheten med stöd av den rättsliga grunden intresseavvägning. Den rättsliga grunden har beskrivits i avsnitt 6.5. Att göra en sådan avvägning ankommer på den personuppgiftsansvarige.

9.5. Studiestödsverksamheten

9.5.1. Vilka personuppgifter behandlas inom studiestödet?

CSN ska administrera studiestöd och andra stöd till enskilda som enligt lag eller förordning ska hanteras av myndigheten. Detta framgår av 1 § förordningen (2017:1114) med instruktion för Centrala studiestödsnämnden.

För att kunna utföra sina arbetsuppgifter enligt studiestödslagen och andra författningar om studiestöd behöver CSN behandla en stor mängd personuppgifter. I arbetet med att administrera studiestödet använder CSN studiestödets informationssystem (STIS). Med hjälp av STIS behandlas bl.a. personuppgifter om personer som går en gymnasial utbild-

ning, som har sökt eller beviljats studiehjälp eller är betalningsmottagare av studiehjälp, som har antagits till utbildning, sökt studiemedel eller studiestartsstöd, är utländska medborgare vid prövning av principiell rätt till svenskt studiestöd eller har en studieskuld.

Behandling av personuppgifter i CSN:s studiestödsverksamhet regleras i studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321). I propositionen Behandling av personuppgifter inom studiestödsområdet (prop. 2008/09:96), där förslaget till studiestödsdatalagen lämnades, anges bl.a. följande om vilken personuppgiftsbehandling som förekommer i CSN:s verksamhet.

I STIS registreras en stor mängd uppgifter. Till en viss del handlar det om uppgifter av huvudsakligen administrativ karaktär, t.ex. utbetalningsdatum för olika stödformer, uppgift för identifikation av betalningar eller beslutsdatum. Denna typ av uppgifter innehåller inte något som typiskt och isolerat sett är av särskilt känslig natur för den enskilde. CSN behöver emellertid för sin verksamhet även registrera ett stort antal uppgifter om enskildas personliga förhållanden. Det kan t.ex. röra sig om kontaktuppgifter om närmast anhöriga, uppgifter om barn och föräldrar, information om sjukdomsperioder, medborgarskap, studietakt, examenstidpunkt, antal grundskoleår som studerats utomlands och antal terminer som studerats på gymnasienivå. Bland dessa mer personliga uppgifter finns uppgifter som från den enskildes perspektiv är känsliga. I många fall måste CSN även registrera uppgifter om enskildas ekonomiska förhållanden, t.ex. uppgifter om utbetalt studiebidrag, årsinkomst och uppgift om eventuell skuldsanering. Även uppgifter om personliga och ekonomiska förhållanden för stödtagarens föräldrar, barn och andra närstående kan förekomma (prop. 2008/09:96 s. 13 f.).

När det gäller studiestartsstöd, som är ett statligt studiestöd vars målgrupp är den som har kort utbildning och ett stort behov av utbildning på grundläggande eller gymnasial nivå för att kunna etablera sig på arbetsmarknaden, gjordes i propositionen Studiestartsstöd – ett nytt rekryterande studiestöd (prop. 2016/17:158 s. 84 ff.) bedömningen att den behandling av personuppgifter som kommer att förekomma i ärenden om studiestartsstöd inte bör skilja sig nämnvärt från den som redan sker i ärenden om studiemedel, varken när det gäller vilka uppgifter som behandlas eller vilket intrång i den personliga integriteten som behandlingen innebär.

9.5.2. Den rättsliga grunden uppgift av allmänt intresse kan användas

Regeringens bedömning: Genom bestämmelser i bl.a. studiestödslagen är det fastställt att CSN:s studiestödsverksamhet är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen.

Studiestödsdatalagen och studiestödsdataförordningen utgör sådana mer specifika bestämmelser om personuppgiftsbehandling som är tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Det stora flertalet remissinstanser som har yttrat sig, däribland Centrala studiestödsnämnden (CSN), har inte haft några synpunkter på bedömningen.

Datainspektionen anser att det är rimligt att utgå från tidigare bedömningar, men saknar en självständig analys av om den nationella rätten är proportionell mot de legitima mål som eftersträvas och av om det därmed finns erforderligt stöd för den personuppgiftsbehandling som behöver utföras inom CSN:s verksamhet.

Skälen för regeringens bedömning

Som framgått av föregående avsnitt finns det inom studiestödet behov av att behandla en rad personuppgifter. Som anges i avsnitt 6 förutsätter detta en i EU-rätten eller nationell rätt fastställd rättslig grund (artikel 6 i dataskyddsförordningen). Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen beskrivs i avsnitt 6.2.

CSN:s studiestödsverksamhet är en uppgift av allmänt intresse och ett viktigt allmänt intresse

Vid införandet av studiestödslagen uttalade regeringen följande i propositionen Ett reformerat studiestödssystem (prop. 1999/2000:10 s. 65).

Det övergripande utbildningspolitiska målet är att varje medborgare ska ha möjlighet till god utbildning oavsett kön, social eller ekonomisk bakgrund, bostadsort m.m. […] Ekonomisk tillväxt ger möjligheter att trygga välfärden. Det är därför ett samhälleligt intresse att kunskapsbasen hos befolkningen upprätthålls och stärks på alla nivåer och att inga grupper lämnas utanför. Situationen med arbetslöshet har ytterligare accentuerat detta faktum. Men ekonomisk tillväxt och landets konkurrenskraft är också beroende av medborgarnas beredskap att möta förändringar. Kostnaderna för utbildning och studiestöd kan ses som en samhällelig investering som ger avkastning i ett senare skede i form av ökad ekonomisk tillväxt och social och kulturell utveckling.

Detta talar för att studiestödsverksamheten redan då ansågs vara en uppgift av allmänt intresse. I samband med införandet av studiestartsstöd uttalade regeringen också följande i propositionen Studiestartsstöd – ett nytt rekryterande studiestöd (prop. 2016/17:158 s. 26).

Som nämnts ovan är ett viktigt mål för studiestödet är att det ska utjämna skillnader mellan individer och grupper i befolkningen och i och med det bidra till ökad social rättvisa. Mot denna bakgrund bör samhällets insatser för att främja lärande hos den vuxna befolkningen i större utsträckning än tidigare riktas mot dem med störst behov av utbildning. Det innebär att personer med kort tidigare utbildning som har stora utbildningsbehov bör prioriteras. Särskilt de som är arbetslösa, och har varit det under viss tid, bör prioriteras eftersom de ofta är mer utsatta än dem som har ett arbete. Inriktningen bör därför vara att utveckla studiestödet för att öka rekryteringen till studier bland dessa personer. Genom att arbetslösa påbörjar studier ökar de sin anställningsbarhet och bidrar på sikt med skatteintäkter och till att

förbättra samhällets kompetensförsörjning. Även matchningen på arbetsmarknaden kommer att förbättras.

I förarbetena till studiestödsdatalagen konstateras att den registrerade enligt artikel 14 a i dataskyddsdirektivet har rätt att motsätta sig behandling som sker med stöd av bl.a. artikel 7 e i direktivet, dvs. för att utföra en arbetsuppgift av allmänt intresse, om inte den nationella lagstiftningen föreskriver något annat. Regeringen ansåg därför att det skulle införas en bestämmelse i studiestödsdatalagen om att behandling av personuppgifter som får ske oberoende av den registrerades samtycke, ska få ske även om den registrerade motsätter sig behandlingen (prop. 2008/09:96 s. 36).

Det finns inget som tyder på att begreppet allmänt intresse ska uppfattas snävare enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Med hänsyn härtill får en behandling av personuppgifter som tillåtits i en registerförfattning med stöd av den rättsliga grunden i artikel 7 e i dataskyddsdirektivet, dvs. utföra en arbetsuppgift av allmänt intresse, också anses nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen och ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen.

Den rättsliga grunden är fastställd i svensk rätt

Regeringen har i propositionen Ny dataskyddslag (prop. 2017/18:105) angett att myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler (s. 56 f.

)

. Uppgiften att administrera studiestödsverksamheten ligger på en statlig myndighet och regleras bl.a. i studiestödslagen och i lagen om studiestartsstöd. CSN:s studiestödsverksamhet är därigenom fastställd i svensk rätt. Därutöver finns kompletterande reglering i bl.a. studiestödsdatalagen och i författningar som ansluter till studiestödslagen och lagen om studiestartsstöd.

Den svenska regleringen är förenlig med dataskyddsförordningen

Som framgått av avsnitt 4.2 är det förenligt med dataskyddsförordningen (artikel 6.2) att det i nationell rätt finns sådana registerförfattningar som studiestödsdatalagen och studiestödsdataförordningen.

Som Datainspektionen påpekar, ska den rättsliga regleringen även uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i dataskyddsförordningen). Studiestödslagen, studiestödsförordningen, lagen om studiestartsstöd, förordningen om studiestartsstöd, studiestödsdatalagen och studiestödsdataförordningen har tillkommit i den ordning som regeringsformen utpekar för föreskrifter av nu aktuellt slag. Utbildningsdatautredningen har vid genomgången av aktuella författningar inte heller funnit några bestämmelser i dessa författningar som bedömts vara irrelevanta eller oproportionerliga (SOU 2017:49, s. 384 f.). Regeringen, som inte ser någon anledning att frångå den tidigare gjorda analysen,

delar utredningens bedömning. Regeringen anser således att föreskrifterna uppfyller kraven i artikel 6.3 andra stycket i dataskyddsförordningen.

9.5.3. Den rättsliga grunden myndighetsutövning kan användas för en rad åtgärder

Regeringens bedömning: CSN kan vidta en rad åtgärder med stöd av studiestödslagen och studiestödsförordningen som innefattar myndighetsutövning, t.ex. beslut om studiehjälp, studiemedel, återbetalning av studielån och återkrav av studiestöd. Den behandling av personuppgifter som är nödvändig för myndighetsutövningen kan i dessa fall göras med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i EU:s dataskyddsförordning.

Utredningens bedömning: Utredningen har inte gjort någon bedömning i fråga om den rättsliga grunden myndighetsutövning.

Remissinstanserna: Remissinstanserna har inte yttrat sig över möjligheten för Centrala studiestödsnämnden att använda myndighetsutövning som rättsliga grund.

Skälen för regeringens bedömning: Den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen har beskrivits i avsnitt 6.3.

CSN vidtar en rad åtgärder med stöd av bl.a. studiestödslagen och studiestödsförordningen som innefattar myndighetsutövning. Det gäller t.ex. beslut om studiehjälp, studiemedel, återbetalning av studielån och återkrav av studiestöd. Enligt regeringens bedömning är grunden för behandlingen redan i dag fastställd i svensk rätt genom de bestämmelser i dessa författningar som ger CSN författningsstöd för att vidta åtgärderna. Det behövs därför inte någon ytterligare reglering för att CSN ska kunna utföra nödvändig behandling av personuppgifter som ingår i myndighetsutövningen med stöd av den rättsliga grunden myndighetsutövning i artikel 6.1 e i dataskyddsförordningen.

9.5.4. Samtycke ska inte användas som rättslig grund

Regeringens bedömning: Samtycke ska inte användas som rättslig grund för behandling av personuppgifter i CSN:s studiestödsverksamhet.

Regeringens förslag: Bestämmelserna i studiestödsdatalagen om behandling av personuppgifter med stöd av samtycke och återkallelse av samtycke ska upphävas.

Utredningens bedömning och förslag: Överensstämmer delvis med regeringens. Till skillnad mot regeringen anser utredning att bestämmelserna om behandling av personuppgifter med stöd av samtycke är förenliga med artikel 6.1 a och 9.2 a i dataskyddsförordningen.

Utredningen

har liksom regeringen bedömt att bestämmelsen om återkallelse av samtycke ska upphävas, men av andra skäl.

Remissinstanserna: Det stora flertalet remissinstanser som har yttrat sig, däribland Centrala studiestödsnämnden, har inte haft några synpunkter på bedömningen eller förslaget.

Datainspektionen ifrågasätter om 7 § studiestödsdatalagen ska kvarstå, eftersom artikel 6.2 i dataskyddsdirektivet inte ger utrymme för nationella bestämmelser i fråga om den rättsliga grunden samtycke.

Skälen för regeringens bedömning och förslag: Den rättsliga grunden samtycke i artikel 6.1 a i dataskyddsförordningen har beskrivits i avsnitt 6.1.

I CSN:s studiestödsverksamhet får personuppgifter endast behandlas för vissa i studiestödsdatalagen angivna fall. Personuppgifter får endast behandlas för vissa ändamål. Vidare gäller särskilda begränsningar för när känsliga personuppgifter får behandlas (4 och 6 §§). Trots dessa begränsningar får dock personuppgifter behandlas i CSN:s studiestödsverksamhet med den registrerades samtycke. Känsliga personuppgifter får också behandlas för andra ändamål med den registrerades uttryckliga samtycke (7 § första stycket). Uppgifter som behandlas med sådant samtycke från den registrerade får också behandlas för utlämnande i vissa fall och för att ge tillgång till vägledande avgöranden (7 § andra stycket). När behandling av personuppgifter i CSN:s studiestödsverksamhet sker med stöd av samtycke, har dock den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas (7 § tredje stycket).

Regeringen delar Datainspektionens synpunkt att dataskyddsförordningen inte ger utrymme för nationella bestämmelser i fråga om den rättsliga grunden samtycke. Av artikel 6.2 i dataskyddsförordningen följer nämligen att det finns utrymme för anpassningar till förordningen i nationella bestämmelser i fråga om de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning i artikel 6.1 c och e. Någon motsvarande möjlighet i fråga om den rättsliga grunden samtycke i artikel 6.1 a ges däremot inte i artikel 6.2 i dataskyddsförordningen. Regeringen bedömer även att det mellan CSN, vars verksamhet i betydande omfattning består av myndighetsutövning, och de registrerade råder sådan betydande ojämlikhet att det är osannolikt att samtycke kan anses lämnas på ett sådant frivilligt sätt som förutsätts för att samtycke ska kunna användas som rättslig grund (skäl 43 i dataskyddsförordningen). Av dessa skäl behöver bestämmelserna om personuppgiftsbehandling med stöd av samtycke i 7 § första och andra stycket studiestödsdatalagen upphävas.

När det gäller återkallelse av samtycke, har dataskyddsutredningen bedömt att studiestödsdatalagens och dataskyddsförordningens reglering har motsvarande innehåll, och föreslagit att studiestödsdatalagens bestämmelse om återkallelse ska upphävas eftersom bestämmelsen i dataskyddsförordningen är direkt tillämplig i svensk rätt. Mot bakgrund av regeringens uppfattning att studiestödsdatalagens bestämmelser om samtycke i 7 § första och andra stycket behöver upphävas, följer dock redan av detta att även bestämmelsen om återkallelse av samtycke i 7 § tredje stycket studiestödsdatalagen behöver upphävas. På grund av att 7 § upphävs behöver även följdändringar göras i andra paragrafer i studiestödsdatalagen där samtycke omnämns.

I fråga om CSN:s möjlighet att behandla känsliga personuppgifter när bestämmelserna om samtycke upphävs hänvisas till avsnitt 13.7.

Hänvisningar till S9-5-4

10. Som huvudregel krävs inte lagform för personuppgiftsbehandling på utbildningsområdet

Regeringens bedömning: Den behandling av personuppgifter som görs på utbildningsområdet utgör generellt inte ett sådant betydande intrång i den personliga integriteten att det krävs lagreglering enligt regeringsformen.

Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig har inte haft synpunkter på bedömningen.

Justitiekanslern anser att såvitt framgår av utredningen är inte den personuppgiftsbehandling som kan bli aktuell inom utbildningsområdet och som inte omfattas av någon lagreglering av sådan karaktär som avses i grundlagsbestämmelsen om skyddet mot integritetsintrång (2 kap. 6 § RF).

Uppsala universitet framför att det skulle vara önskvärt med en djupare analys av just förhållandet mellan personuppgiftsbehandling inom utbildningsområdet och 2 kap. 6 § 2 RF om skyddet mot betydande intrång i den personliga integriteten, särskilt mot bakgrund av att de som personuppgiftsbehandlingen avser är barn som får betraktas som särskilt skyddsvärda.

Datainspektionen anser att behandling av personuppgifter för fler verksamheter inom utbildningsområdet utgör ett sådant integritetsintrång enligt 2 kap. 6 RF att begränsning av den enskildes rättigheter kräver stöd i lag.

Som nämnts i avsnitt 3 har Datainspektionen även beretts tillfälle att yttra sig över ett utkast till lagrådsremiss som i allt väsentligt överensstämmer med propositionen. Datainspektionen noterar att utkastet utgår från att personuppgiftsansvaret ifråga om den utrustning som skolor tillhandahåller i form av datorer och surfplattor som eleverna kan använda kan vara delat. Datainspektionen vill dock framhålla att dataskyddsförordningen är tillämplig i de fall personuppgiftsansvariga tillhandahåller utrustning för behandling av personuppgifter som även omfattar privat bruk, jfr. beaktandeskäl 18. I detta sammanhang vill Datainspektionen även understryka att de registrerade som omfattas av de aktuella bestämmelserna i regel är barn, som enligt dataskyddsförordningen förtjänar särskild hänsyn.

Skälen för regeringens bedömning

Som nämns i avsnitt 4.7 är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan

samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § RF). Detta skydd mot integritetsintrång kan dock begränsas genom lag (2 kap. 20 § första stycket 2 RF). Frågan är om dessa bestämmelser i RF medför att det krävs ytterligare lagreglering på utbildningsområdet.

I förarbetena till grundlagsbestämmelsen i 2 kap. 6 § RF anges att bestämmelsen inte ska innebära ett hinder mot sådan lagstiftning som behövs till skydd för viktiga samhällsintressen eller lagstiftning som utgör ett led i anpassningen av normerna till den fortgående samhällsutvecklingen. Det grundlagsskyddade området bör avgränsas på ett sådant sätt att det enbart omfattar de mest ingripande intrången. Bestämmelsen har därför utformats så att grundlagsskyddet omfattar åtgärder som vidtas utan samtycke och som innebär kartläggning eller övervakning av enskildas personliga förhållanden. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har (prop. 2009/10:80 s. 182 och 250). I förarbetena till bestämmelsen anges även följande (prop. 2009/10:80 s. 183).

Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det enligt regeringens mening naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. Därutöver kan givetvis mängden uppgifter vara en betydelsefull faktor i sammanhanget. Det kan anmärkas att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag (se t.ex. bet. 1990/91:KU11 s. 11, 1997/98:KU18 s. 43).

Ur förarbetena kan alltså utläsas följande tre faktorer som är av betydelse för om det är fråga om ett betydande integritetsintrång; uppgifternas karaktär, omfattning av uppgifter som behandlas och ändamål med behandlingen.

De huvudsakliga personuppgiftsbehandlingar som i dag sker på utbildningsområdet har beskrivits översiktligt i avsnitten 9.1.1, 9.2.1, 9.3.1, 9.4.1 och 9.5.1.

Nedan gör regeringen en analys, utifrån regeringsformens krav, om det finns ett behov inom utbildningsområdet av att meddela ytterligare bestämmelser om behandling av personuppgifter och om de i så fall måste införas på lagnivå.

Ändamålet med behandling av personuppgifter inom utbildningsområdet

Ändamålet med behandlingen av personuppgifter på utbildningsområdet är kopplat till utförande av utbildning i olika former och dokumentering av studieresultat. I förarbetena till bestämmelsen om grundlagsskyddet exemplifieras ett antal verksamheter där ändamålet med behandlingen av

personuppgifter i sig kan indikera att det handlar om en omfattande kartläggning av den enskildes personliga förhållanden. Det är t.ex. fallet med behandling av personuppgifter inom brottsbekämpande verksamheten, på skatt- och tullområdet, inom socialtjänsten och hälso- och sjukvården samt inom socialförsäkringen och indrivningen (prop. 2009/10:80 s. 180181). Förutom studiestödsverksamheten, som redan är lagreglerad, nämns inte utbildningsområdet bland sådana verksamheter där ändamålet med behandlingen av personuppgifter förutsätter en omfattande kartläggning av den enskildes personliga förhållanden. Det är regeringens bedömning att ändamålet med behandling av personuppgifter inom utbildningsområdet, dvs. genomförande av utbildningsverksamheten och dokumentering av studieresultaten, inte motiverar en generell reglering av personuppgiftsbehandling på lagnivå.

Personuppgifternas karaktär och omfattning på det skollagsreglerade området Datainspektionen anser att det inom skolområdet behandlas mycket varierande slag av personuppgifter om elever. Det kan vara uppgifter om elevers fysiska- och psykiska hälsa, sociala situation, utveckling, omdömen, känsliga personuppgifter i åtgärdsplaner m.m. Inte sällan tillhandahåller skolan teknisk utrustning till eleverna som blir deras personliga under flera år. Stora delar av elevernas prestationer, men också deras tankar, intressen och sociala umgänge kan komma att behandlas av skolan. Det är frågan om svåra gränsdragningar mellan elevens integritet och skolans uppdrag. Barnens rätt ska också skyddas särskilt. Datainspektionen anser att den sammantagna behandlingen som aktualiseras inom skolan är att bedöma som ett sådant integritetsintrång enligt 2 kap. 6 § RF att begränsningar endast får ske genom lag.

Regeringen delar uppfattningen att det finns personuppgiftsbehandling inom skolområdet som innebär ett sådant betydande intrång i den personliga integriteten att en begränsning av grundlagens skydd mot intrånget måste, i enlighet med 2 kap. 6 §, göras i lag. Ett exempel är den målgruppsutredning som enligt skollagens kapitel om skolplikt måste göras för att avgöra om ett barn ska går i grundsärskolan. I den skolformen får endast barn som bedöms inte kunna nå upp till grundskolans kunskapskrav därför att de har en utvecklingsstörning tas emot (7 kap. 5 §). Frågan om mottagande i grundsärskolan prövas av barnets hemkommun. Ett beslut om mottagande i grundsärskolan ska föregås av en utredning som omfattar en pedagogisk, psykologisk, medicinsk och social bedömning. Samråd med barnets vårdnadshavare ska ske när utredningen genomförs. Om barnets vårdnadshavare inte lämnar sitt medgivande till att barnet tas emot i grundsärskolan, ska barnet fullgöra sin skolplikt enligt vad som gäller i övrigt enligt skollagen. Ett barn får dock tas emot i grundsärskolan utan sin vårdnadshavares medgivande, om det finns synnerliga skäl med hänsyn till barnets bästa (7 kap. 5 § skollagen). I specialskolan får endast barn som på grund av sin funktionsnedsättning eller andra särskilda skäl inte kan gå i grundskolan eller grundsärskolan tas emot. Det krävs då att de är dövblinda eller annars har en synnedsättning och har ytterligare funktionsnedsättning, i annat fall är döva eller har en hörselnedsättning, eller har en grav språkstörning.

Frågan om mottagande i specialskolan prövas av Specialpedagogiska skolmyndigheten (SPSM). Ett beslut om mottagande i specialskolan ska föregås av en utredning som omfattar en pedagogisk, psykologisk, medicinsk och social bedömning. Samråd med barnets vårdnadshavare ska ske när utredningen genomförs (7 kap. 6 § skollagen). Som framgått är dock hemkommunens respektive SPSM:s skyldighet att utföra dessa utredningar redan lagregerade, dvs. lagkravet i 2 kap. 6 § andra stycket RF är redan uppfyllt. När det gäller de krav som uppställs enligt dataskyddsförordningen kan konstateras att då utredningarna utförs av hemkommunen respektive SPSM kan dessa vid utredningarna tillämpa de bestämmelser om behandling av känsliga personuppgifter i ett ärende som i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås i 3 kap. 3 § dataskyddslagen.

Exempel på personuppgiftsbehandling inom skolområdet som kan innebära ett intrång i den personliga integriteten, men inte ett betydande intrång i den mening som avses i 2 kap. 6 § andra stycket RF, är en utredning av om en elev behöver särskilt stöd i undervisningen (3 kap. § skollagen), en utredning med anledning av att en elev vid upprepade gånger har stört studieron, uppträtt olämpligt eller gjort sig skyldig till en allvarlig förseelse (5 kap. 9 § skollagen) eller en utredning om kränkande behandling (6 kap. 10 § skollagen). Även i dessa fall finns dock regleringen på lagnivå. När det gäller de krav dataskyddsförordningen uppställer kan kommunala huvudmän vid sådana utredningar tillämpa 3 kap. 3 § dataskyddslagen (se vidare i avsnitt 13.3.3). Det behöver dock i svensk lag föras in bestämmelser som motsvarar sistnämnda bestämmelser för huvudmän för fristående skolor. Regeringen återkommer till det i avsnitt 12 och 13. På motsvarande sätt har offentliga huvudmän stöd för att behandla uppgifter om lagöverträdelser i skollagen och dataskyddslagen, men det kan behöva införas bestämmelser motsvarande sistnämnda bestämmelser i dataskyddslagen för enskilda huvudmän. Regeringen återkommer till det i avsnitt 12 och 14.

Även i övrigt kan det på det skollagsreglerade området förekomma behandling av känsliga uppgifter, t.ex. i faktisk verksamhet. Som exempel kan nämnas att en elev skriver om känsliga uppgifter i en skoluppsats. I sådana fall kan det, på grund av dataskyddslagens krav, behöva införas stöd i författning för att enskilda huvudmän ska kunna behandla personuppgifter i den utsträckning som behövs. Även detta behandlas i avsnitt 12 och 13.

I övrigt är det i huvudsak okänsliga personuppgifter som behandlas inom skolväsendet, t.ex. namn, personnummer och adress. Personuppgifter behandlas också för sättande av betyg (allmänna bestämmelser om betyg finns i 3 kap.1321 §§skollagen och därutöver finns bestämmelser för varje skolform i de olika skolformskapitlen i skollagen och på förordningsnivå, och Statens skolverk har på uppdrag av regeringen tagit fram stödmaterial för bedömningen), utfärdande av intyg i stället för betyg (11 kap. 17 §, 12 kap. 14 §, 13 kap. 14 §, 20 kap.44 och 45 §§ och 21 kap.18, 23 och 24 §§skollagen), upprättande av individuell studieplan i gymnasieskolan, gymnasiesärskolan, kommunal vuxenutbildning och särskild vuxenutbildning (16 kap. 25 §, och 17 kap. 7 § och 20 kap. 8 §, 21 kap. 8 §skollagen) samt utfärdande av gymnasieexamen (26 kap.26-28 §§skollagen) och gymnasiesärskolebevis (19 kap. 27 §) etc.

Behandling av personuppgifter kan också ske vid bedömning och kartläggning av elevernas kunskaper (t.ex. enligt 3 kap. 12 c § skollagen eller i samband med genomförande av prov, t.ex. de reglerade nationella proven). Även om uppgifter om elevers kunskaper inte är känsliga personuppgifter innehåller således skollagen och anslutande förordningar en omfattande reglering av om när bedömningar ska göras, vilka stödåtgärder som huvudmännen är skyldiga att sätta in och när och hur bedömningarna ska dokumenteras.

När det gäller stödåtgärder och olika former av utredningar, vilka som framgått ovan redan är lagreglerade, kan det konstateras att de berör en mindre del av elevkollektivet. Majoriteten av elever behöver inte särskilt stöd och blir inte heller föremål för andra typer av utredningar. Den personuppgiftsansvarige ska dessutom enligt artikel 5 i dataskyddsförordningen se till att personuppgifterna är adekvata, relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Dessa bestämmelser begränsar den personuppgiftsansvariges möjligheter att behandla fler personuppgifter än nödvändigt.

Mot denna bakgrund delar regeringen Justitiekanslerns (JK) bedömning att den personuppgiftsbehandling som kan bli aktuell på utbildningsområdet, och som inte omfattas av någon lagreglering, inte är av den karaktär som avses i grundlagsbestämmelsen om skyddet mot integritetsintrång (2 kap. 6 § RF).

När det gäller den utbredda praxis som innebär att skolorna numera tillhandahåller utrustning i form av datorer och surfplattor som eleverna även kan använda utanför skolverksamheten för t.ex. socialt umgänge, kan regeringen konstatera att det måste göras en gränsdragning mellan användningen av sådan utrustning för skolarbetet och användningen för privat bruk. Skolhuvudmännens behandling av personuppgifter som sker med stöd av den utrustning som disponeras av eleverna omfattas av dataskyddsförordningens bestämmelser. Det innebär bl.a. att endast den behandling av personuppgifter som är nödvändig för uppgifter inom skolverksamheten är tillåten för skolhuvudmän att utföra (artikel 6.1 dataskyddsförordningen). När det gäller elevernas egna användning av den utrustningen för socialt umgänge och liknande användning som inte omfattas av skolverksamheten konstaterar regeringen att det handlar om behandling av personuppgifter i verksamhet av rent privat natur som inte omfattas av dataskyddsförordningens bestämmelser (artikel 2.2 c dataskyddsförordningen). Därför aktualiseras det i den delen inte något behov av särskild reglering med anledning av dataskyddsförordningen. När det gäller Datainspektionens påpekande att det anges i skäl 18 till dataskyddsförordningen att förordningen är tillämplig på personuppgiftsansvariga som tillhandhåller utrustning för behandling av personuppgifter som även omfattar privat bruk, anser regeringen att det avser de personuppgiftsansvarigas behandling av personuppgifter som krävs för att just tillhandahålla utrustningen, såsom kontaktuppgifter och liknande.

Sammanfattningsvis anser regeringen att till den del 2 kap. 6 § andra stycket RF ställer krav på lagform så är dessa krav redan uppfyllda på det skollagsreglerade området. Det kan dock med anledning av de krav som uppställs i dataskyddsförordningen behöva införas kompletterande bestämmelser som rör behandlingen av känsliga personuppgifter och

behandling av personuppgifter om lagöverträdelser inom utbildningsområdet.

Personuppgifternas karaktär och omfattning i större uppgiftssamlingar inom övriga delar av utbildningsområdet Datainspektionen ifrågasätter också om det inte inom universitet och högskola handlar om så omfattande behandling av personuppgifter att det kan utgöra ett integritetsintrång som behöver regleras genom lag enligt 2 kap. 6 § RF. Datainspektionen framför även att det saknas en analys av om den behandling av personuppgifter som aktualiseras inom yrkeshögskolan är att bedöma som ett sådant integritetsintrång enligt RF att begränsningen av den enskildes rättigheter kräver stöd i lag.

När det gäller FBR:s centrala register över deltagare i studieförbundens studiecirklar och annan folkbildningsverksamhet samt UHR:s betygsdatabas BEDA anser Datainspektionen mot bakgrund av att det handlar om omfattande nationella register att behandling av personuppgifter i dessa två register bör regleras i lag.

Vid bedömningen av om grundlagsskyddet i 2 kap. 6 § RF föranleder ett behov av reglering i lag bör beaktas att de personuppgifter som behandlas i de stora uppgiftssamlingarna inom universitet och högskola, yrkeshögskola och folkbildning huvudsakligen består av namn, personnummer, kontaktuppgifter och studieresultat.

Regeringen delar Datainspektionens uppfattning om att det inom utbildningsområdet förekommer omfattande samlingar av personuppgifter. Det gäller framför allt för FBR:s centrala register över deltagare i studieförbundens studiecirklar och annan folkbildningsverksamhet, Myndigheten för yrkeshögskolans register över uppgifter om de studerande inom yrkeshögskolan och register över uppgifter om de studerande i konst- och kulturutbildningarna, UHR:s betygsdatabas BEDA samt systemen för studieadministration (Ladok) och antagningsärenden (NyA) inom högre utbildning.

Ytterligare en omfattande samling av personuppgifter finns inom studiestödsområdet. På det området behöver CSN behandla en stor mängd uppgifter om enskildas personliga förhållanden. Som framgår av avsnitt 9.5.1 kan det, förutom uppgifter om utbetalt studiemedel till en sökande, t.ex. röra sig om kontaktuppgifter om närmast anhöriga, uppgifter om barn och föräldrar, information om sjukdomsperioder, medborgarskap, studietakt, examenstidpunkt, antal grundskoleår som studerats utomlands och antal terminer som studerats på gymnasienivå. I många fall måste CSN även registrera uppgifter om enskildas ekonomiska förhållanden, t.ex. uppgifter om utbetalt studiebidrag, årsinkomst och uppgift om eventuell skuldsanering. Även uppgifter om personliga och ekonomiska förhållanden för stödtagarens föräldrar, barn och andra närstående kan förekomma. Behandling av personuppgifter på det området är därför sedan tidigare reglerad på lagnivån genom studiestödsdatalagen.

Konstitutionsutskottet har i flera lagstiftningsärenden som rör myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Av förarbetena framgår också att

regeringen vid flera tillfällen har instämt i denna bedömning (prop. 2009/10:80 s. 183). Som framgått ovan är det av de register som finns på utbildningsområdet endast den personuppgiftsbehandling som utförs på studiestödsområdet som uppfyller de kriterier som har lyfts fram av konstitutionsutskottet. De uppgifter som finns i övriga register har inte ett särskilt känsligt innehåll. Den befintliga regleringen är således förenlig med grundlagen. Det behov som kan finnas av att se över och anpassa registerförfattningar inom utbildningsområdet som i dag finns på förordningsnivå till dataskyddsförordningen bedöms därmed kunna ske i form av förordningsändringar.

Även när det gäller större uppgiftssamlingar inom andra delar av utbildningsområdet än skollagsreglerad verksamhet delar således regeringen Justitiekanslerns uppfattning att den personuppgiftsbehandling som kan bli aktuell på utbildningsområdet, och som inte omfattas av någon lagreglering, inte är av den karaktär som avses i grundlagsbestämmelsen om skyddet mot integritetsintrång (2 kap. 6 § RF).

Däremot kan det även inom andra delar av utbildningsområdet än den skollagsreglerade verksamheten, på motsvarande sätt som inom den verksamheten, behöva införas kompletterande bestämmelser i vissa avseenden för behandling av känsliga personuppgifter och uppgifter om lagöverträdelser med anledning av artikel 9 och 10 i dataskyddsförordningen. Det har ovan konstaterats att det krävs ett viss kompletterande reglering på nationell nivå. I nästa avsnitt behandlas frågan var och på vilket sätt dessa kompletteringar bör införas.

11. Det krävs inte fler särskilda registerförfattningar på utbildningsområdet

Regeringens bedömning: Det saknas skäl att införa ytterligare registerförfattningar om behandling av personuppgifter inom utbildningsområdet. Den kompletterande reglering om behandling av personuppgifter inom utbildningsområdet som behövs med anledning av dataskyddsförordningen kan ske inom ramen för de författningar som reglerar verksamheten på området och de befintliga registerförfattningarna.

En lämplig myndighet bör få i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.

Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: En majoritet av de remissinstanser som har yttrat sig har inte haft några synpunkter på bedömningen. Justitiekanslern delar utredningens bedömning att det inte är påkallat att införa några nya registerlagar på utbildningsområdet. Dataskydd.net är inte övertygade om att det invecklade systemet i Sverige med särskilda registerförfattningar bäst tillgodoser privatpersoners och samhällets behov av ett starkt integritetsskydd. Tvärtom riskerar det att göra det svårt för privatpersoner att

förutse vilket skydd de har, och myndigheterna distraheras från de proportionalitetsbedömningar och säkerhetsavvägningar de ska göra inför varje insamling och behandling av privatpersoner. Statens skolverk delar utredningens bedömning att det finns ett tillräckligt stöd för att fullfölja dess uppgifter utifrån de nuvarande bestämmelserna i nationell rätt.

Umeå kommun framhåller vikten av att kunna utnyttja digitaliseringens möjligheter inom skolan och att det måste finnas en balans mellan integritetsskyddslagstiftningen och den kreativa process som finns inom pedagogisk verksamhet.

Karlstads universitet anser att behovet av en särskild lag på högskoleområdet kanske kunde ha analyserats ytterligare.

Stockholms kommun

anser att det finns behov av tydligare regleringar

för att kunna genomföra de behandlingar av personuppgifter som behövs inom utbildningsnämndens ansvarsområde.

Datainspektionen anser att utredningen har underskattat den komplexitet som det medför att inte reglera utbildningsverksamheten på nationell nivå i registerförfattning.

En rad remissinstanser, såsom Sveriges Kommuner och Landsting (SKL), Bergs, Göteborgs, Halmstads, Luleå, Umeå och Varbergs kommuner, Friskolornas riksförbund och Uppsala universitet, är positiva till införandet av en uppförandekod för skolväsendet. SKL anser att framtagandet av en uppförandekod är ett viktigt arbete eftersom lagstiftningen är komplex och innebär att gränsdragningsproblematik kommer uppstå samtidigt som tekniken utvecklas i ett mycket snabbt tempo. Då skolväsendet i dag belastas av mycket administration ser Göteborgs kommun att en uppförandekod genom tydlighet och genomarbetat övervägande i enskilda frågor kan medföra en viss administrativ lättnad för skolväsendet. Academedia AB understryker behovet av en uppförandekod, då det finns stor risk att små huvudmän inte kommer ha kompetens eller resurser för att följa regelverket. Friskolornas riksförbund framhåller att det är företrädare för de personuppgiftsansvariga, dvs. skolhuvudmännen som tillsammans har möjlighet att utarbeta uppförandekoden. Uppsala universitet påpekar att en uppförandekod varken kan eller får ersätta den

lagstiftning den vilar på.

En möjlig invändning mot en uppförandekod är

enligt universitetet att ytterligare rättsliga dokument tillförs skolans befattningshavare som redan har att förhålla sig till dataskyddsförordningen, dataskyddslagen och övrig reglering av skolhuvudmännens behandling av känsliga personuppgifter. Lärarnas Riksförbund anser att det är i det närmaste ouppnåeligt att en eller flera olika uppförandekoder skulle kunna omfatta personuppgiftshanteringen hos samtliga huvudmän för skola och förskola.

Skälen för regeringens bedömning: För närvarande finns det några få renodlade registerförfattningar på utbildningsområdet. I dessa registerförfattningar regleras närmare behandling av personuppgifter för specifika verksamheter. Det är till exempel fallet med studiestödsdatalagen och studiestödsdataförordningen som reglerar behandling av personuppgifter hos CSN och förordningen om redovisning av studier m.m. som reglerar behandling av personuppgifter för studieadministration och för antagning till högre utbildning.

När dataskyddsförordningen börjar tillämpas kommer huvudmän inom utbildningsområdet enligt regeringens bedömning i avsnitt 9 huvud-

sakligen att tillämpa allmänt intresse som rättslig grund för sin nödvändiga behandling av personuppgifter (artikel 6.1 e i dataskyddsförordningen). Även rättslig förpliktelse och myndighetsutövning kommer i vissa fall att vara tillämpliga som rättsliga grunder för behandling av personuppgifter inom utbildningsområdet (artikel 6.1 c och artikel 6.1 e i dataskyddsförordningen). För dessa tre rättsliga grunder gäller att de ska vara fastställda i unionsrätten eller i en medlemsstats nationella rätt. Som framgår av analysen i avsnitt 9 för respektive verksamhet är dessa rättliga grunder fastställda i författningar som närmare reglerar verksamheten på utbildningsområdet eller beslut som har fattats med stöd av författning.

Datainspektionen understryker att laglig personuppgiftsbehandling även innefattar en bedömning av om författningen uppfyller dels kraven på tydlighet, precisering och förutsägbarhet i skäl 41 och dels kravet på proportionalitet i artikel 6.3 andra stycket sista meningen i dataskyddsförordningen. Datainspektionen anser att det inte är möjligt att presumera att de åtgärder som myndigheterna vidtar i syfte att utföra sina uppdrag och åligganden och som antagits i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre i sig har en legal grund som offentliggjorts genom tydliga, precisa och förutsägbara regler och uppfyller kraven i skäl 41. Datainspektionen anser också att många författningar av naturliga skäl är antagna utan att deras tydlighet, precisering och förutsägbara tillämpning avseende behandling av personuppgifter har bedömts. Utredningen har enligt Datainspektionen endast beskrivit vilket stöd verksamheten har generellt inom utbildningsområdet när utbildningsanordnare utför sina uppdrag enligt gällande författningar. Det saknas enligt Datainspektionen en analys som visar att det i skollagen, högskolelagen, lagen om yrkeshögskolan och därtill hörande bestämmelser finns rättsligt stöd för den personuppgiftsbehandling som behöver utföras inom utbildningsområdet och att det rättsliga stödet uppfyller kraven i skäl 41. När det saknas särskild lagreglering kring behandlingen blir det den personuppgiftsansvariges ansvar att pröva sin behandling mot kraven i Dataskyddsförordningen vid varje enskild behandling. Det saknas vägledning av på vilket sätt den personuppgiftsansvarige ska kunna bedöma vilka personuppgiftsbehandlingar som ska anses nödvändiga för att fullgöra uppdragen. Datainspektionen anser därmed att utredningen har underskattat den komplexitet som det medför att inte reglera utbildningsverksamheten på nationell nivå i en registerförfattning. Att lägga ansvaret på respektive huvudman att besluta om varje enskild behandling är nödvändig för att utföra den fastställda uppgiften är en svår och betungande uppgift. Detta arbete hade enligt Datainspektionen kunnat förenklas om utredningen hade tagit ett samlat grepp och gjort nödvändiga bedömningar och reglerat personuppgiftsbehandlingar inom utbildningsväsendet i en särskild registerförfattning. Med tanke på hur många aktörer det finns inom utbildningsområdet ifrågasätter Datainspektionen det rimliga i att överlåta bedömningen på de personuppgiftsansvariga, istället för att via lagstiftning i nationell rätt genom kompletterande författning till dataskyddsförordningen klargöra vad som inom utbildningsområdet är nödvändig behandling.

I propositionen Ny dataskyddslag konstaterar regeringen att den rättsliga grunden inte måste fastställas i en av riksdagen beslutad lag men

däremot att grunden måste vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). Vad detta konkret innebär i svensk rätt när det gäller uppgift av allmänt intresse har förtydligats i 2 kap. 2 § 1 förslaget till dataskyddslag. Enligt den bestämmelsen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Av skäl 41 framgår också att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringens mening bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är allmänt hållen medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart.

Vad som avses med nödvändighetsrekvisitet har behandlats i avsnitt 6.2.

Till skillnad från Datainspektionen anser regeringen att syftet med behandling av personuppgifter inom utbildningsområdet tydligt framgår av bestämmelserna i skollagen, högskolelagen, lagen om yrkeshögskolan och de andra författningar som reglerar verksamheten på området och att det är förutsägbart för personer som omfattas av dessa regler vilken behandling av personuppgifter som är nödvändig för att personuppgiftsansvariga ska kunna utföra sina uppdrag och åligganden. Dataskyddsförordningen möjliggör genom artikel 6.2 och 6.3 andra stycket för medlemsstaterna att införa särskilda registerförfattningar, men varken dessa bestämmelser eller förordningen i övrigt innebär något krav på att det införs sådana författningar.

Som framgår av avsnitt 13 och 14 anser regeringen att det i fråga om behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser finns behov av viss kompletterande reglering på utbildningsområdet. Enligt Justitiekanslern framstår det, med hänsyn till hur många lagar som redan finns rörande personuppgiftsbehandling, också som angeläget att inte ytterligare lagar tillkommer, om det inte är föranlett av ett viktigt behov.

Som framgår av avsnitt 4.6 och 7.1 innehåller dataskyddsförordningen ett omfattande regelverk som syftar till att skydda den enskildes integritet och rättigheter. Dataskyddsförordningen kompletteras av dataskyddslagen. Därutöver tillkommer en omfattande reglering på utbildningsområdet. Som ett exempel nämnas att skollagen är ca 150 sidor lång och att den kompletteras av föreskrifter i förordningar och föreskrifter som meddelats av myndigheter. Därtill kommer att t.ex. Statens skolverk har meddelat allmänna råd och tagit fram omfattande stödmaterial. Därutöver har myndigheter också i uppgift enligt författning att fatta olika typer av beslut om t.ex. tillstånd eller statsbidrag. Särskilda författningar som

reglerar utbildningsverksamheternas personuppgiftsbehandling skulle enligt regeringens bedömning inte innebära att skyddet för enskildas integritet och rättigheter blev starkare. En sådan reglering skulle dessutom kunna vara kontraproduktiv på så sätt att den t.ex. på skolområdet skulle kunna komma att begränsa huvudmännens möjligheter att behandla personuppgifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att bedriva utbildning med utnyttjande av tillgängliga tekniska hjälpmedel med ett gott resultat (se t.ex. 9 kap. 8 §, 10 kap. 10 § och 15 kap. 17 §skollagen). Sådan indirekt styrning av undervisningen och hur den ska bedrivas bör enligt regeringens uppfattning inte ske genom reglering av personuppgiftshanteringen inom utbildningsverksamheten. Regeringens uppfattning är därför att den kompletterande reglering som behövs kan ske inom ramen för befintliga författningar på utbildningsområdet. Regeringen bedömer att en sådan lagstiftningsteknik underlättar för tillämparna.

Regeringen delar dock Datainspektionens uppfattning att personuppgiftsansvariga kan vara betjänta av ytterligare vägledning i fråga om behandling av personuppgifter. Regeringen uppfattar att Datainspektionen anser behovet av ytterligare vägledning vara störst i fråga om skolväsendet. En rad andra remissinstanser, såsom Sveriges Kommuner och

Landsting, ett flertal kommuner och Friskolornas riksförbund, har också ställt sig positiva till införandet av en uppförandekod för skolväsendet.

Regeringen avser därför, trots de utmaningar det kan innebära, att ge en lämplig myndighet i uppdrag att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.

12. Var ska kompletterande bestämmelser om personuppgiftsbehandling placeras?

Regeringens förslag: Kompletterande bestämmelser om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser på utbildningsområdet ska införas i ett nytt kapitel i skollagen, i lagen om tillstånd att utfärda vissa examina och i lagen om yrkeshögskolan.

Regeringens bedömning: Kompletterande bestämmelser för konst- och kulturutbildningar, vissa andra utbildningar och folkbildningen bör införas på förordningsnivå.

Det bör inte införas någon dubbelreglering i nämnda lagar för offentliga utbildningsanordnare och sådana enskilda utbildningsanordnare som har stöd för sin personuppgiftsbehandling i dataskyddslagen.

Utredningens förslag och bedömning: Överensstämmer med regeringens förslag och bedömning i fråga om i vilka lagar och på vilken normnivå kompletterande bestämmelser bör införas. Utredningen har dock föreslagit att bestämmelser i dataskyddslagen som gäller för myndigheter och organ som jämställs med myndigheter också ska återges i sektorslagstiftningen.

Remissinstanserna: Flertalet remissinstanser delar utredningens förslag och bedömning eller har inte några synpunkter.

Statens skolverk, Specialpedagogiska skolmyndigheten, Göteborgs, Askersunds och Stockholms kommuner, Friskolornas riksförbund och Sveriges Kommuner och Landsting är exempel på remissinstanser som är positiva till att behandling av känsliga personuppgifter regleras i ett nytt kapitel i skollagen. Eslövs kommun ser det som positivt att regleringen införs direkt i skollagen då det ligger väl i linje med intentionen i den unifiering som skedde av skollagstiftningen i och med tillkomsten av

skollagen (2010:800) .

Göteborgs kommun anser att förslaget att samla

regleringen kring känsliga personuppgifter i ett kapitel bidrar till att skapa en tydlighet kring förutsättningarna för att behandla känsliga personuppgifter inom skolområdet som i sin tur underlättar tillämpningen av regelverket.

Sveriges Kommuner och Landsting anser det särskilt välkommet att även kommunen i egenskap av hemkommun ska tillämpa det föreslagna kapitlet i skollagen trots att kommuners personuppgiftsbehandling även faller in under dataskyddslagens tillämpningsområde och anser att detta förenklar tillämpningen avsevärt för kommunerna.

Specialpedagogiska skolmyndigheten undrar om förslaget till det nya kapitlet i. skollagen som ska komplettera dataskyddslagen innebär att skolor som också är myndigheter parallellt ska använda regleringen i de båda lagarna.

Datainspektionen anser att utredningen inte har presenterat någon konkret redogörelse för vilka personuppgiftsbehandlingar som ska behandlas inom det skollagsreglerade området samt vilka risker de aktuella behandlingarna kan medföra. Utan en sådan redogörelse kan en proportionalitetsbedömning av bestämmelserna enligt artikel 6.3 i dataskyddsförordningen inte göras. Datainspektionen saknar en analys som visar att det kommer att finnas erforderligt stöd för den behandling av känsliga personuppgifter som behöver utföras inom skolan när dataskyddsförordningen börjar tillämpas.

Luleå tekniska universitet tillstyrker utredningens förslag angående behov av särskild reglering för enskilda utbildningsanordnare. Karlstads universitet tillstyrker författningsförslagen. Chalmers tekniska högskola AB tillstyrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.

Skälen för regeringens förslag och bedömning

Den kompletterande reglering som behövs bör införas i befintliga sektorsförfattningar

Som framgår av avsnitt 8 gör regeringen bedömningen att utbildning är såväl en uppgift av allmänt intresse som ett viktigt allmänt intresse. I avsnitt 9 har regeringen bedömt att merparten av personuppgiftsbehandlingen som sker inom utbildningsområdet kan ske med stöd av den rättsliga grunden att utföra en uppgift av allmänt intresse. För viss personuppgiftsbehandling som inte är nödvändig för detta ändamål, t.ex. skolfotografering, kan i stället samtycke användas som rättslig grund.

Som framgått av avsnitt 7 ställer dock dataskyddsförordningen i artikel 9 och 10 särskilda krav när det gäller behandling av känsliga personupp-

gifter och uppgifter om lagöverträdelser. I avsnitt 10 gör regeringen bedömningen att det finns behov av att inom utbildningsområdet införa bestämmelser som rör behandlingen av känsliga personuppgifter och lagöverträdelser som kompletterar såväl dataskyddsförordningen som dataskyddslagen.

Även regeringsformen ställer särskilda krav när det är fråga om ett betydande intrång i den personliga integriteten som sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § RF). Sådana intrång får bara göras med stöd av lag. Som framgår av avsnitt 10 gör regeringen bedömningen att i den mån detta lagkrav gäller på det skollagsreglerade området är det uppfyllt genom regleringen i skollagen. Regeringen gör vidare i avsnitt 11 bedömningen att det inte bör införas fler registerförfattningar inom utbildningsområdet utan att de kompletteringar som behövs med anledning av artikel 9 och 10 i dataskyddsförordningen bör göras i befintliga sektorsförfattningar.

Som närmare kommer att utvecklas i avsnitt 13.2 och 14.2 föreslås i propositionen Ny dataskyddslag att det i 3 kap. dataskyddslagen ska införas bestämmelser om behandling av känsliga personuppgifter och lagöverträdelser (3 kap. 1–9 §§). Dessa bestämmelser gäller emellertid med vissa undantag bara för myndigheter. I 3 kap. 4 § dataskyddslagen anges dock att regeringen får meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse. Vidare anges i 3 kap. 9 § att regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning. Den myndighet som regeringen bestämmer får även i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor.

Regeringen anser dock att det, även i den utsträckning det inte krävs enligt regeringsformen, är lämpligt att kompletterande bestämmelser som ger stöd för att behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser inom det skollagsreglerade området, inom högskolan och inom yrkeshögskolan förs in på samma normhierarkiska nivå och i den författning som i huvudsak reglerar den aktuella verksamheten och varigenom den rättsliga grunden i huvudsak fastställs. Regeringen gör bedömningen att detta bör underlätta för tillämparna. Som närmare kommer att utvecklas i avsnitt 13.4 och 14.4 gör regeringen bedömningen att det i fråga om högskolan endast finns behov av kompletterande reglering när det gäller enskilda utbildningsanordnare som omfattas av lagen om tillstånd att utfärda vissa examina. Regeringen föreslår därför att kompletterande bestämmelser om känsliga personuppgifter och personuppgifter om lagöverträdelser införs i skollagen, lagen om tillstånd att utfärda vissa examina och i lagen om yrkeshögskolan. På grund av skollagens omfattning införs bestämmelserna i skollagen lämpligen i form av ett nytt kapitel om personuppgiftsbehandling. När det gäller CSN:s behandling av känsliga personuppgifter i studiestödsverksamheten finns det redan en registerförfattning där frågor om myndighetens personuppgiftsbehandling regleras och nödvändiga justeringar och kompletteringar på studiestödsområdet bör därför göras i den lagen.

Dubbelreglering bör undvikas

Skollagen och lagen om yrkeshögskolan gäller både offentliga och enskilda utbildningsanordnare. Utbildningsdatautredningen har föreslagit att vissa bestämmelser om personuppgiftsbehandling, som ska ge enskilda utbildningsanordnare samma möjligheter till behandling som offentliga utbildningsanordnare, i dessa lagar ska omfatta både enskilda och offentliga utbildningsanordnare. Detta innebär att det för de offentliga utbildningsanordnarna i vissa fall uppstår en dubbelreglering, eftersom de kommer omfattas av bestämmelser både i dataskyddslagen och i sektorslagstiftningen med samma innehåll. Som Specialpedagogiska skolmyndigheten (SPSM) framför, kan detta väcka frågor kring vilket av regelverken myndigheterna ska tillämpa. En sådan dubbelreglering gör det således inte nödvändigtvis tydligare för tillämparna vilket av regelverken som de ska tillämpa. Regeringen ser inte heller skäl att för privata organ, som enligt 3 kap. 3 § tredje stycket dataskyddslagen ska jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet, skapa en dubbelreglering genom att för dessa införa motsvarande bestämmelser som i dataskyddslagen även i sektorsförfattningarna. Regeringen anser således att sektorsförfattningarna bara ska kompletteras med sådana bestämmelser om personuppgiftsbehandling som är nödvändiga utöver dataskyddsförordningen och dataskyddslagen och att dubbelregleringar ska undvikas. Däremot anser regeringen att sektorsförfattningarna av tydlighetsskäl bör innehålla bestämmelser som upplyser om var i dataskyddslagen det finns motsvarande bestämmelser för myndigheter och sådana organ som jämställs med myndigheter, se vidare avsnitt 16.

Kompletterande bestämmelser för konst- och kulturutbildningar och folkbildningen kan införas på förordningsnivå

Som framgår av avsnitt 9.3 och 9.4 finns viss begränsad reglering av den verksamhet som anordnas av enskilda i form av konst- och kulturutbildningar och vissa andra utbildningar och folkbildning. Regleringen finns på förordningsnivå. Inom dessa verksamheter finns visst behov av behandling av känsliga personuppgifter. Detta redogörs för närmare i avsnitt 13.5.1 och 13.6. Här ges därför endast en mer kortfattad beskrivning av detta behov.

När det gäller behandling av känsliga personuppgifter inom folkbildningen kan folkhögskolorna ansöka om statsbidrag för kostnader för särskilt utbildningsstöd som erbjuds studerande med funktionsnedsättningar enligt förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd. Ansökan görs till SPSM. Såvitt Utbildningsdatautredningen erfarit lämnas inga direkta personuppgifter in i samband med ansökan. I ansökan framgår endast uppgift om kön och funktionsnedsättning per skola och kurs (SOU 2017:49 s. 358). Då själva ansökan till SPSM inte innehåller några personuppgifter behöver folkhögskolorna inte något rättsligt stöd för att behandla dessa uppgifter i ansökan. Däremot kan folkhögskolorna i sin verksamhet behöva behandla sådana uppgifter inför upprättandet av ansökan och beträffande studerande med funktionsnedsättning. Vidare förekommer det att vissa folkhögskolor och studie-

förbund som anordnar kontakttolkutbildning antecknar tolkspråket i sitt register. Folkhögskolor och studieförbund som anordnar sådan utbildning kan under vissa förutsättningar erhålla statsbidrag som beviljas av Myndigheten för yrkeshögskolan enligt förordningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk. Även om en uppgift om tolkspråk i sig inte utgör en känslig personuppgift, skulle den tillsammans med andra uppgifter kunna bli en uppgift om etniskt ursprung, alltså en känslig personuppgift. Liknande gränsfrågor skulle kunna uppstå i den verksamhet som bedrivs av folkhögskolor och studieförbund och som avser särskilda insatser för personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., eller avses i förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar och som bor i Migrationsverkets anläggningsboende, och för vilka statsbidrag kan lämnas enligt förordningen (2015:521) om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända invandrare.

När det gäller behovet för enskilda anordnare av konst- och kulturutbildningar och vissa andra utbildningar att behandla känsliga personuppgifter gäller i korthet följande. Behandling av känsliga personuppgifter kan, i likhet med vad som gäller för folkbildningen, förekomma vid handläggning av ansökningar om särskilt pedagogiskt stöd, när beslutade stödåtgärder ska verkställas och i samband med ansökningar om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd (30 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). Behandling av känsliga personuppgifter kan även förekomma i ärenden om trakasserier och sexuella trakasserier (1 kap. 4 och 2 kap.7 §§diskrimineringslagen [2008:567]) och i ärenden om anstånd med att påbörja studier eller studieuppehåll av hälsoskäl (24 a § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). Anordnarna kan även ha egna regelverk som medför behov av behandling av känsliga personuppgifter i form av hälsa i samband med utredningar och ärenden om avskiljande.

Behovet av behandling av känsliga personuppgifter i verksamhet som anordnas i form av konst- och kulturutbildningar och vissa andra utbildningar och i form av folkbildning är alltså tämligen begränsat. Vidare förekommer behovet av sådan behandling främst i samband med stöd och stödåtgärder som är till gagn för den studerande och behandlingen utförs av enskilda. Mot denna bakgrund gör regeringen bedömningen att bestämmelsen i 2 kap. 6 § RF inte är tillämplig på denna behandling. Som angetts i avsnitt 10 anser vidare Justitiekanslern att såvitt framgår av utredningen är inte den personuppgiftsbehandling som kan bli aktuell inom utbildningsområdet och som inte omfattas av någon lagreglering, av sådan karaktär som avses i grundlagsbestämmelsen om skyddet mot integritetsintrång i 2 kap. 6 § RF. Regeringen anser därför att kompletterande bestämmelser om behandling av känsliga personuppgifter i dessa verksamheter kan införas på förordningsnivå

Var behandlas kompletteringar i sektorslagstiftningen?

Kompletteringar i sektorslagstiftningen som avser känsliga personuppgifter behandlas i avsnitt 13. Kompletteringar i sektorslagstiftningen som avser uppgifter om lagöverträdelser behandlas i avsnitt 14.

13. Sektorslagstiftningen ska kompletteras med bestämmelser om behandling av känsliga personuppgifter

13.1. Dataskyddsförordningen tillåter bara behandling av känsliga personuppgifter i vissa fall

Som framgått av avsnitt 7 finns det i artikel 9.1 i dataskyddsförordningen, på motsvarande sätt som i det nu gällande dataskyddsdirektivet och PUL, ett principiellt förbud mot att behandla särskilda kategorier av personuppgifter. Dessa är enligt dataskyddsdirektivet och PUL uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I dataskyddsförordningen utvidgas den särskilda kategorierna av uppgifter till att också omfatta behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Vidare ersätts uppgifter om hälsa och sexualliv av uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Bestämmelsen i dataskyddsförordningen är direkt tillämplig och kräver inga åtgärder av medlemsstaterna.

Förbudet ska enligt artikel 9.2 inte tillämpas i någon av de situationer som beskrivs i artikel 9.2 a–j. Förbudet gäller t.ex. inte om den registrerade uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål (artikel 9.2 a). Förbudet gäller inte heller om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionslagstiftningen eller medlemsstaternas nationella rätt. Unionslagstiftningen och medlemsstatens nationella rätt ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

Vad som är ett allmänt intresse har behandlats i avsnitt 6.2. I avsnitt 8 har regeringen gjort bedömningen att utbildning är såväl en uppgift av allmänt intresse som ett viktigt allmänintresse.

Som framgår ovan omnämns de personuppgifter som omfattas av ett förbud mot behandling, som särskilda kategorier av uppgifter i såväl det nuvarande dataskyddsdirektivet som i dataskyddsförordningen. I dataskyddsförordningens beaktandeskäl omnämns de på ett par ställen som känsliga respektive särskilt känsliga uppgifter (skäl 10 och 51). I PUL har särskilda kategorier av personuppgifter kallats känsliga person-

uppgifter, utan att detta närmare har kommenterats i förarbetena. Som nämnts i avsnitt 7.2 föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) att begreppet känsliga personuppgifter ska användas i dataskyddslagen för sådana särskilda kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen. Bakgrunden till detta förslag är att begreppet får anses väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext. Begreppet känsliga uppgifter används även nedan.

13.2. Det finns kompletterande bestämmelser om känsliga personuppgifter i dataskyddslagen

13.2.1. Behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse möjliggörs i vissa fall

Utifrån den möjlighet som i dataskyddsförordningen ges medlemsstaterna att skapa förutsättningar i nationell rätt för att möjliggöra behandling av känsliga personuppgifter har regeringen i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagit tre generella bestämmelser som avser myndigheters behandling av känsliga personuppgifter (3 kap. 3 § första stycket dataskyddslagen). Bestämmelserna har sin grund i artikel 9.2 g, dvs. att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.

Behandling av känsliga personuppgifter som krävs enligt lag är tillåten för myndigheter och enskilda som jämställs med myndigheter

Viss behandling av känsliga personuppgifter är oundviklig i myndigheternas verksamhet som en direkt följd av exempelvis offentlighets- och sekretesslagens (2009:400) och förvaltningslagens (1986:223) krav, såsom krav på diarieföring och skyldighet att ta emot e-post. Samma skyldigheter gäller i viss utsträckning för vissa andra organ än myndigheter, som en följd av att dessa organ jämställs med myndigheter enligt offentlighets- och sekretesslagen. I propositionen Ny dataskyddslag föreslås mot denna bakgrund en bestämmelse om att myndigheter och andra organ som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter med stöd av artikel 9.2 g i EU:s dataskyddsförordning, om uppgifterna har lämnats till myndigheten eller organet och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1 och tredje stycket dataskyddslagen).

Behandling av känsliga personuppgifter som är nödvändig för handläggningen av ett ärende är tillåten för myndigheter

Enligt en andra bestämmelse i 3 kap. 3 § dataskyddslagen får känsliga uppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen, om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen). Bestämmelsen är tillämplig oavsett om uppgifterna förekommer i löpande text eller inte. Begreppen handläggning och ärende ska tolkas på samma sätt som enligt 1 § förvaltningslagen (2017:900).

Behandling av känsliga personuppgifter i annat fall som inte innebär ett otillbörligt intrång är tillåten för myndigheter

Enligt en tredje bestämmelse får känsliga uppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3 dataskyddslagen).

Bestämmelsen syftar till att ge myndigheter visst utrymme för behandling av känsliga personuppgifter även i den faktiska verksamheten, dvs. sådan verksamhet som inte utgör handläggning av ärenden. Det kan t.ex. röra sig om att känsliga personuppgifter framkommer vid kommunikation mellan skola och föräldrar eller inom myndigheten i samband med utvärdering av den egna verksamheten.

Vid bedömningen av om behandlingen utgör ett otillbörligt intrång bör vikt läggas vid t.ex. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till att uppgiften behandlas, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Den närmare betydelsen av begreppet otillbörlig bör ges utrymme att utvecklas i rättstillämpningen. (propositionen Ny dataskyddslag, prop. 2017/18:105 s. 8890).

Dataskyddslagen förbjuder sökning i syfte att få fram ett personurval grundat på känsliga personuppgifter

Som ett skydd av de intressen som bestämmelserna om känsliga personuppgifter ska värna föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) att det vid behandling som sker enbart med stöd av någon av de tre ovannämnda bestämmelserna ska vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen).

De föreslagna bestämmelserna är mer långtgående än Dataskyddsutredningens förslag

De ovan nämnda bestämmelserna i 3 kap. 3 § dataskyddslagen är, mot bakgrund av synpunkter som framförts av remissinstanserna och av Lagrådet, mer långtgående än de bestämmelser som föreslogs av Dataskyddsutredningen. Som ett exempel kan nämnas att bestämmelsen i 3 kap. 3 § första stycket 3 av Dataskyddsutredningen föreslogs få lydelsen ”i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet”. Bestämmelsen har dock i propositionen Ny dataskyddslag fått lydelsen ”i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.” Detta innebär att Utbildningsdatautredningens förslag, som har utarbetats för att komplettera Dataskyddsutredningens förslag, i vissa fall inte längre behövs, då de behov de avser att tillgodose i stället tillgodoses av de bestämmelser som föreslås i ovan nämnda proposition. Regeringen återkommer till detta nedan, t.ex. i avsnitt 13.3. Då de föreslagna bestämmelserna i 3 kap. 3 § dataskyddslagen bara får tillämpas av myndigheter och, när det gäller bestämmelsen i paragrafens första stycke 1, enskilda

som jämställs med myndigheter enligt offentlighets- och sekretesslagen, finns det dock fortfarande ett behov av att komplettera bestämmelserna i dataskyddslagen med bestämmelser i sektorslagstiftningen på utbildningsområdet.

13.2.2. Övriga bestämmelser om behandling av känsliga personuppgifter

I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås känsliga personuppgifter även få behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd (3 kap. 2 § dataskyddslagen). Känsliga personuppgifter föreslås även få behandlas i vissa andra specifika fall som gäller hälso- och sjukvård och social omsorg, arkiv och statistik (3 kap. 5–7 §§ dataskyddslagen). Vidare föreslås ett bemyndigande för regeringen att meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse (3 kap. 4 § dataskyddslagen).

13.3. Kompletterande bestämmelser om känsliga personuppgifter ska införas i skollagen

Hänvisningar till S13-3

13.3.1. Det finns behov av behandling av känsliga personuppgifter på det skollagsreglerade området

Nedan redogörs översiktligt för de huvudsakliga behandlingarna av känsliga personuppgifter på det skollagsreglerade området.

Det finns behov av behandling av känsliga personuppgifter i vissa skolformer och vid prövningar av mottagande till sådana skolformer

Som framgått av avsnitt 10 finns det i skollagen en särskild reglering i skollagens kapitel om skolplikt som innebär att en viss utredning måste göras innan ett barn kan tas emot i grundsärskolan eller specialskolan (7 kap.5 och 6 §§skollagen). Sådana utredningar ska omfatta en pedagogisk, psykologisk, medicinsk och social bedömning och innebär således att känsliga personuppgifter måste behandlas av hemkommunen respektive Specialpedagogiska skolmyndigheten (SPSM) som beslutar om mottagande. Då det är fråga om ett ärende kan de tillämpa 3 kap. 3 § dataskyddslagen.

Gymnasiesärskolan är öppen för ungdomar vars skolplikt har upphört och som inte bedöms ha förutsättningar att nå upp till gymnasieskolans kunskapskrav därför att de har en utvecklingsstörning. De ungdomar som tillhör målgruppen för gymnasiesärskolan har rätt att bli mottagna i gymnasiesärskola om utbildningen påbörjas före utgången av det första kalenderhalvåret det år de fyller 20 år (18 kap. 4 skollagen). Hemkommunen prövar frågan om en sökande tillhör målgruppen. Beslutet ska föregås av en utredning motsvarande den som enligt 7 kap. 5 § andra

stycket ska göras inför beslut om mottagande i grundsärskolan om utredning saknas eller det av andra skäl bedöms nödvändigt (18 kap. 5 §). Även sådana utredningar kan göras med stöd av 3 kap. 3 § dataskyddslagen).

Målet med den särskilda utbildningen för vuxna är att vuxna med utvecklingsstörning ska stödjas och stimuleras i sitt lärande (21 kap. 2 § skollagen). Det är endast vuxna med utvecklingsstörning som har rätt att under vissa förutsättningar delta i särskild utbildning för vuxna på grundläggande nivå eller som kan vara behörig att delta i särskild utbildning för vuxna på gymnasial nivå (21 kap. 11 § och 16 §skollagen). Något krav på utredning motsvarande de krav som ställs för mottagande till grundsärskolan, specialskolan eller gymnasiesärskolan har dock inte uppställts för mottagande till den särskilda utbildningen för vuxna.

Genom att alla elever som går i grundsärskolan, specialskolan, gymnasiesärskolan eller särskild utbildning för vuxna har en funktionsnedsättning blir uppgiften om att en elev går i en specialskola, grund- eller gymnasieskola som enbart anordnar särskoleverksamhet eller i särskild utbildning för vuxna en känslig personuppgift om hälsa eftersom skolans inriktning och namn avslöjar att eleven har en funktionsnedsättning. Även övriga uppgifter om elever som behandlas inom en sådan verksamhet kan många gånger, beroende på i vilket sammanhang de förekommer, kopplas till funktionsnedsättning och behöver därför i sådana fall betraktas som känsliga personuppgifter.

Barn till samer får fullgöra sin skolplikt i sameskolan i stället för i årskurs 1–6 i grundskolan. Även andra barn får fullgöra den delen av sin skolplikt i sameskolan, om det finns särskilda skäl. Enligt förarbetena till skollagen gäller det t.ex. om ett barn från en ort med sameskola, men utan kommunal grundskola, annars skulle behöva åka till en annan ort med kommunal grundskola (prop. 2009/10:165 s. 701). Frågan om ett barn ska få fullgöra sin skolplikt i sameskolan prövas av Sameskolstyrelsen (7 kap. 7 § skollagen). Sameskolans syfte är att ge en utbildning med samisk inriktning som i övrigt motsvarar utbildningen i årskurserna 1–6 i grundskolan (13 kap. 2 § skollagen). Med hänsyn till sameskolans inriktning och att den främst är öppen för barn till samer har utredningen dragit slutsatsen att uppgiften om att ett barn går i samskolan är en uppgift som avslöjat etniskt ursprung och därmed är en känslig personuppgift. Regeringen anser dock, till skillnad från utredningen, att man inte kan dra den slutsatsen, eftersom bestämmelsen om att även andra barn än barn till samer får fullgöra delar av sin skolplikt i sameskolan om det finns särskilda skäl, medför att man inte enbart genom skolans inriktning och namn kan utläsa elevens etniska ursprung. Härvid ska beaktas att Datainspektionen, när det gäller skolor med konfessionell inriktning, i ett svar till Skolverket, har ansett att enbart en uppgift om att en fysisk person går på en skola som har konfessionell inriktning (1 kap. 7 § skollagen) inte ensamt torde avslöja den fysiska personens religiösa eller filosofiska övertygelse. Som motivering har Datainspektionen bl.a. angett att skolväsendet ska vara icke-konfessionellt och att en fristående skola ska vara öppen för alla elever, oavsett religiös eller filosofisk övertygelse. Uppgift om att en elev går i en skola med konfessionell skola behöver mot bakgrund av detta inte per automatik avslöja elevens religiösa eller filosofiska övertygelse (Datainspektionen, 2016-12-06, dnr 316–2016).

Regeringen anser mot denna bakgrund att enbart en uppgift om att ett barn går i samskolan skola inte ensamt torde avslöja elevens etniska ursprung. Däremot kan denna uppgift tillsammans med andra uppgifter göra det. Sameskolstyrelsen kan vid sin prövning om ett barn ska få fullgöra sin skolplikt i sameskolan tillämpa 3 kap. 3 § dataskyddslagen.

Kommuner är huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem, om inte staten är huvudman. Staten är huvudman för specialskolan och sameskolan samt för förskoleklass och fritidshem vid en skolenhet med specialskola eller sameskola. Landsting får i viss utsträckning vara huvudman för gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild utbildning för vuxna. Enskilda får efter ansökan godkännas som huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola och fritidshem (2 kap.25 §§skollagen). Enskilda kan inte tillämpa dataskyddslagens bestämmelser om myndigheters behandling av känsliga personuppgifter. Detta innebär att det finns ett behov av att införa kompletterande bestämmelser om behandling av känsliga personuppgifter för de skolformer där enskilda kan vara huvudmän.

Det finns behov av behandling av känsliga personuppgifter inom ramen för olika utredningar

Som har nämnts i avsnitt 10 finns det bestämmelser om olika typer av utredningar i skollagen, t.ex. utredning om en elev behöver särskilt stöd (3 kap. § skollagen), utredning med anledning av att en elev vid upprepade gånger har stört studieron, uppträtt olämpligt eller gjort sig skyldig till en allvarlig förseelse (5 kap. 9 § skollagen) och utredningar om kränkande behandling (6 kap. 10 § skollagen). I sådana utredningar förekommer det ofta förekomma känsliga personuppgifter. I vissa fall åligger utredningsskyldigheten rektorn (3 kap. 8 § och 5 kap. 9 §) och i vissa fall åligger utredningsskyldigheten huvudmannen (6 kap. 10 § skollagen). Vid en utredning om särskilt stöd ska samråd ske med elevhälsan om det inte är uppenbart obehövligt.

Det finns behov av behandling av känsliga personuppgifter inom elevhälsan

Elevhälsan omfattar medicinska, psykologiska, psykosociala och specialpedagogiska insatser. Personuppgifter behandlas inom elevhälsan t.ex. i samband med allmänna hälsokontroller som ska erbjudas i vissa skolformer eller vid specialpedagogiska insatser (2 kap.25 och 26 §§skollagen).

Den del av elevhälsan som består av den medicinska grenen (hälso- och sjukvård) anses utgöra en självständig verksamhetsgren i förhållande till den övriga elevhälsan. För den personuppgiftsbehandling som sker inom hälso- och sjukvården som bedrivs på skolorna gäller patientdatalagen (2008:355). Förslag till anpassningar av patientdatalagen till dataskyddsförordningen har lämnats i lagrådsremissen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning. Den personuppgiftsbehandling som äger rum inom

den medicinska delen av elevhälsan behandlas därför inte i denna proposition.

Den personuppgiftsbehandling som sker inom elevhälsans psykosociala och specialpedagogiska verksamheter omfattas däremot inte av patientdatalagens bestämmelser. Den psykosociala insatsen består av kurator som kan föra stöd-, motivations- och krissamtal liksom utredande och rådgivande samtal med enskilda elever och deras familjer relaterade till skolsituationen. Inom den specialpedagogiska insatsen finns specialpedagoger och speciallärare som t.ex. kan delta i kartläggning av elevers behov av särskilt stöd, genomföra pedagogiska utredningar samt utforma och genomföra åtgärdsprogram. Enstaka specialpedagogiska insatser under en kortare tid, t.ex. två månader, kan även vidtas som en s.k. extra anpassning inom ramen för den ordinarie undervisningen. I sådana fall finns det ingen föregående utredningsskyldighet motsvarande den som finns när det gäller särskilt stöd (3 kap. 5 a § och prop. 2013/14:160 s. 15 f. och 36). Även om en specialpedagog eller motsvarande och, i vissa fall, en skolkurator inte har någon skyldighet att föra patientjournal så har de en dokumentationsskyldighet vid handläggning av enskilda elevärenden som avser myndighetsutövning (29 kap. 10 § skollagen). Det kan alltså även inom denna del av elevhälsan finnas ett behov av att kunna behandla uppgifter om hälsa.

Det finns behov av behandling av känsliga personuppgifter i andra fall

Det förekommer även utanför elevhälsan att uppgifter om hälsa behöver behandlas. Ett exempel är skolmatsalspersonalen som behöver kunna behandla uppgifter om specialkost p.g.a. allergier eller religiös övertygelse. För att kunna möjliggöra en ändamålsenlig undervisningssituation kan även uppgifter om funktionsnedsättning behöva behandlas utanför elevhälsan. Vidare kan åtgärdsprogram innehålla uppgifter om ett barns eller en elevs hälsa. Ett åtgärdsprogram är en samlad dokumentation av elevens behov av särskilt stöd och en skriftlig bekräftelse av de särskilda stödåtgärder som ska sättas in.

Även uppgifter om vilka barn och elever som begärt modersmålsundervisning måste kunna behandlas. Datainspektionen har ansett att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung (Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan, s. 8). Vidare har regeringen tidigare bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). En uppgift om modersmål torde alltså i sig inte vara en känslig personuppgift men uppgiften kan, beroende på i vilket sammanhang den förekommer, bedömas vara en uppgift om etniskt ursprung vilket är en känslig personuppgift. En bedömning måste således göras i det enskilda fallet. Vidare skulle den uppgiften, tillsammans med andra uppgifter om den fysiska personen, kunna avslöja dennes religiösa eller filosofiska övertygelse och därmed utgöra känsliga personuppgifter.

Elever i t.ex. grundskolan har under vissa förutsättningar rätt till kostnadsfri skolskjuts (10 kap. 32 § skollagen). En anledning till att en elev har behov av skolskjuts kan vara att eleven har en funktionsnedsättning.

Det är elevens hemkommun som ska ombesörja att skolskjuts anordnas. För prövningen av en elevs rätt till skolskjuts kan kommunen komma att få in handlingar som innehåller uppgifter om elevens hälsa. Kommunen kan även i sitt beslut behöva skriva in uppgifter som rör elevens hälsa. Det är inte ovanligt att kommuner upphandlar själva skolskjutsen. I dessa fall kan det finnas behov av att överföra vissa uppgifter om elever, t.ex. att en elev har rullstol, till taxibolaget som utför skolskjutsen för att möjliggöra en ändamålsenlig skolskjuts. En sådan uppgift är en indirekt uppgift om elevens hälsa.

Känsliga personuppgifter om hälsa kan även behöva behandlas i samband med att skolbibliotek förfogar över upphovsrättsligt skyddade verk som elever med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

För att kommunerna ska kunna uppfylla sina åligganden i egenskap av hemkommun enligt skollagen har de även ett behov av att kunna behandla känsliga personuppgifter i samband med att de för en förteckning över var skolpliktiga barn fullgör sin skolplikt (7 kap. 21 § skollagen) samt i ärenden rörande mottagande av ett barn i grundsärskolan (7 kap. 5 § skollagen) och om en sökande tillhör målgruppen för gymnasiesärskolan (18 kap. 5 § skollagen). Även i ärenden om tilläggsbelopp till t.ex. en fristående skola för en elev som har ett omfattande behov av särskilt stöd har hemkommunen ett behov av att kunna behandla känsliga personuppgifter i form av uppgifter om den enskilde elevens hälsa (10 kap. 39 § skollagen). Sådana uppgifter kan även förekomma om en ansökan om tilläggsbelopp överklagas med stöd av 28 kap. 5 § skollagen.

Som har nämnts tidigare finns det behov av att införa kompletterande bestämmelser för enskilda huvudmän och andra enskilda aktörer på det skollagsreglerade området. I vilken utsträckning dataskyddslagen behöver kompletteras behandlas i avsnitt 13.3.2–13.3.10.

13.3.2. Ytterligare reglering av behandling av känsliga personuppgifter som krävs enligt lag behövs inte

Regeringens bedömning: För behandling av känsliga personuppgifter som krävs enligt lag behövs det på det skollagsreglerade området inte någon ytterligare reglering som motsvarar den som föreslås i dataskyddslagen.

Utredningens förslag: Utredningen föreslår att det i skollagen ska införas en bestämmelse om att huvudmän, hemkommuner och aktörer som bedriver verksamhet som avser en särskild utbildningsform eller annan pedagogisk verksamhet ska få behandla känsliga personuppgifter om uppgifterna har lämnats till organet och behandlingen krävs enligt lag.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget. Friskolornas riksförbund tillstyrker utredningens förslag om särskild reglering.

Datainspektionen avstyrker utredningens förslag i dess nuvarande utformning och ifrågasätter om utformningen av undantaget kan anses ut-

trycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås en bestämmelse om att myndigheter får behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1 dataskyddslagen). I propositionen föreslås även att vid tillämpningen av bestämmelsen ska andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i organets verksamhet (3 kap. 3 § tredje stycket dataskyddslagen).

Förslagen innebär att förskolor, skolor och vuxenutbildningsenheter som drivs av kommuner, landsting eller staten även fortsättningsvis kommer att kunna uppfylla de åligganden enligt framför allt offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om hur allmänna handlingar ska hanteras, exempelvis genom krav på diarieföring och skyldighet att ta emot e-post. Detsamma gäller kommunerna när de utför sina övriga åligganden enligt skollagen.

Offentlighetsprincipen är i dag inte tillämplig på skolor, förskolor eller fritidshem med enskild huvudman. Regeringen har dock i lagrådsremissen Offentlighetsprincipen ska gälla i fristående skolor föreslagit att en ny bestämmelse ska införas i offentlighets- och sekretesslagen med innebörden att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar ska gälla också handlingar hos huvudmän för fristående skolor. Huvudmännen ska enligt förslaget vid tillämpningen av offentlighets- och sekretesslagen jämställas med myndigheter. Förslaget innebär bl.a. att de fristående skolorna blir skyldiga att registrera sina allmänna handlingar enligt samma principer som gäller för myndigheter. Bestämmelserna föreslås träda i kraft den 1 juli 2019.

Vidare har Utredningen om ökad insyn i välfärden i betänkandet Ökad insyn i välfärden (SOU 2016:62) på motsvarande sätt föreslagit att offentlighetsprincipen bör gälla för juridiska personer som i egenskap av enskilda huvudmän driver förskola eller fritidshem, för privata aktörer som enligt avtal med kommun, enskild huvudman eller landsting utför uppgifter enligt 23 kap. skollagen (entreprenad) med undantag av verksamhet som regleras i 25 kap. skollagen, samt för privat folkhögskola som anordnar utbildning som motsvarar kommunal vuxenutbildning i svenska för invandrare (enligt 24 kap.1115 §§skollagen). Betänkandet bereds inom Regeringskansliet.

De föreslagna bestämmelserna i dataskyddslagen innebär att en skolhuvudman för vilken offentlighetsprincipen och sekretesslagstiftningen gäller får behandla känsliga personuppgifter om behandlingen krävs enligt lag. Detta gäller oavsett om huvudmannen är offentlig eller enskild. Om enskilda skolhuvudmän framöver kommer att omfattas av offentlig-

hetsprincipen kommer de alltså att kunna utföra behandling av känsliga personuppgifter som krävs enligt lag med stöd av den i dataskyddslagen föreslagna bestämmelsen. Någon ytterligare bestämmelse kommer då inte krävas för att möjliggöra enskilda skolhuvudmäns behandling.

Utredningen har dock föreslagit att även enskildas möjlighet att behandla känsliga personuppgifter, om uppgifterna har lämnats till organet och behandlingen krävs enligt lag, bör regleras i skollagen. Som framgår av avsnitt 12, anser dock regeringen att det saknas behov av att i skollagen införa en bestämmelse som innebär en dubbelreglering av vad som följer av dataskyddslagen.

I ärenden som avser myndighetsutövning mot någon enskild ska även enskilda huvudmän tillämpa vissa bestämmelser i förvaltningslagen, bl.a. om partsinsyn (29 kap. 10 § skollagen). Dessa bestämmelser är dock endast tillämpliga i ärenden. I nästa avsnitt föreslås att det i skollagen ska införas en bestämmelse som möjliggör enskildas behandling av känsliga personuppgifter i ärenden. Någon ytterligare reglering för enskilda huvudmän och andra enskilda aktörer inom det skollagsreglerade området behövs därför inte i detta avseende.

13.3.3. Behandling av känsliga personuppgifter som är nödvändig för en hantering som motsvarar handläggningen av ett ärende ska tillåtas

Regeringens förslag: En enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning få behandla känsliga personuppgifter, om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.

Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I fråga om utredningens förslag att i sektorslagstiftningen dubbelreglera vad som gäller för myndigheter enligt dataskyddslagen, se avsnitt 12.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget. Friskolornas riksförbund och Academedia AB tillstyrker utredningens förslag.

Justitiekanslern (JK) anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Sveriges Kommuner och Landsting (SKL) anser att det kan vara så att ytterligare bestämmelser, utöver de som utredningen har föreslagit, behöver införas i författning. SKL saknar resonemang kring hur huvudmän inom skolväsendet ska hantera känsliga personuppgifter som är nödvändiga att hantera i faktisk verksamhet och inte är kopplade till ett ärende eller elevhälsan.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det

krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars förslag överensstämmer med regeringens förslag i detta avsnitt. Statens skolinspektion, Specialpedagogiska skolmyndigheten, Sameskolstyrelsen,

SKL och Friskolornas Riksförbund tillstyrker eller har inget att erinra mot förslaget. Statens skolverk anser att formuleringen är otydlig och oprecis och att det därför är svårt att utläsa när bestämmelsen ska tillämpas. Om bestämmelsen avser att motsvara det tillämpningsområde som anges i 1 § förvaltningslagen (2017:900) anser Skolverket att det bör framgå.

Skälen för regeringens förslag: Enligt propositionen Ny dataskyddslag är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning i den propositionen står det också klart att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (prop. 2017/18:105 s. 87). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen).

Bestämmelsen i dataskyddslagen innebär att förskolor, skolor och vuxenutbildningsenheter som drivs av kommuner, landsting eller staten även fortsättningsvis kommer att kunna behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende. För dessa huvudmän krävs således ingen ytterligare reglering för att kunna behandla känsliga personuppgifter i detta avseende. Detsamma gäller för en hemkommuns möjlighet att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende.

Enskilda huvudmän för förskolor och skolor omfattas beträffande utförandet av den aktuella utbildningen av samma bestämmelser i skollagen som de offentliga huvudmännen. Vidare anges i skollagen att vissa beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos allmän förvaltningsdomstol (28 kap.6 och 9 §§skollagen). Andra typer av beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos Skolväsendets överklagandenämnd (28 kap.13 och 16 §§skollagen). I ärenden som avser myndighetsutövning mot någon enskild enligt skollagen hos en kommun, ett landsting, eller en enskild huvudman ska vidare vissa uppräknade bestämmelser i förvaltningslagen (1986:223) tillämpas (29 kap.10 och 11 §§skollagen). Så föreslås även bli fallet när den nya förvaltningslagen (2017:900) träder i kraft den 1 juli 2018 (Ds 2017:42 Följdändringar till ny förvaltningslag).

De enskilda huvudmännen har således, i de fall det är relevant och nödvändigt, samma behov av att kunna behandla känsliga personuppgifter i sina ärenden som de offentliga huvudmännen. Det kan t.ex. gälla utredningar om särskilt stöd och åtgärdsprogram (7 kap.8 och 9 §§skollagen) och anmälningar och utredningar om kränkande behandlingar (6 kap.

10 § skollagen). Vidare kan en fristående förskola eller fristående skola i en ansökan om tilläggsbelopp för elever som har ett omfattande behov av särskilt stöd, eller vid överklagande av ett beslut om ett sådant tilläggsbelopp, behöva behandla uppgifter om elevens hälsa för att kunna styrka behovet av särskilt stöd (t.ex. 9 kap. 21 §, 10 kap. 39 § och 28 kap. 5 §skollagen). I dagsläget kan sådan behandling av känsliga personuppgifter ske med stöd av 5 a § PUL, men den saknar motsvarighet i dataskyddsförordningen.

Enligt regeringens bedömning är även de enskilda huvudmännen i förhållande till eleverna bundna av legalitetsprincipen. Det krävs således även för dessa att det finns någon form av förankring i skollagen med tillhörande föreskrifter för deras verksamhet.

Regeringen anser därför, till skillnad mot Dataskydd.net, att det finns behov av att i skollagen införa en bestämmelse för enskilda huvudmän som så långt som möjligt motsvarar dataskyddslagen bestämmelse om behandling av känsliga personuppgifter vid handläggningen av ett ärende hos en myndighet, och att det även i detta fall är fråga om behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse. I författningskommentaren till bestämmelsen i dataskyddslagen anges att begreppen handläggning och ärende tolkas på samma sätt som enligt förvaltningslagen. Eftersom förvaltningslagen inte är generellt tillämplig för enskilda utbildningsanordnare bör bestämmelsen i skollagen formuleras på ett något annorlunda sätt. Justitiekanslern (JK) har förordat att så likartade lagtekniska lösningar som möjligt väljs med anledning av EU:s dataskyddsreform. Bestämmelsen i dataskyddslagen hänvisar inte till förvaltningslagen. Regeringen anser därför att bestämmelsen, trots Skolverket synpunkt, inte heller bör hänvisa till den lagen, utan bör utformas så att den gäller vid hantering som motsvarar handläggningen av ett ärende hos en myndighet.

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen ska omfatta behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det (SOU 2017:49). Den i propositionen Ny dataskyddslag (prop. 2017/18:108) föreslagna bestämmelsen för myndigheter är dock mer långtgående (se avsnitt 13.2.1). Den möjliggör för myndigheter att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende. Regeringen anser att den kompletterande regleringen i skollagen bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. När det gäller Sveriges Kommuner och

Landstings (SKL) synpunkt om att ytterligare bestämmelser för behandling av känsliga personuppgifter kan behövas, kan konstateras att regeringens förslag innebär ett bredare tillämpningsområde än utredningens förslag. Regeringen återkommer dock till SKL:s synpunkt i avsnitt 13.3.8.

När det gäller Datainspektionen ifrågasättande av om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen kan konstateras att Datainspektionen framfört motsvarande synpunkt i fråga om den i dataskyddslagen föreslagna bestämmelsen. Regeringen har dock i propositionen Ny dataskyddslag gjort bedömningen att myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet

att utföra alltid är fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning står det klart att det också är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (prop. 2017/18:105 s. 87 f.). Regeringen saknar anledning att nu i fråga om bestämmelsen i skollagen göra någon annan bedömning. Dessutom anser regeringen att det står klart att utbildning utgör ett viktigt allmänt intresse, även då den bedrivs av enskilda huvudmän (se avsnitt 8). Även bestämmelsen i skollagen bör därför avse behandling av känsliga personuppgifter i motsvarigheten till ärenden. Detta är också i linje med vad JK förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.

Eftersom de aktuella huvudmännen har möjlighet att utföra dessa behandlingar redan i dagsläget med stöd av 5 a § PUL bedömer regeringen att integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs. Syftet med bestämmelsen är att huvudmännen ska kunna behandla känsliga personuppgifter när så behövs för att de ska kunna uppfylla sina skyldigheter enligt skollagen och anslutande föreskrifter. Då bestämmelsen bara tillåter huvudmännen att behandla sådana uppgifter då behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet anser regeringen att bestämmelsen står i proportion till det eftersträvande syftet.

Hänvisningar till S13-3-3

  • Prop. 2017/18:218: Avsnitt 20.4

13.3.4. Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång

Regeringens förslag: En enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet, ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning även få behandla känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. I fråga om utredningens förslag att i sektorslagstiftningen dubbelreglera vad som gäller för myndigheter enligt dataskyddslagen, se avsnitt 12.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget. Friskolornas riksförbund och Academedia AB tillstyrker utredningens förslag.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Uppsala universitet anser att begreppet otillbörligt intrång är vagt och kan få en vidsträckt tolkning.

Datainspektionen avstyrker förslaget i dess nuvarande utformning.

Datainspektionen anser att begreppet absolut nödvändigt är ett begrepp som skapar otydlighet. Datainspektionen ifrågasätter även om en bestämmelse som gäller i enstaka fall är tillräckligt för skolornas behandling av uppgifter om specialkost och pekar på vikten av en genomlysning av skolornas behov av behandling av personuppgifter som utgångspunkt för en mer specifik reglering. Sveriges Kommuner och Landsting anser att det kan vara så att ytterligare bestämmelser, utöver de som utredningen har föreslagit, behöver göras i författning.

Dataskydd.net avstyrker

förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över utkast till lagrådsremiss, vars förslag överensstämmer med regeringens förslag i detta avsnitt. De tillstyrker eller har inga synpunkter på förslaget.

Skälen för regeringens förslag: I propositionen Ny dataskyddslag (2017/18:105) föreslås att en myndighet, utöver behandling av känsliga personuppgifter som krävs enligt lag eller som är nödvändig för handläggningen av ett ärende, även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).

Som angetts i avsnitt 8 anser regeringen att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Som exempel på när bestämmelsen i dataskyddslagen kan vara tillämplig anges också faktisk verksamhet såsom i kommunikation mellan skola och föräldrar (propositionen Ny dataskyddslag, prop. 2017/18:108 s. 88). Vid sådan kommunikation kan det t.ex. finnas behov av att behandla känsliga personuppgifter om barnets hälsa. Ett annat exempel på när bestämmelsen kan vara tillämplig är vid behandling av uppgifter om behov av specialkost på grund av allergi eller religiös övertygelse. Även inom t.ex. elevhälsans psykosociala och specialpedagogiska insatser kan det förekomma situationer när bestämmelsen är tillämplig.

Bestämmelsen i dataskyddslagen är tillämplig på kommunal verksamhet och verksamhet vars huvudman är staten, ett landsting eller en kommun. De enskilda huvudmännen och privata aktörerna som bedriver utbildningsverksamhet enligt skollagen har, som angetts i avsnitt 13.3.3, samma behov av att kunna behandla känsliga personuppgifter som de offentliga huvudmännen.

Utbildningsdatautredningen har i sitt betänkande föreslagit att den kompletterande bestämmelsen i skollagen ska omfatta behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Den bestämmelse som föreslås i propositionen Ny dataskyddslag för myndigheter är mer långtgående (se avsnitt 13.2.1). Den innebär att en myndighet även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen

inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3). Regeringen anser att den kompletterande regleringen i skollagen bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform. Eftersom det redan konstaterats i avsnitt 8 att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse anser regeringen att det är tillräckligt att i den kompletterande bestämmelsen i skollagen ange att behandlingen av personuppgifter ska vara nödvändig i verksamheten. I övrigt bör bestämmelsens utformning följa den formulering som föreslås i dataskyddslagen.

Regeringens uppfattning är att en sådan bestämmelse står i proportion till det eftersträvade syftet. Då en behandling bara får ske om den är nödvändig av hänsyn till ett viktigt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet tillgodoses enligt regeringen dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. Regeringen föreslår i avsnitt 13.3.10 dessutom en särskild sökbegränsning. Av avsnitt 13.3.5, 13.3.6 och 13.3.8 framgår fler exempel på när bestämmelsen bedöms vara tillämplig.

Hänvisningar till S13-3-4

  • Prop. 2017/18:218: Avsnitt 20.4

13.3.5. Ytterligare rättsligt stöd för behandling av känsliga personuppgifter om hälsa behövs inte

Regeringens bedömning: Något ytterligare rättsligt stöd för behandling av känsliga personuppgifter om hälsa behövs inte på det skollagsreglerade området.

Utredningens förslag: Utredningen föreslår att det ska införas en bestämmelse i skollagen om att känsliga personuppgifter om hälsa ska få behandlas med stöd av artikel 9.2 g i dataskyddsförordningen om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet i sådana verksamheter där utredningen bedömer att all personuppgiftsbehandling utgör behandling av känsliga personuppgifter. Förslaget omfattar därmed grundsärskolan, specialskolan, gymnasiesärskolan, särskild utbildning för vuxna, gymnasieskolan med Rh-anpassad utbildning, utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning samt fristående förskoleklasser, fristående grundskolor och fristående gymnasieskolor som har begränsats till att avse elever som är i behov av särskilt stöd.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Göte-

borgs kommun är särskilt positiv till att utöka möjligheten för anordnare av t.ex. grundsärskola att på ett mer systematiskt sätt kunna behandla känsliga personuppgifter. Academedia AB tillstyrker utredningen förslag.

Friskolornas riksförbund anser att den föreslagna bestämmelsen som avser fristående skolor som har begränsat sitt mottagande till att avse elever som är i behov av särskilt stöd behöver kompletteras med motsvarande möjlighet för fristående förskolor.

Stockholms kommun delar i stort utredningens förslag. Kommunen påpekar dock att när det gäller skolor som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling (s.k. resursskolor) har

Högsta förvaltningsdomstolen i en dom den 28 juni 2016 i mål 3086-16 har slagit fast att även offentliga huvudmän kan inrätta s.k. resursskolor. Därför anser förvaltningen att förslaget bör utvidgas så att även skolor med offentliga huvudmän får rätt att behandla känsliga personuppgifter vad avser elever i s.k. resursskolor.

Riksförbundet för barn, unga och vuxna med utvecklingsstörning (FUB) vill inte att behandling av personuppgifter om hälsa, förutom i elevhälsan, ska kunna behandlas utan samtycke i grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna.

Sveriges Kommuner och Landsting (SKL) saknar en mer fullständig inventering av vilka behandlingar av känsliga personuppgifter som är nödvändiga för att huvudmän och hemkommunen enligt skollagen ska anses fullgöra bestämmelserna i skollagen. Enligt SKL kan det därför vara så att ytterligare bestämmelser, utöver de som utredningen har föreslagit, behöver göras i författning. SKL saknar bl.a. resonemang kring hur huvudmän inom skolväsendet ska hantera känsliga personuppgifter som är nödvändiga att hantera i faktisk verksamhet och inte är kopplade till ett ärende eller elevhälsan. SKL anser också att det kan vara ett problem att specifikt räkna upp i vilka fall känsliga personuppgifter får behandlas i skollagen. En uppräkning av tillåtna behandlingar innebär att när nya befogenheter eller skyldigheter införs för huvudmän eller hemkommunen enligt skollagen måste lagstiftaren överväga om den nya befogenheten eller skyldigheten innebär att det är nödvändigt att behandla känsliga personuppgifter och om en sådan behandling ska vara tillåten eller inte.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter hur bestämmelsen uppfyller kravet på ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Datainspektionen anser även att de av utredningen föreslagna bestämmelserna som rör känsliga personuppgifter inte är tillräckliga för skolornas behandling av uppgifter om specialkost. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning

Ytterligare rättsligt stöd för behandling av personuppgifter om hälsa behövs inte i grundsärskolan, specialskolan, gymnasiesärskolan eller särskild utbildning för vuxna

Som nämnts i avsnitt 13.3.1 är behandling av alla personuppgifter om en elev i grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna en behandling av känsliga personuppgifter. Anledningen till detta är att det endast är elever med funktionsnedsättning som tillhör målgruppen för dessa skolformer och enbart uppgiften om att eleven går i den skolan innebär därmed att man får reda på en uppgift om elevens hälsa. Det innebär att huvudmännen måste tillämpa de särskilda

bestämmelserna som gäller för behandling av känsliga personuppgifter på all personuppgiftsbehandling, dvs. även för elevadministration som t.ex. kontaktuppgifter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som, bortsett från att eleven går i en viss skolform, vanligen är harmlösa uppgifter. Även behandling av personuppgifter i samband med t.ex. dokumentation inför och vid skrivandet av utvecklingsplaner omfattas av de särskilda bestämmelser som rör behandling av känsliga personuppgifter. Vidare är det med hänsyn till den digitalisering som skett inom offentlig verksamhet i dag nödvändigt att kunna behandla elevernas personuppgifter automatiserat, t.ex. i ett elevregister, och inom den faktiska verksamheten såsom undervisningen. Behandlingen av de känsliga personuppgifterna är därmed nödvändig för det viktiga allmänna intresse som anordnande och bedrivande av utbildning utgör. När det gäller skälen för att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse hänvisas till avsnitt 8.

I dagsläget är det rättsliga stödet för att behandlingen av de känsliga personuppgifterna främst samtycke. Regeringen anser, till skillnad från

Riksförbundet för barn, unga och vuxna med utvecklingsstörning (FUB), att samtycke inte är ett lämpligt rättsligt stöd för behandlingen av känsliga personuppgifter i dessa skolformer, eftersom lagstiftaren ålägger huvudmännen skyldigheter gentemot eleven och då huvudmannen för att kunna uppfylla dessa åligganden måste kunna behandla relevanta personuppgifter om eleven. Det framgår vidare av skäl 43 till dataskyddsförordningen att samtycke inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

De i dataskyddslagen föreslagna bestämmelserna som möjliggör dels behandling av känsliga personuppgifter som krävs enligt lag, dels behandling av känsliga personuppgifter som är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 1 och 2) kommer inte kunna tillämpas på all den behandling av elevernas personuppgifter som sker i bl.a. den elevadministrativa verksamheten. Däremot bedömer regeringen att behandlingen hos myndigheter kommer kunna ske med stöd av den i dataskyddslagen föreslagna bestämmelsen som möjliggör behandling av känsliga personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). I avsnitt 13.3.4 föreslås en motsvarande bestämmelse införas i skollagen för enskilda huvudmän och aktörer enligt 24 och 25 kap. skollagen. Behandling av de nu aktuella uppgifterna hos enskilda kommer därmed kunna ske med stöd av den bestämmelsen. Regeringen bedömer därför att det inte finns något behov av ytterligare reglering för att möjliggöra behandling av hälsa.

Elevernas personuppgifter behandlas redan i dagsläget automatiserat i särskolor, specialskolor och särskild utbildning för vuxna i t.ex. elevregister. De föreslagna bestämmelserna om behandling av känsliga personuppgifter för myndigheter och enskilda möjliggör den behandling av personuppgifter som sker i dag. De föreslagna bestämmelserna inne-

håller även åtgärder till skydd för den registrerade genom att behandlingen endast får utföras om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet och bedöms därför stå i proportion till det eftersträvade syftet.

Ytterligare rättsligt stöd för behandling av personuppgifter om hälsa i verksamhet som avser elever i behov av särskilt stöd behövs inte heller

Huvudregeln är att fristående skolor ska vara öppna för alla elever. En huvudman för en fristående förskoleklass, grundskola, grundsärskola och gymnasieskola får dock begränsa sitt mottagande till att avse elever som är i behov av särskilt stöd (9 kap. 17 §, 10 kap. 35 § 2, 11 kap. 34 § 2 och 15 kap. 33 § 1 skollagen). Skolorna med begränsat mottagande riktar sig ofta till elever med neuropsykiatriska funktionsnedsättningar som Attention Deficit Hyperactivity Disorder (ADHD) och autismspektrumtillstånd (AST). Många skolor anger samtidigt att de även riktar sig till elever med annan problematik, bl.a. elever med social problematik eller elever med tidigare skolmisslyckanden (Skolverket, Fristående skolor för elever i behov av särskilt stöd – en kartläggning, Rapport nr 409, 2014, s. 8).

Regeringen anser att en uppgift om att en elev går i en fristående skola som begränsat sitt mottagande till elever som är i behov av särskilt stöd vanligen är en känslig personuppgift på motsvarande sätt som när det gäller en uppgift om att en elev går i t.ex. en grundsärskola, se under föregående rubrik. Anledningen är att skolorna endast mottar elever som är i behov av det slag av särskilt stöd som huvudmannen bestämt och enbart uppgiften om att eleven går vid den skolan innebär därför att man får reda på en uppgift om elevens hälsa. Även övriga uppgifter om elever som behandlas inom en sådan verksamhet kan många gånger, beroende på i vilket sammanhang de förekommer, kopplas till en elevs hälsa och behöver därför i sådana fall betraktas som känsliga personuppgifter.

Friskolornas riksförbund anser att en bestämmelse som motsvarar utredningens förslag bör införas även för fristående förskolor. För fristående förskolor finns visserligen inte någon bestämmelse i skollagen som innebär att de kan begränsa sitt mottagande till att avse elever som är i behov av särskilt stöd. I 8 kap. 18 § skollagen anges dock att varje fristående förskola ska vara öppen för alla barn som ska erbjudas förskola, om inte den kommun där förskoleenheten är belägen medger undantag med hänsyn till verksamhetens särskilda karaktär. Det kan därför i dag finnas fristående förskolor som har, eller förskolor som framgent kommer att kunna ha, ett beslut om godkännande att begränsa sitt mottagande till barn i behov av särskilt stöd. Regeringen delar därför förbundets uppfattning om att även dessa verksamheter behöver kunna behandla känsliga personuppgifter om hälsa. Som Stockholms kommun påpekar gäller detsamma resursskolor som inrättas av offentliga huvudmän. Utifrån hur de i 3 kap. 3 § första stycket 3 dataskyddslagen och i avsnitt 13.3.4 föreslagna bestämmelserna om behandling av känsliga personuppgifter har utformats kommer dock behandlingen omfattas av dessa bestämmelser. Någon ytterligare reglering behövs därför enligt regeringens bedömning inte heller för dessa verksamheter.

Inte heller behövs ytterligare rättsligt stöd för behandling av personuppgifter om hälsa i vissa kommunala gymnasieskolor

Speciellt anpassad utbildning (Rh-anpassad) gymnasieutbildning anordnas för ungdomar med svårt rörelsehinder (15 kap. 9 § första stycket skollagen). Den Rh-anpassade utbildningen ska så långt det är möjligt integreras med motsvarande utbildning i gymnasieskolan (11 kap. 1 § gymnasieförordningen [2010:2039]). Vidare får Örebro kommun i sin gymnasieskola anordna utbildning för döva och hörselskadade från hela landet (10 kap. 1 § gymnasieförordningen).

Ut

bildningen ska vända sig

även till dem som på grund av språkstörning behöver insatser av samma slag som döva och hörselskadade.

I de klasser i kommunala gymnasieskolor som anordnar Rh-anpassad gymnasieutbildning eller utbildning för personer med dövhet eller hörselnedsättning där det endast går elever som har funktionsnedsättningar, blir uppgiften om att eleven går en sådan utbildning även en uppgift om elevens hälsa. Detta eftersom det i dessa klasser endast går elever med funktionsnedsättning. Även övriga uppgifter om elever som behandlas inom en sådan verksamhet kan många gånger, beroende på i vilket sammanhang de förekommer, kopplas till en elevs hälsa och behöver därför i sådana fall betraktas som känsliga personuppgifter. Av samma skäl som angetts under föregående rubriker i fråga om t.ex. gymnasiesärskolan och fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd bedömer dock regeringen att någon ytterligare reglering inte behövs för att möjliggöra behandlingen och de bestämmelser som möjliggör behandlingen är proportionerliga.

Ytterligare rättsligt stöd för behandling av personuppgifter om hälsa behövs inte heller i övrigt på det skollagsreglerade området

Som framgått ovan finns det vissa verksamheter inom det skolagsreglerade området som har behov av att kunna behandla känsliga personuppgifter om hälsa av det skälet att all personuppgiftsbehandling innebär behandling av uppgifter om hälsa. Regeringen delar dock Sveriges

Kommuner och Landstings uppfattning att det även i faktisk verksamhet i andra delar av det skollagsreglerade området kan finnas behov av att behandla uppgifter om känsliga personuppgifter i fall som varken krävs enligt lag eller som utgör ärendehandläggning. Det gäller t.ex. löpande behov av behandling av uppgifter om specialkost, som uppmärksammats av Datainspektionen, mer långvariga sjukdomar och funktionsnedsättningar där eleverna är i behov av återkommande stöd och andra insatser samt omfattande eller återkommande psykosociala insatser av exempelvis kurator som inte ingår i elevhälsan. Behov att behandla uppgifter om hälsa kan även uppstå när rektorn eller förskolechefen fullgör sitt ansvara att fördela resurser inom enheten efter barnens och elevernas olika förutsättningar och behov (2 kap. 10 § första stycket skollagen). Det är dock på grund av den stora mängd verksamheter och varierande behov inte möjligt att förutse och i detalj ange de olika specifika fall då behandling av känsliga personuppgifter kan vara nödvändig inom den faktiska verksamheten inom det skollagsreglerade området. Regeringen anser därför att det även i andra verksamheter inom skolväsendet än de som utredningen har föreslagit bör finnas möjlighet

för huvudmannen att behandla känsliga personuppgifter om hälsa om det är nödvändigt och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Utifrån hur de i 3 kap. 3 § första stycket 3 dataskyddslagen och i avsnitt 13.3.4 föreslagna bestämmelserna om behandling av känsliga personuppgifter har utformats kommer dock behandlingen omfattas av dessa bestämmelser. Någon ytterligare reglering behövs därför enligt regeringens bedömning inte heller för dessa verksamheter.

13.3.6. Ytterligare rättsligt stöd för behandling av känsliga personuppgifter om etniskt ursprung i sameskolan behövs inte

Regeringens bedömning: Något ytterligare rättsligt stöd för behandling av känsliga personuppgifter om etniskt ursprung hos huvudmannen för sameskolan behövs inte.

Utredningens förslag: Utredningen föreslår att det ska införas en bestämmelse i skollagen om att uppgifter om etniskt ursprung ska få behandlas i sameskolan med stöd av artikel 9.2 g i dataskyddsförordningen om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Sameskolstyrelsen välkomnar förslaget.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen uttrycker det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Som nämnts i avsnitt 13.3.1 får barn till samer fullgöra sin skolplikt i sameskolan i stället för i årskurs 1– 6 i grundskolan. Även andra barn får fullgöra den delen av sin skolplikt i sameskolan, om det finns särskilda skäl. Frågan om ett barn ska få fullgöra sin skolplikt i sameskolan prövas av Sameskolstyrelsen (7 kap. 7 §).

Som nämnts tidigare är enbart en uppgift om att en elev går i sameskolan inte en personuppgift som avslöjar etniskt ursprung då undantagsbestämmelsen för särskilda skäl medför att även flickor och pojkar som inte är barn till samer kan gå i sameskolan. Däremot kan uppgiften tillsammans med andra uppgifter avslöja etniskt ursprung. Vidare är uppgiften att en flicka eller pojke är barn till en same en personuppgift som avslöjar etniskt ursprung och sådana uppgifter förekommer ofta när Sameskolstyrelsen prövar om ett barn ska tas emot i sameskolan. Sameskolstyrelsen kan tillämpa 3 kap. 3 § dataskyddslagen vid handläggning av ett sådant ärende.

Sameskolstyrelsen är vidare huvudman för samtliga sameskolor. Sameskolorna måste behandla personuppgifter för elevadministration såsom kontaktuppgifter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som vanligen är harmlösa uppgifter. Behandlingen av sådana uppgifter är därmed nödvändig för det viktiga allmänna intresse som anordnande och bedrivande av utbildningen utgör. När det gäller skälen för att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse hänvisas till avsnitt 8. I dagsläget är det rättsliga stödet för att behandla känsliga personuppgifter i detta sammanhang samtycke. Regeringen bedömer dock, mot bakgrund av vad som anges i avsnitt 6.1, att samtycke inte är ett lämpligt rättsligt stöd för behandlingen av känsliga personuppgifter eftersom lagstiftaren ålägger huvudmännen skyldigheter gentemot eleven och då huvudmannen för att kunna uppfylla dessa åligganden har ett berättigat behov av att kunna behandla relevanta personuppgifter om eleven.

De i dataskyddslagen föreslagna bestämmelserna som möjliggör dels behandling av känsliga personuppgifter som krävs enligt lag och dels behandling av känsliga personuppgifter som är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 1 och 2) kommer inte att kunna tillämpas på all den behandling av elevernas personuppgifter som sker i bl.a. den elevadministrativa verksamheten. Däremot bedömer regeringen att behandlingen hos myndigheter kommer kunna ske med stöd av den i dataskyddslagen föreslagna bestämmelsen som möjliggör behandling av känsliga personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). I avsnitt 13.3.4 föreslås en motsvarande bestämmelse införas i skollagen för enskilda huvudmän och aktörer enligt 24 och 25 kap. skollagen. Behandling av de nu aktuella uppgifterna hos enskilda kommer därmed kunna ske med stöd av den bestämmelsen. Regeringen bedömer därför att det inte finns något behov av ytterligare reglering för att möjliggöra behandlingen.

I sameskolan behandlas redan i dagsläget elevernas personuppgifter automatiserat i t.ex. elevregister. De föreslagna bestämmelserna om behandling av känsliga personuppgifter för myndigheter och enskilda möjliggör den behandling av personuppgifter som sker i dag. De föreslagna bestämmelserna innehåller även åtgärder till skydd för den registrerade genom att behandlingen endast får utföras om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet och bedöms därför stå i proportion till det eftersträvade syftet.

13.3.7. Ytterligare rättsligt stöd för hemkommuners behandling av känsliga personuppgifter i ärenden behövs inte

Regeringens bedömning: Hemkommuners behandling av känsliga personuppgifter i ärenden omfattas av dataskyddslagens bestämmelse om myndigheters behandling av känsliga personuppgifter i ärenden och behöver därför inte regleras i skollagen.

Utredningens förslag: Utredningen föreslår att det ska regleras i skollagen att uppgifter om hälsa med stöd av artikel 9.2 g i dataskyddsförordningen ska få behandlas av en hemkommun om det är nödvändigt för handläggningen och om behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet i vissa ärenden. Det gäller ärenden om mottagande i grundsärskolan, en sökande tillhör målgruppen för gymnasiesärskolan eller tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd.

Remissinstanserna: Remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Göteborgs kommun är särskilt positiv till att utöka möjligheten för kommunen att kunna behandla känsliga personuppgifter som den är ålagd enligt skollagen.

Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Som framgår av avsnitt 13.3.1 kan kommunerna vid utförandet av sina uppgifter som hemkommuner ha ett behov av att behandla känsliga personuppgifter, såsom när det gäller att besluta om skolskjuts, pröva mottagande i grundsärskola, pröva frågan om en sökande tillhör målgruppen för gymnasiesärskolan, och att besluta om fristående skolors ansökan om tilläggsbelopp för elever (t.ex. 7 kap. 5 §, 10 kap.32 och 39 §§ och 18 kap. 5 §skollagen). Som utredningen konstaterar kan känsliga personuppgifter behöva behandlas vid handläggningen av sådana ärenden. Med hänsyn till det förslag som har lämnats i propositionen Ny dataskyddslag (prop. 2017/18:105) som innebär att myndigheter får behandla känsliga uppgifter med stöd av artikel 9.2 g i dataskyddsförordningen, om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen) får det numera anses finnas tillräckligt stöd för den behandling som Utbildningsdatautredningens förslag var avsett att tillgodose. Utredningens förslag bör därför inte genomföras.

13.3.8. Ytterligare rättsligt stöd för kommuners behandling av känsliga personuppgifter i annat fall behövs inte

Regeringens bedömning: Kommuners behandling av känsliga personuppgifter i andra situationer än då behandlingen krävs enligt lag eller för handläggningen av ett ärende omfattas av dataskyddslagens bestämmelse om myndigheters behandling av känsliga personuppgifter i annat fall och behöver därför inte regleras i skollagen.

Utredningens förslag: Utredningen föreslår att en hemkommun med stöd av artikel 9.2 g i dataskyddsförordningen ska få behandla personuppgifter om etniskt ursprung och hälsa i form av namn, personnummer, samordningsnummer, adress och vårdnadshavare om det är nödvändigt för att fullgöra skyldigheten att se till att skolpliktiga barn som inte går i

dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Stockholms kommun anser att hemkommunen även bör kunna behandla

uppgift om skola, för det fall det skulle anses vara en personuppgift.

För

att hemkommunen ska kunna fullgöra sitt skolpliktsbevakningsansvar behöver den ha uppgift om i vilken annan skola eleven fullgör skolplikten. En sådan skola kan vara en s.k. resursskola med exempelvis särskild inriktning mot funktionsnedsättning. Uppgift om vid vilken skola eleven fullgör skolplikten är då en uppgift om hälsa,

Sveriges Kommuner och Landsting (SKL) bedömer att utredningens förslag som rör hemkommunen bör formuleras om så att det framgår att en hemkommun får behandla känsliga personuppgifter i form av etniskt ursprung och hälsa för att fullgöra skyldigheten om skolpliktsbevakning enligt 7 kap. 21 § skollagen, på så sätt att kommunens elevregister även får innehålla en uppgift om att eleven är inskriven i en grundsärskola, specialskola eller sameskolan.

SKL saknar även resonemang och bedömningar om i vilken mån det är nödvändigt för kommuner att hantera känsliga personuppgifter inom ramen för det kommunala resursfördelningssystemet. SKL påpekar att kommunen vid resursfördelningen har att ta hänsyn till principen om lika villkor för kommunala och enskilda huvudmän, vilket t.ex. kan innebära att känsliga personuppgifter i form av extraordinära stödbehov kan vara nödvändiga att hantera inom systemet även för elever i kommunala skolor.

Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning

Ytterligare rättsligt stöd för behandling av känsliga personuppgifter vid hemkommunens fullgörande av sitt skolpliktsansvar behövs inte

Hemkommunen ska se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning (7 kap. 21 § skollagen). Med anledning av detta åliggande kan det krävas att kommuner för ett fullständigt elevregister med uppgifter om personnummer, namn, adress och vårdnadshavare samt vid vilken skola eleven är inskriven i för att kommunen ska kunna fullgöra sitt ansvar. Registret bör omfatta samtliga elever som bor inom den egna kommunen och skolor oavsett huvudman, dvs. även t.ex. grundsärskolor och specialskolor. Att en elev går i en skola som är t.ex. en grundsärskola eller specialskola är en uppgift om hälsa, dvs. en känslig personuppgift. Som angetts i avsnitt 13.3.1 anser regeringen att enbart en uppgift om att ett barn går i samskolan skola inte ensamt torde avslöja elevens etniska ursprung, men att denna uppgift tillsammans med andra uppgifter, t.ex. ett efternamn med samiskt ursprung, kan göra det. Det kan inte uteslutas

att det i detta sammanhang även behöver behandlas sådana andra uppgifter som tillsammans avslöjar elevens etniska ursprung.

Enligt regeringen är det nödvändigt att hemkommunerna kan behandla uppgifter om att en viss elev går i t.ex. grundsärskola för att kommunerna ska kunna fullgöra åliggandet att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning. Om hemkommunen inte kan föra in dessa uppgifter i sådana register kommer de i praktiken inte kunna uppfylla sitt ansvar enligt 7 kap. 21 § skollagen.

Registren förs inte som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens eller förvaltningslagens bestämmelser om hur inkomna handlingar ska hanteras. Den bestämmelse i dataskyddslagen som föreslås möjliggöra för myndigheter att med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter när det krävs enligt lag kommer därför inte att bli tillämplig på ett sådant register (3 kap. 3 § första stycket 1). Personuppgifterna kommer i vissa fall behöva behandlas för handläggningen av ett ärende och behandlingen kan då ske med stöd av 3 kap. 3 § första stycket 2 dataskyddslagen. I övriga fall bedömer regeringen att behandlingen hos hemkommunen kommer kunna ske med stöd av den i dataskyddslagen föreslagna bestämmelsen som möjliggör för myndigheter att behandla känsliga personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). Regeringen bedömer därför att det inte finns något behov av ytterligare reglering för att möjliggöra hemkommunens behandling.

Ytterligare rättsligt stöd för behandling av känsliga personuppgifter vid kommunens resursfördelning behövs inte

Som SKL har påpekat ska kommunen fördela resurser till utbildning inom skolväsendet efter barnens och elevernas olika förutsättningar och behov (2 kap. 8 a § skollagen). Det finns även andra bestämmelser som reglerar kommunernas fördelning av resurser inom skolväsendet, exempelvis bestämmelserna om bidrag från hemkommunen till enskilda huvudmän i form av grundbelopp för varje elev och tilläggsbelopp för vissa elever. Grundbeloppet ska bestämmas efter samma grunder som hemkommunen tillämpar vid fördelningen av resurser till sina egna skolenheter. Tilläggsbeloppet för en elev i behov av särskilt stöd ska vara individuellt bestämt efter elevens behov (se t.ex. 10 kap. 37–39 §§).

Regeringen bedömer att kommunens behov av att behandla känsliga personuppgifter vid resursfördelningen kan uppstå vid handläggningen av ärenden. Det kan inte heller uteslutas att ett sådant behov kan uppstå i sådana fall som inte utgör ärendehandläggning. När det är fråga om resursfördelning som utgör ärendehandläggning är 3 kap. 3 § första stycket 2 dataskyddslagen tillämplig. Som exempel på ärendehandläggning kan nämnas kommunens hantering av ansökningar om tilläggsbelopp. Fördelningen av grundbelopp enligt 2 kap. 8 a § och 10 kap. 38 § torde däremot ske inom ramen för sådant budgetarbete och sådana budgetbeslut i kommunen som inte utgör ärendehandläggning. I dessa fall bedömer regeringen att kommunens behandling kommer kunna ske

med stöd av den i dataskyddslagen föreslagna bestämmelsen som möjliggör behandling av känsliga personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § första stycket 3). Regeringen bedömer därför att det inte finns något behov av ytterligare reglering i skollagen för att möjliggöra behandlingen.

Den föreslagna bestämmelsen i dataskyddslagen innehåller även åtgärder till skydd för den registrerade genom att behandlingen endast får utföras om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet och bedöms därför stå i proportion till det eftersträvade syftet.

13.3.9. Det behövs inte något bemyndigande att meddela föreskrifter om ytterligare bestämmelser om behandling av känsliga personuppgifter

Regeringens bedömning: Det behövs inte något bemyndigande för regeringen att meddela föreskrifter om ytterligare bestämmelser om behandling av känsliga personuppgifter.

Utredningens förslag: Utredningen föreslår att regeringen ska få meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av skollagen.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget.

Sveriges Kommuner

och Landsting (SKL) anser att ytterligare bestämmelser om behandling av känsliga personuppgifter, utöver de som utredningen har föreslagit, kan

behöva införas i författning.

SKL anser också att det kan vara ett prob-

lem att specifikt räkna upp i vilka fall känsliga personuppgifter får behandlas i skollagen. Academedia AB tillstyrker förslaget.

Uppsala universitet är tveksamt till att

regeringen ska få meddela före-

skrifter om ytterligare bestämmelser om behandling av känsliga personuppgifter, eftersom det inte kan uteslutas att behandling av känsliga personuppgifter aktualiserar skyddet mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § regeringsformen som endast får inskränkas med stöd av lag.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt. De tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Som Sveriges Kommuner och

Landsting påpekar kan det på det skollagsreglerade området visa sig föreligga även andra fall då känsliga personuppgifter behöver behandlas än sådana som utredningen har identifierat. Myndigheter kommer dock även i annat fall än då behandling krävs enligt lag eller är nödvändig för handläggningen av ärenden kunna behandla känsliga personuppgifter med stöd av 3 kap 3 § första stycket 3 dataskyddslagen, förutsatt att behandlingen är nödvändig och inte utgör ett otillbörligt intrång i den

registrerades personliga integritet. I avsnitt 13.3.3 föreslås en motsvarande bestämmelse införas i skollagen för enskilda huvudmän och aktörer enligt 24 och 25 kap. skollagen. Det finns i dagsläget inte något som tyder på att det skulle finnas ett behov av att inom det skollagsreglerade området införa kompletterande bestämmelser på förordningsnivå. Regeringen anser därför att det saknas skäl att införa ett bemyndigande för regeringen att meddela ytterligare föreskrifter om behandling av känsliga personuppgifter.

När det gäller Uppsala universitets synpunkt om regeringsformens krav, delar regeringen uppfattningen att det, om nya bestämmelser ändå skulle övervägs med stöd av bemyndigandet i dataskyddslagen, givetvis måste göras en noggrann bedömning av om lagform ändå krävs enligt 2 kap. 6 § RF. Ytterligare en förutsättning när nya bestämmelser övervägs med stöd av bemyndigandet är att en noggrann bedömning görs för att säkerställa att dataskyddsförordningens krav i övrigt, bl.a. på skyddsåtgärder, är uppfyllda. Detta har också konstaterats i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 92).

13.3.10. Det ska vara förbjudet att utföra vissa sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter

Regeringens förslag: Det ska vara förbjudet för en enskild huvudman inom skolväsendet eller en enskild aktör som bedriver verksamhet inom en särskild utbildningsform eller annan pedagogisk verksamhet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Regeringen ska få meddela föreskrifter om undantag från sökbegränsningen i skollagen och i dataskyddslagen i fråga om personuppgifter om hälsa i verksamhet hos en huvudman för

1. grundsärskola,

2. specialskolan,

3. gymnasiesärskola,

3. särskild utbildning för vuxna,

5. gymnasieskola med Rh-anpassad utbildning,

6. utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och

7. förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd.

Regeringen ska också få meddela föreskrifter om undantag från sökbegränsningen i dataskyddslagen i fråga om personuppgifter om etniskt ursprung i verksamhet hos en huvudman för sameskolan och hälsa och etniskt ursprung i verksamhet hos en kommun.

Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag till sökförbud avser förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Utredningen föreslår också att ett antal undantag från sökförbudet införs i skollagen och att regeringen ska få meddela föreskrifter om begränsningar av möjligheten att använda vissa sökbegrepp.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Academedia AB tillstyrker utredningens förslag.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Specialpedagogiska skolmyndigheten anser att förslaget om sökbegräsning innebär att myndigheten inte kan söka på vissa personuppgifter i diarium och arkiv och heller inte i de handläggningssystem som används inom myndigheten. Den begränsade sökmöjligheten kan därmed innebära att det inte blir möjligt att ta fram sådan statistik som efterfrågas i myndighetens regleringsbrev.

Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över ett utkast till lagrådsremiss, vars förslag överensstämmer med regeringens förslag i detta avsnitt. Datainspektionen anser att det är av vikt att de föreslagna bestämmelserna om sökförbud, inte medför någon utökning av möjligheterna att söka på känsliga personuppgifter. Inspektionen anser att det är av vikt att det, som en konsekvens av de föreslagna bestämmelserna, görs en analys avseende behovet av vilka säkerhetsåtgärder som kan vara aktuella att kräva för att undvika risk för kringgående av det föreslagna sökförbudet.

Sveriges kommuner och Landsting (SKL) tillstyrker det i utkastet föreslagna bemyndigandet. SKL påpekar att en sökbegränsning kan innebära att det inte blir möjligt att ta fram statistik som efterfrågas i regleringsbrev eller statistik som kan behövas inom en enskild huvudmans verksamhet för att säkerställa likvärdighet och inkludering. Vidare påpekar SKL att det även i annan verksamhet än förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd kan finnas elever som är i behov av särskilt stöd.

Skälen för regeringens förslag

Det finns behov av motsvarande sökbegränsningar i skollagen som i dataskyddslagen

I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås det införas en skyddsåtgärd som innebär ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen). Sökbegränsningen gäller för myndigheter vid tillämpningen av 3 kap. 3 § första stycket dataskyddslagen, dvs. det är ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter vid behandling som krävs enligt lag, vid behandling som är nödvändig för handläggningen av ett ärende och vid behandling i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.

I avsnitt 13.3.3 och 13.3.4 föreslår regeringen bestämmelser som innebär att även enskilda huvudmän och aktörer enligt 24 och 25 kap. skollagen ska kunna behandla vissa känsliga personuppgifter. De skäl som finns för att sökbegränsningar ska gälla för myndigheter gör sig enligt regeringen även gällande för enskilda huvudmän och nämnda enskilda

aktörer. En sökbegränsning bör därför, till skillnad mot vad som föreslås av Dataskydd.net, införas i skollagen.

Utredningens förslag till sökbegränsning avser förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. I linje med vad

Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform, anser dock regeringen att sökförbudet i skollagen bör få en något annorlunda utformning än vad utredningen föreslagit för att överensstämma med utformningen i dataskyddslagen. Regeringen föreslår därför att även sökbegränsningen i skollagen ska innebär ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Av propositionen Ny dataskyddslag (prop. 2017/18:105) följer att sökbegränsningen inte är avsedd att hindra sökningar som utförs för andra ändamål än att identifiera ett urval av individer, t.ex. i syfte att utöva tillsyn, ta fram verksamhetsstatistik eller för registervård (s. 86). Detsamma bör gälla sökbegränsningen i skollagen. Behandling för statistiska ändamål föreslås också tillåtas under vissa förutsättningar i förslaget till 3 kap. 7 § dataskyddslagen, som inte omfattas av sökförbudet.

Regeringen ska få meddela föreskrifter om undantag från sökbegränsningen

De sökningar om hälsa som kan behövas i samband med ärenden och uppgifter hos hemkommunerna behövs i syfte att handlägga ärenden och fullgöra skolpliktsansvaret, och inte i syfte att få fram ett personurval grundat på känsliga uppgifter. Regeringen ser därför, mot bakgrund av sökförbudets nu aktuella lydelse, inte behov av att för dessa fall särskilt möjliggöra undantag från sökbegränsningen. Regeringen gör samma bedömning när det gäller behandling av känsliga personuppgifter för statistiska ändamål. När det gäller sådana verksamheter där regeringen i avsnitt 13.3.5 konstaterat att personuppgifterna, på grund av den verksamhet i vilken de förekommer, i de flesta sammanhang utgör känsliga personuppgifter om hälsa eller etnicitet kan sökningar i de aktuella verksamheterna behöva ske i olika syften. Det kan inte uteslutas att det t.ex. inom ramen för verksamheternas administrativa åtgärder, finns skäl att utföra sökningar som syftar till att få fram ett urval av personer. Eftersom personuppgifter i dessa verksamheter i de flesta sammanhang utgör känsliga uppgifter, kommer personurvalet att grundas på känsliga personuppgifter. Detta gäller i grundsärskolan, specialskolan, gymnasiesärskolan, särskild utbildning för vuxna, gymnasieskolan med Rhanpassad utbildning, utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och utbildning som har begränsats till att avse elever som är i behov av särskilt stöd. För dessa verksamheter kan det därför finnas anledning att göra undantag från sökbegränsningen. Regeringen bör därför i skollagen bemyndigas att meddela föreskrifter om undantag från sökbegränsningen i fråga om personuppgifter om hälsa i dessa verksamheter. Bemyndigandet bör gälla både offentliga och enskilda huvudmän.

Av motsvarande skäl bör bemyndigandet även avse föreskrifter om undantag från sökbegränsningen i fråga om personuppgifter om etniskt ursprung i sameskolan.

När det gäller Datainspektionens synpunkt att det är av vikt att föreslagna bestämmelserna om sökförbud inte medför någon utökning av möjligheterna att söka på känsliga personuppgifter, vill regeringen framhålla att bemyndigandet inte syftar till att ge de aktuella verksamheterna en utökad sökmöjlighet jämfört med övriga skolformers, utan endast till att möjliggöra motsvarande sökningar som är möjliga i andra skolformer. Enligt regeringens mening bör begränsningen till de aktuella verksamheterna och till uppgifter om hälsa respektive etniskt ursprung tillgodose dataskyddsförordningens krav på proportionalitet och skyddsåtgärder.

Enligt regeringens bedömning kan det även i vissa andra fall finnas behov av att utföra sökningar grundat på känsliga personuppgifter som syftar till att få fram ett urval av personer. Det gäller t.ex. sökningar i form av uppgifter om hälsa i hemkommunens ärenden om mottagande i grundsärskolan enligt 7 kap. 5 § skollagen, ärenden om en sökande tillhör målgruppen för gymnasiesärskolan enligt 18 kap. 5 § skollagen och ärenden om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd. Detsamma gäller vid kommunens fördelning av resurser till utbildning inom skolväsendet efter barnens och elevernas olika förutsättningar och behov (2 kap. 8 a § skollagen). Vidare kan hemkommunen ha behov av att utföra sökningar grundat på känsliga personuppgifter hälsa och etniskt ursprung när den fullgör uppgiften att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning enligt 7 kap. 21 § skollagen. Av dessa skäl bör bemyndigandet att meddela föreskrifter om undantag från sökbegränsningen även gälla i fråga om behandling av personuppgifter om hälsa och etniskt ursprung i verksamhet hos en kommun.

Hänvisningar till S13-3-10

  • Prop. 2017/18:218: Avsnitt 20.4

13.4. Kompletterande bestämmelser om känsliga personuppgifter ska införas i lagen om tillstånd att utfärda vissa examina

13.4.1. Det finns behov av att behandla känsliga personuppgifter på högskoleområdet

Både statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter i olika sammanhang. Nedan redogörs översiktligt för de huvudsakliga behandlingarna av känsliga personuppgifter som sker hos lärosätena. I efterföljande avsnitt behandlas vilka kompletterande bestämmelser om behandling av känsliga personuppgifter som behövs på högskoleområdet med anledning av artikel 9 i dataskyddsförordningen. Som framgår av avsnitt 12 anser regeringen att sådana bestämmelser ska föras in i lagen om tillstånd att utfärda vissa examina.

Det finns behov av behandling av känsliga personuppgifter i ärenden om anpassning av högskoleprovet

Personer med vissa specifika svårigheter har möjlighet att göra anpassade versioner av högskoleprovet. Det krävs då att provdeltagaren styrker

behovet av anpassning i samband med anmälan. Högskolan eller UHR beslutar om anpassning (4–8 §§ Universitets- och högskolerådets föreskrifter om högskoleprovet [UHRFS 2015:3]). För att kunna fatta beslutet är det nödvändigt att behandla uppgifter om hälsa, dvs. känsliga personuppgifter.

Det finns behov av behandling av känsliga personuppgifter vid antagningsförfarandet

Statliga högskolor ska, så långt det är möjligt, som studenter ta emot de sökande som uppfyller behörighetskraven för studierna. Kan inte alla behöriga sökande till en utbildning tas emot ska ett urval göras bland de sökande på vissa grunder. Högskolorna får dock i viss utsträckning själv bestämma urvalsgrunder och får i enstaka fall göra avsteg från angivna urvalsgrunder (4 kap.1 och 3 §§högskolelagen och 7 kap.16, 23, 27 och 32 §§högskoleförordningen).

Göteborgs universitet har en antagningsordning som anger att medicinska skäl och permanent eller mycket långvarig funktionsnedsättning kan vara skäl för avsteg under vissa förutsättningar. Stiftelsen Högskolan i Jönköping, som är en enskild utbildningsanordnare, har en antagningsordning av vilken det framgår att lärosätet tillämpar en urvalsgrund där en dokumenterad funktionsnedsättning under vissa förutsättningar kan beaktas. Såväl statliga högskolor som enskilda utbildningsanordnare kan alltså behöva behandla känsliga personuppgifter i antagningsförfarandet.

Det finns behov av behandling i ärenden om särskilt pedagogiskt stöd

Till universitet och högskolor får statsbidrag lämnas för kostnader för särskilt utbildningsstöd som erbjuds studerande med svåra rörelsehinder eller psykiska och neuropsykiatriska funktionsnedsättningar. Specialpedagogiska skolmyndigheten prövar frågor om bidraget (2 och 5 §§ förordningen [2011:1163] om statsbidrag för särskilt utbildningsstöd). Bidrag lämnas både till statliga högskolor och enskilda utbildningsanordnare som därmed kan behöva behandla känsliga personuppgifter i samband med en ansökan om statsbidrag för särskilt utbildningsstöd. Detsamma gäller vid högskolornas handläggning av studenters ansökningar om särskilt pedagogiskt stöd, som t.ex. kan omfatta läkarintyg, och när beslutade stödåtgärder ska verkställas.

Det finns behov av behandling i ärenden om trakasserier, disciplinära åtgärder och avskiljande

Statliga högskolor får vidta disciplinära åtgärder i form av varning och avstängning av studenter som exempelvis utsätter andra studenter för trakasserier eller sexuella trakasserier (10 kap.1, 2, 9 och 10 §§högskoleförordningen). Om en utbildningsanordnare får kännedom om att en student som deltar i eller söker till utbildningsanordnarens verksamhet i samband med verksamheten anser sig ha blivit utsatt för trakasserier eller sexuella trakasserier, är utbildningsanordnaren också skyldig att utreda omständigheterna kring de uppgivna trakasserierna och i förekommande fall vidta åtgärder (2 kap. 7 § diskrimineringslagen [2008:567]). Vidare får en student som lider av psykisk störning, missbrukar alkohol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet under vissa

förutsättningar avskiljas från utbildningen. (4 kap. 6 § högskolelagen och förordningen [2007:989] om avskiljande av studenter från högskoleutbildning). Ovanstående medför att statliga högskolor kan behöva behandla känsliga personuppgifter i utredningar och i ärenden om disciplinära åtgärder och avskiljande.

Diskrimineringslagens bestämmelse om utredning av trakasserier eller sexuella trakasserier gäller även enskilda utbildningsanordnare. Vidare kan enskilda utbildningsanordnare ha motsvarande regler om disciplinära åtgärder och avskiljande som den offentligrättsliga reglering som gäller för statliga högskolor. Chalmers tekniska högskola AB, Handelshögskolan i Stockholm och Stiftelsen Högskolan i Jönköping är exempel på enskilda utbildningsanordnare som har en disciplinstadga eller ett regelverk för disciplinära åtgärder. Även enskilda utbildningsanordnare har således behov av att kunna behandla känsliga personuppgifter i utredningar och i ärenden om disciplinära åtgärder och avskiljande.

Det finns behov av behandling av känsliga personuppgifter inom studenthälsans och högskolebibliotekens verksamhet

Statliga högskolor ska ansvara för att studenterna har tillgång till hälsovård, särskilt förebyggande hälsovård som har till ändamål att främja studenternas fysiska och psykiska hälsa (1 kap. 11 § högskoleförordningen). Inom studenthälsan registreras personuppgifter i form av namn, personnummer och kontaktuppgifter. Det skapas också en patientjournal där det behandlas känsliga personuppgifter. Även om högskoleförordningen gäller för statliga högskolor kan även enskilda utbildningsanordnare erbjuda studenthälsovård, vilket bl.a. Handelshögskolan i Stockholm gör. Den personuppgiftsbehandling som sker inom studenthälsans medicinska verksamhet omfattas dock och kommer även fortsättningsvis att omfattas av bestämmelser i patientdatalagen (2008:355) och behandlas därför inte vidare i denna proposition.

Känsliga personuppgifter om hälsa kan även behöva behandlas i samband med att högskolebibliotek förfogar över upphovsrättsligt skyddade verk som personer med funktionsnedsättning behöver för att kunna ta del av verken, t.ex. genom att överföra dem till den funktionsnedsatte enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

Det finns behov av behandling av känsliga personuppgifter vid uppfyllandet av offentlighetsprincipen

Eftersom statliga högskolor är myndigheter omfattas de av offentlighetsprincipen och bestämmelserna i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400, OSL) om rätten att ta del av allmänna handlingar. För att kunna uppfylla detta åliggande kan det bli nödvändigt att behandla känsliga personuppgifter.

För enskilda utbildningsanordnares del får ett tillstånd att utfärda examina förenas med villkor om rätt för enskilda att ta del av handlingar hos utbildningsanordnaren

(

4 § lagen (1993:792) om tillstånd att utfärda

vissa examina). Denna skyldighet gäller för bl.a. Chalmers tekniska högskola AB och Stiftelsen Högskolan i Jönköping (2 kap. 4 § OSL och lagens bilaga). Även enskilda utbildningsanordnare kan därmed ha behov

av att behandla känsliga personuppgifter i samband med att de uppfyller sina åligganden enligt offentlighetsprincipen.

13.4.2. Ytterligare reglering av behandling av känsliga personuppgifter som krävs enligt lag behövs inte

Regeringens bedömning: För behandling av känsliga personuppgifter som krävs enligt lag behövs det på högskoleområdet inte någon ytterligare reglering utöver den som föreslås i dataskyddslagen.

Utredningens förslag: Utredningen föreslår att det i lagen om tillstånd att utfärda vissa examina bör införas en möjlighet för enskilda utbildningsanordnare att behandla känsliga personuppgifter, om uppgifterna har lämnats till anordnaren och behandlingen krävs enligt lag.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Karlstads universitet och Universitets- och högskolerådet tillstyrker utredningens författningsförslag.

Chalmers tekniska högskola AB till-

styrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens bedömning: Enligt propositionen Ny dataskyddslag är den hantering av allmänna handlingar som krävs enligt svensk rätt motiverad av hänsyn till ett viktigt allmänt intresse (prop. 2017/18:105 s. 86). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1 dataskyddslagen). Vidare ska andra organ än myndigheter jämställas med myndigheter i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet (3 kap. 3 § tredje stycket dataskyddslagen). Förslaget innebär att både statliga högskolor och, i förekommande fall, enskilda utbildningsanordnare kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter och att lämna ut allmänna handlingar. Någon ytterligare reglering krävs därmed inte för att de lärosäten som omfattas av offentlighetsprincipen också ska kunna uppfylla sina åligganden enligt denna princip. Som framgår av avsnitt 12, anser också regeringen att det saknas behov av att i lagen om tillstånd att utfärda vissa examina införa en bestämmelse som innebär en dubbelreglering av vad som följer av dataskyddslagen.

13.4.3. Behandling av känsliga personuppgifter som är nödvändiga för en hantering som motsvarar handläggning av ett ärende ska tillåtas

Regeringens förslag: Enskilda utbildningsanordnare ska få behandla känsliga personuppgifter om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.

Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Karl-

stads universitet och

Universitets- och högskolerådet tillstyrker

utredningens författningsförslag.

Chalmers tekniska högskola AB till-

styrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens förslag: Enligt propositionen Ny dataskyddslag är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning i den propositionen står det också klart att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (prop. 2017/18:105 s. 87). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen).

Bestämmelsen i dataskyddslagen möjliggör för statliga högskolor att, i den mån det är nödvändigt, även fortsättningsvis kunna behandla känsliga personuppgifter i sådana fall som nämns i avsnitt 13.4.1, såsom ärenden om anpassning av högskoleprov, antagning, särskilt pedagogiskt stöd, trakasserier, disciplinära åtgärder och avskiljande. Någon ytterligare reglering krävs därmed inte för att statliga högskolor ska få behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende.

Som framgår av avsnitt 13.4.1 kan motsvarande behov av hantering finnas hos enskilda utbildningsanordnare. I dessa fall har enskilda utbildningsanordnare, förutsatt att det är relevant och nödvändigt, således samma behov av att kunna behandla känsliga personuppgifter som de statliga högskolorna. Regeringen anser att det även i detta fall är fråga om behandling som är nödvändig av hänsyn till ett viktigt allmänt

intresse. Förslaget i dataskyddslagen omfattar dock inte enskilda utbildningsanordnare. Regeringen föreslår därför, i likhet med utredningen men till skillnad mot Dataskydd.net, att det i lagen om tillstånd att utfärda vissa examina ska införas en bestämmelse för enskilda utbildningsanordnare som så långt som möjligt motsvarar dataskyddslagens bestämmelse om ärendehandläggning.

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen ska omfatta behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna bestämmelsen för myndigheter är mer långtgående (se avsnitt 13.2.1). Den har utformats så att myndigheter får behandla känsliga personuppgifter om det är nödvändigt för handläggningen i ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen). Regeringen anser att kompletterande reglering i lagen om tillstånd att utfärda vissa examina så långt som möjligt bör utformas på motsvarande sätt. I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 194) anges att begreppet ärende ska tolkas på samma sätt som i förvaltningslagen (2017:900). Eftersom förvaltningslagen inte gäller i de enskilda utbildningsanordnarnas verksamhet bör dock bestämmelsen formuleras så att den gäller behandling som är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.

När det gäller Datainspektionen ifrågasättande av om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen kan konstateras att Datainspektionen framfört motsvarande synpunkt i fråga om den i dataskyddslagen föreslagna bestämmelsen. Regeringen har dock i propositionen Ny dataskyddslag (prop. 2017/18:105) gjort bedömningen att myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid är fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning står det klart att det också är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt. Regeringen saknar anledning att nu i fråga om bestämmelsen i lagen om tillstånd att utförda vissa examina göra någon annan bedömning. Detta är också i linje med vad

Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.

Eftersom de enskilda utbildningsanordnarna redan i dagsläget har möjlighet att utföra sådana behandlingar av känsliga personuppgifter, blir integritetsintrånget för den enskilde varken större eller mindre genom att en sådan bestämmelse införs.

13.4.4. Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång

Regeringens förslag: En enskild utbildningsanordnare ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning även få behandla känsliga

personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Karlstads universitet och Universitets- och högskolerådet tillstyrker utredningens författningsförslag.

Chalmers tekniska högskola AB till-

styrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Datainspektionen och Högskolan i Skövde anser att begreppet absolut nödvändigt är ett begrepp som skapar otydlighet. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens förslag: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att en myndighet

utöver behandling av

känsliga personuppgifter som krävs enligt lag eller som är nödvändig för handläggningen av ett ärende, även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).

Som angetts i avsnitt 8 anser regeringen att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i dataskyddslagen kan därmed tillämpas av statliga högskolor. Även för enskilda utbildningsanordnare kan behandling av känsliga personuppgifter vara nödvändig i vissa fall när det saknas koppling till ett visst ärende.

Regeringen anser därför, i likhet med utredningen men till skillnad mot

Dataskydd.net, att det ska införas en bestämmelse i lagen om tillstånd att utfärda vissa examina som ger enskilda utbildningsanordnare som omfattas av lagen möjlighet att med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter i motsvarande fall.

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen ska omfatta behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Den i propositionen Ny dataskyddslag föreslagna bestämmelsen är mer långtgående, eftersom den avser behandling av personuppgifter i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt

intrång i den registrerades personliga integritet (se avsnitt 13.2.1). Regeringen anser att den kompletterande regleringen i lagen om tillstånd att utfärda vissa examina bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. Detta är också i linje med vad

Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform. Eftersom det redan konstaterats i avsnitt 8 att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse anser regeringen att det är tillräckligt att i den kompletterande bestämmelsen i lagen om tillstånd att utfärda vissa examina ange att behandlingen av personuppgifter ska vara nödvändig i verksamheten. I övrigt bör bestämmelsens utformning följa den föreslagna formuleringen i dataskyddslagen.

Regeringens uppfattning är att en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla känsliga personuppgifter i annat fall om det är nödvändigt av hänsyn till ett viktigt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet, i t.ex. faktiskt verksamhet som undervisning, står i proportion till det eftersträvade syftet. En bestämmelse med sådana starkt begränsande rekvisit tillgodoser enligt regeringen dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. Dessutom föreslår regeringen avsnitt 13.4.5 även en bestämmelse om sökbegränsningar.

13.4.5. Det ska vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter

Regeringens förslag: Det ska vara förbjudet för enskilda utbildningsanordnare att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.

Utredningens förslag: Utredningen har föreslagit ett förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Karlstads universitet och Universitets- och högskolerådet tillstyrker utredningens författningsförslag. Chalmers tekniska högskola AB tillstyrker utredningens förslag i de delar som rör deras verksamhet som enskilda utbildningsanordnare.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens förslag: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås det införas en skyddsåtgärd som innebär ett förbud mot att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen).

Sökbegränsningen gäller för myndigheter vid tillämpningen av samtliga bestämmelser om behandling av känsliga personuppgifter i 3 kap. 3 § första stycket dataskyddslagen, dvs. vid behandling som krävs enligt lag,

vid behandling som är nödvändig för handläggningen av ett ärende och vid behandling i annat fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. I fråga om behandling som krävs enligt lag gäller sökbegränsningen även sådana organ som ska jämställas med myndigheter enligt 3 kap. 3 § tredje stycket dataskyddslagen. Det har redogjorts för denna sökbegränsning i avsnitt 13.2.2.

Sökbegränsningen omfattar därmed statliga högskolor som är myndigheter, men inte merparten av de enskilda utbildningsanordnarna eftersom dessa inte omfattas av bestämmelserna om allmänna handlingar och sekretess. De skäl som finns för att sökbegränsningar ska gälla för myndigheter, såsom statliga högskolor, gör sig dock gällande även för enskilda utbildningsanordnare. Regeringen föreslår därför att en motsvarande bestämmelse som innebär förbud mot att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska införas även för samtliga enskilda utbildningsanordnare.

Regeringens förslag innebär att regleringen får en något annorlunda utformning än vad som föreslagits av utredningen. I likhet med utredningens förslag syftar dock regeringens förslag till att införa en kompletterande reglering som motsvarar den som föreslås i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.

13.5. Kompletterande bestämmelser om känsliga personuppgifter ska införas i lagen om yrkeshögskolan

Hänvisningar till S13-5

13.5.1. Det finns behov av att behandla känsliga personuppgifter inom yrkeshögskolan och annan eftergymnasial utbildning

Utbildningsanordnare inom yrkeshögskolan och de som anordnar sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behöva behandla känsliga personuppgifter i ett antal olika situationer. Nedan redogörs översiktligt för de huvudsakliga behandlingarna av känsliga personuppgifter hos dessa aktörer. I efterföljande avsnitt behandlas vilka kompletterande bestämmelser om behandling av känsliga personuppgifter som med anledning av artikel 9 i dataskyddsförordningen behövs inom yrkeshögskolan och annan eftergymnasial utbildning än högskoleutbildning. Som framgår av avsnitt 12 anser regeringen att sådana bestämmelser bör placeras i lagen om yrkeshögskolan och förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Det finns behov av behandling av känsliga personuppgifter i samband med stödåtgärder och trakasserier

Behandling av känsliga personuppgifter kan förekomma vid handläggning av ansökningar om särskilt pedagogiskt stöd, när beslutade stödåtgärder ska verkställas och i samband med ansökningar om statsbidrag

eller särskilda medel för kostnader för särskilt pedagogiskt stöd (2 kap. 3 § och 5 kap. 2 och 4 §§ förordningen om yrkeshögskolan samt 30 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). Behandling av känsliga personuppgifter kan även förekomma i ärenden om trakasserier och sexuella trakasserier (1 kap. 4 och 2 kap.7 §§diskrimineringslagen [2008:567]).

Det finns behov av behandling av känsliga personuppgifter i ärenden om anstånd och studieuppehåll

När det gäller konst- och kulturutbildningar och vissa andra utbildningar kan behandling av känsliga personuppgifter även förekomma i ärenden om anstånd med att påbörja studier eller studieuppehåll av hälsoskäl (24 a § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). För utbildningsanordnare inom yrkeshögskolan saknas det en motsvarande reglering, men dessa anordnare kan i stället ha egna regelverk som medför motsvarande behov av behandling av känsliga personuppgifter.

Det finns behov av behandling av känsliga personuppgifter i ärenden om avskiljande

När det gäller utbildning inom yrkeshögskolan som bedrivs av offentliga utbildningsanordnare, får studerande tills vidare avskiljas från utbildningen om han eller hon lider av psykisk störning, missbrukar alkohol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet. För ett avskiljande krävs även att det, till följd av något av nämnda förhållanden, bedöms finnas en påtaglig risk att den studerande kan komma att skada någon annan person eller värdefull egendom under utbildningen (19 § lagen om yrkeshögskolan). Även enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan ha egna regelverk som medför motsvarande behov av behandling av känsliga personuppgifter i form av hälsa i samband med utredningar och ärenden om avskiljande.

Det finns behov av behandling av känsliga personuppgifter vid uppfyllandet av offentlighetsprincipen

Utbildningsanordnare som är myndigheter omfattas av tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post. För att kunna uppfylla de åligganden som följer av att omfattas av offentlighetsprincipen kan det för dessa utbildningsanordnare bli nödvändigt att behandla känsliga personuppgifter.

13.5.2. Ytterligare reglering av behandling av känsliga personuppgifter som krävs enligt lag behövs inte

Regeringens bedömning: I fråga om behandling av känsliga personuppgifter som krävs enligt lag behövs det för utbildningsanordnare inom yrkeshögskolan eller för dem som anordnar utbildning som

avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte någon ytterligare reglering utöver den som föreslås i dataskyddslagen.

Utredningens förslag: Utredningen föreslår att det i lagen om yrkeshögskolan bör införas en möjlighet för offentliga utbildningsanordnare inom yrkeshögskolan att behandla känsliga personuppgifter, om uppgifterna har lämnats till anordnaren och behandlingen krävs enligt lag.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Det gäller t.ex. Sveriges Kommuner och Landsting och Landstinget Dalarna.

Academedia AB tillstyrker utredningen förslag.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens bedömning: Enligt propositionen Ny dataskyddslag är den hantering av allmänna handlingar som krävs enligt svensk rätt motiverad av hänsyn till ett viktigt allmänt intresse (prop. 2017/18:105 s. 86). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 2 § första stycket 1 dataskyddslagen). Förslaget innebär att offentliga utbildningsanordnare inom yrkeshögskolan även fortsättningsvis kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter. Förslaget i dataskyddslagen är i detta avseende därmed tillräckligt för de offentliga utbildningsanordnarnas nödvändiga behandling av känsliga personuppgifter. Som framgår av avsnitt 12 anser regeringen att det saknas behov av att i lagen om yrkeshögskolan införa en bestämmelse som innebär en dubbelreglering i förhållande till dataskyddslagens bestämmelser.

Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, vilka också är enskilda fysiska eller juridiska personer, omfattas inte av offentlighetsprincipen. För deras del behöver det således inte införas en motsvarande bestämmelse.

13.5.3. Behandling av känsliga personuppgifter som är nödvändiga för en hantering som motsvarar handläggning av ett ärende ska tillåtas

Regeringens förslag: En enskild utbildningsanordnare inom yrkeshögskolan ska få behandla känsliga personuppgifter om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.

Regeringens bedömning: Motsvarande bestämmelse bör införas för dem som anordnar utbildning som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Utredningens förslag och bedömning: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Det

gäller t.ex. Sveriges Kommuner och Landsting och Landstinget Dalarna.

Academedia AB tillstyrker utredningen förslag. Luleå kommun välkomnar att motsvarande bestämmelser ska gälla för enskilda som för offentliga utbildningsanordnare inom yrkeshögskolan.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Myndigheten för yrkeshögskolan anser att det finns anledning att tydliggöra om känsliga personuppgifter i intyg som ges in av sökande för att styrka att förkunskapskraven till en utbildning är uppfyllda kommer få behandlas.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens förslag och bedömning: Enligt propositionen

Ny dataskyddslag (prop. 2017/18:105) är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning i den propositionen står det också klart att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt (s. 82). I dataskyddslagen föreslås också en bestämmelse om att myndigheter får behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2 dataskyddslagen).

Bestämmelsen i dataskyddslagen möjliggör för offentliga utbildningsanordnare inom yrkeshögskolan att, i den mån det är nödvändigt, även fortsättningsvis kunna behandla känsliga personuppgifter i ärenden om t.ex. särskilt pedagogiskt stöd, i ärenden om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd samt i ärenden om trakasserier, sexuella trakasserier och avskiljande från utbildningen. Detsamma gäller sådana känsliga personuppgifter som kan förekomma i antagningsärenden, vilket också har uppmärksammats av Myndigheten för yrkeshögskolan.

Någon ytterligare reglering krävs därmed inte för att offentliga utbildningsanordnare inom yrkeshögskolan ska få behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende. Som framgår av avsnitt 12 anser regeringen att det saknas behov av att i lagen om yrkeshögskolan införa en bestämmelse som innebär en dubbelreglering i förhållande till dataskyddslagens bestämmelser.

Som anges i avsnitt 13.5.1 kan motsvarande behov av behandling som nämnts ovan även finnas hos de enskilda utbildningsanordnarna inom

yrkeshögskolan och enskilda anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Dessa utbildningsanordnare har därmed, förutsatt att det är relevant och nödvändigt, samma behov av att kunna behandla känsliga personuppgifter som de offentliga utbildningsanordnarna inom yrkeshögskolan. Regeringen anser att det även i detta fall är fråga om behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse. Förslaget i dataskyddslagen omfattar dock inte enskilda utbildningsanordnare. Regeringen föreslår därför, till skillnad mot Dataskydd.net, att det i lagen om yrkeshögskolan införs en bestämmelse som för enskilda utbildningsanordnare inom yrkeshögskolan som motsvarar dataskyddslagens bestämmelse för ärendehandläggning för myndigheter.

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen ska omfatta behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna bestämmelsen för myndigheter är mer långtgående (se avsnitt 13.2.1). Den har utformats så att myndigheter får behandla känsliga personuppgifter om det är nödvändigt för handläggningen av ett ärende. Regeringen anser att den kompletterande regleringen i lagen om yrkeshögskolan så långt som möjligt bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. I propositionen Ny dataskyddslag (prop. 2017/18:105 s. 194) anges att begreppet ärende ska tolkas på samma sätt som i förvaltningslagen (2017:900). Eftersom förvaltningslagen inte gäller i de enskilda utbildningsanordnarnas verksamhet bör dock bestämmelsen formuleras så att den gäller behandling som är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet.

När det gäller Datainspektionens ifrågasättande av om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen kan konstateras att Datainspektionen framfört motsvarande synpunkt i fråga om den i datassyddslagen föreslagna bestämmelsen. Regeringen har dock i propositionen Ny dataskyddslag (prop. 2017/18:105) inte funnit anledning att justera bestämmelsen med anledning av den synpunkten och saknar anledning att i fråga om bestämmelsen i lagen om yrkeshögskolan göra någon annan bedömning. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.

Eftersom de enskilda utbildningsanordnarna redan i dagsläget har möjlighet att utföra sådana behandlingar, blir integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs.

Av samma skäl som gör sig gällande i fråga om de enskilda utbildningsanordnarna inom yrkeshögskolan, bör en motsvarande bestämmelse som möjliggör behandling av känsliga personuppgifter om behandlingen är nödvändig för en hantering som motsvarar handläggningen av ett ärende hos en myndighet införas för dem som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Som nämnts tidigare bör den bestämmelsen införas i

förordningen om stöd till konst- och kulturutbildningar och vissa andra utbildningar.

Hänvisningar till S13-5-3

13.5.4. Behandling av känsliga personuppgifter ska tillåtas i annat fall om det inte innebär ett otillbörligt intrång

Regeringens förslag: En enskild utbildningsanordnare inom yrkeshögskolan ska med stöd av artikel 9.2 g i EU:s dataskyddsförordning även få behandla känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Regeringens bedömning: Motsvarande bestämmelse bör införas för dem som anordnar utbildning som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. I fråga om utredningens förslag att i sektorslagstiftningen dubbelreglera vad som gäller för myndigheter enligt dataskyddslagen, se avsnitt 12. Utredningen föreslår även ett bemyndigande för regeringen att meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag. Det gäller t.ex. Sveriges Kommuner och Landsting och Landstinget Dalarna.

Academedia AB tillstyrker utredningen förslag. Luleå kommun välkomnar att motsvarande bestämmelser ska gälla för enskilda som för offentliga utbildningsanordnare inom yrkeshögskolan.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Datainspektionen avstyrker förslaget i dess nuvarande utformning och ifrågasätter om utformningen av bestämmelsen kan anses uttrycka det krav på ett viktigt allmänt intresse som framgår av artikel 9.2 g i dataskyddsförordningen. Datainspektionen anser att begreppet absolut nödvändigt är ett begrepp som skapar otydlighet. Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens förslag och bedömning: I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att en myndighet, utöver behandling av känsliga personuppgifter som krävs enligt lag eller som är nödvändig för handläggningen av ett ärende, även i annat fall ska få behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).

Som angetts i avsnitt 8 anser regeringen att anordnande och bedrivande av utbildning utgör ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i dataskyddslagen kan därmed tillämpas av offentliga utbildningsanordnare inom yrkeshögskolan. När det gäller deras behandling av känsliga personuppgifter kan bestämmelsen vara tillämplig t.ex. när beslut att bevilja särskilt pedagogiskt stöd ska verkställas.

Även för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behandling av känsliga personuppgifter vara nödvändig i vissa fall när det inte är fråga om handläggningen av ett ärende. Till exempel tillhandahåller även dessa utbildningsanordnare särskilt pedagogiskt stöd. De har därmed samma behov som offentliga utbildningsanordnare inom yrkeshögskolan att behandla känsliga personuppgifter även när det inte är fråga om ärendehandläggning. Regeringen anser därför, till skillnad mot Dataskydd.net, att det ska införas en bestämmelse i lagen om yrkeshögskolan som möjliggör även för enskilda utbildningsanordnare inom yrkeshögskolan att med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter i motsvarande fall som myndigheter.

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen i lagen om yrkeshögskolan ska omfatta behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Den bestämmelse för myndigheter som föreslås i propositionen Ny dataskyddslag är mer långtgående (se avsnitt 13.2.1). Den innebär att myndigheter, även i annat fall får behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Regeringen anser att kompletterande reglering i lagen om yrkeshögskolan bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform. Eftersom det redan konstaterats i avsnitt 8 att anordnande och bedrivande av utbildning utgör ett viktigt allmänt intresse anser regeringen att det är tillräckligt att i den kompletterande bestämmelsen i lagen om yrkeshögskolan ange att behandlingen av personuppgifter ska vara nödvändig i verksamheten. I övrigt bör bestämmelsens utformning följa den föreslagna formuleringen i dataskyddslagen.

Regeringens uppfattning är att en bestämmelse som möjliggör för enskilda utbildningsanordnare inom yrkeshögskolan att behandla känsliga personuppgifter i annat fall om det är nödvändigt av hänsyn till ett viktigt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet, i t.ex. faktiskt verksamhet som undervisning, står i proportion till det eftersträvade syftet. En bestämmelse med sådana starkt begränsande rekvisit tillgodoser enligt regeringen dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. I avsnitt 13.5.5 föreslås dessutom vissa sökbegränsningar i fråga om känsliga personuppgifter.

Av samma skäl som gör sig gällande i fråga om de enskilda utbildningsanordnarna inom yrkeshögskolan, bör en motsvarande bestämmelse som möjliggör behandling av känsliga personuppgifter även i annat fall införas för dem som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Utredningen har även föreslagit ett bemyndigande i lagen om yrkeshögskolan för regeringen att meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter. Något motsvarande bemyndigande har inte föreslagits i lagen om tillstånd att utfärda vissa examina, trots att behovet av behandling av känsliga personuppgifter är likartat på det området. Det finns i dagsläget inte heller något som tyder på att det skulle finnas ett behov av att införa kompletterande bestämmelser på förordningsnivå. Regeringen anser därför att det saknas behov av att införa ett bemyndigande för regeringen att meddela ytterligare föreskrifter om behandling av känsliga personuppgifter. Skulle ett sådant behov trots allt uppstå finns dock en möjlighet för regeringen att meddela föreskrifter med stöd av bemyndigandet i 3 kap. 4 § dataskyddslagen.

Hänvisningar till S13-5-4

13.5.5. Det ska vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter

Regeringens förslag: Det ska vara förbjudet för enskilda utbildningsanordnare inom yrkeshögskolan att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.

Regeringens bedömning: Motsvarande bestämmelse bör införas för dem som anordnar utbildning som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Utredningens förslag: Utredningen har föreslagit ett förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Academedia AB tillstyrker utredningen förslag.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Dataskydd.net avstyrker förslaget och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens förslag och bedömning: I propositionen Ny dataskyddslag (2017/18:105) föreslås det införas en skyddsåtgärd som innebär ett förbud mot att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen). Sökförbudet gäller för myndigheter vid tillämpningen av samtliga de bestämmelser om behandling av känsliga personuppgifter som finns i 3 kap. 3 § första stycket dataskyddslagen, dvs. vid behandling som krävs enligt lag, vid behandling som är nödvändig för handläggningen av ett ärende och vid behandling i enstaka fall om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. I avsnitt

13.2.2 har redogjorts för detta sökförbud och skälen för att införa sökförbudet. Eftersom sökförbudet gäller myndigheter omfattar det offentliga utbildningsanordnare inom yrkeshögskolan, men inte enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. De skäl som finns för att sökförbudet ska gälla för myndigheter, såsom offentliga utbildningsanordnare inom yrkeshögskolan, gör sig dock gällande även för enskilda utbildningsanordnare inom yrkeshögskolan. Regeringen föreslår därför, till skillnad mot Dataskydd.net, att en motsvarande bestämmelse som innebär att enskilda utbildningsanordnare inom yrkeshögskolan inte får utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter ska införas i lagen om yrkeshögskolan.

Av samma skäl som gör sig gällande i fråga om de enskilda utbildningsanordnarna inom yrkeshögskolan, bedömer regeringen att en motsvarande bestämmelse om sökbegränsningar även bör införas för dem som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Regeringens förslag och bedömning innebär att regleringen får en något annorlunda utformning än vad som föreslagits av Utbildningsdatautredningen. Liksom förslaget i betänkandet syftar dock regeringens förslag och bedömning till att införa en kompletterande reglering som motsvarar den som föreslås i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform.

Hänvisningar till S13-5-5

13.6. Folkbildningen bör ges rättsligt stöd för att behandla känsliga personuppgifter

Regeringen bedömning: Folkhögskolorna och studieförbunden bör inte behandla känsliga personuppgifter inom statsbidragsfinansierad folkbildning med stöd av samtycke utan bör ges rättsligt stöd för behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i EU:s dataskyddsförordning.

Utredningens bedömning: Utredningen bedömer att folkhögskolornas och studieförbundens behandling av känsliga personuppgifter kan ske med stöd av den rättsliga grunden samtycke i artikel 9.2 a i dataskyddsförordningen.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Det

gäller t.ex.

Folkbildningsrådet, Lärarnas Riksförbund, Lärarförbundet

och Studieförbundet SISU Idrottsutbildarna.

Migrationsverket påpekar att om det i folkhögskolornas verksamhet för asylsökande med stöd av förordningen (2015:521) om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända invandrare förekommer en uppgift om ett dossiénummer, så röjer det i någon mån att en person är eller har varit asylsökande. Det kan därför

finnas anledning att överväga om uppgiften ska anses som integritetskänslig vid behandling av personuppgifter.

Datainspektionen delar inte utredningens uppfattning att folkhögskolor och studieförbund kan stödja sin behandling av känsliga personuppgifter på samtycke, eftersom det inte går att utgå från att en frivillig studieform innebär att även behandlingen av personuppgifter är frivillig. Även Studieförbunden i samverkan vänder sig emot utredningens bedömning att studieförbunden enbart ska använda samtycke som rättslig grund för sin personuppgiftsbehandling.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars bedömning överensstämmer med regeringens bedömning i detta avsnitt.

Folkbildningsrådet, Studieförbunden i samverkan, Studieförbundet SISU Idrottsutbildarna och Statistiska centralbyrån tillstyrker eller har inga synpunkter på bedömningen.

Skälen för regeringens bedömning: Det förekommer att vissa folkhögskolor och studieförbund som anordnar kontakttolkutbildning antecknar tolkspråket i sitt register. Folkhögskolor och studieförbund som anordnar sådan utbildning kan under vissa förutsättningar erhålla statsbidrag som beviljas av Myndigheten för yrkeshögskolan enligt förordningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk. Uppgifter om namn och språkkunskaper har i vissa utredningar ansetts utgöra indirekta upplysningar om en persons etniska ursprung (t.ex. SOU 2001:32 s. 124 och SOU 2003:40 s. 180). Datainspektionen har i en rapport angett att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung (Datainspektionens rapport 2002:2, s. 8). Regeringen har dock tidigare bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). I linje med dess tidigare bedömning anser regeringen att en uppgift om tolkspråk i sig inte utgör en känslig personuppgift, men att den tillsammans med andra uppgifter kan bli en uppgift om etniskt ursprung, alltså en känslig personuppgift. Det är svårt att uttala sig generellt om gränsdragningen för när sådana uppgifter utgör känsliga personuppgifter.

Liknande gränsfrågor skulle kunna uppstå i den verksamhet som bedrivs av folkhögskolor och studieförbund och som avser särskilda insatser för personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., eller avses i förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar och som bor i Migrationsverkets anläggningsboende, och för vilka statsbidrag kan lämnas enligt förordningen (2015:521) om statsbidrag till särskilda folkbildningsinsatser för asylsökande och vissa nyanlända invandrare, som också har uppmärksammats av Migrationsverket.

Utredningen om ökad insyn i välfärden (S 2015:04) har i betänkandet Ökad insyn i välfärden (SOU 2016:62 s. 168 ff.) föreslagit att folkhögskolor som anordnar utbildning som motsvarar kommunal vuxenutbildning i svenska för invandrare enligt 24 kap. 11−15 §§skollagen ska omfattas av offentlighetsprincipen. Offentlighetsprincipen föreslås dock begränsas till de handlingar som hör till den offentligt finansierade verk-

samheten. Stöd för behandling av känsliga personuppgifter som eventuellt förekommer i dessa handlingar berörs i avsnitt 13.3.2.

Vidare kan folkhögskolorna ansöka om statsbidrag för kostnader för särskilt utbildningsstöd som erbjuds studerande med funktionsnedsättningar enligt förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd. Ansökan görs till Specialpedagogiska skolmyndigheten (SPSM). Såvitt Utbildningsdatautredningen erfarit lämnas inga direkta personuppgifter in i samband med ansökan. I ansökan framgår endast uppgift om kön och funktionsnedsättning per skola och kurs (SOU 2017:49 s. 358). Då själva ansökan till SPSM inte innehåller några personuppgifter behöver folkhögskolorna inte något rättsligt stöd för att behandla dessa uppgifter i ansökan. Även om en ansökan om statsbidrag för särskilt utbildningsstöd inte innehåller några känsliga personuppgifter kan folkhögskolorna i sin verksamhet behöva behandla sådana uppgifter inför upprättande av ansökan och beträffande studerande med funktionsnedsättning. I dagsläget hämtar folkhögskolorna in en form av samtycke från de studerande för behandlingen.

Folkhögskolorna och studieförbunden som bedriver statsbidragsfinansierad folkbildning kan alltså i vissa sammanhang ha behov av att behandla känsliga personuppgifter. Av de skäl som angetts i avsnitt 9.4.2, delar regeringen Datainspektionens och Studieförbunden i samverkans uppfattning att personuppgiftbehandlingen inte bör grundas på samtycke. Då behandlingen inte omfattas av de generella bestämmelser för myndigheter som föreslås i 3 kap. 3 § dataskyddslagen om sådan behandling av känsliga personuppgifter som krävs enligt lag, i ärenden eller i annat fall, behöver folkhögskolorna och studieförbundet därför ges ett rättsligt stöd för behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen. Av avsnitt 12 framgår att regeringen bedömer att regleringen kan införas på förordningsnivå.

13.7. Studiestödsdatalagens bestämmelser om känsliga personuppgifter ska hänvisa till dataskyddsförordningen

Regeringens bedömning: CSN ska även i fortsättningen få behandla känsliga personuppgifter för de ändamål som anges i studiestödsdatalagen.

Regeringens förslag: Studiestödsdatalagens uppräkning av de känsliga personuppgifter som bara får behandlas för vissa ändamål ska ersättas av en hänvisning till artikel 9.1 och 9.2 g i EU:s dataskyddsförordning.

Studiestödsdatalagens uppräkning av känsliga personuppgifter som inte får användas som sökbegrepp ska ersättas av en hänvisning till artikel 9.1 i dataskyddsförordningen.

Utredningens förslag och bedömning: Utredningens bedömning överensstämmer med regeringens. Utredningen föreslår dock att studiestödsdatalagens bestämmelser om CSN:s behandling av känsliga person-

uppgifter och sökförbud ska kompletteras med de nya kategorier av känsliga personuppgifter som anges i artikel 9.1 i dataskyddsförordningen.

Remissinstanserna: Det stora flertalet remissinstanser, däribland

Centrala studiestödsnämnden, har inte några synpunkter på eller har inget att erinra mot utredningens förslag och bedömning.

Justitiekanslern anser generellt att det är mycket angeläget att likartade lagtekniska lösningar väljs för de författningar som tillkommer eller ses över med anledning av EU:s dataskyddsreform.

Migrationsverket anser att det kan finnas anledning att överväga om underrättelser som Migrationsverket lämnar med stöd av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemet till berörda myndigheter om att en ekonomisk förmån har beslutats eller betalats ut felaktigt eller med ett för högt belopp kan

innefatta integritetskänsliga personuppgifter.

Datainspektionen delar uppfattningen att ett undantag kan grundas på artikel 9.2 g i dataskyddsförordningen, men under förutsättning att det är frågan om ett viktigt allmänt intresse och det ska gälla alla kategorier av känsliga personuppgifter och alla behandlingar som bestämmelsen omfattar. En sådan bestämmelse kräver också enligt förordningen lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Datainspektionen saknar en analys och redovisning av bestämmelsen i förhållande till artikel 9.2 g. Datainspektionen avstyrker förslaget att behålla bestämmelsen om känsliga personuppgifter i sin nuvarande utformning. Datainspektionen anser också att det bör hänvisas till artikel 9.2 g i dataskyddsförordningen eftersom det är den bestämmelsen som utgör det faktiska undantaget. Utan en sådan hänvisning är det inte tydligt vare sig för den personuppgiftsansvarige eller den registrerade med vilket stöd som behandlingen av känsliga personuppgifter sker. Dataskydd.net avstyrker förslagen och anser att dataskyddsförordningens bestämmelser utgör en tillräcklig reglering.

Skälen för regeringens bedömning och förslag

CSN ska även fortsättningsvis kunna behandla känsliga personuppgifter för de i studiestödsdatalagen angivna ändamålen

Regeringen har i samband med införandet av studiestödsdatalagen i propositionen Behandling av personuppgifter inom studiestödsområdet (prop. 2008/09:96) gjort en analys av s CSN behov av behandling av känsliga personuppgifter. I propositionen konstaterar regeringen bl.a. att vissa av de känsliga personuppgifterna som anges i 13 § PUL normalt inte torde förekomma i CSN:s studiestödsverksamhet, men att det dock inte kan uteslutas att uppgifter som avslöjar t.ex. ras eller filosofisk övertygelse kan förekomma i verksamheten. Även om CSN inte efterfrågar sådana uppgifter kan de ändå förekomma som information i t.ex. ansökningshandlingar eller intyg som lämnas in till myndigheten. Enligt regeringen ska därför samtliga känsliga personuppgifter som avses i 13 § PUL omfattas av studiestödsdatalagen (prop. 2008/09:96 s. 4849).

Till följd av den i propositionen gjorda analysen anges i studiestödsdatalagen att behandling av personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller med-

lemskap i fackförening eller som rör hälsa eller sexualliv får behandlas bara för att – handlägga ärenden i studiestödsverksamheten, om uppgifterna har

lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, – anmäla oegentligheter inom studiestödsverksamheten till ett offentligt

organ som har att utreda eller beivra oegentligheten, – lämnas ut till den registrerade själv, riksdagen och regeringen samt i

den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra, och – ge tillgång till vägledande avgöranden, om uppgifterna inte direkt

pekar ut den registrerade (6 § studiestödsdatalagen).

När det gäller den av Datainspektionen efterfrågade analysen, anser regeringen således att CSN:s behov av behandling av känsliga personuppgifter redan har analyserats och att det saknas anledning att nu göra en förnyad analys. I fråga om Datainspektionens påpekande att behandling av känsliga personuppgifter enligt artikel 9.2 g i dataskyddsförordningen förutsätter att det är fråga om ett viktigt allmänt intresse, kan konstateras att regeringen i avsnitt 9.5.2 har redogjort för varför CSN:s studiestödsverksamhet bedöms utgöra en uppgift av allmänt intresse och att regeringen av samma skäl anser att verksamheten även utgör ett viktigt allmänt intresse. De specifika avgränsningar som gäller för behandlingen uppfyller enligt regeringens mening också dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Mot denna bakgrund anser regeringen att CSN alltjämt ska ha möjlighet att behandla känsliga personuppgifter för de i studiestödsdatalagen angivna ändamålen. När det gäller underrättelser som inkommer till CSN till följd av lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemet, som uppmärksammats av Migrationsverket, anser regeringen att eventuella känsliga personuppgifter i sådana underrättelser bör kunna behandlas med stöd av den bestämmelse som gäller för CSN:s handläggning av ärenden.

Studiestödsdatalagens uppräkning av känsliga personuppgifter ska ersättas av en hänvisning till artikel 9.1 i dataskyddsförordningen

Utredningen föreslår att uppräkningen i 6 § studiestödsdatalagen av vilka kategorier av känsliga personuppgifter som får behandlas ska kompletteras med de nya kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen, dvs. genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en person och uppgifter om sexuell läggning.

Regeringen har i propositionen Ny dataskyddslag (2017/18:105) föreslagit ett antal bestämmelser i dataskyddslagen om när känsliga personuppgifter ska få behandlas. Dataskyddslagen föreslås dock inte innehålla någon uppräkning av de kategorier av uppgifter som utgör känsliga personuppgifter. Däremot anges att med begreppet känsliga personuppgifter avses i lagen sådana känsliga personuppgifter som anges i artikel 9.1 i EU:s dataskyddslag (3 kap. 1 § dataskyddslagen). Vidare

har varken utredningen eller regeringen sett skäl att i skollagen, lagen om tillstånd att utfärda vissa examina eller lagen om yrkeshögskolan, i anslutning till de bestämmelser som anger när känsliga personuppgifter får behandlas med stöd av artikel 9.2 g i dataskyddsförordningen, göra en uppräkning av vilka kategorier av uppgifter som utgör känsliga personuppgifter. Regeringen ser mot denna bakgrund, och mot bakgrund av att likartade lagtekniska lösningar efterfrågats av Justitiekanslern, inte skäl att i studiestödsdatalagen ha en uppräkning av de olika kategorierna av känsliga personuppgifter. Regeringen föreslår därför att det i 6 § studiestödsdatalagen i stället ska anges att sådana personuppgifter som avses i artikel 9.1 i dataskyddsförordningen med stöd av artikel 9.2 g i EU:s dataskyddsförordning får behandlas av CSN för de i lagen angivna ändamålen. I paragrafen bör även kortformen känsliga personuppgifter införas som benämning på sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen.

Studiestödsdatalagens förbud mot sökbegrepp ska hänvisa till dataskyddsförordningen

Vilka sökbegrepp som, förutom i vissa undantagsfall, inte får användas i CSN:s studiestödsverksamhet regleras i 8 § studiestödsdatalagen. Förbudet omfattar bland annat känsliga personuppgifter enligt motsvarande definition som PUL, dvs. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

Som framgått ovan anser regeringen, att studiestödsdatalagens bestämmelse om behandling av känsliga personuppgifter, genom en hänvisning till dataskyddsförordningen, bör omfatta samtliga de kategorier av personuppgifter som anges i artikel 9.1 i förordningen. Följaktligen delar regeringen också utredningens bedömning att även studiestödsdatalagen förbud mot vissa sökbegrepp ska omfatta samtliga de kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen. Regeringen anser dock att förbudet i 8 §, i stället för att innehålla en uppräkning av alla kategorier av känsliga personuppgifter, bör hänvisa till sådana personuppgifter som avses i artikel 9.1 i dataskyddsförordningen och som benämns känsliga personuppgifter.

14. Sektorslagstiftningen ska kompletteras med bestämmelser om behandling av personuppgifter som rör lagöverträdelser

14.1. Dataskyddsförordningen tillåter bara behandling av personuppgifter som rör lagöverträdelser i vissa fall

Enligt dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed samman-

hängande säkerhetsåtgärder endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs

.

Ett fullständigt register över fällande domar i

brottmål får endast föras under kontroll av en myndighet (artikel 10). Regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18 s. 98) är att artikel 10 i förordningen, för svenskt vidkommande, tar sikte på personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel.

En motsvarande bestämmelse finns i dag i artikel 8.5 i dataskyddsdirektivet, där det framgår att uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får behandlas endast under kontroll av en myndighet eller med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Artikel 8.5 i dataskyddsdirektivet har genomförts i svensk rätt genom 21 § PUL, vars första stycke är avsett att uppfylla det som krävs enligt artikel 8.5 (prop. 1997/98:44, s. 129).

Artikel 10 i dataskyddsförordningen skiljer sig dock något från regleringen i direktivet. Förordningens bestämmelse har begränsats till enbart fällande brottmålsdomar. En annan skillnad i förordningen jämfört med direktivet är att hänvisningen till personuppgifter om avgöranden i tvistemål och administrativa sanktioner har tagits bort. Som regeringen konstaterar i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 98) innebär detta att uppgifter om administrativa frihetsberövanden inte omfattas av någon särskild reglering enligt dataskyddsförordningen, om de inte utgör känsliga personuppgifter enligt artikel 9.1, exempelvis om de också avslöjar uppgifter om etniskt ursprung eller psykisk ohälsa.

I det följande används begreppet lagöverträdelser som ett samlingsbegrepp för de personuppgifter som avses i artikel 10 i dataskyddsförordningen.

14.2. Dataskyddslagen kompletterar dataskyddsförordningen

I propositionen Ny dataskyddslag (2017/18:105) föreslår regeringen att bestämmelser om behandling av personuppgifter som rör lagöverträdelser införs i dataskyddslagen. I lagen anges att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter och att även andra än myndigheter får behandla sådana personuppgifter om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 §).

Regeringen eller den myndighet som regeringen bestämmer bemyndigas att meddela föreskrifter om i vilka fall andra än myndigheter får behandla de aktuella personuppgifterna. Vidare bemyndigas den myndighet som regeringen bestämmer att i enskilda fall besluta att andra än myndigheter får behandla nämnda personuppgifter (3 kap. 9 §). Dataskyddsutredningen har också i sitt betänkande (SOU 2017:39 s. 55 f.) föreslagit en ny förordning med kompletterande bestämmelser om behandling av personuppgifter som rör lagöverträdelser med ett bemyndigande för Datainspektionen att meddela ytterligare föreskrifter härom.

14.3. Kompletterande bestämmelser om lagöverträdelser ska införas i skollagen

Hänvisningar till S14-3

14.3.1. Det finns behov av behandling av personuppgifter som rör lagöverträdelser i skollagsreglerad verksamhet

I skollagen finns bestämmelser om disciplinära och andra särskilda åtgärder. Med sådana åtgärder avses utvisning, kvarsittning, tillfällig omplacering, tillfällig placering vid annan skolenhet, avstängning och omhändertagande av föremål. Rektor eller en lärare får vidta de omedelbara och tillfälliga åtgärder som är befogade för att tillförsäkra eleverna trygghet och studiero eller för att komma till rätta med en elevs ordningsstörande uppträdande. Huvudmannen får under vissa förutsättningar besluta att helt eller delvis stänga av en elev från gymnasieskolan, gymnasiesärskolan, kommunal vuxenutbildning och särskild utbildning för vuxna (5 kap. skollagen).

Om vissa särskilda åtgärder vidtagits enligt 5 kap. skollagen, såsom t.ex. utvisning ur undervisningslokalen, tillfällig omplacering till en annan undervisningsgrupp än den eleven annars hör till, tillfällig placering till en annan skolenhet, avstängning från vissa obligatoriska skolformer och avstängning från de frivilliga skolformerna, ska åtgärden dokumenteras skriftligt av den som genomfört den (5 kap. 24 § skollagen).

I samband med att disciplinära eller andra särskilda åtgärder, t.ex. avstängning, behöver vidtas kan det i vissa fall vara nödvändigt att behandla en uppgift om bl.a. lagöverträdelser. Ett exempel kan vara i ett ärende rörande avstängning av en narkotikapåverkad elev som dyker upp i skolan och är farlig för sig själv eller andra. I detta sammanhang skulle det, om eleven tidigare har dömts för t.ex. ringa narkotikabrott, kunna bli aktuellt att även anteckna den uppgiften.

Även inom elevhälsan skulle det kunna uppstå situationer där det finns ett berättigat behov av att i löpande text behandla en uppgift om en lagöverträdelse. Datainspektionen har också genom föreskrifter möjliggjort för den elevvårdande verksamheten i fristående skolor att i anteckningar behandla uppgifter om bl.a. lagöverträdelser (1 § b Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. [DIFS 1998:3] som ändrats genom DIFS 2010:1). För dessa skolor har det således bedömts finnas ett behov av att i den elevvårdande verksamheten kunna behandla uppgifter om bl.a. lagöverträdelser i anteckningar, dvs. löpande text. Begreppet elevvårdande verksamhet används dock inte i skollagen, utan i stället används begreppet elevhälsa som ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser (2 kap. 25 § skollagen).

14.3.2. Behandling av personuppgifter som rör lagöverträdelser ska tillåtas i vissa fall

Regeringens förslag: I skollagen ska det anges att personuppgifter om lagöverträdelser som avses i artikel 10 i EU:s dataskyddsförordning ska få behandlas i verksamhet hos en huvudman för en fristående skola dels i elevhälsan i löpande text, dels i skriftlig dokumentation som ska föras om disciplinära och andra särskilda åtgärder enligt skollagen. Behandlingen ska vara tillåten om den är nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningen har föreslagit att fristående skolor får behandla personuppgifter om lagöverträdelser om det är absolut nödvändigt i löpande text inom elevhälsan och i skriftlig dokumentation om särskilda åtgärder enligt skollagen.

Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte kommenterat utredningens förslag. Stockholms kommun anser att förslaget är väl avvägt. Statens skolinspektion framhåller att det enligt skollagen råder en skyldighet för den som erbjuds en anställning inom förskolan, förskoleklassen, fritidshemmet, grundskolan, grundsärskolan, specialskolan och annan pedagogisk verksamhet att lämna ett utdrag ur belastningsregister och att det därför behövs en reglering för samtliga skolformer som avser behandling av personuppgifter om lagöverträdelser m.m. Även Friskolornas riksförbund uppmärksammar detta behov.

Dataskydd.net avstyrker utredningens förslag med motiveringen att det redan regleras i dataskyddsförordningen när personuppgifter om lagöverträdelser får behandlas och att ytterligare reglering skulle framstå som missvisande.

Skälen för regeringens förslag: Av artikel 10 i dataskyddsförordningen följer att uppgifter om lagöverträdelser får behandlas om det sker under kontroll av myndighet, vilket enligt regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 99) innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter som rör lagöverträdelser. Enligt förslaget i den propositionen har det i 3 kap. 8 § dataskyddslagen förtydligats att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen.

Inom utbildning med offentlig huvudman kommer alltså personuppgifter som rör lagöverträdelser kunna behandlas.

Någon motsvarande möjligt att behandla uppgifter om lagöverträdelser som omfattar enskilda skolhuvudmän föreslås dock inte i dataskyddslagen. Behovet av att behandla uppgifter om lagöverträdelser är dock detsamma hos enskilda skolhuvudmän som hos offentliga, då det omfattas av samma regelverk i skollagen. Exempelvis kan nämnas att bestämmelser om tillfällig omplacering och avstängning i 5 kap. skollagen tar sikte på bl.a. övriga elevers trygghet och studiero. Det måste därmed anses vara lika angeläget att det i fristående skolor är möjligt att behandla personuppgifter som rör lagöverträdelser i dessa sammanhang som i skolor med offentlig huvudman. Till skillnad från Dataskydd.net anser regeringen därför att en bestämmelse som möjliggör att hos

huvudmän för fristående skolor behandla personuppgifter som rör lagöverträdelser dels i elevhälsan, dels i skriftlig dokumentation som ska föras om disciplinära och andra särskilda åtgärder enligt 5 kap. 24 § skollagen, bör införas i skollagen. I likhet med den bestämmelse om lagöverträdelser som föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105) bör bestämmelsen, i stället för att innehålla en uppräkning av de personuppgifter som får behandlas, formuleras så att den hänvisar till de personuppgifter som avses i artikel 10 i dataskyddsförordningen.

Däremot kommer det behov av behandling av personuppgifter från belastningsregister som Statens skolinspektion framhåller att upphöra. I lagrådsremissen Offentlighetsprincipen ska gälla i fristående skolor föreslås att den skyldighet som följer av 2 kap. 31 § skollagen, att i samband med anställningen inom det skollagsreglerade området lämna ett utdrag från belastningsregister, ska ersättas med en skyldighet att visa upp ett utdrag från belastningsregistret. Det ska enligt förslaget endast antecknas att den sökande har visat upp registerutdraget men inte innehållet i registerutdraget. Det innebär att de uppgifter om lagöverträdelser som eventuellt finns på registerutdraget inte kommer att behandlas. Ändringen föreslås träda i kraft den 1 juli 2019, och något behov av att behandla uppgifter om lagöverträdelser och liknande i belastningsregisterutdrag kommer därför inte finnas efter det.

En bestämmelse som möjliggör att i fristående skolor behandla personuppgifter som rör lagöverträdelser måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som betonar att det är fråga om en restriktiv tillämpning där en noggrann avvägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Utbildningsdatautredningen har med utgångspunkten i Dataskyddsutredningens förslag till bestämmelsen om myndigheters behandling av känsliga personuppgifter i enstaka fall (3 kap. 3 § 3) föreslagit att fristående skolor ska få behandla personuppgifter om lagöverträdelser om det är absolut nödvändigt i löpande text inom elevhälsan och för dokumentation om särskilda åtgärder enligt skollagen. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås en bestämmelse i dataskyddslagen om myndigheters behandling av känsliga personuppgifter i annat fall med en ändrad lydelse i förhållande till betänkandet. Enligt förslaget i propositionen ska myndigheter få behandla känsliga personuppgifter i annat fall om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § 3). I syfte att skapa så enhetlig reglering som möjligt anser regeringen att det är lämpligt att använda samma typ av begränsning som i dataskyddslagen. Behandling av personuppgifter som rör lagöverträdelser bör enligt regeringens uppfattning därför tillåtas om det är nödvändigt för dokumentation i löpande text inom elevhälsan och dokumentation av vidtagna disciplinära och andra särskilda åtgärder, under förutsättning att behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. På detta sätt skapas en möjlighet för dels elevhälsan, dels huvudman, rektor och lärare att, när de har en skyldighet enligt 5 kap. 24 § skollagen att dokumentera åtgärder, behandla nödvändiga uppgifter om t.ex. fällande domar samtidigt som den enskilda elevens integritet

skyddas genom att bestämmelsen ska tillämpas restriktivt. En bestämmelse med sådana begränsande rekvisit får anses uppfylla kraven i artikel 10 i dataskyddsförordningen och bör därför införas.

Då det redan i dagsläget är tillåtet att hos huvudmän för fristående skolor behandla uppgifter om lagöverträdelser i löpande text med stöd av 5 a § PUL blir den föreslagna bestämmelsens intrång i de enskildas integritet varken större eller mindre än med gällande bestämmelser.

Hänvisningar till S14-3-2

  • Prop. 2017/18:218: Avsnitt 20.4

14.4. Kompletterande bestämmelser om lagöverträdelser ska införas i lagen om tillstånd att utfärda vissa examina

14.4.1. Det finns behov av behandling av personuppgifter som rör lagöverträdelser på högskoleområdet

Som angetts i avsnitt 3.4.1, får en student vid en statlig högskola under vissa förutsättningar avskiljas från utbildningen. En sådan grund för avskiljande är att studenten har gjort sig skyldig till allvarlig brottslighet (4 kap. 6 § högskolelagen och förordningen [2007:989] om avskiljande av studenter från högskoleutbildning). Detta medför att statliga högskolor kan behöva behandla personuppgifter som rör fällande domar i brottmål i utredningar och ärenden om avskiljande.

Vidare finns det samma behov hos enskilda utbildningsanordnare att ha motsvarande regler om disciplinära åtgärder och avskiljande som statliga högskolor. Chalmers tekniska högskola AB, Handelshögskolan i Stockholm och Stiftelsen högskolan i Jönköping är exempel på enskilda utbildningsanordnare som har en disciplinstadga eller ett regelverk för disciplinära åtgärder och där allvarlig brottslighet kan utgöra grund för åtgärd. Även enskilda utbildningsanordnare har således behov av att kunna behandla personuppgifter om fällande domar i brottmål i utredningar och i ärenden om disciplinära åtgärder och avskiljande.

14.4.2. Behandling av personuppgifter som rör fällande domar i brottmål ska tillåtas i ärenden om avskiljande från utbildning

Regeringens förslag: I lagen om tillstånd att utfärda vissa examina ska det anges att enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning.

Regeringens bedömning: Något sökförbud behövs inte för personuppgifter som rör fällande domar i brottmål.

Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling av personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av en student från utbildning om det är absolut nödvändigt för ändamålet

med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Utredningen har också föreslagit ett förbud mot att använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål.

Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte kommenterat utredningens förslag. Sveriges lantbruksuniversitet anser att det skulle kunna förtydligas vad som avses med det av utredningen föreslagna sökförbudet. Dataskydd.net avstyrker utredningens förslag med motiveringen att det redan regleras i dataskyddsförordningen när personuppgifter om lagöverträdelser får behandlas och att ytterligare reglering skulle framstå som missvisande.

Skälen för regeringens förslag och bedömning

Av avsnitt 14.3.2 framgår att det i propositionen Ny dataskyddslag (prop. 2017/18:105) har föreslagits att det i 3 kap. 8 § dataskyddslagen ska förtydligas att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. Statliga högskolor kommer alltså att kunna behandla personuppgifter om fällande domar i ärenden om avskiljande av studenter från utbildningen.

Frånvaron av offentligrättslig reglering om avskiljande av studenter för enskilda utbildningsanordnare betyder inte att frågan är av underordnad betydelse för deras del. Som framgår i avsnitt 13.4.1 har flera enskilda utbildningsanordnare en egen disciplinstadga eller liknande. Vidare tar bestämmelser om avskiljande sikte på bl.a. övriga studenters och utbildningsanordnarnas arbetstagares och studenters säkerhet. Det måste därmed anses vara lika angeläget att enskilda utbildningsanordnare har möjlighet att behandla personuppgifter som rör fällande domar i brottmål i deras motsvarighet till ärenden om avskiljande. Regeringen föreslår därför, i motsats till vad Dataskydd.net anför, att en bestämmelse som möjliggör detta införs i lagen om tillstånd att utfärda vissa examina. Eftersom något behov för de enskilda utbildningsanordnarna att behandla andra slags personuppgifter som avses i artikel 10 i dataskyddsförordningen inte har identifierats, anser regeringen att bestämmelsen bör begränsas till att avse fällande domar i brottmål.

En bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål måste dock omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter (artikel 10 i dataskyddsförordningen).

Utbildningsdatautredningen har i sitt betänkande föreslagit att bestämmelsen ska omfatta behandling av personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av en student från utbildning om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära (SOU 2017:49). Den i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagna bestämmelsen i dataskyddslagen om myndigheters behandling av känsliga personuppgifter för handläggningen av ett ärende har utformats utan några särskilda avvägningsrekvisit. Enligt förslaget i propo-

sitionen får myndigheter behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § 2). Regeringen anser att kompletterande reglering i lagen om tillstånd att utfärda vissa examina som avser de enskilda utbildningsanordnarnas behandling av personuppgifter som rör fällande domar som är nödvändig i ärenden om avskiljande av student från utbildningen bör utformas på ett sätt som motsvarar regleringen i dataskyddslagen. Regeringens uppfattning är att den snäva avgränsning som endast ger möjlighet för enskilda utbildningsanordnare att behandla personuppgifter om fällande domar i brottmål i ett specifikt ärendeslag, dvs. avskiljande från utbildningen, utgör en sådan skyddsåtgärd som avses i artikel 10 dataskyddsförordningen.

Något sökförbud behövs inte i fråga personuppgifter som rör fällande domar i brottmål

Utbildningsdatautredningen har i sitt betänkande även föreslagit ett förbud för enskilda utbildningsanordnare att använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås inte något förbud för myndigheter att som sökbegrepp använda personuppgifter om fällande domar i brottmål eller liknande uppgifter. Med hänsyn till att behandling av personuppgifter som rör fällande domar i brottmål bedöms vara ytterst begränsad inom högre utbildning anser regeringen inte att det är mer angeläget att införa ett sådant förbud för enskilda utbildningsanordnare. Som det framhållits i avsnitt 14.3.2 strävar regeringen efter att skapa en reglering om behandling av personuppgifter på utbildningsområdet som motsvarar den som föreslås i dataskyddslagen. Detta är också i linje med vad Justitiekanslern förordat i fråga om likartade lagtekniska lösningar med anledning av EU:s dataskyddsreform. Därför avstår regeringen, till skillnad från Utbildningsdatautredningen, från att föreslå några sökbegränsningar med avseende på uppgifter om fällande domar i brottmål i lagen om tillstånd att utfärda vissa examina.

14.5. Kompletterande bestämmelser om lagöverträdelser ska införas i lagen om yrkeshögskolan

Hänvisningar till S14-5

14.5.1. Det finns behov av behandling av personuppgifter som rör lagöverträdelser i yrkeshögskolan och annan eftergymnasial utbildning

Som angetts i avsnitt 13.5.1, får studerande inom yrkeshögskola som bedrivs offentliga utbildningsanordnare, under vissa förutsättningar avskiljas från utbildningen. En sådan grund för avskiljande är att studenten har gjort sig skyldig till allvarlig brottslighet (19 § lagen om yrkeshögskolan). Detta medför att offentliga anordnare av utbildning inom yrkeshögskolan kan behöva behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande.

Enskilda utbildningsanordnare har motsvarande behov av regler om disciplinära åtgärder och avskiljande som statliga högskolor. Även enskilda utbildningsanordnare kan således ha bestämmelser som till viss del motsvarar ett avskiljande enligt den reglering som gäller för offentliga utbildningsanordnare, och därmed ha behov av att behandla personuppgifter om fällande domar i brottmål.

Det går inte heller att utesluta att även anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har egna regelverk om avskiljande. Även dessa enskilda utbildningsanordnare kan således ha bestämmelser som till viss del motsvarar ett avskiljande enligt den reglering som gäller för offentliga utbildningsanordnare och därmed ha behov att behandla personuppgifter om fällande domar i brottmål.

14.5.2. Behandling av personuppgifter som rör lagöverträdelser m.m. ska tillåtas i ärenden om avskiljande från utbildning

Regeringens förslag: I lagen om yrkeshögskolan ska det anges att enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål om behandlingen är nödvändig för hantering som motsvarar handläggning av ett ärende om att avskilja en student från utbildning.

Regeringens bedömning: En motsvarande bestämmelse bör införas i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Något sökförbud för personuppgifter som rör fällande domar i brottmål behövs inte i lagen eller förordningen.

Utredningens förslag: Överensstämmer delvis med regeringens förslag. Utredningens förslag omfattar behandling av personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av en student från utbildning om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Utredningen har också föreslagit ett förbud mot att använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål.

Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte kommenterat utredningens förslag. Dataskydd.net avstyrker utredningens förslag med motiveringen att det redan regleras i dataskyddsförordningen när personuppgifter om lagöverträdelser får behandlas och att ytterligare reglering skulle framstå som missvisande.

Skälen för regeringens förslag och bedömning: Av avsnitt 14.3.2 framgår att det i propositionen Ny dataskyddslag (prop. 2017/18:105) har föreslagits att det i 3 kap. 8 § datalyddslagen ska förtydligas att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. Offentliga anordnare av utbildning inom yrkeshögskolan kommer alltså att kunna behandla personuppgifter om fällande domar i ärenden om avskiljande av studerande från utbildningen.

Någon motsvarande möjligt att behandla uppgifter om fällande domar för enskilda utbildningsanordnare inom yrkeshögskolan eller utbildningsanordnare som omfattas av förordningen om stöd för konst- och kulturutbildningar eller vissa andra utbildningar finns dock inte i dataskyddslagen.

Av motsvarande skäl som i avsnitt 14.4.2 anges för att enskilda utbildningsanordnare på högskoleområdet ska få behandla personuppgifter som rör fällande domar i brottmål i ett ärende om avskiljande av studenter från utbildning, anser regeringen att en sådan bestämmelse behöver införas även för enskilda utbildningsanordnare inom yrkeshögskolan.

Regeringen bedömer även av motsvarande skäl att en bestämmelse med motsvarande avgränsningar bör införas i förordningen om stöd till konst- och kulturutbildningar och vissa andra utbildningar.

När det gäller frågan om sökförbud har regeringen i avsnitt 14.4.2 konstaterat att det i propositionen Ny dataskyddslag (prop. 2017/18:105) inte föreslås något förbud för myndigheter att som sökbegrepp använda personuppgifter om fällande domar i brottmål eller liknande uppgifter. Med hänsyn dels till att behandling av personuppgifter som rör fällande domar i brottmål bedöms vara ytterst begränsad inom yrkeshögskolan eller inom konst- och kulturutbildningar, dels till strävan att skapa en reglering om behandling av personuppgifter på utbildningsområdet som motsvarar den som föreslås i dataskyddslagen, avstår regeringen från att föreslå sökbegränsningar med avseende på uppgifter om fällande domar i brottmål i lagen om yrkeshögskolan och förordningen om stöd till konst- och kulturutbildningar.

Hänvisningar till S14-5-2

14.6. Någon särskild reglering om lagöverträdelser behövs inte för folkhögskolorna eller studieförbunden

Regeringens bedömning: Någon särskild reglering för folkhögskolornas och studieförbundens behandling av personuppgifter som rör lagöverträdelser behövs inte.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inte kommenterat utredningens bedömning.

Skälen för regeringens bedömning: Folkhögskolorna och studieförbunden har i sin verksamhet inte något behov av att behandla personuppgifter omlagöverträdelser. Något behov av att för deras del särskilt reglera sådan behandling finns därför inte.

14.7. Studiestödsdatalagens bestämmelser om lagöverträdelser ska hänvisa till dataskyddsförordningen

Regeringens bedömning: CSN ska även i fortsättningen få behandla personuppgifter om lagöverträdelser för de ändamål som anges i studiestödsdatalagen. Regeringens förslag: Studiestödsdatalagens uppräkning av de personuppgifter om lagöverträdelser som bara får behandlas för vissa ändamål ska ersättas av en hänvisning till artikel 10 i EU:s dataskyddsförordning.

Utredningens bedömning och förslag: Utredningens bedömning överensstämmer med regeringens bedömning. Utredningen föreslår dock att studiestödsdatalagens bestämmelser om CSN:s behandling av personuppgifter om lagöverträdelser och sökförbud ska innehålla en uppräkning av de kategorier av uppgifter som anges i artikel 10 i dataskyddsförordningen

Remissinstanserna: De flesta remissinstanserna har tillstyrkt eller inte kommenterat utredningens förslag. Dataskydd.net avstyrker utredningens förslag med motiveringen att det redan regleras i dataskyddsförordningen när personuppgifter om lagöverträdelser får behandlas och att ytterligare reglering skulle framstå som missvisande.

Skälen för regeringens bedömning och förslag: Inom studiestödsverksamheten utförs all behandling av personuppgifter av CSN. Av artikel 10 i dataskyddsförordningen följer att uppgifter om lagöverträdelser får behandlas om det sker under kontroll av myndighet, vilket enligt regeringens bedömning i propositionen Ny dataskyddslag innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter som rör lagöverträdelser (prop. 2017/18:105 s. 99). Enligt förslaget i den propositionen har det i 3 kap. 8 § datalyddslagen förtydligats att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen.

Regleringen i studiestödsdatalagen tillåter behandling av personuppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast om uppgifterna har lämnats i ett ärende eller om det behövs för handläggningen av det, om det behövs för att anmäla oegentligheter inom studiestödsverksamheten och för utlämnande i de fall som anges i lagen. Sådana personuppgifter får också behandlas för att ge tillgång till vägledande avgöranden, om de inte direkt pekar ut den registrerade (6 §). Denna begränsning har införts i syfte att skydda den personliga integriteten (se prop. 2008/09:96, s. 4750). Regleringen innebär en begränsning i förhållande till dataskyddsförordningens och dataskyddslagens bestämmelse om myndigheters behandling av lagöverträdelser. Enligt regeringens mening har det inte framkommit skäl att på annat sätt än i dag begränsa möjligheterna till behandling av uppgifter som rör lagöverträdelser m.m. i studiestödsverksamheten. Den nuvarande regleringen av uppgifter som rör behandling av lagöverträdelser för vissa angivna ändamål, som får anses utgöra en sådan specifik bestämmelse för att anpassa

tillämpningen av bestämmelserna i förordningen som är tillåten enligt artikel 6.2 i dataskyddsförordningen, bör därför kvarstå.

I syfte att åstadkomma en enhetligare reglering och i likhet med det förslag som avser behandling av känsliga personuppgifter inom studiestödsverksamheten, föreslår dock regeringen att den uppräkning av personuppgifter om lagöverträdelser m.m. som omfattas av begränsningen i stället ska ersättas med en hänvisning till den bestämmelse i dataskyddsförordningen som reglerar behandlingen av personuppgifter om lagöverträdelser (artikel 10). På motsvarande sätt föreslås också uppräkningen av de personuppgifter om lagöverträdelser som inte får användas som sökbegrepp ersättas av en hänvisning till artikel 10 i dataskyddsförordningen.

15. Vissa ytterligare anpassningar till dataskyddsförordningen ska göras i studiestödsdatalagen

När det gäller behandling av personuppgifter i CSN:s studiestödsverksamhet som regleras i studiestödsdatalagen har frågor som rör rättslig grund, känsliga personuppgifter och lagöverträdelser redan behandlats i avsnitt 9.5, 13.7 och 14.7. Nedan redogörs för behovet av ytterligare anpassningar av studiestödsdatalagen till dataskyddsförordningen.

15.1. Bestämmelser i studiestödsdatalagen som bedöms vara förenliga med dataskyddsförordningen

Regeringens bedömning:Studiestödsdatalagens bestämmelser om personuppgiftsansvar, ändamål med behandlingen, intern elektronisk tillgång till personuppgifter och elektroniskt utlämnande av personuppgifter är förenliga med dataskyddsförordningen och bör behållas.

Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: Remissinstanserna har inte några synpunkter på bedömningen.

Skälen för regeringens bedömning

Bestämmelsen om personuppgiftsansvar kan och bör behållas

I 3 § studiestödsdatalagen finns en upplysning om att CSN är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Personuppgiftsansvarig enligt dataskyddsförordningen är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas

nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt (artikel 4.7 i dataskyddsförordningen). Som framgår nedan är ändamålen för personuppgiftsbehandlingen reglerade i studiestödsdatalagen. Även i övrigt är personuppgiftsbehandlingen reglerad i studiestödsdatalagen och studiestödsdataförordningen. Enligt regeringens bedömning är därmed bestämmelsen i 3 § studiestödsdatalagen förenlig med dataskyddsförordningen och kan därmed behållas.

Bestämmelserna om ändamål, intern elektronisk tillgång till personuppgifter och elektroniskt utlämnande av personuppgifter kan behållas

I 4 § studiestödsdatalagen regleras vilka ändamål med personuppgiftsbehandlingen som är tillåtna. I 9 § studiestödsdatalagen finns bestämmelser om intern elektronisk tillgång till personuppgifter. Vidare innehåller 1014 §§studiestödsdatalagen bestämmelser om direktåtkomst och annat elektroniskt utlämnande av personuppgifter.

Regeringen har i avsnitt 9.5.2 bedömt att det för CSN finns en i enlighet med artikel 6.1 e och artikel 6.3 första stycket i dataskyddsförordningen i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. I sådana fall är det också tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. ändamålsbegränsningar, de allmänna villkor som ska gälla för den personuppgiftsansvariges behandlingar och de enheter till vilka personuppgifter får lämnas ut (artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen). Regeringen anser följaktligen att 4, 9 och 1014 §§studiestödsdatalagen är förenliga med dataskyddsförordningen och kan och bör behållas.

15.2. Rätten att göra invändningar ska inte gälla behandling av personuppgifter som är tillåten enligt studiestödsdatalagen

Regeringens förslag: I studiestödsdatalagen ska det anges att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt studiestödsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen.

Utredningens bedömning: Överensstämmer med regeringens i fråga om att förutsättningarna för att göra undantag från den registrerades rätt att göra invändningar är uppfyllda. Utredningen anser dock att undantaget i 5 § studiestödsdatalagen fortsatt kan vara formulerat så att behandlingen får utföras även om den registrerade motsätter sig behandlingen.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot förslaget.

Centrala studiestödsnämnden anser att bestämmelsen i 5 § studiestödsdatalagen bör ändras så att det tydligare framgår att behandling av personuppgifter får ske trots invändning från den registrerade. Bestämmelsen blir då anpassad till terminologin i dataskyddsförordningens

artikel 21 och det blir tydligare att 5 § studiestödsdatalagen innebär en begränsning med stöd i denna artikel.

Skälen för regeringens förslag

Förutsättningarna för att i studiestödsdatalagen göra undantag från rätten att göra invändningar är uppfyllda

Enligt 5 § studiestödsdatalagen får behandling av personuppgifter som enligt studiestödsdatalagen är tillåten utan den registrerades samtycke utföras även om den registrerade motsätter sig behandlingen. Frågan är om bestämmelsen är förenlig med dataskyddsförordningen

Som angetts i avsnitt 9.5.2 är det regeringens uppfattning att det är den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen som är tillämplig på CSN:s behandling av personuppgifter inom studiestödsverksamheten. Den registrerade ska då ha rätt att göra invändningar mot behandlingar och den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1 i dataskyddsförordningen).

Enligt artikel 23.1 ska det dock i unionsrätten eller i en medlemsstats nationella rätt vara möjligt att införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. artikel 21. En sådan begränsning ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa något av de intressen som listas i artikel 23.1 i dataskyddsförordningen, bl.a. en medlemsstats viktiga mål av generellt allmänt intresse. Vidare måste alla sådana lagstiftningsåtgärder enligt artikel 23.2 innehålla specifika bestämmelser, åtminstone när så är relevant, avseende följande:

a) ändamålen med behandlingen eller kategorierna av behandling,

b) kategorierna av personuppgifter,

c) omfattningen av de införda begränsningarna,

d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller

överföring,

e) specificeringen av den personuppgiftsansvarige eller kategorierna av

personuppgiftsansvariga,

f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av be-

handlingens art, omfattning och ändamål eller kategorierna av behandling,

g) riskerna för de registrerades rättigheter och friheter, och

h) de registrerades rätt att bli informerade om begränsningen, såvida

detta inte kan inverka menligt på begränsningen.

Dataskyddsförordningen ställer därmed högre krav på den nationella begränsande regleringen än dataskyddsdirektivet, eftersom det i dataskyddsdirektivet inte anges några särskilda villkor för en sådan reglering.

När det gäller frågan om de krav som uppställs i artikel 23 i dataskyddsförordningen är uppfyllda kan konstateras att regeringen i avsnitt

9.5.2 har gjort bedömningen att CSN:s studiestödsverksamhet utgör en sådan uppgift av allmänt intresse och även ett sådant viktigt allmänt intresse som avses i artikel 6.1 e och artikel 9.2 g i dataskyddsförordningen. Regeringen anser därför att verksamheten även uppfyller kravet på att verksamheten ska syfta till att ett viktigt mål av generellt allmänt intresse enligt artikel 23.1 e.

Vidare innehåller studiestödsdatalagen med tillhörande förordning även sådana relevanta begränsningar som räknas upp i artikel 23.2, dvs. ändamålen med behandlingen (4 § studiestödsdatalagen), kategorierna av personuppgifter (bl.a. 36 §§studiestödsdataförordningen), omfattningen av de införda begränsningarna (5 § studiestödsdatalagen), skyddsåtgärder (bl.a. 8 och 9 §§studiestödsdatalagen), specificering av den personuppgiftsansvarige (3 § studiestödsdatalagen) och lagringstiden (16 § studiestödsdatalagen och 16 § studiestödsdataförordningen). Enligt regeringens bedömning har studiestödsdatalagen och studiestödsdataförordningen införts efter noggranna överväganden av vilka bestämmelser som är relevanta i sammanhanget.

Det är av stor betydelse att personuppgifter får behandlas i studiestödsverksamhet oberoende av den registrerades inställning. Den personuppgiftsansvarige får närmast undantagslöst anses kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för CSN att behandla relevanta personuppgifter bör den registrerade inte heller fortsättningsvis ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. En sådan begränsning måste anses utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse.

Undantaget i studiestödsdatalagen bör anpassas till dataskyddsförordningen terminologi

Liksom CSN anser regeringen att undantaget från rätten att göra invändningar i studiestödsdatalagen bör anpassas till terminologin i artikel 21 i dataskyddsförordningen, så att det tydligt framgår att 5 § studiestödsdatalagen innebär en begränsning med stöd i denna artikel. I 5 § studiestödsdatalagen bör därför anges att artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till lagen.

Hänvisningar till S15-2

15.3. Studiestödsdatalagens bestämmelse om rättelse och skadestånd ska upphävas

Regeringens förslag:Studiestödsdatalagens bestämmelse om rättelse och skadestånd ska upphävas, eftersom rättelse och skadestånd regleras i dataskyddsförordningen.

Utredningens bedömning: Överensstämmer med regeringens. Remissinstanserna: Remissinstanserna har inte några synpunkter på förslaget.

Skälen för regeringens förslag: I 15 § studiestödsdatalagen anges att bestämmelserna i 28 och 48 §§ PUL om rättelse och skadestånd gäller vid behandling av personuppgifter enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till den lagen. Bestämmelserna i 15 § studiestödsdatalagen har utformats på detta sätt eftersom de angivna bestämmelserna i PUL, enligt lydelsen i PUL, bara gäller behandlingar i strid med PUL eller, enligt 28 § PUL, behandlingar i strid med bestämmelser som har meddelats med stöd av den lagen. Eftersom PUL kommer att upphävas till följd av dataskyddsförordningen behöver 15 § studiestödsdatalagen ändras eller upphävas.

När det gäller rättelse anges i dataskyddsförordningen att den registrerade har rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande (artikel 16). Dataskyddsförordningens bestämmelser om rättelse kommer vara direkt tillämpliga även vid sådan personuppgiftsbehandling som sker i strid med studiestödsdatalagen. Någon hänvisning till dataskyddsförordningens bestämmelser om rättelse behövs därför inte införas i studiestödsdatalagen.

När det gäller skadestånd anges i dataskyddsförordningen att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan (artikel 82.1). Även denna bestämmelse är direkt tillämplig. Regeringen föreslår dessutom i propositionen Ny dataskyddslag (prop. 2017/18:105) att rätten till ersättning enligt dataskyddsförordningen ska gälla vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen (7 kap. 1 dataskyddslagen). Någon hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen behövs därför inte heller i studiestödsdatalagen.

15.4. Studiestödsdatalagens bemyndigande om gallring ska omfatta samma personuppgifter som dataskyddsförordningen

Regeringens förslag:Studiestödsdatalagens bestämmelser om gallring av personuppgifter och bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om bevarande kan och bör behållas. Terminologin i bemyndigandet bör anpassas till dataskyddsförordningen.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag.

Centrala studiestödsnämnden tillstyrker förslaget.

Skälen för regeringens förslag: I 16 § studiestödsdatalagen finns bestämmelser om när gallring av personuppgifter ska ske och ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer

att meddela föreskrifter i vissa fall. Som framgår av avsnitt 9.5.2 bedömer regeringen att det för CSN finns en, i enlighet med artikel 6.1 e och artikel 6.3 första stycket i dataskyddsförordningen, i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av lagringstid. Gallringsbestämmelserna i 16 § studiestödsdatalagen kan följaktligen behållas.

I 16 § tredje stycket studiestödsdatalagen anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Detta gäller även om föreskrifterna kommer att avvika från de tidpunkter för gallring som anges i första stycket. I dataskyddsförordningen finns en motsvarande bestämmelse, av vilken bl.a. framgår att personuppgifter under vissa förutsättningar får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 (artikel 5.1 e). Den nuvarande formuleringen i dataskyddsdirektivet om historiska, statistiska eller vetenskapliga ändamål har i dataskyddsförordningen således ändrats till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Enligt regeringens bedömning innebär omformuleringen dock inte någon skillnad i sak. Regeringen anser dock att bestämmelsen i 16 § tredje stycket studiestödsdatalagen bör anpassas till den terminologi som används i dataskyddsförordningen.

Hänvisningar till S15-4

16. Förhållandet till annan dataskyddsreglering ska framgå av sektorslagstiftningen

Regeringens förslag: I det nya kapitlet i skollagen, lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen ska det införas upplysningsbestämmelser som anger att bestämmelserna kompletterar EU:s dataskyddsförordning. I de tre förstnämnda lagarna ska det även upplysas om att bestämmelser om behandling av personuppgifter också finns i dataskyddslagen. I studiestödsdatalagen ska det anges att vid behandling av personuppgifter enligt den lagen gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av lag eller föreskrifter som har meddelats i anslutning till studiestödsdatalagen. I det nya kapitlet i skollagen och i lagen om yrkeshögskolan ska det upplysas om var i dataskyddslagen eller dataskyddsförordningen det finns bestämmelser om myndigheters behandling av känsliga personuppgifter och lagöverträdelser. I lagen om tillstånd att utfärda vissa examina ska det upplysas om var i dataskyddslagen det finns bestämmelser om känsliga personuppgifter för vissa enskilda organ som jämställs med

myndigheter och om lagöverträdelser för enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv. Upplysningarna ska ges i anslutning till de nya bestämmelserna i sektorslagstiftningen om enskildas behandling av känsliga personuppgifter och lagöverträdelser.

I det nya kapitlet i skollagen ska det också anges att kapitlet inte ska tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården.

Regeringens bedömning: Motsvarande bestämmelser som i lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan bör införas i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.

Utredningens förslag och bedömning: Överensstämmer med regeringens förslag i den del som innebär att det ska framgå av sektorslagstiftningen att den kompletterar annan dataskyddsreglering och har företräde framför dataskyddslagen.

I fråga om myndigheter och organ som i dataskyddslagen jämställs med myndigheter, föreslår utredningen materiella bestämmelser i sektorslagstiftningen i stället för upplysningar om att bestämmelser som gäller för dessa aktörer finns i dataskyddslagen.

Utredningen föreslår även att det ska anges i skollagen att det nya kapitlet inte gäller behandling av personuppgifter i Kriminalvårdens verksamhet enligt 24 kap. 10 § skollagen.

Remissinstanserna: Det stora flertalet remissinstanser har inte några synpunkter på eller har inget att erinra mot utredningens förslag och bedömning. Sveriges Kommuner och Landsting anser det särskilt välkommet att även kommunen i egenskap av hemkommun ska tillämpa det föreslagna kapitlet i skollagen trots att kommuners personuppgiftsbehandling även faller in under dataskyddslagens tillämpningsområde och anser att detta förenklar tillämpningen avsevärt för kommunerna.

Justitiekanslern (JK) anser att det är mycket angeläget att likartade lagtekniska lösningar väljs, t.ex. i fråga om i vilken mån det behövs upplysningsparagrafer som hänvisar till dataskyddsförordningens bestämmelser och hur sådana ska utformas. JK anser också att det är viktigt att så långt det är möjligt eftersträva en likartad systematik i alla de lagar och förordningar som reglerar personuppgiftsbehandling.

Specialpedagogiska skolmyndigheten undrar om förslaget till det nya kapitlet i skollagen som ska komplettera dataskyddslagen innebär att skolor som också är myndigheter parallellt ska använda regleringen i de båda lagarna.

Statens skolinspektion föreslår att det i skollagen även införs en upplysningsbestämmelse om att Datainspektionen är tillsynsmyndighet över den personuppgiftsbehandling som sker inom Skolinspektionens tillsynsområde.

Som nämnts i avsnitt 3 har vissa myndigheter och enskilda beretts tillfälle att yttra sig över vissa delar av ett utkast till lagrådsremiss, vars förslag och bedömning överensstämmer med regeringens förslag och bedömning i detta avsnitt. Statens skolverk anser att det är otydligt vad som i det nya kapitlet i skollagen avses med uttrycket inom hälso- och sjukvården.

Skälen för regeringens förslag och bedömning

Det ska framgå av sektorslagstiftningen att den kompletterar annan dataskyddsreglering

Regeringen delar Justitiekanslerns (JK) uppfattning om vikten av likartade lösningar i de författningar som reglerar personuppgiftsbehandling. I likhet med vad som föreslagits i dataskyddslagen anser regeringen att det nya kapitlet i skollagen och de nya bestämmelserna om behandling av personuppgifter i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen av tydlighetsskäl inledningsvis bör upplysa om att bestämmelserna utgör en komplettering till dataskyddsförordningen.

När det gäller förhållandet till dataskyddslagen föreslår regeringen att det i studiestödsdatalagen, som är en registerförfattning, bör införas en bestämmelse med samma lydelse som har föreslagits i registerförfattningar på andra områden och som anger att vid behandling av personuppgifter enligt studiestödsdatalagen gäller dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till den lagen. Bestämmelse bör ersätta bestämmelsen i 2 § om förhållandet till PUL. Regeringen har i propositionen Ny dataskyddslag redogjort för skälen till att såväl lagar som förordningar som avviker från dataskyddslagen bör ha företräde framför bestämmelserna i dataskyddslagen (prop. 2017/18:105 s. 26 f.).

Skollagen, lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan är inte registerförfattningar. De bestämmelser om behandling av personuppgifter som föreslås där avser också endast att komplettera dataskyddslagens bestämmelser för myndigheter med motsvarande bestämmelser för enskilda utbildningsanordnare. Det är alltså inte fråga om några bestämmelser i sektorsförfattning som avviker från dataskyddslagens reglering. Regeringen ser därför inte behov att i dessa lagar införa en bestämmelse om att bestämmelserna i sektorslagarna ska ha företräde framför dataskyddslagen. Det bör i dessa fall räcka att upplysa om att bestämmelser om behandling av personuppgifter även finns i dataskyddslagen.

Av samma skäl som ovan bedömer regeringen också att de nya bestämmelserna om behandling av känsliga personuppgifter i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inledningsvis bör innehålla motsvarande upplysningsbestämmelser som lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan.

Sektorslagstiftningen ska av tydlighetsskäl även innehålla vissa mer specifika hänvisningar till bestämmelser i andra författningar

Skollagen och lagen om yrkeshögskolan gäller både offentliga och enskilda utbildningsanordnare. Utbildningsdatautredningen har föreslagit att vissa bestämmelser om personuppgiftsbehandling, som ska ge enskilda utbildningsanordnare samma möjligheter till behandling som offentliga utbildningsanordnare, i dessa lagar ska omfatta både enskilda och offentliga utbildningsanordnare. Som framgår av avsnitt 12, anser regeringen att bestämmelser som innebär en dubbelreglering för myndigheter inte ska införas i sektorslagstiftningen utan att kompletteringarna i den

lagstiftningen ska begränsas till att avse enskilda utbildningsanordnare. Regeringen anser dock att det av tydlighetsskäl är lämpligt att i sektorslagstiftningen upplysa om var i dataskyddslagen det finns motsvarande bestämmelser för myndigheter i fråga om känsliga personuppgifter och lagöverträdelser.

Lagen om tillstånd att utfärda vissa examina gäller endast enskilda utbildningsanordnare. I den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen (TF) och offentlighets- och sekretesslagen (2009:400, OSL) gäller i en enskild utbildningsanordnares verksamhet kommer dock denne att även omfattas av dataskyddslagens bestämmelse om behandling av känsliga personuppgifter som krävs enligt lag (3 kap. 3 § första stycket 1 och tredje stycket dataskyddslagen). Som angetts i avsnitt 13.4.2 finns det på högskoleområdet några enskilda utbildningsanordnare som ska tillämpa TF och OSL därför att de finns angivna i bilagan till OSL. Av tydlighetsskäl bör det därför i lagen om tillstånd att utfärda vissa examina, i anslutning till den nya bestämmelsen om behandling av känsliga personuppgifter, upplysas om var i dataskyddslagen det finns en motsvarande bestämmelse om behandling av känsliga personuppgifter för vissa enskilda utbildningsanordnare som jämställs med myndigheter. I 3 kap. 8 andra stycket dataskyddslagen finns vidare en bestämmelse om att andra än myndigheter får behandla personuppgifter om lagöverträdelser om behandlingen är nödvändig för att följa bestämmelser om arkiv. I lagen om tillstånd att utfärda vissa examina bör det därför i anslutning till den nya bestämmelsen om behandling av fällande domar i brottmål, som är en form av uppgifter om lagöverträdelser som avses i artikel 10 i dataskyddsförordningen, upplysas om nämnda bestämmelse i dataskyddslagen.

Som anges i avsnitt 13.3.2 har regeringen i lagrådsremissen Offentlighetsprincipen ska gälla i fristående skolor föreslagit att en ny bestämmelse ska införas i OSL med innebörden att vad som föreskrivs i TF om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar också ska gälla handlingar hos huvudmän för fristående skolor. Enligt förslaget ska huvudmännen vid tillämpningen av OSL jämställas med myndigheter. Av tydlighetsskäl bör det därför upplysas även i skollagen om var i dataskyddslagen det finns motsvarande bestämmelser för andra än myndigheter. Upplysningen bör införas i anslutning till de nya bestämmelserna om behandling av känsliga personuppgifter och lagöverträdelser.

Lagrådet anser att det är överflödigt att i lagen om tillstånd att utfärda vissa examina upplysa om att andra än myndigheter enligt 3 kap. 8 § dataskyddslagen får behandla personuppgifter om lagöverträdelser om behandlingen är nödvändig för att följa bestämmelser om arkiv. Lagrådet anser därför att en sådan bestämmelse kan undvaras. Regeringen anser dock att bestämmelsen, i likhet med motsvarande upplysning som föreslås i skollagen, bidrar till att tydliggöra vilka ytterligare möjligheter som finns för andra än myndigheter att behandla personuppgifter om lagöverträdelser. Regeringen anser därför att upplysningsbestämmelsen bör behållas. Regeringen anser dock att bestämmelsen kan förenklas redaktionellt, i likhet med vad Lagrådet föreslår i fråga om andra bestämmelser som upplyser om innehållet i dataskyddslagen.

Av tydlighetsskäl föreslår regeringen även att det i det nya kapitlet i skollagen anges att kapitlet inte ska tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården. Skälet är att sådan personuppgiftsbehandling i stället omfattas av bl.a. patientdatalagens (2008:355) bestämmelser. Hälso- och sjukvården är ett väletablerat begrepp som också definieras i hälso- och sjukvårdslagen (2017:30) och sedan tidigare används i skollagen (20 kap. 20 §). Till skillnad från Statens skolverk anser regeringen därför att en sådan avgränsning av tillämpningsområdet är tillräckligt tydlig. Utredningen har även föreslagit att det ska anges i skollagen att det nya kapitlet inte gäller behandling av personuppgifter i Kriminalvårdens verksamhet enligt 24 kap. 10 § skollagen. Eftersom de bestämmelser om behandling av känsliga personuppgifter och lagöverträdelser som regeringen föreslår i skollagen endast gäller enskilda aktörer och det föreslagna bemyndigande endast gäller vissa angivna skolformer, omfattas inte Kriminalvårdens verksamhet av bestämmelserna. Det saknas därför anledning att särskilt undanta viss verksamhet hos Kriminalvården från kapitlets tillämpningsområde.

När det gäller Statens skolinspektions förslag att i det nya kapitlet i skollagen även upplysa om att Datainspektionen är tillsynsmyndighet över den personuppgiftsbehandling som sker inom Skolinspektionens tillsynsområde, anser regeringen att detta är ett exempel på en fråga som, i enlighet med JK:s generella synpunkt om likartad hantering, bör hanteras på samma sätt i sektorsförfattningarna. Datainspektionen pekas inte heller ut som tillsynsmyndighet i dataskyddslagen. Regeringen anser därför att det saknas anledning att införa en sådan upplysning just i skollagen.

17. Hänvisningar till dataskyddsförordningen ska vara dynamiska

Regeringens förslag: De hänvisningar till EU:s dataskyddsförordning som förslås i skollagen, i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen ska vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Remissinstanserna har inte haft några synpunkter på förslaget.

Skälen för regeringens förslag: Flera av de föreslagna bestämmelserna i skollagen, i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen innehåller hänvisningar till bestämmelser i dataskyddsförordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En

dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen.

Hänvisningar till dataskyddsförordningen föreslås i skollagen, i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och studiestödsdatalagen i de bestämmelser som anger att de nya bestämmelserna i respektive lag kompletterar dataskyddsförordningen, i bestämmelser som anger att termer och uttrycks ska ha samma betydelse om i dataskyddsförordningen och i bestämmelser som kompletterar dataskyddslagens bestämmelser om känsliga personuppgifter och lagöverträdelser. Motsvarande bestämmelser i dataskyddslagen har i propositionen Ny dataskyddslag (prop. 2017/18:105) föreslagits få en dynamisk utformning. Regeringen anser därför att även hänvisningarna i skollagen, lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan bör ges en dynamisk utformning.

18. Ikraftträdande och övergångsbestämmelser

18.1. Lagändringarna ska träda i kraft den 1 augusti 2018

Regeringens förslag: Ändringarna i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan, studiestödsdatalagen och skollagen ska träda i kraft den 1 augusti 2018.

Utredningens förslag: Utredningen föreslår att lagändringarna träder i kraft den 25 maj 2018.

Remissinstanserna: Remissinstanserna har inte några synpunkter på utredningens förslag.

Som nämnts i avsnitt 3 har Datainspektionen beretts tillfälle att yttra sig över ett utkast till lagrådsremiss. Datainspektionen anser att förslaget i utkastet, som överensstämmer med bedömningen i rutan, kan påverka enskilda utbildningsanordnare möjlighet att behandla känsliga personuppgifter från den 25 maj 2018. Även Statens skolverk, som beretts tillfälle att yttra sig över lagförslaget i utkastet, anser att den föreslagna tidpunkten för ikraftträdande bör övervägas noga.

Skälen för regeringens förslag: Enligt artikel 99.1 i dataskyddsförordningen träder förordningen i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Av artikel 99.2 följer att förordningen ska tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma dag och att hänvisningar till det upphävda direktivet ska anses som hänvisningar till förordningen. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås att dataskyddslagen ska träda i kraft den 25 maj 2018 och att personuppgiftslagen (1998:204) samtidigt ska upphöra att gälla. Med hänsyn till ovanstående delar regeringen Data-

inspektionens och Statens skolverks uppfattning att även ändringarna i lagen (1993:792) om tillstånd att utfärda vissa examina, lagen (2009:128) om yrkeshögskolan, studiestödsdatalagen (2009:287) och skollagen (2010:800) bör träda i kraft så snart som möjligt i anslutning till detta datum. Ett ikraftträdande föreslås därför den 1 augusti 2018, dvs. så snart som det bedöms möjligt med hänsyn till lagstiftningsprocessen.

18.2. Övergångsbestämmelser behövs inte

Regeringens bedömning: Övergångsbestämmelser behövs inte.

Utredningens bedömning och förslag: Överensstämmer med regeringens bedömning i fråga om att övergångsbestämmelser inte behövs när det gäller ändringarna i lagen om tillstånd att utfärda vissa examina, lagen om yrkeshögskolan och skollagen. När det gäller ändringarna i studiestödsdatalagen föreslår utredningen övergångsbestämmelser i fråga om ärenden, överklagande av beslut och skadestånd för skada som har orsakats före ikraftträdandet.

Remissinstanserna: Remissinstanserna har inte några synpunkter på utredningens förslag.

Skälen för regeringens bedömning

Det behövs inte övergångsbestämmelser i fråga om ärenden

Utredningen föreslår att äldre föreskrifter fortfarande ska gälla i fråga om ärenden hos Datainspektionen eller CSN som har inletts men inte avgjorts före ikraftträdandet av ändringarna i studiestödsdatalagen och som avser behandlingar som utförts före ikraftträdandet.

I propositionen Ny dataskyddslag anges att en utgångspunkt i dataskyddsförordningen är att behandling som pågår den dag då förordningen börjar tillämpas ska ha bringats i överensstämmelse med förordningen. Personuppgiftsansvariga och personuppgiftsbiträden får därför förutsättas ha ordnat sin behandling så att exempelvis en begäran om information från en registrerad som inkommit men inte hunnit besvaras före ikraftträdandet kan tillmötesgås i enlighet med förordningens bestämmelser. Även tillsynsmyndighetens verksamhet bör i möjligaste mån ha anpassats till förordningens regelverk vid denna tidpunkt. Tillsynsärenden kan dock pågå under en längre tid och det är inte självklart att tillsynsmyndigheten helt kan styra över när underlaget är så fullständigt att beslut i ärendet kan fattas. Dataskyddsutredningen har mot denna bakgrund föreslagit en övergångsbestämmelse om att ärenden som har inletts hos Datainspektionen före ikraftträdandet av dataskyddslagen men som vid den tidpunkten ännu inte har avgjorts, ska handläggas enligt personuppgiftslagen. Datainspektionen har dock invänt mot det förslaget och anfört att behandling av personuppgifter i de allra flesta fall är en pågående aktivitet samt att pågående behandling ska bedömas enligt regleringen i dataskyddsförordningen från och med dess ikraftträdande. Regeringen har mot den bakgrunden bedömt att det inte finns skäl att införa någon sådan övergångsbestämmelse som Dataskyddsutredningen

har föreslagit (prop. 2017/18:105 s. 175 f.). På grund härav ser regeringen inte heller anledning att införa en övergångsbestämmelse i studiestödsdatalagen.

Det behövs inte övergångsbestämmelser i fråga om överklagande

Utredningen föreslår att äldre föreskrifter fortfarande ska gälla i fråga om överklagande av beslut som avser behandlingar som utförts före ikraftträdandet av ändringarna i studiestödsdatalagen. I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås också en övergångsbestämmelse till dataskyddslagen som innebär att PUL ska fortsätta gälla för överklagande av beslut som har meddelats med stöd av den lagen.

En skillnad mellan PUL och studiestödsdatalagen är dock att studiestödsdatalagen inte innehåller någon bestämmelse om överklagande av beslut. Regeringen ser därför ingen anledning att införa en övergångsbestämmelse om att äldre föreskrifter i lagen fortfarande ska gälla i detta avseende.

Det behövs inte övergångsbestämmelser i fråga om skadestånd

Utredningen föreslår även att äldre föreskrifter fortfarande ska gälla i fråga om skadestånd för skada som har orsakats före ikraftträdandet av ändringarna i studiestödsdatalagen. En motsvarande bestämmelse har föreslagits av Dataskyddsutredningen i dataskyddslagen. Som regeringen konstaterar i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 176) följer dock av allmänna grundsatser att ny lagstiftning ska gälla i fråga om skadestånd med anledning av skadefall som inträffar efter ikraftträdandet, medan äldre lag ska tillämpas på skadefall som har inträffat dessförinnan. Regeringen konstaterar därför i den propositionen att det inte behöver införas någon övergångsbestämmelse om skadestånd i dataskyddslagen. På grund härav, och ser regeringen inte heller anledning att införa en övergångsbestämmelse om skadestånd i studiestödsdatalagen.

19. Konsekvenser

Nedan redovisas konsekvensbedömningar med anledning av förslagen i denna proposition. I konsekvensbedömningen ingår inte de konsekvenser som följer av direkt tillämpliga bestämmelser i dataskyddsförordningen eller den i propositionen Ny dataskyddslag föreslagna dataskyddslagen vars konsekvenser bedöms i den propositionen (prop. 2017/18:105).

Föreslagna lagändringar möjliggör fortsatt nödvändig behandling av personuppgifter på utbildningsområdet

Lagförslagen i denna proposition innebär anpassningar till dataskyddsförordningen genom att det i skollagen, lagen om tillstånd att utfärda vissa examina och lagen om yrkeshögskolan införs bestämmelser som möjliggör nödvändig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser i de fall sådan behandling inte kan ske med stöd av dataskyddslagen.

Ett alternativ, som berörs i avsnitt 11, skulle kunna vara att föreslå mer detaljerade registerförfattningar för bl.a. skollagsreglerad utbildningsverksamhet, högskolor och yrkeshögskolor. Regeringen anser dock att det är lämpligare att endast föreslå bestämmelser som möjliggör nödvändig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser i befintliga författningar.

Om bestämmelser som kompletterar dataskyddslagen och som möjliggör nödvändig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser inte införs, skulle det innebära att enskilda huvudmän och enskilda utbildningsanordnare inte fullt ut skulle kunna fullgöra sina åligganden, t.ex. enligt skollagen. Bestämmelserna syftar därmed till att möjliggöra en fortsatt ändamålsenlig behandling av personuppgifter på utbildningsområdet.

De ändringar som föreslås i studiestödsdatalagen utgör anpassningar till dataskyddsförordningen och den föreslagna dataskyddslagen. Om inga ändringar görs, kommer studiestödsdatalagen att innehålla bestämmelser som hänvisar till personuppgiftslagen, som kommer att upphävas till följd av förslagen i propositionen Ny dataskyddslag, och bestämmelser som inte överensstämmer med det nya regelverket på dataskyddsområdet.

Förslagen kommer inte att innebära någon kostnadsökning för staten, kommuner och landsting

Avsikten med de förslag som lämnas i denna proposition är att de, när dataskyddsförordningen ska börja tillämpas, ska möjliggöra den personuppgiftsbehandling som redan sker i dagsläget med stöd av PUL.

När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är dock inte unikt för de förslag som presenterar i denna proposition, utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs utbildning i detta fall beror inte heller enbart på den lagstiftning som föreslås, utan främst på den samlade dataskyddsreformen. Kostnader för utbildning täcks normalt av myndigheternas anslag.

Regeringen anser därför, trots de synpunkter som Bergs kommun, Förvaltningsrätten i Linköping och Stockholms kommun framfört om ökade kostnader för utbildning, att dessa kostnader bör rymmas inom befintliga ramar och att de förslag som lämnas i denna proposition även i övrigt är kostnadsneutrala.

Förslagen kommer inte att innebära någon kostnadsökning för enskilda huvudmän och utbildningsanordnare

Förslagen rör ett stort antal enskilda huvudmän och enskilda utbildningsanordnare som anordnar utbildningsverksamhet och som och som därmed berörs av förslagen. I utredningens betänkande redogörs mer detaljerat för hur många enskilda huvudmän och utbildningsanordnare som finns inom olika utbildningsformer (SOU 2017:49 s. 476478). Antalet enskilda som anordnar utbildningsverksamhet varierar dock från år till år.

Som angetts ovan är avsikten med de förslag som lämnas i denna proposition att de, när dataskyddsförordningen ska börja tillämpas, ska möjliggöra den personuppgiftsbehandling som redan sker i dagsläget

med stöd av PUL. Detta gäller inte minst de enskilda huvudmännen och enskilda utbildningsanordnarna, eftersom de inte omfattas av dataskyddslagens bestämmelser om behandling av känsliga personuppgifter som gäller ett viktigt allmänt intresse och behandling av uppgifter om lagöverträdelser och liknande.

Förslagen som möjliggör för enskilda huvudmän som driver grundsärskolor och gymnasiesärskolor att behandla känsliga personuppgifter utan att behöva inhämta samtycke bedöms kunna innebära att den administrativa bördan och därmed kostnader för administration minskar.

När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är dock inte unikt för förslagen i denna proposition, utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs utbildning i detta fall beror inte heller enbart på den lagstiftning som föreslås i denna proposition, utan främst på den samlade dataskyddsreformen.

Ny lagstiftning kräver normalt också nya interna föreskrifter och styrande dokument. Även detta behov är dock så gott som uteslutande ett resultat av dataskyddsförordningens ikraftträdande och alltså inte ett resultat av förslagen i denna proposition. Sådan anpassning som krävs med anledning av förslagen får anses ingå i de normala uppgifterna för organisationerna.

Eftersom de föreslagna bestämmelserna rör integritetsskydd för de registrerade har det vid utformningen av bestämmelserna inte varit möjligt att beakta den personuppgiftsansvariges organisationsform eller företagsstorlek.

Förslagen är neutrala rörande integritetsskyddet

Dataskyddsförordningen stärker integritetsskyddet för enskilda och ger dem bättre möjligheter att kunna kontrollera hur deras personuppgifter behandlas. De bestämmelser som regeringen föreslår i denna proposition möjliggör behandling av personuppgifter motsvarande vad som är möjligt med gällande dataskyddsbestämmelser. Förslagen bedöms därför vara neutrala beträffande det integritetsintrång som de innebär jämfört med det integritetsintrång som finns i dagsläget med gällande bestämmelser.

Förslagen förväntas inte få några andra konsekvenser

Förslagen får inte några konsekvenser för kommuner och landsting generellt eller för den kommunala självstyrelsen. Förslagen får inte heller några konsekvenser för jämställdheten, miljön, integrationen eller några konsekvenser i övrigt.

20. Författningskommentar

20.1. Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina

Behandling av personuppgifter

10 § Bestämmelserna i 13 och 14 §§ tillämpas vid behandling av person-

uppgifter i verksamhet hos en enskild utbildningsanordnare som har fått tillstånd att utfärda examina och som bedrivs med stöd av denna lag, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

Paragrafen är ny och har utformats med förslaget till 26 a kap. 1 § skollagen (2010:800) som förebild. Bestämmelser som gäller för enskilda utbildningsanordnare som har fått tillstånd att utfärda examina finns i denna lag men kan även finnas i annan författning eller beslut som meddelats med stöd av författning. Med föreskrifter i annan författning avses t.ex. föreskrifter som finns i annan lag, exempelvis diskrimineringslagen (2008:567), föreskrifter som har meddelats med stöd av annan lag och föreskrifter som har meddelats med stöd av regeringens restkompetens.

Paragrafen har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 12, 13.4 och 14.4.

11 § Bestämmelserna i 13 och 14 §§ kompletterar Europaparlamentets och

rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i 13 och 14 §§ har samma betydelse som i EU:s dataskyddsförordning.

Paragrafen är ny.

I första stycket anges att 13 och 14 §§ innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att bestämmelserna inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat i EU. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser om behandling av personuppgifter som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Bestämmelserna i 13 och 14 §§ innehåller kompletterande bestämmelser som gäller för enskilda utbildningsanordnare som har fått tillstånd att utfärda examina i enlighet med denna lag.

Av andra stycket framgår att de termer och uttryck som används i 13 och 14 §§ ska förstås på samma sätt som i dataskyddsförordningen. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen även gäller vid tillämpningen av dessa bestämmelser.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Övervägandena finns i avsnitt 16 och 17.

12 § Bestämmelser om behandling av personuppgifter finns även i lagen

( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

Paragrafen är ny och upplyser om att bestämmelser om behandling av personuppgifter även finns i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen. I dataskyddslagen finns det generella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som i tillämpliga delar även gäller vid behandling av personuppgifter som utförs av de utbildningsanordnare som omfattas av lagen om tillstånd att utfärda vissa examina.

Paragrafen har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 16 och 17.

13 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning

(känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller

2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

För vissa enskilda utbildningsanordnare som jämställs med myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

Paragrafen är ny.

I första stycket anges när en enskild utbildningsanordnare får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, som här benämns känsliga personuppgifter. De personuppgifter som avses är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Stycket kompletterar bestämmelserna i 3 kap. 3 § första stycket 2 och 3 dataskyddslagen om möjlighet för myndigheter att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende och i annat fall, genom att det införs motsvarande möjlighet till behandling för enskilda utbildningsanordnare.

Av punkt 1 framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet. Även om förvaltningslagen (2017:900) som träder i kraft den 1 juli 2018 inte gäller i de enskilda utbildningsanordnarnas verksamhet, bör begreppen handläggning och ärende tolkas

på samma sätt som enligt 1 § förvaltningslagen. Begreppet handläggning innefattar alla åtgärder som vidtas från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett beslut av något slag. Vid bedömningen av om ett uttalande är att anse som ett beslut i denna mening är det uttalandets syfte och innehåll som är avgörande, inte dess yttre form.

Att behandlingen måste vara nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet innebär bl.a. att bara sådana uppgifter som behövs för hanteringen får behandlas. Begreppet nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster (se avsnitt 6.2).

Punkt 1 möjliggör behandling av känsliga personuppgifter i enskilda utbildningsanordnares motsvarighet till ärenden om t.ex. avsteg vid antagningsförfarandet, statsbidrag för särskilt utbildningsstöd, särskilt pedagogiskt stöd, trakasserier, sexuella trakasserier, disciplinära åtgärder eller avskiljande.

Punkt 2 möjliggör behandling av känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Bestämmelsen är således tillämplig i situationer som på en myndighet hänförs till s.k. faktisk verksamhet. Bestämmelsen är inte avsedd att tillämpas slentrianmässigt i den löpande verksamheten. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet.

Om behandlingen skulle innebära ett sådant intrång, får den inte ske enligt denna bestämmelse. För att avgöra om intrånget är otillbörligt måste den personuppgiftsansvarige göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Bedömningen av de registrerades intresse av att behandlingen inte sker bör utgå från det intresse av integritetsskydd som de registrerade typiskt sett har. Den personuppgiftsansvarige måste således inte göra en bedömning i förhållande till varje berörd individ. Vid bedömningen av intrånget i den enskildes personliga integritet ska vikt läggas vid bl.a. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Detta innebär t.ex. att bestämmelsen inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.

Andra stycket innebär att enskilda utbildningsanordnare förbjuds att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det motsvarar det förbud som gäller för myndigheter enligt 3 kap. 3 § andra stycket dataskyddslagen. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en

viss funktionsnedsättning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer.

För att underlätta tillämpningen innehåller tredje stycket en upplysning om att det för vissa enskilda utbildningsanordnare som jämställs med myndigheter finns bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen. Stycket har utformats enligt Lagrådets förslag.

Övervägandena finns i avsnitt 13.4.2, 13.4.3, 13.4.5 och 16.

14 § Personuppgifter som rör fällande domar i brottmål får behandlas av en

enskild utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning.

För enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv finns det även bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen.

Paragrafen är ny.

I första stycket anges när enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål. Bestämmelsen kompletterar bestämmelsen i 3 kap. 8 § dataskyddslagen som gäller behandling av sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen hos dels myndigheter, dels andra än myndigheter om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Personuppgifter om fällande domar är en av de uppgiftskategorier som anges i artikel 10.

Till skillnad från 3 kap. 8 § dataskyddslagen omfattar bestämmelsen inte behandling av övriga kategorier av personuppgifter som anges i artikel 10 i dataskyddsförordningen, eftersom de enskilda utbildningsanordnarna inte bedöms ha något behov av sådan behandling.

För att bestämmelsen ska uppfylla kravet i artikel 10 på lämpliga skyddsåtgärder för registrerade vars uppgifter inte behandlas under kontroll av en myndighet, har bestämmelsen begränsats till att avse behandlingar som är nödvändiga för hantering som motsvarar handläggning av ett ärende hos en myndighet om att avskilja en student från utbildning. Vad som avses med att behandlingen ska vara nödvändig behandlas i kommentaren till 12 § första stycket.

För att underlätta tillämpningen upplyser andra stycket om att det för enskilda utbildningsanordnare som är skyldiga att följa föreskrifter om arkiv även finns bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen.

Övervägandena finns i avsnitt 14.4.2 och 16.

20.2. Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan

Behandling av personuppgifter

19 a § Bestämmelserna i 19 d och 19 e §§ tillämpas vid behandling av person-

uppgifter i verksamhet inom yrkeshögskolan som bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

Paragrafen är ny och har utformats med förslaget till 26 a kap. 1 § skollagen som förebild. I paragrafen anges i vilken verksamhet bestämmelserna om behandling av personuppgifter i 19 d och 19 e §§ är tillämpliga. Bestämmelser som gäller för verksamhet inom yrkeshögskolan finns i denna lag och föreskrifter som meddelats med stöd av lagen men kan även finnas i annan författning eller beslut som meddelats med stöd av författning. Med föreskrifter som meddelats med stöd av lagen avses föreskrifter som har meddelats med stöd av bemyndiganden i lagen om yrkeshögskolan. Med föreskrifter i annan författning avses t.ex. föreskrifter som finns i annan lag, exempelvis diskrimineringslagen (2008:567), föreskrifter som har meddelats med stöd av annan lag och föreskrifter som har meddelats med stöd av regeringens restkompetens.

Paragrafen har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 12, 13.5, 14.5.

19 b § Bestämmelserna i 19 d och 19 e §§ kompletterar Europaparlamentets

och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i 19 d och 19 e §§ har samma betydelse som i EU:s dataskyddsförordning.

Paragrafen är ny.

I första stycket anges att 19 d och 19 e §§ innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att bestämmelserna inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat i EU. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser om behandling av personuppgifter som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag.

Av andra stycket framgår att de termer och uttryck som används i 19 d och 19 e §§ ska förstås på samma sätt som i dataskyddsförordningen. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen även gäller vid tillämpningen av dessa bestämmelser.

Hänvisningarna till dataskyddsförordningen i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Övervägandena finns i avsnitt 16 och 17.

19 c § Bestämmelser om behandling av personuppgifter finns även i lagen

( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

Paragrafen är ny och upplyser om att bestämmelser om behandling av personuppgifter även finns i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, och i andra föreskrifter som har meddelats i anslutning till den lagen. I dataskyddslagen finns det generella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som i tillämpliga delar även gäller vid behandling av personuppgifter som utförs av de utbildningsanordnare som omfattas av lagen om yrkeshögskolan.

Paragrafen har utformats enligt Lagrådets förslag. Överväganden finns i avsnitt 16 och 17.

19 d § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning

(känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas av en enskild utbildningsanordnare

1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller

2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

För myndigheter finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

Paragrafen är ny.

I första stycket anges när en enskild utbildningsanordnare får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, som här benämns känsliga personuppgifter. De personuppgifter som avses är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Stycket kompletterar bestämmelserna i 3 kap. 3 § första stycket 2 och 3 dataskyddslagen, som ger myndigheter möjlighet att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende och i annat fall, genom att det införs motsvarande möjlighet till behandling för enskilda utbildningsanordnare.

Av punkt 1 framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende. Även om förvaltningslagen (2017:900) som träder i kraft den 1 juli 2018 inte gäller i de enskilda utbildningsanordnarnas verksamhet, bör begreppen handläggning och ärende tolkas på samma sätt som enligt 1 § förvaltningslagen. Begreppet handläggning innefattar alla åtgärder som vidtas från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett

uttalande som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett beslut av något slag. Vid bedömningen av om ett uttalande är att anse som ett beslut i denna mening är det uttalandets syfte och innehåll som är avgörande, inte dess yttre form.

Att behandlingen måste vara nödvändig för en hantering som motsvarar handläggning av ärendet hos en myndighet innebär bl.a. att bara sådana uppgifter som behövs för hanteringen får behandlas. Begreppet nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster (se avsnitt 6.2).

Punkt 1 möjliggör behandling av känsliga personuppgifter i enskilda utbildningsanordnares motsvarighet till ärenden om t.ex. särskilt pedagogiskt stöd, trakasserier, sexuella trakasserier eller avskiljande.

Punkt 2 möjliggör behandling av känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Bestämmelsen är således tillämplig i situationer som på en myndighet hänförs till s.k. faktisk verksamhet. Bestämmelsen är inte avsedd att tillämpas slentrianmässigt i den löpande verksamheten. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. Om behandlingen skulle innebära ett sådant intrång, får den inte ske enligt denna bestämmelse. För att avgöra om intrånget är otillbörligt måste den personuppgiftsansvarige göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Bedömningen av de registrerades intresse av att behandlingen inte sker bör utgå från det intresse av integritetsskydd som de registrerade typiskt sett har. Den personuppgiftsansvarige måste således inte göra en bedömning i förhållande till varje berörd individ. Vid bedömningen av intrånget i den enskildes personliga integritet ska vikt läggas vid bl.a. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Detta innebär t.ex. att bestämmelsen inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.

Andra stycket innebär att enskilda utbildningsanordnare förbjuds att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det motsvarar det sökförbud som gäller för myndigheter enligt 3 kap. 3 § andra stycket dataskyddslagen. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en viss funktionsnedsättning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer.

För att underlätta tillämpningen innehåller tredje stycket en upplysning om att det för myndigheter finns bestämmelser om behandling av

känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen. För utbildningsanordnare inom yrkeshögskolan som är myndigheter gäller alltså motsvarande bestämmelser i dataskyddslagen. Stycket har utformats enligt Lagrådets förslag.

Övervägandena finns i avsnitt 13.5.3, 13.5.4, 13.5.5 och 16.

19 e § Personuppgifter som rör fällande domar i brottmål får behandlas av

enskilda utbildningsanordnare om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet om avskiljande av en studerande från utbildning.

För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § första stycket dataskyddslagen.

Paragrafen är ny.

I första stycket anges när enskilda utbildningsanordnare får behandla personuppgifter som rör fällande domar i brottmål. Bestämmelsen kompletterar bestämmelsen i 3 kap. 8 § första stycket dataskyddslagen som gäller behandling av sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen hos myndigheter. Personuppgifter om fällande domar är en av de uppgiftskategorier som anges i artikel 10. Till skillnad från 3 kap. 8 § dataskyddslagen omfattar bestämmelsen dock inte behandling av övriga kategorier av personuppgifter som anges i artikel 10 i dataskyddsförordningen, eftersom de enskilda utbildningsanordnarna inte bedöms ha något behov av sådan behandling.

För att bestämmelsen ska uppfylla kravet i artikel 10 på lämpliga skyddsåtgärder för registrerade vars uppgifter inte behandlas under kontroll av en myndighet, har bestämmelsen begränsats till att avse behandlingar som är nödvändiga för en hantering som motsvarar handläggning av ett ärende hos en myndighet om avskiljande av en studerande från utbildning. Vad som avses med att behandlingen ska vara nödvändig behandlas i kommentaren till 19 c § första stycket.

För att underlätta tillämpningen upplyser andra stycket om att det finns bestämmelser om att myndigheter får behandla personuppgifter som avses i artikel 10 i dataskyddsförordningen i 3 kap. 8 § första stycket dataskyddslagen.

Övervägandena finns i avsnitt 14.5.2 och 16 .

20.3. Förslag till lag om ändring i studiestödsdatalagen (2009:287)

Förhållandet till annan reglering

2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU)

2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

I paragrafen anges lagens förhållande till annan lag.

Ändringen i första stycket innebär att den tidigare hänvisningen till personuppgiftslagen ersätts av en bestämmelse som anger att lagen innehåller kompletterande bestämmelser till EU:s dataskyddsförordning. Detta innebär att bestämmelserna inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Lagen innehåller kompletterande bestämmelser som gäller inom den verksamhet som anges i 1 §.

Av andra stycket framgår att de termer och uttryck som används i lagen ska förstås på samma sätt som i EU:s dataskyddsförordning. Det innebär bl.a. att definitionerna i artikel 4 i EU:s dataskyddsförordning även gäller vid tillämpningen av lagen.

Bestämmelsen i andra stycket ersätter en bestämmelse om vilken reglering CSN ska tillämpa vid behandling av personuppgifter för att framställa statistik. Sistnämnda bestämmelse flyttas i stället till 2 a § andra stycket.

Hänvisningarna till EU:s dataskyddsförordning i denna lag är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Rubriken har utformats enligt Lagrådets förslag.

Vid behandling av personuppgifter enligt denna lag gäller lagen

2 a §

( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till denna

lag.

Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen ( 2001:99 ) om den officiella statistiken och anslu-

tande författningar tillämpas i stället för denna lag .

Paragrafen är ny.

Paragrafens första stycke upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen. Bestämmelsens första led utgör en upplysning om att det i dataskyddslagen och anslutande föreskrifter finns generella nationella bestämmelser om behandling av personuppgifter som kompletterar och preciserar dataskyddsförordningen och som därmed även gäller i CSN:s studiestödsverksamhet. Andra ledet anger att dataskyddslagen och anslutande föreskrifter är subsidiära i förhållande till denna lag och anslutande föreskrifter. Det innebär att dataskyddslagens bestämmelser endast gäller i den mån inte annat föreskrivs i denna lag eller föreskrifter meddelade i anslutning till denna lag. Stycket har utformats enligt Lagrådets förslag.

I andra stycket anges att vid CSN:s behandling av personuppgifter för framställning av statistik ska lagen om den officiella statistiken tillämpas. Andra stycket motsvarar hittillsvarande 2 § andra stycket och medför inte någon ändring.

Övervägandena finns i avsnitt 16 och 17.

Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar

gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter

som har meddelats i anslutning till lagen.

5 §

I paragrafen regleras att behandling av personuppgifter som enligt denna lag är tillåten utan den registrerades samtycke även får utföras om den registrerade motsätter sig behandlingen.

Paragrafen ändras så att det införs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som tillåts enligt artikel 23 i dataskyddsförordningen.

Övervägandena finns i avsnitt 15.2.

6 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (käns-

liga personuppgifter) och personuppgifter som avses i artikel 10 i samma förordning får behandlas av Centrala studiestödsnämnden för ändamål som avses i 4 § första stycket 1 och 6 och andra stycket.

I paragrafen anges i vilka fall känsliga personuppgifter och personuppgifter om lagöverträdelser, får behandlas av CSN.

Bestämmelsen ändras genom att första och andra styckena slås ihop till ett stycke. Paragrafen ändras vidare så att den uppräkning av personuppgifter som fanns i första stycket 1 och 3 ersätts med en hänvisning till artikel 9.1 i EU:s dataskyddsförordning som innehåller en uppräkning av särskilda kategorier av personuppgifter som i denna lag benämns som känsliga personuppgifter. De särskilda kategorier av personuppgifter som anges i den artikeln är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Den uppräkning av personuppgifter om lagöverträdelser som fanns i första stycket 2 ersätts med en hänvisning till definitionen i artikel 10 i EU:s dataskyddsförordning. De personuppgifter som anges i den artikeln är uppgifter om fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 98) är att artikel 10 i förordningen, för svenskt vidkommande, tar sikte på personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Som regeringen konstaterar i den propositionen (s. 98) innebär detta att uppgifter om administrativa frihetsberövanden inte omfattas av artikel 10 i EU:s dataskyddsförordning. Eftersom definitionen av känsliga personuppgifter är något vidare än den nuvarande uppräkningen i de tidigare punkterna 1 och 3 och definitionen i artikel 10 i EU:s dataskyddsförordning något snävare än uppräkningen i den tidigare punkten 2, innebär det att något fler känsliga personuppgifter och något färre personuppgifter om lagöverträdelser omfattas av bestämmelsen.

Övervägandena finns i avsnitt 13.7 och 14.7.

8 § Det är förbjudet att använda sökbegrepp som avslöjar

1. känsliga personuppgifter,

2. personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning,

3. uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, eller

4. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.

Sökbegrepp som avslöjar uppgifter som anges i första stycket får dock användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen.

Sökbegrepp får också användas om de avslöjar uppgifter som rör

1. hälsa, om det är nödvändigt för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och

2. inkomst och förmögenhet, om det är nödvändigt för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.

I paragrafen regleras begränsningar för användning av sökbegrepp.

Första stycket ändras så att den uppräkning av känsliga personuppgifter som finns i punkterna 1 och 3, ersätts med termen känsliga personuppgifter, som är definierad genom hänvisningen i 6 § till artikel 9.1 i EU:s dataskyddsförordning (se kommentaren till 6 §), och som placeras i punkten 1. I punkten 2 ersätts den tidigare uppräkningen av personuppgifter om lagöverträdelser med en hänvisning till definitionen i artikel 10 i EU:s dataskyddsförordning. När det gäller innebörden av dessa ändringar, se kommentaren till 6 § om innebörden av motsvarande ändringar i den paragrafen. Den redaktionella utformningen av första stycket ändras också så att den stämmer bättre överens med motsvarande bestämmelser i andra lagar, till exempel 14 § domstolsdatalagen (2015:728). Ändringen innebär ingen skillnad i sak.

Av andra stycket framgår att det vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får användas sökbegrepp som avslöjar uppgifter som anges i första stycket. Hänvisningen till uppgifter i första stycket medför att det, med anledning av den ändrade innebörden av begreppen känsliga personuppgifter och personuppgifter om lagöverträdelser, uppstår samma konsekvenser som i första stycket (se kommentaren till första stycket). I övrigt ändras den redaktionella utformningen på motsvarande sätt som i första stycket, vilket inte innebär någon skillnad i sak. Stycket motsvarar det tidigare andra stycket första meningen.

Tredje stycket innehåller undantag från sökbegränsningarna avseende personuppgifter om hälsa samt inkomst och förmögenhet vid sökning i hela studiestödsverksamheten hos CSN. Stycket motsvarar det tidigare andra stycket andra meningen. Ändringarna är endast redaktionella.

Övervägandena finns i avsnitt 13.7 och 14.7.

10 § Direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i Centrala studiestödsnämndens studiestödsverksamhet, är tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4, 6 och 8 §§ följs.

I paragrafen regleras direktåtkomst till och elektroniskt utlämnande av personuppgifter i studiestödsverksamheten.

Bestämmelsen ändras så att den registrerades samtycke inte längre kan vara grund för att tillåta direktåtkomst till personuppgifter i studiestödsverksamheten eller att elektroniskt lämna ut personuppgifter från den verksamheten. Vidare tas hänvisningen till 7 § bort, vilket är en följdändring på grund av att den bestämmelsen upphävs.

Övervägandena finns i avsnitt 9.5.4.

16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.

Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål, statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. CSN får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.

Paragrafen avser gallring av personuppgifter i studiestödsverksamheten.

I paragrafens tredje stycke, som innehåller ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om bevarande, ändras formuleringen ”historiska, statistiska eller vetenskapliga ändamål” till den formulering som används i dataskyddsförordningen, dvs. ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.

Övervägandena finns i avsnitt 15.4.

20.4. Förslag till lag om ändring i skollagen (2010:800)

1 kap.

12 § Lagen är uppdelad i 30 kapitel.

Dessa är – inledande bestämmelser (1 kap.), – huvudmän och ansvarsfördelning (2 kap.), – barns och elevers utveckling mot målen (3 kap.), – kvalitet och inflytande (4 kap.), – trygghet och studiero (5 kap.), – åtgärder mot kränkande behandling (6 kap.), – skolplikt och rätt till utbildning (7 kap.),

– förskolan (8 kap.), – förskoleklassen (9 kap.), – grundskolan (10 kap.), – grundsärskolan (11 kap.), – specialskolan (12 kap.), – sameskolan (13 kap.), – fritidshemmet (14 kap.), – gymnasieskolan (15–17 a kap.), – gymnasiesärskolan (18 och 19 kap.), – kommunal vuxenutbildning (20 kap.), – särskild utbildning för vuxna (21 kap.), – entreprenad och samverkan (23 kap.), – särskilda utbildningsformer (24 kap.), – annan pedagogisk verksamhet (25 kap.), – tillsyn, statlig kvalitetsgranskning och nationell uppföljning och utvärdering (26 kap.),

behandling av personuppgifter (26 a kap.), – Skolväsendets överklagandenämnd och Lärarnas ansvarsnämnd (27 kap.), – överklagande (28 kap.), och – övriga bestämmelser (29 kap.).

I paragrafen beskrivs innehållet i lagen.

Ändringen är en följd av att ett nytt kapitel, 26 a kap., införs i lagen.

26 a kap. Behandling av personuppgifter

1 § Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som

bedrivs med stöd av denna lag, föreskrifter som meddelats med stöd av lagen, bestämmelser för utbildningen som finns i annan författning eller beslut som meddelats med stöd av någon av dessa författningar.

Detta kapitel ska inte tillämpas på behandling av personuppgifter i elevhälsan som utförs inom hälso- och sjukvården.

Paragrafen är ny.

I första stycket anges i vilken verksamhet kapitlet är tillämpligt. Enligt 2 kap. 8 § ansvarar huvudmannen för att utbildningen genomförs i enlighet med bestämmelserna i denna lag, föreskrifter som har meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar. Motsvarande uppräkning anges därför i första stycket. Med föreskrifter som meddelats med stöd av lagen avses föreskrifter som har meddelats med stöd av bemyndiganden i skollagen. Med föreskrifter i annan författning avses t.ex. föreskrifter som finns i annan lag, exempelvis diskrimineringslagen (2008:567), föreskrifter som har meddelats med stöd av annan lag och föreskrifter som har meddelats med stöd av regeringens restkompetens. Eftersom verksamhet i vilken behandling av personuppgifter behövs även kan ske på grund av beslut som meddelats med stöd av författning omfattas även sådan verksamhet av tillämpningsområdet.

Med verksamhet avses både verksamhet som utförs av rektorer, lärare och annan personal i t.ex. förskolan eller skolan och verksamhet som utförs på ledningsnivå.

Genom bestämmelsen i andra stycket undantas personuppgiftsbehandling som sker i elevhälsan och som utförs inom hälso- och sjukvården från tillämpningsområdet. Sådan personuppgiftsbehandling om-

fattas i stället av bl.a. patientdatalagens (2008:355) bestämmelser. Det innebär att hälso- och sjukvårdspersonal inom elevhälsan som är skyldig att föra patientjournal och behandla personuppgifter enligt patientdatalagens bestämmelser även fortsättningsvis ska tillämpa den lagen med tillhörande föreskrifter, och inte bestämmelserna i detta kapitel.

Paragrafen har utformats enligt Lagrådets förslag. Kapitlet har också placerats som ett nytt 26 a kap. enligt Lagrådets förslag.

Övervägandena finns i avsnitt 12, 13.3, 14.3 och 16.

Förhållandet till annan dataskyddsreglering

2 § Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets

förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i detta kapitel har samma betydelse som i EU:s dataskyddsförordning.

Paragrafen är ny.

I första stycket anges att kapitlet innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att bestämmelserna inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat i EU. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser om behandling av personuppgifter som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Kapitlet innehåller kompletterande bestämmelser som gäller inom den verksamhet som anges i 26 a kap. 1 §.

Av andra stycket framgår att de termer och uttryck som används i kapitlet ska förstås på samma sätt som i dataskyddsförordningen. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen även gäller vid tillämpningen av kapitlet.

Hänvisningarna till dataskyddsförordningen i detta kapitel är dynamiska, dvs. avser förordningen i dess gällande lydelse vid varje tidpunkt.

Övervägandena finns i avsnitt 16 och 17.

3 § Bestämmelser om behandling av personuppgifter finns även i lagen

( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och i föreskrifter som har meddelats i anslutning till den lagen.

Paragrafen är ny och upplyser om att bestämmelser om behandling av personuppgifter även finns i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, benämnd dataskyddslagen, och i andra föreskrifter som har meddelats i anslutning till den lagen.

I dataskyddslagen finns det generella bestämmelser om behandling av personuppgifter som kompletterar och preciserar data-skyddsförordningen och som i tillämpliga delar även gäller vid behandling av personuppgifter som utförs inom den verksamhet som anges i 26 a kap. 1 §.

Paragrafen har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 16 och 17.

Känsliga personuppgifter

4 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning

(känsliga personuppgifter) får med stöd av artikel 9.2 g i samma förordning behandlas hos en enskild huvudman enligt 2 kap. eller hos en enskild aktör enligt 24 eller 25 kap.

1. om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet, eller

2. i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vid behandling som sker med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

För myndigheter och vissa andra organ finns det bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen.

Paragrafen är ny.

I första stycket anges när en enskild huvudman enligt 2 kap. eller en enskild aktör enligt 24 eller 25 kap. får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, som här benämns känsliga personuppgifter. De personuppgifter som avses är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Stycket kompletterar bestämmelserna i 3 kap. 3 § första stycket 2 och 3 dataskyddslagen om möjlighet för myndigheter att behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende och i annat fall, genom att det införs motsvarande möjlighet till behandling i verksamhet hos enskilda huvudmän och enskilda aktörer enligt 24 och 25 kap.

Av punkt 1 framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig för en hantering som motsvarar handläggning av ett ärende hos en myndighet. Vid enskilda huvudmäns handläggning av ärenden som avser myndighetsutövning mot någon enskild gäller enligt 29 kap. 10 § vissa bestämmelser i förvaltningslagen (1986:223). Så föreslås även bli fallet när den nya förvaltningslagen (2017:900) träder i kraft den 1 juli 2018 (Ds 2017:42 Följdändringar till ny förvaltningslag). Vid annan hantering som motsvarar handläggningen av ett ärende hos en myndighet är förvaltningslagen däremot inte tillämplig på enskilda huvudmän och enskilda aktörer enligt 24 eller 25 kap. Begreppen handläggning och ärende bör dock i båda fallen tolkas på samma sätt som enligt 1 § förvaltningslagen (2017:900). Begreppet handläggning innefattar alla åtgärder som vidtas från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett beslut av något slag. Vid bedömningen av om ett uttalande är att anse som

ett beslut i denna mening är det uttalandets syfte och innehåll som är avgörande, inte dess yttre form.

Att behandlingen måste vara nödvändig innebär bl.a. att bara sådana uppgifter som behövs i ärendet eller för den motsvarande hanteringen får behandlas. Begreppet nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster (se avsnitt 6.2).

Punkt 1 möjliggör behandling av känsliga personuppgifter i enskilda huvudmäns eller enskilda aktörers motsvarighet till ärenden om t.ex. särskilt stöd, åtgärdsprogram och kränkande behandling.

Punkt 2 möjliggör behandling av känsliga personuppgifter i annat fall, om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Bestämmelsen är således tillämplig i situationer som på en myndighet hänförs till s.k. faktisk verksamhet. I skolväsendet kan det t.ex. vara fråga om kommunikation mellan skolan och föräldrar. Bestämmelsen är inte avsedd att tillämpas slentrianmässigt i den löpande verksamheten. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. Om behandlingen skulle innebära ett sådant intrång, får den inte ske enligt denna bestämmelse. För att avgöra om intrånget är otillbörligt måste den personuppgiftsansvarige göra en proportionalitetsbedömning där behovet av att utföra behandlingen vägs mot de registrerades intresse av att behandlingen inte sker. Bedömningen av de registrerades intresse av att behandlingen inte sker bör utgå från det intresse av integritetsskydd som de registrerade typiskt sett har. Den personuppgiftsansvarige måste således inte göra en bedömning i förhållande till varje berörd individ. Vid bedömningen av intrånget i den enskildes personliga integritet ska vikt läggas vid bl.a. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Detta innebär t.ex. att bestämmelsen inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.

Andra stycket innebär att enskilda huvudmän och enskilda aktörer enligt 24 eller 25 kap. förbjuds att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det motsvarar det sökförbud som gäller för myndigheter enligt 3 kap. 3 § andra stycket dataskyddslagen. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en viss funktionsnedsättning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer.

För att underlätta tillämpningen innehåller tredje stycket en upplysning om att det för myndigheter och vissa andra organ finns bestämmelser om behandling av känsliga personuppgifter och om sökbegränsningar i 3 kap. 3 § dataskyddslagen. Stycket har i huvudsak utformats enligt

Lagrådets förslag. Regeringen anser dock att de organ som inte är myn-

digheter, i likhet med vad som är fallet i 1 § arkivlagen

(

1990:782), bör

benämnas ”andra organ”.

Övervägandena finns i avsnitt 13.3.3, 13.3.4, 13.3.10 och 16.

5 § Regeringen får meddela föreskrifter om undantag från de sökbegränsningar

som avses i 4 § andra stycket denna lag och i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om hälsa i verksamhet hos en huvudman för

1. grundsärskola,

2. specialskolan,

3. gymnasiesärskola,

4. särskild utbildning för vuxna,

5. gymnasieskola med Rh-anpassad utbildning,

6. utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning, och

7. förskola, förskoleklass eller skola som har begränsats till att avse elever som är i behov av särskilt stöd.

Regeringen får också meddela föreskrifter om undantag från sökbegränsningen i 3 kap. 3 § andra stycket dataskyddslagen i fråga om personuppgifter om

1. etniskt ursprung i verksamhet hos en huvudman för sameskolan, och

2. hälsa och etniskt ursprung i verksamhet hos en kommun.

Paragrafen är ny.

Bemyndigandet i första stycket gäller undantag från både sökbegränsningen i 26 a kap. 4 § skollagen som avser enskilda och 3 kap. 3 § andra stycket dataskyddslagen som avser myndigheter. Det innebär att bemyndigandet gäller undantag för både enskilda och offentliga huvudmän som bedriver de angivna skolformerna. Lagrådet har förslagit att hänvisningen till andra bestämmelser förtydligas så att ”denna lag och” ersätts med ”samt”. Regeringen anser dock att det av tydlighetsskäl bör framgå att hänvisningen till 4 § andra stycket avser en bestämmelse i denna lag.

Bemyndigandet i andra stycket gäller enbart undantag från sökbegränsningen i 3 kap. 3 § andra stycket dataskyddslagen som avser myndigheter, detta eftersom både huvudmannen för sameskolan och kommuner omfattas av sökbegränsningen i den lagen.

I 3 kap. 4 § dataskyddslagen föreslås ett generellt bemyndigande för regeringen att meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse. I de fall det finns behov av att meddela föreskrifter om undantag från sökbegränsningar vid behandling av känsliga personuppgifter i de verksamheter som anges i första och andra styckena bör dock bemyndigandet i denna paragraf i skollagen användas för sådana sektorsspecifika föreskrifter.

Övervägandena finns i avsnitt 13.3.10.

Personuppgifter som rör lagöverträdelser

6 § Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får

behandlas i verksamhet hos en huvudman för en fristående skola om behandlingen är nödvändig i verksamheten och inte innebär ett otillbörligt intrång i den registrerades personliga integritet

1. i löpande text inom elevhälsan, och

2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 §. För myndigheter finns det bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Där finns det även bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv.

Paragrafen är ny.

I första stycket anges när en huvudman för en fristående skola får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. De personuppgifter som avses där är personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Regeringens bedömning i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 98) är att artikel 10 i förordningen, för svenskt vidkommande, tar sikte på personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Som regeringen konstaterar i den propositionen (s. 98) innebär detta att uppgifter om administrativa frihetsberövanden inte omfattas av artikel 10 i dataskyddsförordningen.

Bestämmelsen kompletterar bestämmelsen i 3 kap. 8 § dataskyddslagen som gäller behandling av sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen hos dels myndigheter och dels andra än myndigheter om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Genom bestämmelsen möjliggörs även för fristående skolor att behandla personuppgifter om lagöverträdelser i vissa fall.

För att bestämmelsen ska uppfylla kravet i artikel 10 på lämpliga skyddsåtgärder för registrerade vars uppgifter inte behandlas under kontroll av en myndighet, har det införts vissa begränsningar i bestämmelsen. För det första begränsas bestämmelsen till att avse sådana situationer där ett behov av behandling har identifierats, dvs i löpande text inom elevhälsan och i skriftlig dokumentation som ska föras om disciplinära och andra särskilda åtgärder enligt 5 kap. 24 § skollagen. För det andra krävs att personuppgiftsbehandlingen ska vara nödvändig och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vad som avses med att behandlingen ska vara nödvändig och inte innebära ett otillbörligt intrång i den registrerades personliga integritet behandlas i kommentaren till 2 a kap. 4 § första stycket.

För att underlätta tillämpningen upplyser andra stycket om att det för myndigheter finns bestämmelser om behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning i 3 kap. 8 § dataskyddslagen. Stycket upplyser också om att det där även finns bestämmelser för andra än myndigheter som är skyldiga att följa föreskrifter om arkiv. Stycket har utformats enligt Lagrådets förslag.

Övervägandena finns i avsnitt 14.3.2 och 16

.

Hänvisningar till S20-4

Prop. 2017/18:218

Bilaga 1

221

I

(Lagstiftningsakter)

FÖRORDNINGAR

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679

av den 27 april 2016

om skydd för fysiska personer med avseende på behandling av personuppgifter och om

det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän

dataskyddsförordning)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (

1

),

med beaktande av Regionkommitténs yttrande (

2

),

i enlighet med det ordinarie lagstiftningsförfarandet (

3

), och

av följande skäl:

(1)

Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i

Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget

om Europeiska unionens funktionssätt (EUF-fördraget) föreskriver att var och en har rätt till skydd av de

personuppgifter som rör honom eller henne.

(2) Principerna och reglerna för skyddet för fysiska personer vid behandling av deras personuppgifter bör, oavsett

deras medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, särskilt deras rätt till

skydd av personuppgifter. Avsikten med denna förordning är att bidra till att skapa ett område med frihet,

säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och

konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.

(3) Europaparlamentets och rådets direktiv 95/46/EG (

4

) syftar till att harmonisera skyddet av fysiska personers

grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av

personuppgifter mellan medlemsstaterna.

4.5.2016

L 119/1

Europeiska unionens officiella tidning

SV

(

1

) EUT C 229, 31.7.2012, s. 90.

(

2

) EUT C 391, 18.12.2012, s. 127.

(

3

) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av

den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.

(

4

) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling

av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

222

Prop. 2017/18:218

Bilaga 1

(4) Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter

är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande

rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter

och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för

privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och

religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk

domstol samt kulturell, religiös och språklig mångfald.

(5) Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande

ökning av de gränsöverskridande flödena av personuppgifter. Utbytet av personuppgifter mellan offentliga och

privata aktörer, inbegripet fysiska personer, sammanslutningar och företag, över hela unionen har ökat. Nationella

myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personuppgifter för att vara i

stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

(6) Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av

personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det

möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en

helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över.

Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av

personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt

som en hög skyddsnivå säkerställs för personuppgifter.

(7)

Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av

kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala

ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den

rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.

(8)

Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom

medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för

samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på,

införliva delar av denna förordning i nationell rätt.

(9) Målen och principerna för direktiv 95/46/EG är fortfarande giltiga, men det har inte kunnat förhindra bristande

enhetlighet i genomförandet av dataskyddet i olika delar av unionen, rättsosäkerhet eller allmänt spridda

uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av

internet. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av

personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av

personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk

verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina

skyldigheter enligt unionsrätten. De varierande skyddsnivåerna beror på skillnader i genomförandet och

tillämpningen av direktiv 95/46/EG.

(10) För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av

personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling

av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna

om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör

säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för

att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgift­

sansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa

hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om

dataskydd varigenom direktiv 95/46/EG genomförs har medlemsstaterna flera sektorsspecifika lagar på områden

som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att

specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade

känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare

omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig

behandling av personuppgifter.

4.5.2016

L 119/2

Europeiska unionens officiella tidning

SV

Prop. 2017/18:218

Bilaga 1

223

(11) Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och

specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av

personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att

reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i

medlemsstaterna.

(12) I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för

fysiska personer när det gäller behandling av personuppgifter och bestämmelser om den fria rörligheten för

personuppgifter.

(13) För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som

hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar

rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag,

och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt

ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling

av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyn­

digheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs att det fria flödet av

personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska

personer med avseende på behandling av personuppgifter. För att ta hänsyn till mikroföretagens samt de små och

medelstora företagens särskilda situation innehåller denna förordning ett undantag för organisationer som

sysselsätter färre än 250 personer med avseende på registerföring. Dessutom uppmanas unionens institutioner

och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta

hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppen mikroföretag

samt små och medelstora företag bör bygga på artikel 2 i bilagan till kommissionens rekommendation

2003/361/EG (

1

).

(14) Det skydd som ska tillhandahållas enligt denna förordning bör tillämpas på fysiska personer, oavsett

medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter. Denna förordning omfattar

inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer,

exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.

(15) För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara

teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara

tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller

är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt

särskilda kriterier, bör inte omfattas av denna förordning.

(16) Denna förordning är inte tillämplig på frågor som rör skyddet av grundläggande rättigheter och friheter eller det

fria flödet av personuppgifter på områden som inte omfattas av unionsrätten, såsom verksamhet rörande

nationell säkerhet. Denna förordning är inte tillämplig på medlemsstaternas behandling av personuppgifter när de

agerar inom ramen för unionens gemensamma utrikes- och säkerhetspolitik.

(17)

Europaparlamentets och rådets förordning (EG) nr 45/2001 (

2

) är tillämplig på den behandling av

personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av

unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till

principerna och bestämmelserna i den här förordningen och tillämpas mot bakgrund av den här förordningen.

För att tillhandahålla en stark och sammanhängande ram för dataskyddet inom unionen bör nödvändiga

anpassningar av förordning (EG) nr 45/2001 göras när den här förordningen har antagits, så att de båda

förordningarna kan tillämpas samtidigt.

(18) Denna förordning är inte tillämplig på fysiska personers behandling av personuppgifter som ett led i verksamhet

som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes-

eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta

4.5.2016

L 119/3

Europeiska unionens officiella tidning

SV

(

1

) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (K(2003) 1422)

(EUT L 124, 20.5.2003, s. 36).

(

2

) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu­

tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001,

s. 1).

224

Prop. 2017/18:218

Bilaga 1

korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan

verksamhet. Denna förordning är dock tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som

tillhandahåller utrustning för behandling av personuppgifter för sådan privat verksamhet eller hushålls­

verksamhet.

(19) Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att

förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda

mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter,

säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på

behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna

förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt,

nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 (

1

). Medlemsstaterna får anförtro behöriga

myndigheter i den mening som avses i direktiv (EU) 2016/680 uppgifter som inte nödvändigtvis utförs för att

förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda

mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för

dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna

förordning.

Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av

tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika

bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det

fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra

ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur.

När privata organs behandling av personuppgifter omfattas av tillämpningsområdet för denna förordning, bör

denna förordning ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och

rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för

att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning,

avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande

och förhindrande av hot mot den allmänna säkerheten. Detta är exempelvis relevant i samband med bekämpning

av penningtvätt eller verksamhet vid kriminaltekniska laboratorier.

(20) Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter,

skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden

för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av

personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter

när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets

oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att

anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka

framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets

medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling

av uppgifter.

(21) Denna förordning påverkar inte tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG (

2

), särskilt

bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. Syftet med det

direktivet är att bidra till att den inre marknaden fungerar väl genom att säkerställa fri rörlighet för informations­

samhällets tjänster mellan medlemsstaterna.

(22) All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller personupp­

giftsbiträdens verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om

behandlingen i sig äger rum inom unionen. Verksamhetsställe innebär det faktiska och reella utförandet av

verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial

eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende.

4.5.2016

L 119/4

Europeiska unionens officiella tidning

SV

(

1

) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga

myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga

påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (se sidan 89 i detta nummer av

EUT).

(

2

) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster,

särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

Prop. 2017/18:218

Bilaga 1

225

(23) För att fysiska personer inte ska fråntas det skydd som denna förordning ger dem bör sådan behandling av

personuppgifter om registrerade personer som befinner sig i unionen vilken utförs av en personuppgiftsansvarig

eller ett personuppgiftsbiträde som inte är etablerad inom unionen omfattas av denna förordning, om

behandlingen avser utbjudande av varor eller tjänster inom unionen till de registrerade, oavsett om detta är

kopplat till en betalning. I syfte att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder

varor eller tjänster till registrerade som befinner sig i unionen bör man fastställa om det är uppenbart att den

personuppgiftsansvarige eller personuppgiftsbiträdet avser att erbjuda tjänster till registrerade i en eller flera av

unionens medlemsstater. Medan enbart åtkomlighet till den personuppgiftsansvariges, personuppgiftsbiträdets

eller en mellanhands webbplats i unionen, till en e-postadress eller andra kontaktuppgifter eller användning av ett

språk som allmänt används i det tredjeland där den personuppgiftsansvarige är etablerad inte är tillräckligt för att

fastställa en sådan avsikt, kan faktorer som användning av ett språk eller en valuta som allmänt används i en eller

flera medlemsstater med möjlighet att beställa varor och tjänster på detta andra språk, eller omnämnande av

kunder eller användare som befinner sig i unionen, göra det uppenbart att den personuppgiftsansvarige avser att

erbjuda varor eller tjänster till registrerade inom unionen.

(24) Den behandling av personuppgifter som avser registrerade som befinner sig i unionen som utförs av en

personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen bör också omfattas av

denna förordning, om den hör samman med övervakningen av de registrerade personernas beteende när de

befinner sig i unionen. För att avgöra huruvida en viss behandling kan anses övervaka beteendet hos registrerade,

bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med

hjälp av teknik som profilerar fysiska personer, i synnerhet för att fatta beslut rörande honom eller henne eller för

att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

(25) Om medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten, bör denna förordning också vara tillämplig

på personuppgiftsansvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska

beskickning eller konsulat.

(26) Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person.

Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att

kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om

en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den

personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt

identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att

användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader

och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som

den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen

information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som

anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör

därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller

forskningsändamål.

(27) Denna förordning gäller inte behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får

fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer.

(28) Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och

hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett

uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för

dataskydd.

(29) För att skapa incitament för tillämpning av pseudonymisering vid behandling av personuppgifter bör åtgärder för

pseudonymisering som samtidigt medger en allmän analys vara möjliga inom samma personuppgiftsansvarigs

verksamhet, när den personuppgiftsansvarige har vidtagit de tekniska och organisatoriska åtgärder som är

nödvändiga för att se till att denna förordning genomförs för berörd uppgiftsbehandling och att kompletterande

uppgifter för tillskrivning av personuppgifterna till en specifik registrerad person förvaras separat. Den

personuppgiftsansvarige som behandlar personuppgifterna bör ange behöriga personer inom samma personupp­

giftsansvarigs verksamhet.

4.5.2016

L 119/5

Europeiska unionens officiella tidning

SV

226

Prop. 2017/18:218

Bilaga 1

(30) Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och

protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår

som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas

för att skapa profiler för fysiska personer och identifiera dem.

(31) Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig

förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter

eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte

betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild

utredning av allmänt intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga

myndigheters begäranden om att uppgifter ska lämnas ut ska alltid vara skriftliga och motiverade, läggas fram i

enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters

behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är

tillämpliga på behandlingens ändamål.

(32) Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och

otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter

rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan

inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på

informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i

sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter.

Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all

behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för

samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara

tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(33) Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga

forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till

vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas.

Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av

forskningsprojekt i den utsträckning det avsedda syftet medger detta.

(34) Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade

genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför

allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta

motsvarande information.

(35) Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd

som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.

Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhanda­

hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv

2011/24/EU (

1

), ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att

identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en

kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om

exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades

fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan

sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(36) Den personuppgiftsansvariges huvudsakliga verksamhetsställe i unionen bör vara den plats i unionen där den

personuppgiftsansvarige har sin centrala förvaltning, såvida inte beslut om ändamålen och medlen för behandling

av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen; i sådant fall

4.5.2016

L 119/6

Europeiska unionens officiella tidning

SV

(

1

) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande

hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

Prop. 2017/18:218

Bilaga 1

227

bör det andra verksamhetsstället anses vara det huvudsakliga verksamhetsstället. En personuppgiftsansvarigs

huvudsakliga verksamhetsställe inom unionen bör avgöras med beaktande av objektiva kriterier och bör

inbegripa den faktiska och reella ledning som fattar de huvudsakliga besluten vad avser ändamål och medel för

behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt av om behandlingen av

personuppgifter utförs på detta ställe. Att tekniska medel och teknik för behandling av personuppgifter eller

behandlingsverksamhet finns och används visar i sig inte att det rör sig om ett huvudsakligt verksamhetsställe

och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Personuppgiftsbiträdets

huvudsakliga verksamhetsställe bör vara den plats i unionen där denne har sin centrala förvaltning eller, om

denne inte har någon central förvaltning inom unionen, den plats inom unionen där den huvudsakliga

behandlingen sker. I fall som omfattar både en personuppgiftsansvarig och ett personuppgiftsbiträde bör den

behöriga ansvariga tillsynsmyndigheten fortfarande vara tillsynsmyndigheten i den medlemsstat där den

personuppgiftsansvarige har sitt huvudsakliga verksamhetsställe, men den tillsynsmyndighet som gäller för

personuppgiftsbiträdet bör betraktas som en berörd tillsynsmyndighet och den tillsynsmyndigheten bör delta i det

samarbetsförfarande som föreskrivs i denna förordning. Om utkastet till beslut endast gäller den personuppgift­

sansvarige, bör tillsynsmyndigheterna i den eller de medlemsstater där personuppgiftsbiträdet har ett eller flera

verksamhetsställen inte under några omständigheter betraktas som berörda tillsynsmyndigheter. Om

behandlingen utförs av en koncern bör det kontrollerande företagets huvudsakliga verksamhetsställe betraktas

som koncernens huvudsakliga verksamhetsställe, utom då behandlingens ändamål och de medel med vilka den

utförs fastställs av ett annat företag.

(37) En koncern bör innefatta ett kontrollerande företag och de företag som detta företag kontrollerar (kontrollerade

företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på de

övriga företagen i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av

eller befogenheten att införa regler som rör personuppgiftsskyddet. Ett företag med kontroll över behandlingen av

personuppgifter vid företag som är underställda detta företag bör, tillsammans med dessa företag, anses utgöra en

koncern.

(38) Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker,

följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt

skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa

personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som

erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas

för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

(39) Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska

personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i

vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all

information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och

lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till

registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information

för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse

på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna

om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de

kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna

behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.

Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de

behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är

begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte

rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt

bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder

bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer

lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig

användning av personuppgifter och den utrustning som används för behandlingen.

(40) För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från den berörda registrerade

eller på någon annan legitim grund som fastställts i lag, antingen i denna förordning eller i annan unionsrätt eller

4.5.2016

L 119/7

Europeiska unionens officiella tidning

SV

228

Prop. 2017/18:218

Bilaga 1

medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att de rättsliga skyldigheter som åligger

den personuppgiftsansvarige måste fullgöras eller att ett avtal i vilket den registrerade är part måste genomföras

eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.

(41) När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis

en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella

ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och

precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid

Europeiska unionens domstol (nedan kallad domstolen) och Europeiska domstolen för de mänskliga rättigheterna.

(42) När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade

har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det

finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt

samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (

1

) bör en förklaring om samtycke som den

personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med

användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den

registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för

vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har

någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(43) För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av

personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp­

giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att

samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke

antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av

personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet

tillhandahållandet av en tjänst – är avhängigt av samtycket, trots