SOU 2017:49
EU:s dataskyddsförordning och utbildningsområdet
Till statsrådet och chefen för Utbildningsdepartementet
Regeringen beslutade den 30 juni 2016 att tillkalla en särskild utredare med uppdrag att föreslå kompletterande regleringar för behandling av personuppgifter inom utbildningsområdet, med undantag för forskningsverksamhet (dir. 2016:63).
Till särskild utredare förordnades samma dag chefsjuristen vid Pensionsmyndigheten Mikael Westberg.
Som sakkunnig i utredningen förordnades den 26 september 2016 kanslirådet vid Utbildningsdepartementet Tyri Öhman.
Som experter att biträda utredningen förordnades den 26 september 2016 ämnesrådet vid Utbildningsdepartementet Anna Barklund, juristen vid Myndigheten för yrkeshögskolan Anna Berg, enhetschefen vid Luleå tekniska universitet Jenny Blom, departementssekreteraren vid Utbildningsdepartementet Andreas Bokerud, förbundsjuristen vid Friskolornas riksförbund Mariette Dennholt, chefsjuristen vid Specialpedagogiska skolmyndigheten Ulrika Ehlin, departementssekreteraren vid Utbildningsdepartementet Hedvig Feltelius, juristen vid Statens skolverk Anna Grebäck, juristen vid Datainspektionen Ulrika Harnesk, chefsjuristen vid Universitets- och högskolerådet Drazenko Jozic, verksjuristen vid Centrala studiestödsnämnden Johan Lindeberg, förbundsjuristen vid Sveriges Kommuner och Landsting Kristina Söderberg och handläggaren vid Folkbildningsrådet Tomas Östlund.
Andreas Bokerud entledigades från sitt uppdrag den 24 januari 2017 och departementssekreteraren vid Utbildningsdepartementet Per Anders Nilsson Strandberg utsågs samma dag i hans ställe.
Som sekreterare anställdes den 1 juli 2016 juristen vid Pensionsmyndigheten Anne-Therése Byström, numera Zetterström, och den 24 augusti 2016 kammarrättsassessorn Tommy Fraenkel.
Utredningen, som har tagit sig namnet Utbildningsdatautredningen, överlämnar härmed betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49).
Till betänkandet har fogats ett särskilt yttrande av experten Ulrika Harnesk.
Uppdraget är härmed slutfört.
Stockholm i juni 2017
Mikael Westberg
/ Anne-Therése Zetterström
Tommy Fraenkel
Förkortningar
Artikel 29-gruppen Artikel 29-arbetsgruppen för skydd av personuppgifter
BEDA nationell databas för betygsuppgifter från gymnasieskolan och kommunal vuxenutbildning på gymnasial nivå
CSN Centrala studiestödsnämnden
dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
dataskyddslagen Dataskyddsutredningens förslag till lag (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning
DIFS Datainspektionens författningssamling
dir. direktiv
EES Europeiska ekonomiska samarbetsområdet
EU Europeiska unionen
EU-domstolen Europeiska unionens domstol/ Europeiska gemenskapernas domstol
f. följande sida/sidor
FBR Folkbildningsrådet
kommissionen Europeiska kommissionen
MYH Myndigheten för yrkeshögskolan
MYHFS Myndigheten för yrkeshögskolans författningssamling
OSL offentlighets- och sekretesslagen (2009:400)
prop. regeringens proposition
PUF personuppgiftsförordningen (1998:1191)
PUL personuppgiftslagen (1998:204)
SCB Statistiska centralbyrån
SiS Statens institutionsstyrelse
SKOLFS Skolverkets författningssamling
Skolinspektionen Statens skolinspektion
Skolverket Statens skolverk
SOU Statens offentliga utredningar
UHR Universitets- och högskolerådet
UHRFS Universitets- och högskolerådets författningssamling
UKÄ Universitetskanslersämbetet
VHS Verket för högskoleservice
Sammanfattning
Utredningens uppdrag
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Utredningen har i detta betänkande valt att benämna den nya rättsakten dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna och ska börja tillämpas den 25 maj 2018. Genom dataskyddsförordningen upphävs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), vilket innebär att personuppgiftslagen (1998:204, PUL) måste upphävas.
En särskild utredare fick den 25 februari 2016 regeringens uppdrag att lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen (dir. 2016:15). Utredningen, som tog sig namnet Dataskyddsutredningen (Ju 2016:04), fick även i uppdrag att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter. I Dataskyddsutredningens uppdrag ingick också bl.a. att överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. I Dataskyddsutredningens uppdrag ingick dock inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som finns i bl.a. särskilda registerförfattningar.
Utredningen har fått i uppdrag att föreslå kompletterande regleringar för behandling av personuppgifter inom utbildningsområdet,
med undantag för forskningsverksamhet. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den ska skydda den enskildes fri- och rättigheter.
I utredningens uppdrag ingår att undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå.
Uppdraget omfattar även att analysera om det utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet.
I utredningens uppdrag ingår vidare att se över vilka anpassningar av studiestödsdatalagen (2009:287), studiestödsdataförordningen (2009:321), förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, förordningen (2011:268) om lärar- och förskollärarregister och förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar som behövs med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag som utredningen kan komma att lämna.
Slutligen ingår det även i utredningens uppdrag att analysera om det behövs något författningsstöd – utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna – för att personuppgifter även fortsättningsvis ska kunna behandlas i betygsdatabasen BEDA, i de register som Myndigheten för yrkeshögskolan (MYH) svarar för samt i registret över deltagare i studiecirklar och annan folkbildningsverksamhet hos studieförbunden.
Skollagsreglerad utbildningsverksamhet
Utredningen bedömer att det för huvudmän inom skolväsendet och aktörer enligt 24 och 25 kap. skollagen (2010:800) finns en i svensk rätt fastställd uppgift av allmänt intresse att tillhandahålla, anordna och bedriva utbildning och annan pedagogisk verksamhet. Även en
kommuns åligganden enligt skollagen är en i svensk rätt fastställd uppgift av allmänt intresse. För sådan personuppgiftsbehandling som är nödvändig för utförandet av dessa uppgifter är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan dessa organ i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Dessa kan även i viss utsträckning använda sig av samtycke som rättslig grund (artikel 6.1 a). Vidare kan enskilda huvudmän även tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).
Beträffande behandling av känsliga personuppgifter bedömer utredningen att kommuner, landsting och staten, även som huvudmän inom skolväsendet, kan finna stöd för viss sådan behandling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Enligt utredningens bedömning har enskilda huvudmän – när de anordnar utbildning enligt skollagen – samma behov av att kunna behandla känsliga personuppgifter som offentliga huvudmän. De enskilda huvudmännen kan dock inte grunda sådan behandling i dataskyddslagen annat än i den mån offentlighetsprincipen och sekretesslagstiftningen enligt författning gäller i ett organs verksamhet. I dessa fall möjliggör 3 kap. 3 § 2 dataskyddslagen sådan behandling av känsliga personuppgifter som är oundviklig i organets verksamhet som en direkt följd av bland annat tryckfrihetsförordningens och offentlighets- och sekretesslagens (2009:400) bestämmelser om allmänna handlingar och diarieföring.
Vissa skolformer och anordnare av vissa utbildningar har dessutom ett behov av att kunna behandla känsliga personuppgifter mer systematiskt, bl.a. grundsärskolan och sameskolan, som det inte finns stöd för i dataskyddslagen. Detsamma gäller för kommunerna när de ska utföra vissa uppgifter som de är ålagda enligt skollagen.
Utredningen bedömer därför att det finns behov av att möjliggöra sådan behandling. För tydlighets skull föreslår utredningen att det i ett nytt 28 a kapitel i skollagen ska införas bl.a. motsvarande bestämmelser som Dataskyddsutredningen föreslår i 3 kap. 3 och 4 §§ dataskyddslagen. Kapitlet ska tillämpas vid den personuppgiftsbehandling som både offentliga och enskilda huvudmän, hemkommunen och aktörer enligt 24 och 25 kap. skollagen utför.
Vidare föreslås att huvudmän för vissa skolformer, bl.a. grundsärskolan och specialskolan, och för vissa utbildningar, bl.a. Rh-anpassad utbildning och fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd, under vissa förutsättningar får behandla uppgifter om hälsa. Sameskolan föreslås få behandla uppgifter om etniskt ursprung under vissa förutsättningar.
Hemkommunen föreslås få behandla uppgifter om hälsa i vissa fall och uppgift om hälsa och etniskt ursprung när det är nödvändigt för att fullgöra skyldighet enligt 7 kap. 21 § skollagen.
För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Huvudmän för de skolformer och utbildningar som föreslås få behandla uppgifter om hälsa respektive etniskt ursprung under vissa förutsättningar undantas dock från förbudet för just sökbegrepp som avslöjar hälsa respektive etniskt ursprung. Detsamma gäller för hemkommunen i de fall den getts särskild möjlighet att behandla vissa känsliga personuppgifter. Regeringen föreslås få meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som tillåts.
Vidare föreslås regeringen få meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av skollagen.
Förslaget till dataskyddslag innehåller en upplysningsbestämmelse som tydliggör att förbudet i artikel 10 mot behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel inte gäller för myndigheter. Utredningen bedömer att i förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting kommer personuppgifter som rör fällande domar i brottmål och liknande i de enskilda fall sådan behandling bedöms nödvändig kunna behandlas med stöd av dataskyddsförordningen.
Utredningen bedömer att det för fristående skolor finns skäl att möjliggöra behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel i elevhälsan i löpande text om det är absolut nöd-
vändigt för ändamålet med behandlingen och i skriftlig dokumentation som ska föras enligt 5 kap. 24 § skollagen om det är absolut nödvändigt för ändamålet med behandlingen.
Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för huvudmän inom skolväsendet, hemkommunen och aktörer enligt 24 och 25 kap. skollagen kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen inte krävs en särskild lag för den personuppgiftsbehandling som utförs av huvudmännen inom skolväsendet. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utredningen föreslår.
Utredningen anser att goda skäl talar för att det ska tas fram en uppförandekod för skolväsendets personuppgiftsbehandling. Utredningen föreslår därför att regeringen ger lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.
Universitets- och högskolesektorn
Behov av reglering
Utredningen bedömer att det för statliga högskolor och enskilda utbildningsanordnare med examenstillstånd enligt lagen (1993:792) om tillstånd att utfärda vissa examina finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva högskoleutbildning. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan lärosätena i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Lärosätena kan i viss utsträckning även använda sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).
Beträffande behandling av känsliga personuppgifter bedömer utredningen att statliga högskolor kan finna stöd för sådan behand-
ling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § dataskyddslagen. Dataskyddsutredningens förslag, med undantag för behandling av känsliga personuppgifter med anledning av offentlighetsprincipen, gäller endast för myndigheter. Eftersom utredningen bedömer att enskilda utbildningsanordnare har samma behov som statliga högskolor att behandla känsliga personuppgifter föreslår utredningen att det i lagen om tillstånd att utfärda vissa examina ska införas bestämmelser med motsvarande innebörd som de som Dataskyddsutredningen föreslår.
Vidare bedömer utredningen att enskilda utbildningsanordnare, i ärenden om avskiljande av studenter från utbildning, har samma behov som statliga högskolor att behandla personuppgifter som rör fällande domar i brottmål. Utredningen föreslår därför en bestämmelse som möjliggör sådan behandling, eftersom dataskyddsförordningen och dataskyddslagen endast medger att statliga högskolor behandlar sådana uppgifter.
För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det ska införas en bestämmelse om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för lärosätenas del kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen krävs en särskild lag för statliga högskolors personuppgiftsbehandling. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utredningen föreslår.
Förordningen om redovisning av studier m.m. vid universitet och högskolor
Utredningen bedömer att bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor utgör i enlighet med artikel 6.1 c i dataskyddsförordningen fastställda rättsliga för-
pliktelser för statliga högskolor att föra ett studieregister och för Statistiska centralbyrån att föra ett universitets- och högskoleregister samt ett register för sammanställning av statistik över högskolornas personal. Förandet av nämnda register är dessutom fastställda uppgifter av allmänt intresse i enlighet med första ledet i artikel 6.1 e. För Universitets- och högskolerådets (UHR) del finns det genom bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor en fastställd uppgift av allmänt intresse att föra ett antagningsregister.
Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förordningen om redovisning av studier m.m. vid universitet och högskolor är därmed i sig förenlig med dataskyddsförordningen.
För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 1 kap. 1 § andra stycket ska utgå och ersättas med nya bestämmelser i en ny paragraf. I den nya paragrafen, 1 a §, ska det upplysas om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Utredningen föreslår vidare att bestämmelserna om information, rättelse och skadestånd samt intern kontroll över studieregistret som finns i 1 kap. 4 och 5 §§ samt 2 kap. 1 § tredje stycket ska upphävas, eftersom det finns direkt tillämpliga bestämmelser i dataskyddsförordningen med motsvarande innehåll. Bestämmelsen om överklagande i 1 kap. 6 § föreslår utredningen också ska upphävas, eftersom det finns bestämmelser om överklagande i dataskyddslagen. Avslutningsvis föreslår utredningen att hänvisningarna till 13 § PUL, som finns i 2 kap. 5 a § och 4 kap. 3 §, ska ändras på så sätt att de hänvisar till artikel 9.1 i dataskyddsförordningen i stället. I artikel 9.1 finns motsvarande förbud mot behandling av känsliga personuppgifter som finns i 13 § PUL.
Utredningen lyfter även fram att den tekniska utvecklingen och den praktiska hanteringen av personuppgifter när det gäller redovisning m.m. vid universitet och högskolor har gjort att det finns ett behov av en omfattande översyn av förordningen. En sådan översyn som utredningen bedömer är påkallad krävs dock inte för att anpassa
förordningen till dataskyddsförordningen och den reglering som Dataskyddsutredningen har föreslagit. Utredningen lämnar därför inga förslag i dessa delar.
Yrkeshögskolan och andra eftergymnasiala utbildningar
Behov av reglering
Utredningen bedömer att det för anordnare av utbildningar inom yrkeshögskolan och sådana utbildningar som avses i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva sådana utbildningar. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan utbildningsanordnarna i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och, beträffande utbildningsanordnarna inom yrkeshögskolan, andra ledet i artikel 6.1 e (myndighetsutövning). Utbildningsanordnarna kan i viss utsträckning även använda sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning).
Beträffande behandling av känsliga personuppgifter inom yrkeshögskolan bedömer utredningen att offentliga utbildningsanordnare kan finna stöd för sådan behandling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 § dataskyddslagen. För tydlighets skull föreslår utredningen dock att det i lagen (2009:128) om yrkeshögskolan, som gäller för både offentliga och enskilda utbildningsanordnare, ska införas motsvarande bestämmelser som Dataskyddsutredningen föreslår och att dessa ska gälla för både offentliga och enskilda utbildningsanordnare, eftersom dessa har samma behov av att behandla känsliga personuppgifter. Ett undantag finns dock, enskilda utbildningsanordnare inom yrkeshögskolan omfattas inte av offentlighetsprincipen. Utredningens förslag i denna del omfattar således endast offentliga utbildningsanordnare.
Utredningen föreslår att motsvarande bestämmelser om behandling av känsliga personuppgifter också ska föras in i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. De som anordnar sådana utbildningar har samma behov som anordnare av utbildningar inom yrkeshögskolan att behandla känsliga personuppgifter. Eftersom de som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte omfattas av offentlighetsprincipen ska det dock inte föras in någon bestämmelse som möjliggör behandling av känsliga personuppgifter som krävs enligt lag.
Vidare bedömer utredningen att det för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns skäl att möjliggöra behandling av personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande av studerande från utbildning. Utredningen föreslår därför sådana bestämmelser, eftersom dataskyddsförordningen och dataskyddslagen endast medger att offentliga utbildningsanordnare inom yrkeshögskolan behandlar sådana uppgifter.
För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det i lagen om yrkeshögskolan och förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Motsvarande sökförbud ska även gälla för personuppgifter som rör fällande domar i brottmål i fråga om enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för utbildningsanordnarnas del kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 § andra stycket och 2 kap. 20 § första stycket 2 regeringsformen krävs en särskild lag för den personuppgiftsbehandling som utförs av de offentliga utbildningsanordnarna inom yrkeshögskolan. Utredningen anser att det inte heller
finns något annat skäl för ytterligare reglering än den som utredningen föreslår.
MYH:s register
Utredningen bedömer att det för MYH finns en i svensk rätt fastställd rättslig förpliktelse och uppgift av allmänt intresse att svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar inom yrkeshögskolan som bedrivs som uppdragsutbildningar. Utredningen bedömer att motsvarande gäller för det register över uppgifter om de studerande i utbildningarna enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar som MYH också ska svara för. MYH kan därmed tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen för sådan personuppgiftsbehandling som är nödvändig vid förandet av registren. Utredningen bedömer att det inte finns något ytterligare regleringsbehov.
Vidare bedömer utredningen att utbildningsanordnarna inom yrkeshögskolan kan tillämpa samma rättsliga grunder när de lämnar uppgifter om de studerande till MYH. Något ytterligare regleringsbehov finns därmed inte heller för deras del.
För att säkerställa att anordnarna av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har en rättslig grund att tillämpa när de ska lämna uppgifter till MYH, föreslår utredningen att MYH ska bemyndigas att meddela föreskrifter om uppgiftslämningen på motsvarande sätt som i 2 kap. 17 § förordningen (2009:130) om yrkeshögskolan.
Folkbildning
Folkhögskolorna
Utredningen bedömer att folkhögskolorna, som stöd för sin personuppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin behandling av personuppgifter. Folkhögskolor som anordnar utbildning motsvarande kommunal
vuxenutbildning i svenska för invandrare kan behandla personuppgifter om studerande i den verksamheten även med stöd av första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse. Känsliga personuppgifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.
Utredningen bedömer att nämnda rättsliga grunder är tillräckliga för att nödvändig behandling av personuppgifter inom folkhögskolorna ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.
Studieförbunden
Utredningen bedömer att studieförbunden, som stöd för sin personuppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin behandling av personuppgifter. Känsliga personuppgifter kan behandlas med stöd av samtycke enligt artikel 9.2 a.
Utredningen bedömer att den rättsliga grunden samtycke är tillräcklig för att nödvändig behandling av personuppgifter inom studieförbunden ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.
Register över deltagare i studieförbundens verksamhet
Utredningen bedömer att Folkbildningsrådet och studieförbunden kan använda samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för behandling av personuppgifter i Folkbildningsrådets centrala uppgiftssamlingar över deltagare i studiecirkel och annan folkbildningsverksamhet när dataskyddsförordningen ska börja tillämpas. Utredningen anser att varken 2 kap. 6 § andra stycket regeringsformen eller något annat skäl fordrar att det införs någon särskild reglering.
CSN:s studiestödsverksamhet
Utredningen bedömer att Centrala studiestödsnämnden (CSN) har en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 e. Studiestödsdatalagen med tillhörande förordning är därmed i sig förenliga med dataskyddsförordningen.
För att anpassa studiestödsdatalagens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 § ska ersättas med en upplysningsbestämmelse om dataskyddsförordningen samt, i andra stycket, en reglering om förhållandet till dataskyddslagen. Det nuvarande andra stycket, som reglerar studiestödsdatalagens förhållande till lagen (2001:99) om den officiella statistiken, ska flyttas till ett nytt tredje stycke. Bestämmelserna i 6 och 8 §§, vilka reglerar begränsningar i rätten att behandla personuppgifter respektive användningen av sökbegrepp, föreslår utredningen ska ändras på så sätt att de ska omfatta samtliga kategorier av personuppgifter som räknas upp i artikel 9.1 i dataskyddsförordningen. Bestämmelsen i 7 § tredje stycket om återkallande av samtycke och 15 §, vilken reglerar rättelse och skadestånd, ska upphävas, eftersom det i dessa delar finns direkt tillämpliga bestämmelser i dataskyddsförordningen. Avslutningsvis ska bestämmelserna i 16 § tredje stycket och 16 § studiestödsdataförordningen ändras på så sätt att formuleringen ”historiska, statistiska eller vetenskapliga ändamål” ändras till ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
Betygsdatabasen BEDA
Utredningen föreslår att UHR:s uppgift att ansvara för en nationell databas för betygsuppgifter från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå, betygsdatabasen BEDA, ska fastställas genom att den förs in i en bestämmelse i förordningen (2012:811) med instruktion för Universitets- och hög-
skolerådet. Såväl ändamålet med registret att användas vid antagning av studenter till studier vid universitet och högskolor som det statistiska ändamål uppgifterna i registret används för ska fastställas i bestämmelsen.
Utredningen bedömer vidare att Statens skolverk (Skolverket) behöver komplettera sina föreskrifter (SKOLFS 2011:142) om uppgiftsinsamling från huvudmännen inom skolväsendet m.m. för att huvudmännen som bedriver kommunal vuxenutbildning på gymnasial nivå ska ha en rättslig grund att tillämpa när de fullgör sin skyldighet att lämna uppgifter om gymnasieexamen genom att lämna uppgifterna till UHR.
Om utredningens förslag genomförs och om Skolverket kompletterar sina föreskrifter bedömer utredningen att ändamålsenliga behandlingar i BEDA, som samtidigt skyddar den enskildes fri- och rättigheter, kan göras även när dataskyddsförordningen ska börja tillämpas. Utredningen anser att det inte finns något ytterligare regleringsbehov med anledning av regeringsformens bestämmelser. Utredningen anser inte heller att det finns anledning att med stöd av artikel 89.2 i dataskyddsförordningen föreskriva om undantag från den registrerades rättigheter som avses i artiklarna 15, 16, 18 och 21, dvs. rätt till information om personuppgifter som behandlas, rätt att få felaktiga personuppgifter rättade, rätt att kräva begränsning av behandling och rätt att göra invändningar mot behandling.
Lärar- och förskollärarregistret
Utredningen bedömer att bestämmelserna i förordningen om lärar- och förskollärarregister utgör i enlighet med artikel 6.1 c i dataskyddsförordningen en fastställd rättslig förpliktelse för Skolverket att föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Förandet av registret är dessutom en för Skolverket fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.
Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c
och e. Förordningen om lärar- och förskollärarregister är därmed i sig förenlig med dataskyddsförordningen.
För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 § ska utgå och ersättas med en upplysning om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Utredningen föreslår vidare att det i ett nytt tredje stycke i 6 § ska finnas en hänvisning till artikel 5.1 b i dataskyddsförordningen. Hänvisningen ersätter den nuvarande hänvisningen till finalitetsprincipen i 9 § PUL som finns i 6 § andra stycket. Bestämmelserna om information i 10 § föreslås ändras på så sätt att de endast reglerar den informationsskyldighet som gäller utöver den informationsskyldighet som kommer att gälla enligt dataskyddsförordningen. Slutligen föreslår utredningen att bestämmelserna om rättelse och skadestånd i 11 § ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga.
Kommunernas register över ungdomar som de har aktivitetsansvar för
Utredningen bedömer att det i svensk rätt finns en i enlighet med artikel 6.1 c i dataskyddsförordningen fastställd rättslig förpliktelse för kommunerna att föra ett register över de ungdomar som omfattas av kommunens aktivitetsansvar enligt 29 kap. 9 § skollagen. Förandet av registren är dessutom en för kommunerna fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.
Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är därmed i sig förenlig med dataskyddsförordningen.
För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 § ska utgå och ersättas med en upplysning om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Vidare föreslår utredningen
att bestämmelsen i 5 § om förbud mot att behandla känsliga personuppgifter ska hänvisa till artikel 9.1 i stället för 13 § PUL. Bestämmelsen i 5 § om förbud mot att behandla uppgifter om lagöverträdelser m.m. ska ändras så att den när dataskyddsförordningen och dataskyddslagen ska börja tillämpas kommer att ha samma materiella innebörd som i dagsläget. Slutligen föreslår utredningen att bestämmelserna om rättelse och skadestånd i 6 § ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga.
Övriga myndigheter med anknytning till utbildningsområdet
Direktiven anger inte att det ska göras en analys av om det behöver införas kompletterande regleringar för personuppgiftsbehandlingen hos sådana myndigheter vars verksamhet anknyter till utbildningsområdet t.ex. Statens skolinspektion, Skolverket och UHR. Enligt utredningens uppfattning omfattas därför inte den personuppgiftsbehandling som sker vid dessa myndigheter av utredningens uppdrag, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling.
Då det finns ett intresse av vägledning har utredningen dock funnit anledning att göra en generell och övergripande analys av myndigheternas möjligheter att behandla personuppgifter sett i ljuset av dataskyddsförordningen och den av Dataskyddsutredningen föreslagna dataskyddslagen.
Utredningen bedömer att statliga och kommunala myndigheters verksamhet inom utbildningsområdet i allt väsentligt är en uppgift av allmänt intresse. Denna verksamhet framgår normalt av uppdrag och åligganden i författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser. Uppgiften av allmänt intresse är fastställd genom dessa författningar, beslut och kommunala reglementen. Myndigheterna kan därigenom grunda nödvändig behandling av personuppgifter på första ledet i artikel 6.1 e i dataskyddsförordningen.
Utredningen konstaterar dock att det ankommer på myndigheterna att själva gå igenom all personuppgiftsbehandling som sker
inom myndigheten och säkerställa att den har stöd i och är förenlig med dataskyddsförordningens och dataskyddslagens bestämmelser.
Konsekvenser
Utredningen bedömer att utredningens förslag till regleringar inte kommer att innebära någon kostnadsökning för stat, kommuner, landsting och enskilda huvudmän som tillhandahåller och anordnar utbildningsverksamhet. Vidare bedömer utredningen att förslagen är neutrala rörande integritetsskyddet och att förslagen inte förväntas få några andra konsekvenser.
Ikraftträdande och övergångsbestämmelser
Utredningen föreslår att den nya förordningen – förordningen om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen – och ändringsförfattningarna ska träda i kraft den 25 maj 2018.
Vidare föreslår utredningen tre övergångsbestämmelser för studiestödsdatalagen, förordningen om lärar- och förskollärarregister, förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar samt förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt den första ska äldre föreskrifter fortfarande gälla för ärenden hos Datainspektionen eller aktuell myndighet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet. Den andra övergångsbestämmelsen ska ange att äldre föreskrifter fortfarande gäller för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet. Enligt den sista övergångsbestämmelsen ska äldre föreskrifter om skadestånd fortfarande gälla för skada som har orsakats före ikraftträdandet.
1. Författningsförslag
1.1. Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina
Härigenom föreskrivs att det i lagen (1993:792) om tillstånd att utfärda vissa examina ska införas fyra nya paragrafer, 10–13 §§, av följande lydelse.
10 § Bestämmelserna i 11–13 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid enskilda utbildningsanordnares behandling av personuppgifter, om inte annat följer av 11–13 §§ eller föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
11 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en enskild utbildningsanordnare
1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,
2. om uppgifterna har lämnats till den enskilde utbildningsanordnaren och behandlingen krävs enligt lag, eller
3. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
12 § Personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare i löpande text i ett ärende om avskiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.
13 § Vid behandling enligt 11 och 12 §§ får en enskild utbildningsanordnare inte använda sökbegrepp som avslöjar känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål.
Denna lag träder i kraft den 25 maj 2018.
1.2. Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan
Härigenom föreskrivs att det i lagen (2009:128) om yrkeshögskolan ska införas sju nya paragrafer, 19 a–19 g §§, samt närmast före 19 a § en ny rubrik av följande lydelse.
Behandling av personuppgifter
19 a § Bestämmelserna i 19 b–19 g §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid utbildningsanordnares behandling av personuppgifter, om inte annat följer av 19 b–19 f §§ eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
19 b § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
19 c § Statliga universitet och högskolor samt andra statliga myndigheter, kommuner och landsting som anordnar utbildning får med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter om uppgifterna har lämnats till universitetet, högskolan, myndigheten, kommunen eller landstinget och behandlingen krävs enligt lag.
19 d § Utöver vad som följer av 19 b och 19 c §§ får känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte
innebär ett otillbörligt intrång i den registrerades personliga integritet.
19 e § Utbildningsanordnare med en enskild fysisk eller juridisk person som huvudman får behandla personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av studerande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.
19 f § Vid behandling enligt 19 b–19 d §§ får en utbildningsanordnare inte använda sökbegrepp som avslöjar känsliga personuppgifter.
Vid behandling enligt 19 e § får en enskild utbildningsanordnare inte använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål.
19 g § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.
Denna lag träder i kraft den 25 maj 2018.
1.3. Förslag till lag om ändring i studiestödsdatalagen (2009:287)
Härigenom föreskrivs i fråga om studiestödsdatalagen (2009:287)
dels att 15 § ska upphävas,
dels att rubriken närmast före 15 § ska utgå,
dels att 2, 6–8 och 16 §§ samt rubriken närmast före 2 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till personuppgiftslagen och lagen om den officiella statistiken
Förhållandet till annan dataskyddsreglering
2 §
I den mån personuppgiftslagen (1998:204) innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i denna lag, ska personuppgiftslagen tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet.
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen (2001:99 ) om den offici-
ella statistiken och anslutande författningar tillämpas i stället för denna lag.
6 §
Särskilda begränsningar gäller för behandling av personuppgifter som
1. avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, eller
3. rör hälsa eller sexualliv.
Uppgifter enligt första stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.
Särskilda begränsningar gäller för behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt för behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Särskilda begränsningar gäller även för behandling av personuppgifter som avser lagöverträ-
delser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Uppgifter enligt första och andra stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.
7 §
Trots 4 § första stycket får personuppgifter behandlas i Centrala studiestödsnämndens studiestödsverksamhet med den registrerades samtycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke.
Uppgifter som behandlas med samtycke enligt första stycket får också behandlas enligt 4 § andra stycket.
I de fall då behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke, har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.
8 §
Som sökbegrepp får inte användas
1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,
3. uppgifter som rör hälsa, sexualliv, inkomst, förmögenhet eller anledning till studieavbrott, eller
4. uppgift om att det allmänna
2. genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning,
3. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,
4. uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, eller
5. uppgift om att det allmänna
helt eller till en väsentlig del bekostat en persons uppehälle.
helt eller till en väsentlig del bekostat en persons uppehälle.
Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas uppgifter som rör
1. hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och
2. inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.
16 §
Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.
Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första
ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter gäller fortfarande för ärenden hos Datainspektionen eller Centrala studiestödsnämnden som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.
3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.
4. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.
1.4. Förslag till lag om ändring i skollagen (2010:800)
Härigenom föreskrivs att det i skollagen (2010:800) ska införas ett nytt kapitel, 28 a kap., av följande lydelse.
28 a kap. Behandling av personuppgifter
1 § Detta kapitel tillämpas vid behandling av personuppgifter i verksamhet som utförs med stöd av denna lag eller föreskrifter som meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar samt beslut som meddelats med stöd av dessa av
1. en huvudman inom skolväsendet enligt 2 kap.,
2. en hemkommun enligt denna lag, eller
3. en aktör enligt 24 och 25 kap.
Förhållandet till annan dataskyddsreglering
2 § Bestämmelserna i detta kapitel kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter, om inte annat följer av bestämmelserna i detta kapitel eller föreskrifter som har meddelats med stöd av 9 § tredje stycket eller 10 § eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Detta kapitel ska inte tillämpas på vårdgivares behandling av personuppgifter inom hälso- och sjukvården eller Kriminalvårdens verksamhet enligt 24 kap. 10 §.
Känsliga personuppgifter
3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av ett sådant organ som avses i 1 §
1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller
2. om uppgifterna har lämnats till organet och behandlingen krävs enligt lag.
4 § I grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna får med stöd av artikel 9.2 g i dataskyddsförordningen uppgifter om hälsa behandlas om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vad som föreskrivs i första stycket gäller även
1. i gymnasieskolan med Rh-anpassad utbildning,
2. i utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning,
3. i fristående förskoleklass som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling enligt 9 kap. 17 §,
4. i fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 10 kap. 35 § 2, och
5. i fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 15 kap. 33 § 1.
5 § I sameskolan får med stöd av artikel 9.2 g i dataskyddsförordningen uppgifter om etniskt ursprung behandlas om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
6 § En hemkommun får med stöd av artikel 9.2 g i dataskyddsförordningen behandla uppgifter om hälsa om det är nödvändigt för handläggningen av
1. ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket,
2. ett ärende om en sökande tillhör målgruppen för gymnasiesärskolan enligt 18 kap. 5 §, eller
3. ett ärende om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd.
För att behandlingen enligt första stycket ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
7 § En hemkommun får med stöd av artikel 9.2 g i dataskyddsförordningen behandla uppgifter om etniskt ursprung och hälsa i form av elevens namn, personnummer, samordningsnummer, adress och vårdnadshavare om det är nödvändigt för att fullgöra skyldigheter enligt 7 kap. 21 §.
8 § Utöver vad som följer av 3–7 §§ får ett organ som avses i 1 § behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
9 § Vid behandling enligt 3–8 §§ får sökbegrepp som avslöjar känsliga personuppgifter inte användas.
Förbudet i första stycket gäller inte användning av sökbegrepp som avslöjar
1. hälsa i de utbildningsformer som anges i 4 §,
2. etniskt ursprung i sameskolan som anges i 5 §,
3. hälsa i hemkommunen i ärenden som anges i 6 §, och
4. hälsa eller etniskt ursprung i form av namn, personnummer, samordningsnummer och adress i hemkommunen som anges i 7 §.
Regeringen får meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som anges i andra stycket.
10 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.
Personuppgifter som rör lagöverträdelser
11 § Fristående skolor får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel
1. i elevhälsan i löpande text om det är absolut nödvändigt för ändamålet med behandlingen, och
2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 § om det är absolut nödvändigt för ändamålet med behandlingen.
Denna lag träder i kraft den 25 maj 2018.
1.5. Förslag till förordning om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen
Härigenom föreskrivs följande.
1 § I denna förordning finns kompletterande bestämmelser till 28 a kap. 9 § skollagen (2010:800).
2 § Vid personuppgiftsbehandling i de utbildningsformer som anges i 28 a kap.4 och 5 §§skollagen (2010:800) får endast följande sökbegrepp användas
1. namn,
2. personnummer, samordningsnummer eller födelsedatum,
3. klassbeteckning,
4. skolenhet, och
5. hemkommun.
3 § Vid personuppgiftsbehandling som sker med stöd av 28 a kap. 6 § skollagen (2010:800) i hemkommunen får endast följande sökbegrepp användas
1. elevens namn,
2. personnummer, samordningsnummer eller födelsedatum,
3. adress,
4. skolenhet, och
5. diarienummer.
Denna förordning träder i kraft den 25 maj 2018.
1.6. Förslag till förordning om ändring i förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor
Härigenom föreskrivs i fråga om förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor
dels att 1 kap. 4–6 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 1 kap. 1, 4, 5 och 6 §§ ska utgå,
dels att 1 kap. 1 §, 2 kap. 1 och 5 a §§ samt 4 kap. 3 § ska ha följande lydelse,
dels att det i förordningen ska införas en ny paragraf, 1 kap. 1 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
1 §1
I denna förordning finns det bestämmelser om
1. registrering av uppgifter om studier inom utbildning på grundnivå, avancerad nivå och forskarnivå vid statliga universitet och högskolor (2 kap.),
2. rapportering av uppgifter till Statistiska centralbyrån (SCB) om studenter för officiell statistik (3 kap.),
3. framställning av personalstatistik vid SCB (3 kap.), och
4. registrering av uppgifter om studie- och yrkesmeriter vid Universitets- och högskolerådet (4 kap.).
Denna förordning gäller utöver personuppgiftslagen (1998:204) vid helt eller delvis automatiserad behandling av personuppgifter.
Denna förordning gäller vid helt eller delvis automatiserad behandling av personuppgifter.
Ett universitet, en högskola, SCB och Universitets- och högskolerådet är personuppgiftsansvariga för behandling av personuppgifter i sin verksamhet.
1 Senaste lydelse 2012:713.
1 a §
Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av denna förordning eller föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
2 kap.
1 §2
Varje högskola ska dokumentera uppgifter om studenter. Varje högskola ska föra ett studieregister och där ange uppgifterna individuellt för varje student. Registret får föras med hjälp av automatiserad behandling.
En högskola ska upprätthålla en god intern kontroll över registret, och det ska finnas en beskrivning av hur registret förs.
Om en högskola avser att införa ett nytt system för att föra registret eller göra väsentliga förändringar i ett befintligt system, ska högskolan samråda dels med Ekonomistyrningsverket i syfte att säkerställa att de uppgifter i registret som ligger till grund för resurs-
2 Senaste lydelse 2012:713.
tilldelningen blir tillförlitliga, dels med Universitetskanslersämbetet och Universitets- och högskolerådet i syfte att säkerställa att uppgifterna i registret uppfyller krav på kvalitet och jämförbarhet mellan olika högskolor.
5 a §3
En högskola får behandla känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) i antagningsärenden, om den enskilde har lämnat samtycke till detta.
En högskola får behandla känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen i antagningsärenden, om den enskilde har lämnat samtycke till detta.
4 kap.
3 §4
Universitets- och högskolerådet får behandla känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) i antagningsärenden, om den enskilde har lämnat samtycke till det.
Universitets- och högskolerådet får behandla känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen i antagningsärenden, om den enskilde har lämnat samtycke till det.
1. Denna förordning träder i kraft den 25 maj 2018.
2. Äldre föreskrifter gäller fortfarande för ärenden hos Datainspektionen, en högskola, SCB eller Universitets- och högskolerådet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.
3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.
4. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.
3 Senaste lydelse 2005:665. 4 Senaste lydelse 2012:713.
1.7. Förslag till förordning om ändring i förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar
Härigenom föreskrivs i fråga om förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar
dels att 6 § ska upphöra att gälla,
dels att rubriken närmast före 6 § ska utgå,
dels att 2 och 5 §§, samt rubriken närmast före 2 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till personuppgiftslagen
Förhållandet till annan dataskyddsreglering
2 §5
Personuppgiftslagen (1998:204) gäller vid den behandling av personuppgifter som en kommun vidtar i sin verksamhet enligt 29 kap. 9 § skollagen (2010:800) om inte annat följer av denna förordning.
Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av denna förordning eller föreskrifter som har meddelats
5 Senaste lydelse 2011:530.
med stöd av denna förordning eller med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
5 §
Personuppgifter som omfattas av 13 och 21 §§ personupp-giftslagen (1998:204) får inte behandlas.
Personuppgifter som omfattas av artikel 9.1 i dataskyddsförordningen och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte behandlas.
1. Denna förordning träder i kraft den 25 maj 2018.
2. Äldre föreskrifter gäller fortfarande för ärenden hos Datainspektionen eller en kommun som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.
3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.
4. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.
1.8. Förslag till förordning om ändring i studiestödsdataförordningen (2009:321)
Härigenom föreskrivs att 16 § studiestödsdataförordningen (2009:321) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
16 §
Riksarkivet får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål samt för redovisningsändamål, även om föreskrifterna kommer att avvika från bestämmelserna om gallring i 16 § första stycket studiestödsdatalagen (2009:287). Riksarkivet ska inför beslut om att meddela föreskrifter samråda med Datainspektionen.
Riksarkivet får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål samt för redovisningsändamål, även om föreskrifterna kommer att avvika från bestämmelserna om gallring i 16 § första stycket studiestödsdatalagen (2009:287). Riksarkivet ska inför beslut om att meddela föreskrifter samråda med Datainspektionen.
Denna förordning träder i kraft den 25 maj 2018.
1.9. Förslag till förordning om ändring i förordningen (2011:268) om lärar- och förskollärarregister
Härigenom föreskrivs i fråga om förordningen (2011:268) om lärar- och förskollärarregister
dels att 11 § ska upphöra att gälla,
dels att rubriken närmast före 11 § ska utgå,
dels att 2, 6 och 10 §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §
Personuppgiftslagen (1998:204) gäller vid behandlingen av personuppgifter i registret om inte annat följer av denna förordning.
Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna förordning, om inte annat följer av denna förordning eller föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
6 §6
Personuppgifterna i registret får, utöver det som anges i 5 §, behandlas om det behövs för att
1. handlägga ärenden om legitimation enligt 2 kap. 16 § skollagen (2010:800), enligt föreskrifter som har meddelats med stöd av 2 kap. 16 b § andra stycket skollagen eller enligt 27 kap. 4 § skollagen,
2. lämna uppgifter till utländska myndigheter i enlighet med förordningen (2016:157) om erkännande av yrkeskvalifikationer,
3. utöva tillsyn av skolväsendet och dess personal, och
4. kontrollera identitet och behörighet i samband med tjänstetillsättning av lärare och förskollärare.
Personuppgifterna i registret får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgifterna i registret får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Att personuppgifter som behandlas för ändamål som anges i första och andra styckena och 5 § även får behandlas för andra ändamål framgår av artikel 5.1 b i dataskyddsförordningen.
10 §
Statens skolverk ska på lämpligt sätt informera den registrerade om registret. Informationen ska ge upplysning om vem som är personuppgiftsansvarig och redovisa ändamålet med registret och vilken typ av uppgifter som registret får innehålla samt ge upplysning om
Statens skolverk ska utöver vad som följer av dataskyddsförordningen informera den registrerade om vilken typ av uppgifter som registret får innehålla och ge upplysning om
6 Senaste lydelse 2016:184.
1. de sekretess- och säkerhetsbestämmelser som gäller för registret,
2. rätten att få information och rättelse enligtpersonuppgiftslagen (1998:204),
3. rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning och personuppgiftslagen,
2. rätten att få information enligt dataskyddsförordningen,
3. rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning och dataskyddsförordningen,
4. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, och
5. om registreringen är frivillig eller inte.
1. Denna förordning träder i kraft den 25 maj 2018.
2. Äldre föreskrifter gäller fortfarande för ärenden hos Datainspektionen eller Statens skolverk som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.
3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.
4. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.
1.10. Förslag till förordning om ändring i förordningen (2012:811) med instruktion för Universitets- och högskolerådet
Härigenom föreskrivs att det i förordningen (2012:811) med instruktion för Universitets- och högskolerådet ska införas en ny paragraf, 2 a §, av följande lydelse.
2 a § För de ändamål som anges i 2 § första stycket 1 ska myndigheten med hjälp av automatiserad behandling föra ett register över uppgifter om elevers slutbetyg, examensbevis eller motsvarande från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå.
Uppgifterna i registret ska lämnas till statistikansvarig myndighet för skolväsendet eller till den myndighet eller det organ som den statistikansvariga myndigheten bestämmer.
Denna förordning träder i kraft den 25 maj 2018.
1.11. Förslag till förordning om ändring i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar
Härigenom föreskrivs i fråga om förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar
dels att det ska införas fyra nya paragrafer, 39 a–39 d §§, samt närmast före 39 a § en ny rubrik av följande lydelse,
dels att 40 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Behandling av personuppgifter
39 a §
Bestämmelserna i 39 b–39 d §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid utbildningsanordnares behandling av personuppgifter, om inte annat följer av 39 b–39 d §§ eller föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
39 b §
Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare
1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller
2. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
39 c §
Personuppgifter som rör fällande domar i brottmål får behandlas av en utbildningsanordnare i löpande text i ett ärende om avskiljande av studerande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.
39 d §
Vid behandling enligt 39 b och 39 c §§ får en utbildningsanordnare inte använda sökbegrepp som avslöjar känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål.
40 §
Myndigheten för yrkeshögskolan får meddela föreskrifter om
1. utbildningsplaner och kursplaner,
2. betyg, intyg och utbildningsbevis, och
3. verkställigheten av denna förordning.
2. betyg, intyg och utbildningsbevis,
3. att den ansvariga utbildningsanordnaren ska lämna uppgifter till myndigheten om de studerande och deras studieresultat, betyg, intyg och utbildningsbevis samt på vilket sätt och när uppgifterna ska lämnas, och
4. verkställigheten av denna förordning.
Denna förordning träder i kraft den 25 maj 2018.
2. Utredningens uppdrag och arbete
2.1. Uppdraget
Utredningens uppdrag har varit att för utbildningsområdet, med undantag för forskningsverksamhet, föreslå regleringar för behandling av personuppgifter som ska komplettera dataskyddsförordningen och den generella reglering som Dataskyddsutredningen (Ju 2016:04, dir. 2016:15) haft i uppdrag att föreslå.
I kommittédirektiven anges även att utredningen ska analysera om det utöver dessa regleringar finns behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet. Utredningen ska också analysera behovet av reglering för vissa särskilt angivna register och vilka ändringar som behöver göras i vissa särskilt angivna författningar.
Den reglering som föreslås ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den skyddar den enskildes fri- och rättigheter.
Utredningens direktiv finns i bilaga 1.
2.2. Avgränsning
Utredningens uppdrag har spänt över ett heterogent område – utbildningsområdet såsom det angetts i kommittédirektiven – samtidigt som den i direktiven givna tidsramen måste hållas. För att kunna hålla tidsramen har utredningen ansett det nödvändigt att tolka uppdraget tämligen strikt. Utredningen har därför inte, med något undantag, tagit sig an uppgifter som inte klart framgår av de direktiv som lämnats.
Som angetts ovan har utredningens uppdrag varit att för utbildningsområdet utreda och föreslå de nödvändiga anpassningar av nationell rätt som dataskyddsförordningen och den generella reglering som Dataskyddsutredningen haft i uppdrag att föreslå ger anledning till. Syftet är att utbildningsanordnarna även fortsättningsvis ska kunna utföra nödvändiga behandlingar av personuppgifter om barnen i förskolan, eleverna i t.ex. grundskolan, gymnasieskolan och kommunal vuxenutbildning, studenterna i högskola och universitet, studerande i t.ex. folkhögskola, yrkeshögskola, konst- och kulturutbildningar samt deltagarna i studiecirklar och annan folkbildningsverksamhet. Den personuppgiftsbehandling som behöver vidtas med anledning av att utbildningsanordnaren även är arbetsgivare omfattas inte av direktiven.
Enligt utredningens bedömning omfattas vidare inte heller den personuppgiftsbehandling som sker vid statliga myndigheter vars verksamhet anknyter till utbildningsområdet, t.ex. Statens skolinspektion, Statens skolverk och Universitets- och högskolerådet (UHR), av direktiven, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling. Beträffande dessa aktörers personuppgiftsbehandling har dock utredningen funnit anledning att övergripande analysera deras möjligheter att behandla personuppgifter sett i ljuset av dataskyddsförordningen och den av Dataskyddsutredningen föreslagna lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (se avsnitt 12).
Utredningen har strävat efter att sådan personuppgiftsbehandling som är tillåten i dagsläget i möjligaste mån ska kunna fortsätta. Utredningens arbete har således inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring.
Utredningen har inte haft i uppdrag att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär för utbildningsanordnarnas (personuppgiftsansvarigas) möjligheter att behandla och skyldigheter att skydda personuppgifter. Det har inte heller varit utredningens uppgift att bedöma konsekvenserna av dataskyddsförordningens bestämmelser eller av de förändringar som dessa innebär för utbildningsområdet.
2.3. Utredningsarbetet
Arbetet påbörjades i juli 2016. Som framgår ovan av beskrivningen av utredningens uppdrag har utredningen varit beroende av Dataskyddsutredningens bedömningar och förslag. Något färdigt betänkande från Dataskyddsutredningen har dock inte förelegat i sådan tid under utredningens arbete att det kunnat beaktas. När det i betänkandet hänvisas till Dataskyddsutredningens bedömningar och förslag är det således till de preliminära texter som utredningen getts möjlighet att ta del av och lämna synpunkter på under hand. Utredningsarbetet har annars bedrivits på sedvanligt sätt med regelbundna expertgruppssammanträden. Utredningen har haft fem sammanträden med sakkunnig och experter. Utredningsarbetet har även i övrigt bedrivits i nära samarbete med experterna.
Under hösten 2016 har 13 möten hållits med företrädare för myndigheter och andra organisationer för att inhämta kunskap om den personuppgiftsbehandling som sker inom utbildningsområdet. Enskilda möten har hållits med respektive Datainspektionen, Statens skolinspektion, Folkbildningsrådet, Statens skolverk, Friskolornas riksförbund, Sveriges Kommuner och Landsting, Statistiska centralbyrån (SCB), Myndigheten för yrkeshögskolan, Sameskolstyrelsen, Specialpedagogiska skolmyndigheten och Centrala studiestödsnämnden. Ett gemensamt möte har hållits med företrädare för UHR och Ladokkonsortiet. Vidare har ytterligare ett gemensamt möte med företrädare för UHR, Ladokkonsortiet, Sveriges universitets- och högskoleförbund och Datainspektionen hållits.
Under våren 2017 har ett gemensamt möte med företrädare för UHR och Statens skolverk hållits. Vidare har texter med utredningens bedömningar och förslag beretts med Universitetskanslersämbetet, SCB och Sameskolstyrelsen.
Parallellt med utredningen har ett flertal andra utredningar också haft i uppdrag att anpassa svensk rätt till dataskyddsreformen. Utredningen tog tillsammans med Forskningsdatautredningen (U 2016:04) initiativ till att en informell samordningsgrupp bildades i september 2016. I den informella samordningsgruppen har även bl.a. Dataskyddsutredningen och Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) ingått. Under utredningstiden har det hållits tio möten i denna samordningsgrupp.
Utredningen har även samrått med Integritetskommittén (Ju 2014:09).
3. Bakgrund
3.1. Dataskydd i allmänhet
I dagens samhälle behandlas stora mängder personuppgifter elektroniskt av både privata och offentliga aktörer. Det är nödvändigt för att företag ska kunna bedriva en konkurrenskraftig affärsverksamhet och för att offentliga organ ska kunna utföra sina uppdrag på ett effektivt och rättssäkert sätt. Denna hantering är dock förenad med påtagliga risker. Om de personuppgifter som samlats in utnyttjas för andra syften än avsett eller annars behandlas på ett otillbörligt sätt, eller om uppgifterna på grund av säkerhetsbrister hamnar i fel händer, kan det leda till allvarlig skada för enskildas personliga integritet. För att skydda enskildas integritet har det därför ansetts finnas ett behov av bestämmelser som begränsar hur, när och varför personuppgifter får behandlas och som reglerar hur otillåten behandling ska förhindras och beivras.
Det finns flera internationella överenskommelser som innehåller reglering till skydd för den personliga integriteten. En kortfattad genomgång av den övergripande rättsliga regleringen till skydd för den personliga integriteten i den mån denna reglering är av relevans med avseende på behandling av personuppgifter finns i Dataskyddsutredningens betänkande Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning, SOU 2017:39, avsnitt 3.2 Internationella överenskommelser.
3.2. Dataskydd i svensk rätt
3.2.1. Regeringsformen
Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt för bl.a. den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv.
Enligt 2 kap. 6 § andra stycket regeringsformen, som trädde i kraft den 1 januari 2011, är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Skyddet mot integritetsintrång kan dock enligt 2 kap. 20 § första stycket 2 regeringsformen begränsas genom lag. Det krävs därmed särskilt författningsstöd för åtgärder från det allmännas sida som innefattar betydande intrång i den personliga integriteten, om intrånget sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
I förarbetena till 2 kap. 6 § andra stycket regeringsformen uttalas bl.a. följande (prop. 2009/10:80 s. 250).
Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betydande intrång” ska både åtgärdens omfattning och arten av det intrång åtgärden innebär beaktas. Även åtgärdens ändamål och andra omständigheter kan ha betydelse vid bedömningen. Bestämmelsen omfattar endast sådana intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omständigheter innebär ett betydande ingrepp i den enskildes privata sfär.
3.2.2. Dataskyddsdirektivets genomförande
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av
personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204, PUL). Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen kompletteras av bestämmelser i personuppgiftsförordningen (1998:1191). Dataskyddsutredningens betänkande SOU 2017:39 innehåller en utförligare beskrivning av personuppgiftslagen, se avsnitt 3.4.2.
3.3. EU:s dataskyddsförordning
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). I dagligt tal används ofta den vedertagna förkortningen, GDPR. Dataskyddsutredningen har dock valt att i sitt betänkande benämna den nya rättsakten dataskyddsförordningen. Utredningen har därför valt att göra detsamma.
Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta det nuvarande dataskyddsdirektivet och utgöra grunden för generell personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i Fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Till skillnad från EU-direktiv ska alltså förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser. Detta innebär att dataskyddsförordningen är direkt tillämplig.
Även om dataskyddsförordningen är direkt tillämplig i medlemsstaterna, till skillnad från dataskyddsdirektivet, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skäl 8 till förordningen anges också att om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas natio-
nella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt.
Dataskyddsutredningen beskriver i sitt betänkande SOU 2017:39 dataskyddsförordningens syfte, tillämpningsområde och sakliga förändringar med förordningen, se avsnitt 4.2.1–4.2.3.
3.4. Utgångspunkten är Dataskyddsutredningens förslag
Utredningen har fått i uppdrag att undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom utbildningsområdet, med undantag för forskningsverksamhet, som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå. Utredningen har således att utgå från den generella reglering som Dataskyddsutredningen kommer att föreslå och de bedömningar den utredningen gör. Något färdigt betänkande från Dataskyddsutredningen har dock inte förelegat i sådan tid under utredningens arbete att det kunnat beaktas. När det i det följande hänvisas till Dataskyddsutredningens bedömningar och förslag är det således till de preliminära texter som utredningen getts möjlighet att ta del av och lämna synpunkter på under hand.
Här nedan redovisas i korthet relevanta delar av Dataskyddsutredningens förslag till nytt svenskt regelverk för dataskydd.
3.4.1. Dataskyddsutredningens förslag i korthet
Dataskyddsutredningen föreslår att en lag, lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), med tillhörande förordning, som kompletterar dataskyddsförordningen på ett generellt plan, ska träda i kraft den 25 maj 2018 samtidigt som personuppgiftslagen och personuppgiftsförordningen ska upphävas. Sektorsspecifika författningsbestämmelser om behandling av personuppgifter ska ha företräde framför den nya lagen.
Rättslig grund för behandling av personuppgifter
I artikel 5 i dataskyddsförordningen anges ett antal principer för behandling av personuppgifter, bl.a. att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (5.1 a). Vad som krävs för att en behandling ska vara laglig framgår av artikel 6. Enligt artikel 6.1 är behandling endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes person-
uppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den
registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktel-
se som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt
intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den person-
uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Artikel 6.1 i dataskyddsförordningen motsvarar i stora drag artikel 7 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 10 § PUL. Den största skillnaden är att det enligt förordningen inte är tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den personuppgiftsansvariges berättigade intressen och den registrerades rättigheter och intressen (jfr 10 § f PUL). Den möjligheten kvarstår däremot för privata aktörer som behandlar personuppgifter. I andra stycket av artikel 6.1 anges nämligen att led f i första stycket inte ska
gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.
Som framgår ovan måste en behandling av personuppgifter vara nödvändig för att den ska vara tillåten enligt artikel 6.1 b–f. I EUdomstolens dom i målet Huber mot Tyskland (mål C-524/06), som rörde tolkningen av nödvändighetsrekvisitet i artikel 7 e i dataskyddsdirektivet, uttalade EU-domstolen att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Dataskyddsutredningen anser att domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. Även om exempelvis en uppgift av allmänt intresse skulle kunna utföras utan behandling av personuppgifter, kan behandlingen alltså ur ett unionsrättsligt perspektiv anses vara nödvändig och därmed tillåten enligt artikel 6, om behandlingen leder till effektivitetsvinster (SOU 2017:39, avsnitt 8.2.2).
Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling. Den omständigheten att behandlingen är laglig enligt artikel 6.1, dvs. att den är rättsligt grundad, innebär inte att behandling kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5.
I utredningens direktiv anges att när dataskyddsförordningen ska börja tillämpas kommer möjliga grunder för behandling av personuppgifter inom utbildningsområdet huvudsakligen att vara att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a) eller att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (6.1 e).
Av artikel 6.3 framgår att den grund för behandlingen som avses i 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskyddsutredningen bedömer att med grunden för behandlingen i artikel 6.1 c och e avses den rättsliga förpliktelsen, uppgiften
av allmänt intresse respektive myndighetsutövningen (SOU 2017:39, avsnitt 8.3.1).
Dataskyddsutredningen anser att det i dataskyddslagen ska finnas en bestämmelse som tydliggör att personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag eller annan författning eller som följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.2).
Vidare föreslås en bestämmelse som tydliggör att personuppgifter får behandlas om behandlingen är nödvändig som ett led i myndighetsutövning som den personuppgiftsansvarige utövar enligt lag eller annan författning (SOU 2017:39, avsnitt 8.3.3).
Slutligen föreslås en bestämmelse som tydliggör att personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4).
Barns samtycke
I artikel 8 i dataskyddsförordningen finns villkor som gäller barns samtycke till personuppgiftsbehandling vid erbjudande av informationssamhällets tjänster direkt till ett barn. Enligt Dataskyddsutredningen omfattar begreppet informationssamhällets tjänster bl.a. olika sociala medier, t.ex. bloggar, internetforum, webbplatser för videoklipp, chattprogram och sociala nätverk. Även onlinespel och olika applikationer (appar) med spel eller annat innehåll kan omfattas av definitionen (SOU 2017:39, avsnitt 9.4.3).
I artikel 8.1 anges att om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Dataskyddsförordningen tillåter att en lägre åldersgräns föreskrivs i medlemsstaternas nationella rätt, dock lägst 13 år. Dataskyddsutredningen föreslår att barn som har fyllt 13 år själva ska kunna samtycka till personuppgiftsbehandling i samband med att informationssamhällets tjänster erbjuds direkt till barn. Om barnet är under 13 år ska
sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet (SOU 2017:39, avsnitt 9.5).
Känsliga personuppgifter
I artikel 9 i dataskyddsförordningen regleras behandling av särskilda kategorier av personuppgifter. Enligt artikel 9.1 ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. Dataskyddsutredningen anser att begreppet känsliga personuppgifter är ett tydligare begrepp för de uppgifter som omfattas av artikel 9.1 och har, eftersom begreppet även anses inarbetat på EU-nivå, valt att använda det istället (SOU 2017:39, avsnitt 10.2).
I artikel 9.2 finns ett antal undantag från förbudet i artikel 9.1. Vissa av bestämmelserna innehåller hänvisningar till medlemsstaternas nationella rätt och innehåller också krav på någon form av skyddsåtgärder. Enligt Dataskyddsutredningens bedömning innebär kravet på stöd i nationell rätt att vissa av undantagen i sig bör föreskrivas i nationell rätt antingen i generell eller i sektorsspecifik reglering (SOU 2017:39, avsnitt 10.3).
Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som möjliggör behandling av känsliga personuppgifter om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten. Uppgifter ska få lämnas ut till tredje part bara om det finns en skyldighet inom arbetsrätten för den personuppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet (SOU 2017:39, avsnitt 10.5.2).
Dataskyddsutredningen föreslår även bestämmelser med särskilda undantag från förbudet mot behandling av känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2). Myndigheter ska få behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Vidare ska myndigheter och andra organ som omfattas av
offentlighetsprincipen få behandla känsliga personuppgifter om dessa har lämnats till myndigheten eller organet och behandlingen krävs enligt lag. Dessutom ska myndigheter få behandla känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Ett förbud för myndigheter att använda sökbegrepp som avslöjar känsliga personuppgifter föreslås, då behandlingen sker enbart med stöd av de nämnda undantagen.
Regeringen föreslås få meddela föreskrifter om ytterligare undantag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse.
Dataskyddsutredningen föreslår även bestämmelser som innebär att känsliga personuppgifter ska få behandlas för sådana ändamål relaterade till hälso- och sjukvård samt social omsorg som avses i dataskyddsförordningen, under förutsättning att förordningens krav på tystnadsplikt är uppfyllt (SOU 2017:39, avsnitt 10.7.2).
Personuppgifter som rör lagöverträdelser
Dataskyddsutredningen föreslår att behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel som huvudregel ska få utföras endast av myndigheter. Vissa bestämmelser som tillåter andra än myndigheter att behandla motsvarande uppgifter ska föras in i den kompletterande förordningen. I den kompletterande förordningen ska även Datainspektionen bemyndigas att meddela ytterligare föreskrifter och besluta om sådana behandlingar (SOU 2017:39, avsnitt 11.4).
Personnummer och samordningsnummer
Uppgifter om personnummer eller samordningsnummer föreslås ska få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen ska få meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten (SOU 2017:39, avsnitt 12.4).
Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen
Dataskyddsutredningen föreslår med stöd av artikel 23 i dataskyddsförordningen att skyldigheten att ge den registrerade information om och tillgång till de personuppgifter som behandlas inte ska gälla uppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade (SOU 2017:39, avsnitt 13.4.1).
Den registrerades rätt att på begäran få information om pågående personuppgiftsbehandling ska inte omfatta uppgifter som behandlas i löpande text som utgör utkast eller minnesanteckning. Undantaget ska dock inte gälla om uppgifterna har lämnats ut till tredje part, om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller, när det gäller utkast, om uppgifterna har behandlats under mer än ett år (SOU 2017:39, avsnitt 13.4.2).
Regeringen ska få meddela föreskrifter om ytterligare undantag från vissa av förordningens skyldigheter och rättigheter (SOU 2017:39, avsnitt 13.4.4).
Dataskyddsutredningen gör bedömningen att rätten att göra invändningar inte bör inskränkas genom ett undantag i dataskyddslagen. Sådana undantag bör i stället övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter specificeras genom författning (SOU 2017:39, avsnitt 13.4.3).
Arkivändamål av allmänt intresse
Enligt Dataskyddsutredningens bedömning har myndigheter och andra organ som omfattas av arkivlagstiftningen redan enligt gällande rätt rättslig grund för behandling av personuppgifter för arkivändamål av allmänt intresse. Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt dataskyddsförordningen inte anses vara oförenlig med de ursprungliga ändamålen. Någon rättslig grund behöver inte fastställas för sådan vidarebehandling (SOU 2017:39, avsnitt 14.4.2).
Dataskyddsutredningen föreslår att känsliga personuppgifter och uppgifter om lagöverträdelser ska få behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv (SOU 2017:39, avsnitt 14.4.3).
Vidare föreslås att personuppgifter som behandlas enbart för arkivändamål av allmänt intresse inte ska få användas för att vidta åtgärder i fråga om den registrerade annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning ska inte hindra en myndighet från att använda personuppgifter som finns i allmänna handlingar (SOU 2017:39, avsnitt 14.4.4).
Vidare föreslås undantag från vissa av den registrerades rättigheter (SOU 2017:39, avsnitt 14.4.5).
Slutligen föreslås att bestämmelserna i dataskyddslagen om behandling av personuppgifter för arkivändamål av allmänt intresse i tillämpliga delar också ska gälla andra organ än myndigheter, i den mån organets verksamhet omfattas av offentlighetsprincipen och sekretesslagstiftningen (SOU 2017:39, avsnitt 14.4.6).
Statistiska ändamål
Den officiella statistiken och annan reglerad statistik framställs av särskilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse. Personuppgifter kan enligt Dataskyddsutredningens bedömning samlas in och i övrigt behandlas för detta ändamål, utan samtycke från de registrerade, med stöd av artikel 6.1 e i dataskyddsförordningen (SOU 2017:39, avsnitt 14.5.2).
Dataskyddsutredningen föreslår en bestämmelse i dataskyddslagen som möjliggör behandling av känsliga personuppgifter för statistiska ändamål om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära (SOU 2017:39, avsnitt 14.5.3).
Vidare föreslås att personuppgifter som enbart behandlas för statistiska ändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (SOU 2017:39, avsnitt 14.5.4).
Processuella frågor
Dataskyddsutredningen föreslår att dataskyddslagen ska innehålla vissa processuella bestämmelser (SOU 2017:39, avsnitt 19.3.3). Om den personuppgiftsansvarige är en myndighet, ska myndighetens beslut avseende behandlingen av personuppgifter i vissa fall få överklagas av den registrerade till allmän förvaltningsdomstol.
Vidare ska det förtydligas i dataskyddslagen att rätten till ersättning enligt dataskyddsförordningen även gäller vid överträdelser av bestämmelser som kompletterar dataskyddsförordningen.
Dataskyddsutredningen bedömer att den registrerades rätt till ett effektivt rättsmedel mot den personuppgiftsansvarige eller biträdet tillgodoses genom möjligheten att föra talan om skadestånd i allmän domstol.
Ikraftträdande- och övergångsbestämmelser
Dataskyddsutredningen föreslår att dataskyddslagen ska träda i kraft den 25 maj 2018 och att personuppgiftslagen samtidigt ska upphöra att gälla. Enligt Dataskyddsutredningens förslag ska personuppgiftslagen dock fortfarande gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den. Vidare föreslår Dataskyddsutredningen att äldre föreskrifter, dvs. personuppgiftslagen, personuppgiftsförordningen och föreskrifter som har meddelats med stöd av dessa, fortfarande ska gälla för ärenden som har inletts hos Datainspektionen men inte avgjorts före ikraftträdandet. Äldre föreskrifter ska också gälla för överklagande av beslut som har meddelats med stöd av dessa föreskrifter liksom för överträdelser som har skett före ikraftträdandet. Slutligen föreslår Dataskyddsutredningen att bestämmelserna om skadestånd i 48 § PUL ska gälla för skada som har orsakats före ikraftträdandet (SOU 2017:39, avsnitt 20.3).
4. Skollagsreglerad utbildningsverksamhet
4.1. Allmänt
Skolväsendet består enligt 1 kap. 1 § skollagen (2010:800) av skolformerna
- förskola,
- förskoleklass,
- grundskola,
- grundsärskola,
- specialskola,
- sameskola,
- gymnasieskola,
- gymnasiesärskola,
- kommunal vuxenutbildning, och
- särskild utbildning för vuxna.
I skolväsendet ingår också fritidshem som kompletterar utbildningen i förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan och vissa särskilda utbildningsformer.
Skollagen reglerar förutom skolväsendet vissa särskilda utbildningsformer och annan pedagogisk verksamhet som bedrivs i stället för utbildning inom skolväsendet (24 och 25 kap. skollagen). Dessa utbildningsformer är
- internationella skolor,
- utbildning vid särskilda ungdomshem,
- utbildning för intagna i kriminalvårdsanstalt,
- utbildning vid folkhögskola som motsvarar utbildning i svenska för invandrare,
- utbildning för barn och elever som vårdas på sjukhus eller annan motsvarande institution,
- utbildning i hemmet eller på annan lämplig plats,
- pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem,
- öppen förskola,
- öppen fritidsverksamhet, och
- omsorg under tid då förskola eller fritidshem inte erbjuds (t.ex. s.k. nattis).
Dessa uppräknade utbildningsformer ingår således inte i skolväsendet.
Kommunerna ansvarar som huvudregel för att utbildning kommer till stånd eller erbjuds de barn, ungdomar eller vuxna som har rätt till utbildning inom skolväsendet.
Utbildning inom skolväsendet anordnas av såväl det allmänna som av enskilda. Kommunerna kan vara huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem. Staten är huvudman för specialskolan och sameskolan samt förskoleklass och fritidshem vid en skolenhet med specialskola och sameskola.
Landsting får vara huvudman för gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild utbildning för vuxna i den utsträckning som anges i skollagen. Enskilda får efter ansökan, som beroende av vilken skolform det är frågan om prövas av Statens skolinspektion (Skolinspektionen) respektive av kommunen där utbildningen ska bedrivas, godkännas som huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola och fritidshem (2 kap.5 och 7 §§skollagen).
Till det kommunala ansvaret att tillhandahålla utbildning inom skolväsendet tillkommer uppgifter som har nära koppling till skolväsendet. Kommunerna har t.ex. ansvar för att bevaka att alla skolpliktiga barn hemmahörande i kommunen får föreskriven utbildning (7 kap. 21 § skollagen). Kommunerna har dessutom skyldighet att erbjuda eleverna som bor i kommunen skolskjuts under vissa förutsättningar inom grundskolan, grundsärskolan och gymnasiesärskolan (t.ex. 10 kap. 32 § och 11 kap. 31 §skollagen). Kommunerna har också ansvar för att lämna bidrag till enskilda huvudmän som tar emot elever hemmahörande i kommunen (t.ex. 8 kap. 21 §, 9 kap. 19 §, 10 kap. 37 §, 11 kap. 36 § och 14 kap. 15 §skollagen).
I 23 kap. skollagen finns bestämmelser som reglerar entreprenader. En kommun, ett landsting eller en enskild huvudman får med bibehållet huvudmannaskap avtala med någon annan att utföra uppgifter inom utbildning eller annan verksamhet enligt skollagen (entreprenad).
En grundprincip enligt skollagen är att alla, oberoende av geografisk hemvist och sociala och ekonomiska förhållanden, ska ha lika tillgång till utbildning i skolväsendet. En annan princip är att utbildningen inom skolväsendet ska vara likvärdig inom varje skolform och inom fritidshemmet oavsett var i landet den anordnas.
Huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i skollagen, föreskrifter som har meddelats med stöd av skollagen och de bestämmelser för utbildningen som kan finnas i andra författningar.
4.1.1. Skolväsendet för barn och unga
Förskolan
Barn som är bosatta i Sverige och som inte har börjat i förskoleklass eller i någon utbildning för fullgörande av skolplikten ska av sin hemkommun erbjudas förskola. Barn ska från och med ett års ålder erbjudas förskola i den omfattning det behövs med hänsyn till föräldrarnas förvärvsarbete eller studier eller om barnet har ett eget behov av familjens situation i övrigt. Från och med höstterminen det år barnet fyller tre år ska förskola erbjudas med ett minsta antal timmar om året.
Förskolan ska stimulera barns utveckling och lärande samt erbjuda barnen en trygg omsorg. Verksamheten ska utgå från en helhetssyn på barnet och barnets behov och utformas så att omsorg, utveckling och lärande bildar en helhet.
Kommunerna ansvarar för att utbildning i förskola kommer till stånd för alla barn i kommunen som ska erbjudas förskola och vars vårdnadshavare önskar det. Även enskilda kan vara huvudman för förskola.
Bestämmelserna om förskolan finns främst i 8 kap. skollagen och 1998 års läroplan för förskolan (Lpfö 98, SKOLFS 1998:16).
Förskoleklassen
Varje barn som är bosatt i Sverige ska av sin hemkommun erbjudas en plats i förskoleklass från och med höstterminen det år då de fyller sex år. Rättigheten gäller till dess att barnet ska fullgöra sin skolplikt, dvs. då han eller hon ska börja i grundskolan eller i motsvarande skolform.
Förskoleklassen ska stimulera elevers utveckling och lärande och förbereda dem för fortsatt utbildning. Utbildningen ska utgå från en helhetssyn på eleven och elevens behov.
Hemkommunen ansvarar för att utbildning i förskoleklass kommer till stånd för alla barn i kommunen som önskar sådan. Staten är dock huvudman för förskoleklasser vid specialskola eller sameskola. Enskilda kan vara huvudman för fristående förskoleklass. Huvudregeln är att dessa ska vara öppna för alla elever som ska erbjudas utbildning i förskoleklassen. Utbildningen får dock begränsas till att avse elever som är i behov av särskilt stöd för sin utveckling. Dessa skolor benämns ibland fristående resursskolor.
Bestämmelser om förskoleklasserna finns huvudsakligen i 9 kap. skollagen och läroplanen för grundskolan, förskoleklassen och fritidshemmet (SKOLFS 2010:37).
Grundskolan
För barn gäller normalt skolplikt från och med höstterminen det kalenderår de fyller sju år till utgången av vårterminen det nionde året därefter. Skolplikten ska som huvudregel fullgöras i grundskolan
eller i någon av de i skollagen angivna motsvarande utbildningsformerna, t.ex. grundsärskola, specialskola eller sameskola.
Grundskolan, som ska vara avgiftsfri, har nio årskurser och ska ge eleverna kunskaper och värden samt utveckla elevernas förmåga att tillägna sig dessa. Utbildningen ska utformas så att den bidrar till personlig utveckling samt förbereder eleverna för aktiva livsval och ligger till grund för fortsatt utbildning. Utbildningen ska även främja allsidiga kontakter och social gemenskap och ge en god grund för ett aktivt deltagande i samhällslivet.
Kommunerna ansvarar för att utbildning i grundskolan kommer till stånd för alla som enligt skollagen har rätt att gå i grundskolan och som inte fullgör sin skolgång på annat sätt. Huvudregeln är att fristående grundskolor ska vara öppna för alla elever som har rätt till utbildning i grundskolan. Utbildningen får dock begränsas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa skolor benämns ibland fristående resursskolor.
Bestämmelser om grundskolan finns huvudsakligen i 10 kap. skollagen, skolförordningen (2011:185) och läroplanen för grundskolan, förskoleklassen och fritidshemmet.
Grundsärskolan
Grundsärskolan är ett alternativ till grundskolan för elever som inte bedöms kunna nå upp till grundskolans kunskapskrav därför att de har en utvecklingsstörning. Syftet är att ge alla elever med utvecklingsstörning en för dem anpassad utbildning som ger kunskaper och värden och utvecklar elevernas förmåga att tillägna sig dessa. Utbildningen ska utformas så att den bidrar till personlig utveckling, förbereder eleverna för aktiva livsval och ligger till grund för fortsatt utbildning. Utbildningen ska främja allsidiga kontakter och social gemenskap och ge en god grund för aktivt deltagande i samhällslivet. Frågan om mottagande i grundsärskolan prövas av hemkommunen.
Grundsärskolan, som är avgiftsfri, ska ha nio årskurser. Inom grundsärskolan finns en särskild inriktning som benämns träningsskola, som är avsedd för elever som inte kan tillgodogöra sig hela eller delar av utbildningen i ämnen.
Hemkommunen ansvarar för att utbildning inom grundsärskolan kommer till stånd för alla som har rätt att gå i grundsärskolan och
inte fullgör sin skolgång på annat sätt. Fristående grundsärskolor ska vara öppna för alla elever som har rätt till utbildning i grundsärskolan. Utbildningen får dock begränsas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa skolor benämns ibland fristående resursskolor.
Bestämmelser om grundsärskolan finns huvudsakligen i 11 kap. skollagen, skolförordningen och läroplanen för grundsärskolan (SKOLFS 2010:255).
Specialskolan
Barn och ungdomar som på grund av sin funktionsnedsättning eller andra särskilda skäl inte kan gå i grundskolan eller grundsärskolan ska tas emot i specialskolan om de är dövblinda, har en synnedsättning och ytterligare funktionsnedsättning, är döva, är hörselskadade eller har en grav språkstörning. Frågan om mottagande i specialskola prövas av Specialpedagogiska skolmyndigheten.
Specialskolan ska ge dessa barn och ungdomar en utbildning som är anpassad till varje elevs förutsättningar och som så långt det är möjligt motsvarar den utbildning som ges i grundskolan. Specialskolan, som är avgiftsfri, ska ha tio årskurser.
Utbildningen i specialskolan anordnas av Specialpedagogiska skolmyndigheten och bedrivs vid flera skolenheter. Det finns fem regionala specialskolor och tre riksskolor som finns vid fyra skolenheter.
Bestämmelser om specialskolan finns huvudsakligen i 12 kap. skollagen, skolförordningen och läroplanen för specialskolan samt för förskoleklassen och fritidshemmet i vissa fall (SKOLFS 2010:250). Grundsärskolans kursplaner får tillämpas för en elev i specialskolan om eleven har en utvecklingsstörning och elevens vårdnadshavare lämnar sitt samtycke (12 kap. 8 § skollagen).
Sameskolan
Sameskolan ska ge en utbildning med samisk inriktning som i övrigt motsvarar utbildningen i årskurserna 1–6 i grundskolan. Sameskolan, som är avgiftsfri, ska ha sex årskurser. Därefter går eleverna vidare till grundskolan. Barn till samer får gå i sameskolan. Även andra barn får gå i sameskolan om det finns särskilda skäl. Utbildning i sameskolan
anordnas av Sameskolstyrelsen och bedrivs vid fem skolor. Bestämmelser om sameskolan finns huvudsakligen i 13 kap. skollagen, skolförordningen och läroplanen för sameskolan samt för förskoleklassen och fritidshemmet i vissa fall (SKOLFS 2010:251).
Fritidshemmet
Fritidshemmet utgör en för eleverna frivillig verksamhet som kompletterar utbildningen i förskoleklassen, grundskolan och motsvarande skolformer. Fritidshemmet ska erbjuda eleverna en meningsfull fritid samt stimulera deras utveckling och lärande. Utbildningen ska utgå från en helhetssyn på eleven och elevens behov.
Hemkommunen ansvarar för att eleverna erbjuds fritidshem. Staten ska dock erbjuda utbildning i fritidshem för elever i specialskola och sameskola. Enskilda får efter ansökan godkännas som huvudmän för fritidshem.
Fritidshem ska erbjudas till och med vårterminen det år då eleven fyller 13 år. Från och med höstterminen det år då eleven fyller 10 år får öppen fritidsverksamhet erbjudas i stället för fritidshem. Bestämmelser om fritidshemmet finns huvudsakligen i 14 kap. skollagen och läroplanen för grundskolan, förskoleklassen och fritidshemmet (SKOLFS 2010:37).
Gymnasieskolan
För ungdomars vidareutbildning efter fullgjord skolplikt i grundskola eller motsvarande finns den, som huvudregel, treåriga gymnasieskolan. Huvudmän för gymnasieskolan, som ska vara avgiftsfri, är kommuner, landsting eller enskilda. Gymnasieskolan ska ge eleverna en grund för yrkesverksamhet och fortsatta studier på högskolenivå samt för personlig utveckling och ett aktivt deltagande i samhällslivet. Utbildningen kan fullgöras dels vid nationella program, som är yrkesprogram eller högskoleförberedande, dels vid introduktionsprogram och vidareutbildning i form av ett fjärde tekniskt år. Det finns 18 nationella program, varav 12 är yrkesförberedande och 6 är högskoleförberedande, och 5 introduktionsprogram för elever som inte är behöriga till ett nationellt program.
För ungdomar med ett svårt rörelsehinder får de kommuner som regeringen beslutar anordna speciellt anpassad utbildning (gymnasieskola med Rh-anpassad utbildning) i sin gymnasieskola. För dessa utbildningar gäller särskilda bestämmelser. Riksgymnasier med Rh-anpassad utbildning finns inom den kommunala gymnasieskolan i Göteborg, Kristianstad, Stockholm och Umeå.
Örebro kommun får i sin gymnasieskola anordna utbildning för döva och gravt hörselskadade från hela landet (Riksgymnasiet för döva och hörselskadade).
Huvudregeln är att huvudmannen för fristående gymnasieskola ska ta emot alla ungdomar som har rätt till den sökta utbildningen i gymnasieskolan. Mottagandet till en viss utbildning får dock begränsas till att avse t.ex. elever som är i behov av särskilt stöd. Dessa skolor benämns ibland fristående resursskolor.
Bestämmelser om gymnasieskolan finns huvudsakligen i 15– 17 a kap. skollagen, gymnasieförordningen (2010:2039) och läroplanen för gymnasieskolan (SKOLFS 2011:144) samt examensmål för gymnasieskolans nationella program (SKOLFS 2010:14).
Gymnasiesärskolan
Gymnasiesärskolan riktar sig till ungdomar vars skolplikt har upphört och som inte bedöms ha förutsättningar att nå upp till gymnasieskolans kunskapskrav därför att de har en utvecklingsstörning. Gymnasiesärskolan ska ge elever med utvecklingsstörning en för dem anpassad utbildning som ska ge en god grund för yrkesverksamhet och fortsatta studier samt för personlig utveckling och ett aktivt deltagande i samhällslivet. Hemkommunen prövar frågan om en sökande tillhör målgruppen. Utbildningen i gymnasiesärskolan består av nationella och individuella program. Varje kommun ansvarar för att alla ungdomar i kommunen som tillhör gymnasiesärskolans målgrupp erbjuds utbildning av god kvalitet i gymnasiesärskolan. Även landsting och enskilda kan vara huvudmän för gymnasiesärskolan. Bestämmelser om gymnasiesärskolan finns huvudsakligen i 18 och 19 kap. skollagen, gymnasieförordningen och läroplanen för gymnasiesärskolan (SKOLFS 2013:148).
Elevhälsan
I skollagen anges att det för eleverna i förskoleklassen, grundskolan, grundsärskolan, sameskolan, specialskolan, gymnasieskolan och gymnasiesärskolan ska finnas elevhälsa (2 kap. 25 § skollagen). Kravet gäller såväl offentliga som fristående skolor. Elevhälsan ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser. Elevhälsan ska främst vara förebyggande och hälsofrämjande. Elevernas utveckling mot utbildningens mål ska stödjas.
För medicinska, psykologiska och psykosociala insatser ska det finnas tillgång till skolläkare, skolsköterska, psykolog och kurator. Vidare ska det finnas tillgång till personal med sådan kompetens att elevernas behov av specialpedagogiska insatser kan tillgodoses.
Varje elev i grundskolan, grundsärskolan och specialskolan ska erbjudas minst tre hälsobesök som innefattar allmänna hälsokontroller. Varje elev i sameskolan ska erbjudas minst två hälsobesök som innefattar allmänna hälsokontroller. Eleven ska dessutom mellan hälsobesöken erbjudas undersökning av syn och hörsel och andra begränsade hälsokontroller. I gymnasieskolan och gymnasiesärskolan ska minst ett hälsobesök som innefattar en allmän hälsokontroll erbjudas. Elever får vid behov anlita elevhälsan för enkla sjukvårdsinsatser.
Skolbiblioteken
Eleverna i grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan ska ha tillgång till skolbibliotek (2 kap. 36 § skollagen). Kravet på att elever ska ha tillgång till skolbibliotek gäller för såväl offentliga som fristående skolor. Skolbiblioteken är en pedagogisk resurs för undervisning och skolarbete.
Av 1 § bibliotekslagen (2013:801) framgår att skolbibliotek ingår i det allmänna biblioteksväsendet.
4.1.2. Särskilda utbildningsformer för barn och ungdomar enligt 24 kap. skollagen
I 24 kap. skollagen finns bestämmelser om bl.a. internationella skolor, utbildning vid särskilda ungdomshem, utbildning för barn och elever som vårdas på sjukhus eller en institution som är knuten till ett sjukhus och utbildning i hemmet eller på annan lämplig plats.
Internationella skolor
Med en internationell skola avses enligt skollagen en skola där utbildningen inte följer en sådan läroplan som avses i 1 kap. 11 § skollagen, utan ett annat lands läroplan eller en internationell läroplan och som i första hand riktar sig till elever som är bosatta i Sverige för en begränsad tid.
Skolinspektionen prövar ansökningar från enskilda om att få godkännas som huvudman för en internationell skola på grundskolenivå. Vidare kan Skolinspektionen efter ansökan av en kommun besluta att kommunen får vara huvudman för en internationell skola på grundskolenivå. Hemkommunen för en elev i en internationell skola på grundskolenivå ska, om inte hemkommunen och huvudmannen är samma kommun, lämna bidrag till huvudmannen för skolan.
Ett barn får fullgöra sin skolplikt i en internationell skola på grundskolenivå om huvudmannen har godkänts eller fått medgivande av Skolinspektionen och barnet t.ex. är bosatt i Sverige under en begränsad tid eller har gått i skola utomlands under en längre tid och vill avsluta sin utbildning i Sverige.
Internationella skolor på gymnasienivå med enskild huvudman behöver enligt gällande rätt inte godkännas av Skolinspektionen, men för att få rätt till bidrag från elevernas hemkommuner krävs att huvudmannen ansökt om och av Skolinspektionen förklarats berättigad till bidrag. För att en förklaring om rätt till bidrag ska lämnas krävs bl.a. att det kan antas att det kommer att finnas ett tillräckligt elevunderlag för att driva en stabil verksamhet.
Utbildning vid särskilda ungdomshem
Utbildning kan i vissa fall ske vid särskilda ungdomshem. Under vistelse i ett sådant hem som avses i 12 § lagen (1990:52) med särskilda bestämmelser om vård av unga (avseende särskilt ungdomshem) ska skolpliktiga barn, som inte lämpligen kan fullgöra sin skolplikt på annat sätt, fullgöra den genom att delta i utbildning vid hemmet. Statens institutionsstyrelse (SiS) är huvudman för all utbildning som sker vid särskilda ungdomshem.1 Utbildningen ska motsvara utbildningen i grundskolan eller i förekommande fall grundsärskolan eller specialskolan. För sådan utbildning ska relevanta bestämmelser i skollagen tillämpas med de nödvändiga avvikelser som följer av att barnet vistas i ett sådant hem.
Den som inte längre är skolpliktig och vistas i ett särskilt ungdomshem och som inte lämpligen kan fullgöra skolgång på annat sätt ska genom huvudmannens försorg ges möjlighet att delta i utbildning som motsvarar sådan utbildning som erbjuds i gymnasieskolan eller gymnasiesärskolan.
Utbildning på sjukhus
Om ett barn vårdas på sjukhus eller en institution som är knuten till ett sjukhus, ska huvudmannen för institutionen svara för att barnet får tillfälle att delta i utbildning som så långt det är möjligt motsvarar den som erbjuds i förskola, förskoleklass eller fritidshem (24 kap. 16 §). För elever i grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan, som på grund av sjukdom eller liknande skäl inte kan delta i vanligt skolarbete och som vårdas på sjukhus eller en institution som är knuten till ett sjukhus, ska särskild undervisning anordnas på sjukhuset eller institutionen om det inte är obehövligt för elevens inhämtande av kunskaper (24 kap. 17 §). Sådan undervisning ska så långt det är möjligt motsvara den undervisning som eleven inte kan delta i. Särskild undervisning anordnas av den kommun där institutionen är belägen (24 kap. 19 §). Statens skolverk (Skolverket) har tagit fram allmänna råd (SKOLFS 2016:64) med kommentarer om utbildning på sjukhus.
1SOU 2016:62 s. 94 och 125.
Särskild undervisning i hemmet
För elever i grundskolan, grundsärskolan, specialskolan, sameskolan, gymnasieskolan och gymnasiesärskolan, som på grund av sjukdom eller liknande skäl inte kan delta i vanligt skolarbete under längre tid men som inte vårdas på sjukhus eller en institution som är knuten till ett sjukhus, ska särskild undervisning anordnas i hemmet eller på annan lämplig plats. Sådan undervisning ska så långt det är möjligt motsvara den undervisning som eleven inte kan delta i (24 kap. 20 §). Särskild undervisning får ges i hemmet endast om eleven eller elevens vårdnadshavare samtycker. Sådan särskild undervisning anordnas av den som är huvudman för den utbildning som eleven annars deltar i (24 kap. 22 §).
Annat sätt att fullgöra skolplikten
Ett skolpliktigt barn får medges rätt att fullgöra skolplikten på annat sätt än som anges i skollagen. Medgivande ska lämnas om verksamheten framstår som ett fullgott alternativ till den utbildning som annars står barnet till buds enligt föreskrifter i skollagen, behovet av insyn i verksamheten kan tillgodoses och det finns synnerliga skäl (24 kap. 23 §).
I förarbetena till bestämmelsen (prop. 2009/10:165 s. 885) anges två exempel på situationer när synnerliga skäl kan förekomma. Den ena är en elev som nyss flyttat till Sverige från något av våra grannländer som har mycket starka skäl för att gå kvar i det gamla landets skola under återstoden av terminen. Även situationer då en elev under längre tid önskar vara från skolan på grund av resor eller filminspelning skulle kunna utgöra synnerliga skäl för att under en tid få medgivande att fullgöra skolplikten på annat sätt om det finns mycket starka skäl i det enskilda fallet. Det betonas att bestämmelsen ska tillämpas med stor restriktivitet.
Medgivande får lämnas för upp till ett år i sänder. Frågor om medgivande prövas som huvudregel av barnets hemkommun.
4.1.3. Annan pedagogisk verksamhet enligt 25 kap. skollagen
Pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem, öppen förskola, öppen fritidsverksamhet och omsorg under tid då förskola eller fritidshem inte erbjuds regleras i 25 kap. skollagen.
Verksamheten kan bedrivas i kommunal och enskild regi.
Pedagogisk omsorg som erbjuds i stället för förskola eller fritidshem
Kommunen ska sträva efter att i stället för förskola eller fritidshem erbjuda ett barn pedagogisk omsorg om barnets vårdnadshavare önskar det (25 kap. 2 §). Pedagogisk omsorg ska genom pedagogisk verksamhet stimulera barns utveckling och lärande. Med pedagogisk omsorg avses bl.a. familjedaghem, flerfamiljslösningar och andra verksamheter där det bedrivs pedagogisk verksamhet i annan form än förskola eller fritidshem (prop. 2009/10:165 s. 886). Förskolans läroplan är vägledande för pedagogisk omsorg. Skolverket har tagit fram allmänna råd (SKOLFS 2012:90) med kommentarer om pedagogisk omsorg.
Öppen förskola
En kommun får anordna öppen förskola som komplement till förskola och pedagogisk omsorg. Den öppna förskolan ska erbjuda barn en pedagogisk verksamhet i samarbete med de till barnen medföljande vuxna samtidigt som de vuxna ges möjlighet till social gemenskap (25 kap. 3 §).
Öppen fritidsverksamhet
Från och med höstterminen det år då eleven fyller tio år får öppen fritidsverksamhet erbjudas i stället för fritidshem, om eleven inte på grund av fysiska, psykiska eller andra skäl är i behov av sådant särskilt stöd i sin utveckling som endast kan erbjudas i fritidshem (14 kap. 7 §). En huvudman kan erbjuda dessa elever öppen fritidsverksamhet i stället för fritidshem. Den öppna fritidsverksamheten ska genom
pedagogisk verksamhet komplettera utbildningen i grundskolan, grundsärskolan, specialskolan, sameskolan och andra särskilda utbildningsformer i vilka skolplikt kan fullgöras. Verksamheten ska erbjuda barnen möjlighet till utveckling och lärande samt en meningsfull fritid och rekreation.
Omsorg under tid då förskola eller fritidshem inte erbjuds
Kommunen ska sträva efter att erbjuda omsorg för barn under tid då förskola eller fritidshem inte erbjuds i den omfattning det behövs med hänsyn till föräldrars förvärvsarbete och familjens situation i övrigt. Som exempel på omständigheter som är hänförliga till familjens situation i övrigt anförs i förarbetena (prop. 2009/10:165 s. 888) att en förälder fullgör värnplikt eller är intagen på behandlingshem eller i kriminalvårdsanstalt.
4.1.4. Skolväsendet för vuxna
Skolväsendet för vuxna utgörs enligt 1 kap. 1 § skollagen av skolformerna kommunal vuxenutbildning och särskild utbildning för vuxna. Målet med dessa utbildningsformer är att vuxna ska stödjas och stimuleras i sitt lärande. Individerna ska ges möjlighet att utveckla sina kunskaper och sin kompetens i syfte att bl.a. stärka sin ställning i arbetslivet.
Kommunal vuxenutbildning
Kommunal vuxenutbildning ska tillhandahållas på grundläggande nivå, gymnasial nivå och som utbildning i svenska för invandrare. Utbildning på grundläggande nivå motsvarar i huvudsak grundskolan och syftar till att ge vuxna sådana kunskaper som de behöver för att delta i samhälls- och arbetslivet. Den syftar också till att möjliggöra fortsatta studier. Vuxna som saknar kunskaper motsvarande grundskolan har rätt att fr.o.m. 20 års ålder delta i den grundläggande vuxenutbildningen.
Utbildning på gymnasial nivå syftar till att ge vuxna kunskaper på en nivå som motsvarar den som utbildningen i gymnasieskolan
ska ge. Den som fått minst utbildning ska prioriteras till kommunal vuxenutbildning på gymnasial nivå. Från och med den 1 januari 2017 gäller en utökad rätt att delta i kommunal vuxenutbildning på gymnasial nivå i syfte att antingen uppnå grundläggande och särskild behörighet till högskoleutbildning som påbörjas på grundnivå och som vänder sig till nybörjare, eller uppnå grundläggande behörighet eller särskilda kunskaper för utbildning inom yrkeshögskolan (prop. 2016/17:5).
Utbildning i svenska för invandrare syftar till att ge vuxna invandrare grundläggande kunskaper i svenska språket, men också till att ge vuxna invandrare som saknar grundläggande läs- och skrivfärdigheter möjlighet att förvärva sådana färdigheter.
Kommunerna ska tillhandahålla kommunal vuxenutbildning. Landsting får vara huvudmän för sådan utbildning på gymnasial nivå inom områdena naturbruk och omvårdnad och efter avtal med en kommun även inom andra områden. Utbildningen ska som huvudregel vara avgiftsfri.
Bestämmelser om kommunal vuxenutbildning finns huvudsakligen i 20 kap. skollagen, förordningen (2011:1108) om vuxenutbildning och läroplanen för vuxenutbildningen (SKOLFS 2012:101).
Särskild utbildning för vuxna
För vuxna med utvecklingsstörning eller förvärvad hjärnskada finns särskild utbildning för vuxna i stället för kommunal vuxenutbildning. Målet med utbildningen är att vuxna med utvecklingsstörning ska stödjas och stimuleras i sitt lärande. De ska ges möjlighet att utveckla sina kunskaper och sin kompetens i syfte att stärka sin ställning i arbets- och samhällslivet samt att främja sin personliga utveckling. Utbildningen på grundläggande nivå syftar till att ge vuxna kunskaper på en nivå som motsvarar den som utbildningen i grundsärskolan ska ge. På motsvarande sätt syftar utbildningen på gymnasial nivå till att ge kunskaper motsvarande utbildningen på nationella program i gymnasiesärskolan.
Kommunerna är huvudmän för särskild utbildning för vuxna, men landstingen kan efter överenskommelse ansvara för viss utbildning. Utbildningen ska tillhandahållas på grundläggande nivå och gymnasial nivå samt vara avgiftsfri. Bestämmelser om särskild utbildning
för vuxna finns huvudsakligen i 21 kap. skollagen, förordningen (2011:1108) om vuxenutbildning och läroplanen för vuxenutbildningen (SKOLFS 2012:101).
Elevhälsan
En huvudman för kommunal vuxenutbildning eller särskild utbildning för vuxna får för sina elever anordna elevhälsa motsvarande sådan som ska anordnas för eleverna i bl.a. grundskolan och gymnasieskolan (2 kap.25 och 26 §§skollagen).
4.1.5. Särskilda utbildningsformer för vuxna enligt 24 kap. skollagen
I 24 kap. skollagen finns bestämmelser om bl.a. utbildning för intagna i kriminalvårdsanstalt och utbildning vid folkhögskola som motsvarar kommunal utbildning i svenska för invandrare.
Utbildning för intagna i kriminalvårdsanstalt
För intagna på kriminalvårdsanstalt får det anordnas utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna. För sådan utbildning ansvarar Kriminalvården (24 kap. 10 §).
Utbildning vid folkhögskola som motsvarar kommunal vuxenutbildning i svenska för invandrare
Den som har rätt att delta i kommunal vuxenutbildning i svenska för invandrare har rätt att i stället delta i en folkhögskolas motsvarande utbildning. Detta om folkhögskolan enligt sådana föreskrifter som har meddelats med stöd av 29 kap. 24 § skollagen av Skolinspektionen har getts rätt att sätta betyg, anordna prövning samt utfärda betyg och intyg, och folkhögskolan har förklarat sig ha för avsikt att ta emot den sökande till utbildningen (24 kap. 11 §).
En folkhögskola som till sin utbildning i svenska för invandrare har antagit en elev som har förklarats behörig att delta i utbildning-
en, har rätt till ersättning för kostnaden för elevens utbildning från elevens hemkommun (24 kap. 15 §).
4.1.6. Entreprenad
Enligt bestämmelserna i 23 kap. skollagen får en kommun, ett landsting eller en enskild huvudman sluta avtal om att någon annan än kommunen, landstinget eller den enskilde huvudmannen utför uppgifter inom utbildning eller annan verksamhet enligt skollagen (entreprenad).
Entreprenad innebär att kommunen, landstinget eller den enskilde huvudmannen ansvarar i egenskap av huvudman för verksamhetens innehåll, men låter någon annan sköta själva utförandet. De bestämmelser som finns för en utbildning i skollagen och andra författningar på skolområdet, t.ex. läroplaner och kursplaner, gäller även vid entreprenad. Bibehållet huvudmannaskap innebär att även om en entreprenör ges i uppdrag av en kommun att utföra uppgifter inom utbildning som kommunen är huvudman för, så är det fortfarande fråga om en kommunal verksamhet i förhållande till barn, elever och vårdnadshavare (prop. 2009/10:165 s. 508).
Inom förskolan, förskoleklassen, fritidshemmet, kommunal vuxenutbildning, särskild utbildning för vuxna och sådan pedagogisk verksamhet som avses i 25 kap. får uppgifter överlämnas på entreprenad till en enskild fysisk eller juridisk person.
När det gäller undervisning inom grundskolan, grundsärskolan, gymnasieskolan och gymnasiesärskolan får uppgifter som inte är hänförliga till undervisning läggas ut på entreprenad. Uppgifter som avser modersmålsundervisning eller studiehandledning på modersmålet får överlämnas på entreprenad till annan huvudman om huvudmannen har gjort vad som rimligen kan krävas för att anordna utbildningen inom den egna organisationen. Undervisning i gymnasieskolan i karaktärsämnen som har en yrkesinriktad eller estetisk profil får överlämnas på entreprenad till enskild fysisk eller juridisk person. Vidare får uppgifter som avser fjärrundervisning inom grundskolan, grundsärskolan, gymnasieskolan och gymnasiesärskolan överlämnas till staten på entreprenad. Inom dessa skolformer får uppgifter som avser fjärrundervisning även överlämnas till annan huvudman på entreprenad om uppgifterna är sådana som avser modersmålsunder-
visning eller studiehandledning på modersmålet om huvudmannen har gjort vad som rimligen kan krävas för att anordna utbildningen inom den egna organisationen
Kommuner kan således erbjuda t.ex. kommunal vuxenutbildning i egen regi eller genom upphandling av andra utbildningsanordnare såsom privata utbildningsföretag, studieförbund eller folkhögskolor (SOU 2016:62 s. 98).
Regeringen har i proposition 2016/17:156 föreslagit att det införs bestämmelser i skollagen om att huvudmän ska vara skyldiga att i vissa situationer erbjuda elever i grundskolan undervisning under skollov. Undervisning inom ramen för lovskolan får överlämnas på entreprenad. Lagändringarna föreslås träda i kraft den 1 augusti 2017. Propositionen behandlas för närvarande i riksdagen.
Regeringen har vidare i proposition 2016/17:161 föreslagit en ny lag om försöksverksamhet med branschskolor. Försöksverksamheten innebär att en huvudman för utbildning på ett yrkesprogram inom gymnasieskolan eller för kommunal vuxenutbildning enligt skollagen med bibehållet huvudmannaskap får sluta avtal med en branschskola om att skolan utför vissa uppgifter inom sådan utbildning (entreprenad). Den nya lagen om försöksverksamhet med branschskolor föreslås träda i kraft den 1 augusti 2017 och tillämpas på utbildning efter den 1 juli 2018. Lagen ska upphöra att gälla vid utgången av juni månad 2023. Propositionen behandlas för närvarande i riksdagen.
I syfte att öka möjligheterna för huvudmän för vissa skolformer att erbjuda den undervisning som elever har behov av och att ge alla elever en likvärdig tillgång till utbildning utreds frågan om vilka som får bedriva utbildning på entreprenad. En särskild utredare har bl.a. fått i uppdrag att föreslå under vilka förutsättningar skolhuvudmän, eller i vissa fall andra aktörer, bör få utföra undervisning åt andra skolhuvudmän (Utredningen Bättre möjligheter till fjärrundervisning och undervisning på entreprenad [U2015:09]). Utredaren ska även bedöma om bestämmelserna i 23 kap. om entreprenad och samverkan bör ändras och vid behov föreslå nya ändamålsenliga avtalsformer för skolhuvudmän som avser att ingå avtal med varandra om att utföra uppgifter avseende undervisning (dir. 2015:112). Uppdraget i denna del ska redovisas senast den 30 maj 2017. Utredaren har i tilläggsdirektiv fått i uppdrag att inom samma tid bl.a. bedöma hur
entreprenad inom skolväsendet förhåller sig till den kommande lagen om offentlig upphandling (dir. 2016:107).
4.2. Utredningen om offentlighet och sekretess i skolans syn på skolans personuppgiftsbehandling
Utredningen om offentlighet och sekretess i skolan har i sitt betänkande Sekretess i elevernas intresse – Dokumentation, samverkan och integritetet i skolan (SOU 2003:103 s. 198 f.) prövat behovet av särskild reglering av skolmyndigheternas personuppgiftsbehandling. Utredningen konstaterade att ett stort antal elevuppgifter inom skolverksamheten, såväl i undervisningen som i elevvården, behandlas på ett sådant sätt att de omfattas av bestämmelserna i personuppgiftslagen (1998:204, PUL). Det kan röra sig om behandling genom regelrätt registerföring (t.ex. datalistor över skolans samtliga elever), behandling i löpande text med hjälp av ordbehandling (t.ex. upprättade beslut och protokoll samt personalanteckningar), e-post eller publicering av uppgifter på hemsidor på internet.
Utredningen ansåg att det var självklart att mycket av den behandling som förekommer också måste få förekomma eftersom skolverksamheten på samma sätt som annan verksamhet borde kunna dra fördel av ny teknik. Utredningen analyserade därför om det fanns rättsligt stöd för den behandling som behövs i samband med dokumentation avseende enskilda elever, dvs. om den kunde ske i överensstämmelse med personuppgiftslagens regler.
Enligt utredningens bedömning torde det inte föreligga någon tvekan om att skolmyndigheter enligt den då lydande skollagen och andra författningar har en rättslig skyldighet i personuppgiftslagens mening att fullgöra sina åligganden gentemot eleverna i fråga om såväl undervisning som elevvård. Likaså måste det anses vara av stort allmänt intresse att skolorna kan fullgöra sina arbetsuppgifter. Skolorna bedöms kunna stödja behandling av personuppgifter på 10 § b och d PUL, med undantag för behandlingen av känsliga personuppgifter.
Beträffande skolornas behandling av känsliga personuppgifter konstaterade utredningen att 8 § personuppgiftsförordningen (1998:1191, PUF), enligt vilken känsliga personuppgifter får behandlas även utan samtycke av en myndighet i löpande text, t.ex. i pro-
memorior, protokoll och beslut, om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggningen av ärendet, inte är tillämplig på behandling som sker i den del av skolornas verksamhet som utgör faktiskt handlande, dvs. när det inte är fråga om ett pågående ärende.
Gemensamt för de flesta fall då känsliga personuppgifter behandlas automatiserat inom ramen för det faktiska handlandet i skolverksamheten (undantaget skolhälsovården samt legitimerade psykologer och psykoterapeuter) är att det krävs samtycke från eleven eller, i förekommande fall, dennes vårdnadshavare. Utan ett sådant uttryckligt samtycke är det alltså normalt inte tillåtet att behandla uppgifterna automatiserat, även om det från skolans eller personalens synvinkel ter sig nödvändigt. Som exempel kan nämnas att det krävs samtycke för att skolpersonalen i en frånvarojournal ska få anteckna orsaken till en elevs frånvaro, i den mån en sådan anteckning innebär att hälsouppgifter registreras.
Utredningens bedömning var att skolmyndigheter, med stöd av personuppgiftslagens bestämmelser, har möjlighet att med datorstöd behandla det absoluta flertalet av uppgifterna som behövs i skolverksamheten. Rättsliga problem som begränsar skolornas hantering av personuppgifter och som kan kräva särskild reglering kunde enligt utredningens bedömning egentligen uppstå endast när det gäller behandling av känsliga personuppgifter. Flera av de uppgiftskategorier som enligt personuppgiftslagen bedöms som känsliga berörde enligt utredningens uppfattning dock inte skolornas behov av registrering i särskilda dataregister.
De känsliga personuppgifter som skolmyndigheterna kan ha behov av att behandla i särskilda register rör framför allt uppgifter om elevernas hälsa, men också etniskt ursprung, som behövs för genomförandet av modersmålsundervisning. Uppgifter om hälsa kan förekomma i elevadministrativ information, t.ex. att vissa elever är allergiska och därför behöver särskild mat, men kanske främst information om elevers hälsotillstånd inom ramen för den elevvårdande verksamheten. Utredningen bortsåg dock i detta sammanhang från behovet av personuppgiftsbehandling inom skolhälsovården och annan verksamhet som utgör hälso- och sjukvård.
I fråga om annan behandling av känsliga personuppgifter än sådan som utförs i regelrätta register bedömdes det svårare att uttala sig bestämt om skolornas behov. Ingen användning av de ovan nämnda
kategorierna av känsliga personuppgifter kan uteslutas när det är fråga om behovet av att behandla information automatiserat i löpande text, t.ex. i beslut eller andra handlingar som har samband med handläggningen av ärenden inom en skolmyndighet. Det finns ingen möjlighet att i förväg avgöra vilka uppgifter som är av betydelse för, och som kan motivera utgången i, ett elevvårdsärende eller ett administrativt ärende. Som exempel kan nämnas ett elevvårdsärende om mobbning av en elev på grund av hans eller hennes sexuella läggning. Med stöd av den generella bestämmelsen i 8 § PUF får alla myndigheter behandla sådana känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggning av ärendet. Det uppstår därför inte några rättsliga problem i det avseendet när det är fråga om hantering av känsliga personuppgifter vid handläggningen av ärenden inom en skolmyndighet.
En stor del av skolornas verksamhet utgörs av s.k. faktiskt handlande, såväl i fråga om undervisning som elevvård. Även som ett led i det faktiska handlandet kan det finnas ett visst behov av att med datorstöd behandla känsliga personuppgifter som rör elevernas hälsa m.m., t.ex. när kuratorer eller specialpedagoger för anteckningar vid elevsamtal. I princip är detta i dag inte tillåtet utan att uttryckligt samtycke inhämtas från elever eller, i förekommande fall, vårdnadshavare. (Det bör noteras att 5 a § PUL inte fanns när betänkandet skrevs, bestämmelsen trädde i kraft först den 1 januari 2007.) Detsamma gäller möjligheten att i vissa fall behandla t.ex. uppgifter om etniskt ursprung i elevadministrativ verksamhet. Datainspektionen var emellertid av den uppfattningen att registrering av känsliga uppgifter som behövs för modersmålsundervisning i grundskolan är tillåtet enligt personuppgiftslagen utan att samtycke inhämtas, eftersom det handlar om att fastställa eller göra gällande elevers rättsliga anspråk enligt grundskoleförordningen2. Utredningen hade ingen avvikande uppfattning i den frågan.
Särskild reglering som tillåter myndigheter att registrera känsliga personuppgifter utan samtycke borde enligt utredningens uppfattning komma i fråga endast om det är nödvändigt för att verksamheten ska kunna fungera på ett rationellt och av statsmakterna förutsatt sätt. Inte minst bör restriktivitet iakttas när det är fråga om barn. Av integritetsskäl bör därför sådana uppgifter i första hand behandlas
2 Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan.
av skolmyndigheter endast om de registrerade personerna lämnar sitt samtycke till uppgiftsbehandlingen. Utredningen var även av den åsikten att det i de allra flesta fall är fullt praktiskt möjligt för skolmyndigheter, eller enskilda skolor, att inhämta sådant samtycke i de fall det behövs.
Sammantaget var utredningen av den uppfattningen att det i skolverksamheten inte finns ett så stort behov av att behandla känsliga personuppgifter, att det inte på ett praktiskt sätt går att tillgodose behovet utan sådan särskild författningsreglering som tillåter behandlingen av uppgifter även om samtycke saknas. På motsvarande sätt som samråd och samverkan med elever och vårdnadshavare är huvudregeln för skolverksamheten i övrigt, bör samtycke utgöra grunden för all registrering av känsliga personuppgifter i särskilda register och även för all övrig behandling av känsliga personuppgifter i den faktiska verksamheten (dvs. när det inte är fråga om ärendehantering). Utredningen lämnade därför inga författningsförslag om behandling av personuppgifter i skolan.
4.3. Skydd för uppgifter om barn – yttrande av artikel 29-gruppen
Artikel 29-arbetsgruppen för uppgiftsskydd har inrättats genom artikel 29 i dataskyddsdirektivet. Arbetsgruppen, som brukar benämnas artikel 29-gruppen, är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet. Arbetsgruppen antog i februari 2009 ett yttrande om skydd för uppgifter om barn som innehåller allmänna riktlinjer och specialfallet skolor.3
Yttrandet riktar sig uttryckligen huvudsakligen till de som hanterar uppgifter om barn och i skolsammanhang främst till lärare och skolmyndigheter. Yttrandet innehåller avsnitt om hur uppgifter i elevfiler bör hanteras såsom t.ex. information till den registrerade (vårdnadshavare), ändamålsbegränsningar och proportionalitet, ickediskriminering, vem som ska få tillgång till uppgifterna och bevarande och utplånande av uppgifter. Vidare behandlas även frågor om uppgifter om elevers hälsotillstånd, webbplatser och foton av elever.
3 Artikel 29-gruppen för uppgiftsskydds yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor).
Beträffande elevfiler anges bl.a. att personuppgifter får tas med i elevfiler endast om de är nödvändiga för berättigade ändamål som skolorna strävar efter att uppnå. Uppgifterna får inte användas på ett sätt som är oförenligt med sådana ändamål. De uppgifter som begärs får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna samlas in (t.ex. är uppgifter om föräldrarnas akademiska examen eller yrke inte alltid nödvändiga).
Behandling av vissa uppgifter i elevfiler kan ge upphov till diskriminering, t.ex. uppgift om invandrarstatus eller funktionsnedsättning. Det konstateras att sådana uppgifter i regel inhämtas i syfte att trygga att skolan är medveten om och ägnar erforderlig uppmärksamhet t.ex. åt elever med kulturellt betingade problem såsom språkproblem. Principen om barnets bästa och principen om ändamålsbegränsning bör vara de relevanta kriterierna vid behandling av sådana uppgifter.
Det intas en mycket strikt hållning när det gäller införande av uppgifter om elevers religion i elevfiler. När det av administrativa skäl införs en uppgift om att en elev har särskilda kostönskemål i fråga om skolmat bör det inte i onödan dras några slutsatser om elevens religion.
Alla uppgifter som kan ge upphov till diskriminering måste skyddas genom lämpliga säkerhetsåtgärder och genom andra lämpliga åtgärder. Samtycke till behandling av alla uppgifter som kan ge upphov till diskriminering måste vara otvetydigt.
Behandling av uppgifter av särskild karaktär – t.ex. uppgifter om disciplinförfaranden, läkarbehandling i skolan, skolans inriktning (t.ex. när det rör sig om en skola som vilar på religiös grund) eller särskild utbildning för funktionshindrade – måste vara underkastad särskilda säkerhetskrav. Elevens vårdnadshavare och eleven själv, om han eller hon uppnått tillräcklig mognadsgrad, bör ges tillgång till uppgifterna i elevfiler. För övrigt bör tillgången till uppgifterna vara strängt reglerad och begränsad till skolmyndigheter, skolinspektörer, hälso- och sjukvårdspersonal, socialarbetare och rättsvårdande organ.
Den allmänna principen om att personuppgifter inte ska bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna insamlades är giltig även när det gäller elevfiler.
Vidare konstateras att uppgifter om elevers hälsotillstånd är känsliga personuppgifter och att dessa bör behandlas endast av läkare och andra personer som direkt ”har hand om” eleverna, såsom lärare och
annan skolpersonal som är bunden av tystnadsplikt. För behandling av uppgifter om elevers hälsotillstånd krävs det antingen att vårdnadshavarna har gett sitt samtycke eller att behandlingen är nödvändig för att skydda grundläggande intressen som har att göra med skolan eller utbildningen.
Beträffande skolwebbplatser uttalas att spridning av personinformation via webbplatser kräver ett striktare iakttagande av grundläggande principer för uppgiftsskydd, särskilt uppgiftsminimering och proportionalitet. I syfte att skydda sådan information rekommenderas skolorna att använda mekanismer för begräsning av tillträdet till webbplatserna, t.ex. genom inloggning med hjälp av användar-id och personlig säkerhetskod.
I yttrandet anges att publicering av fotografier av eleverna på internet bör göras grundat på en bedömning av vilken typ av foto det rör sig om, av om det är lämpligt att lägga ut fotot på nätet och av syftet med utläggningen. Eleverna och vårdnadshavarna bör på förhand underrättas om publiceringen, men samtycke behöver inte nödvändigtvis inhämtas av vårdnadshavarna om det gäller gruppfoto och det inte är enkelt att identifiera eleverna (och det är tillåtet enligt nationell lagstiftning). Om en skola har för avsikt att lägga ut individuella foton av eleverna med uppgift om deras identitet, måste den först inhämta vårdnadshavarnas och – beroende på elevernas mognadsgrad – elevernas tillstånd för detta.
Artikel 29-gruppen drar slutsatsen att bestämmelserna i den gällande rättsliga ramen i de flesta fall på ett ändamålsenligt vis säkerställer skyddet för uppgifter om barn. En förutsättning för ett ändamålsenligt skydd för barnets integritet är dock att bestämmelserna tillämpas med beaktande av principen om att barnets bästa ska komma i främsta rummet och med beaktande av barnets och vårdnadshavarnas specifika situation.
4.4. It-användning inom skolväsendet
Vid Datainspektionens granskning av skolor 2001 konstaterades att it-system användes i begränsad omfattning för att lagra personuppgifter om elever.4 En kartläggning under 2008 visade att skolorna använder centrala it-system inte bara för elevadministration utan också för att hantera uppgifter om sjukdom, frånvaro, betyg och individuella utvecklingsplaner. Datainspektionen fann dock att det fanns stora brister i hur personuppgifterna hanterades i skolorna. För att komma till rätta med de vanligaste bristerna tog Datainspektionen fram en särskild checklista för skolor som använder sig av it-stöd i elevadministrationen. Det är skolans huvudman som har det yttersta ansvaret för hur personuppgifter behandlas. Datainspektionens lista behandlar bl.a. hur fritextfält bör användas, frågor om närvarorapportering och vilken slags säkerhetsnivå skolans it-system ska hålla om det innehåller s.k. integritetskänsliga personuppgifter och är tillgängligt via internet.5
Datainspektionen gjorde under 2009 en uppföljning av kartläggningen från 2008 och kunde konstatera att det fortfarande fanns brister i hur skolorna hanterar personuppgifter om elever och föräldrar i sina it-system, men de brister som uppmärksammades rörde dock främst bevarande och gallring av personuppgifter.6
I Skolverkets uppföljning 2015 av it-användningen och it-kompetensen i förskola, skola och vuxenutbildningen konstateras att itutrustningen ökar i förskola, grundskola och gymnasieskola jämfört med senaste uppföljningen 2012.7
Vidare framgår att både elever och lärare använder it i skolan allt oftare. Sett till eleverna använde de 2015 jämfört med 2012 it oftare både till skoluppgifter och på lektionerna och lärarna använde it i allt större utsträckning för olika arbetsuppgifter. Uppemot hälften av eleverna i årskurs 7–9 använde dator, surfplatta eller smartphone på alla eller de flesta lektionerna i svenska och samhällsorienterade
4 www.datainspektionen.se/press/nyheter/2008/stora-brister-i-hur-skolor-hanterarpersonuppgifter/ 5 www.datainspektionen.se/press/nyheter/2008/stora-brister-i-hur-skolor-hanterarpersonuppgifter/ 6 www.datainspektionen.se/press/nyheter/2009/fortsatta-brister-i-hur-skolor-hanterarpersonuppgifter/ 7 Skolverkets rapport: IT-användning och IT-kompetens i skolan, Skolverkets IT-uppföljning 2015, dnr 2015:00067.
ämnen 2015. I gymnasieskolan använde närmare sju av tio elever dator eller surfplatta på alla eller de flesta lektionerna i svenska och samhällskunskap.
Många skolor, sju av tio grundskolor och åtta av tio gymnasieskolor, använde 2015 s.k. molntjänster som t.ex. Google apps, Office 365 och iCloud. En molntjänst innebär möjligheten att t.ex. hantera program och datalagring på en extern resurs.
Antalet skolor som använder sig av internetbaserade plattformar för samarbetet mellan elever och lärare har också ökat mellan 2012 och 2015. Sådana plattformar användes 2015 i 67 procent av de kommunala grundskolorna, i 56 procent av de fristående grundskolorna, i 95 procent av de kommunala gymnasieskolorna och i 84 procent av de fristående gymnasieskolorna. Även andelen skolor som använde en internetbaserad plattform för kommunikationen mellan vårdnadshavare och skola har ökat.
Många skolor har en egen webbplats. Sådana webbplatser används oftare i gymnasieskolor än i grundskolor. Vanligt förekommande tjänster i skolorna är möjligheten att via skolans webbplats eller internetbaserade plattform få åtkomst till bl.a. schema, läxor och hemarbeten, skolresultat och funktioner för frånvaroanmälan.
Av Skolverkets redovisning i april 2016 av uppdraget om att föreslå nationella it-strategier för skolväsendet8 framgår att marknaden för digitala läromedel är ganska liten. Av de läromedel som såldes 2014 av förlag anknutna till Svenska Läromedel var 4,4 procent digitala. Vidare anges att det sedan några år utvecklas en typ av verktyg som registrerar elevernas arbete och resultat för att skapa bättre möjligheter att följa dessa och deras kunskapsutveckling. I verktygen kan uppgifter om t.ex. den tid en elev använt för en uppgift eller interaktion med andra elever registreras. Än så länge sker detta främst inom ramen för enstaka produkter men det utvecklas också verktyg som avser att samla data från olika källor och presentera samlat för läraren.
Det här området benämns learning analytics. Learning analytics handlar om att samla och analysera data på olika nivåer för att förbätt-
8 Skolverkets redovisning av uppdraget om att föreslå nationella IT-strategier för skolväsendet, dnr 2015:01153, IT-strategi som vänder sig till förskolan, föreskoleklassen, fritidshemmet och den obligatoriska skolan, s. 32 ff. och IT-strategin som vänder sig till gymnasieskolan, gymnasiesärskolan och skolväsendet för vuxna, s. 42 ff.
ra förutsättningarna för elevers lärande. Det handlar också om att ge stöd för lärarens bedömning liksom beslutsstöd på huvudmannanivå.9
Förhoppningen är att den insamlade informationen kan bearbetas och presenteras överskådligt och därigenom underlätta för läraren att bl.a. individualisera undervisningen och ge eleven underlag för reflektion kring det egna lärarandet.
Integritetskommittén konstaterar i sitt delbetänkande10 att digitala lärplattformar, dvs. internetbaserade system som möjliggör olika sorters interaktivitet och kommunikation mellan elever, lärare och vårdnadshavare, kan möjliggöra en detaljerad loggning av elevens aktiviteter med information om t.ex. när på dygnet eleven arbetar i systemet, hur eleven interagerar och kommunicerar med lärare och andra elever och hur aktivt eleven arbetar med sina olika ämnen i systemet. Denna information skulle genom learning analytics kunna användas för att få veta mer om elevens inlärningsprocess. Learning analytics är ännu i sin linda.
Skolverket bevakar området learning analytics för att kunna identifiera behov av reglering respektive bidra till utvecklandet av standarder för utbyte av information inom skolväsendet.11
Utredningen om nationella prov har i betänkandet Likvärdigt, rättssäkert och effektivt – ett nytt system för kunskapsbedömning, SOU 2016:25, föreslagit bl.a. att en särskild lag om behandling av personuppgifter i en försöksverksamhet med digitaliserade nationella prov ska införas. Det ingår dock inte i utredningens uppdrag att se över den föreslagna lagen och den behandlas därför inte i detta betänkande.
4.5. Personuppgiftsbehandling inom skolväsendet
Av beskrivningen i föregående avsnitt framgår att det inom den skollagsreglerade verksamheten används olika it-system. Genom användningen av dessa behandlas elevernas personuppgifter i olika sammanhang. Att här ange samtliga behandlingar som sker hos berörda
9 www.skolverket.se/skolutveckling/resurser-for-larande/itiskolan/digitalalarresurser/learning-analytics-1.223404 (Senast granskad: 2015-03-25) 10 Hur står det till med den personliga integriteten? SOU 2016:41, s. 181 f. 11 Skolverkets redovisning av regeringsuppdraget om att föreslå nationella IT-strategier för skolväsendet förskolan etc. s. 33 och gymnasieskolan etc. s. 45.
huvudmän och aktörer låter sig inte göras. Utifrån utredningens uppdrag, att det när dataskyddsförordningen ska börja tillämpas ska finnas en reglering som möjliggör en ändamålsenlig behandling inom utbildningsområdet, ges nedan därför en översiktlig beskrivning endast av de huvudsakliga behandlingarna som sker inom området.
Personuppgifter om elever behandlas i skolväsendet för elevadministrativa ändamål för att kunna planera, genomföra och följa upp elevernas utbildning.
Inom kommunernas organisation för bl.a. mottagande och erbjudande av plats i de olika skolformerna behandlas bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa. Det kan också förekomma att känsliga personuppgifter behandlas, t.ex. uppgifter om elevens hälsotillstånd.
Inom skolornas elevadministration behandlas uppgifter om bl.a. elevens namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa. Vid skapandet av klasslistor behandlas personuppgifter i form av namn och adress. I skolorna behandlas också elevens personuppgifter i samband med att de registrerar elevers frånvaro respektive närvaro (7 kap. 17 § skollagen), för dokumentation för att kunna skriva utvecklingsplaner och i utvecklingsplanen (t.ex. 10 kap.12 och 13 §§skollagen). Vid upprättandet av t.ex. en lista över elevers ämnesval, såsom språkval och modersmålsundervisning (t.ex. 10 kap. 7 § skollagen), behöver också personuppgiftsbehandling ske. Även vid dokumentation inför betygssättning och av själva betygssättningen (3 kap. 13 § skollagen), t.ex. i betygsregister, behandlas elevernas personuppgifter i form av namn, personnummer och betyg i ämnen, kurser och gymnasiearbete.
När en skola utreder och beslutar om stödåtgärder (t.ex. 3 kap.5 a och 8 §§skollagen) respektive åtgärdsprogram (3 kap. 9 § skollagen) behandlas också personuppgifter. Om disciplinära åtgärder vidtas ska dessa dokumenteras skriftligt (5 kap. 24 § skollagen) varvid personuppgiftsbehandling sker.
Personuppgifter behandlas även inom elevhälsan, t.ex. i samband med allmänna hälsokontroller som ska erbjudas i vissa skolformer (2 kap. 26 § skollagen) eller vid specialpedagogiska insatser (2 kap. 25 § skollagen).
Även vid lämnande av information till eleven eller elevens vårdnadshavare (3 kap. 4 § skollagen) kan personuppgiftsbehandling bli
aktuell beroende på hur informationen lämnas t.ex. genom ett e-postmeddelande.
Beroende av val av it-lösning kan det administrativa systemet vara integrerat med funktioner för det dagliga pedagogiska och administrativa arbetet för lärarna med t.ex. närvarohantering, betygssättning, provscheman, planeringar, nyheter, elevinlämningar och kommunikation mellan lärare och elev respektive vårdnadshavare.
Elevernas personuppgifter kan även behandlas automatiskt i undervisningen genom att t.ex. en lärare anvisar eleverna till att lämna in en uppsats via en lärplattform eller via e-post. En annan situation där det sker personuppgiftsbehandling är om eleverna får ett konto på skolans server eller får en bärbar dator och eleverna använder dessa till att t.ex. skriva sina elevarbeten eller leta efter information på internet.
Känsliga personuppgifter kan förekomma vid vissa personuppgiftsbehandlingar, t.ex. i uppgiftssamlingar om allergier inom elevhälsan och skolmatsalen, uppgifter om funktionsnedsättning och olika diagnoser i elevhälsan, elevvårdsteam och åtgärdsprogram. I utvecklingsplaner kan integritetskänsliga omdömen och bedömningar av elevernas möjligheter att nå kunskapskrav förekomma.
Personuppgiftsbehandling förekommer också i form av att barnen fotograferas av personalen i syfte att dokumentera verksamheten inom främst förskolan. Personuppgiftsbehandling i form av ljud- och filminspelningar kan även förekomma i undervisningssammanhang och elevarbeten.
Även i skolbiblioteken behandlas elevernas personuppgifter för att personalen ska kunna ha kontroll över vilka böcker som är utlånade till vem.
I förskolorna, fritidshemmen och pedagogisk omsorg behandlas barnens och elevernas personuppgifter i form av i vart fall namn för att kunna planera och genomföra respektive uppdrag att stimulera barnens och elevernas utveckling och lärande. Personalen i respektive verksamhet behöver även kunna notera när ett barn eller en elev kommit respektive gått för dagen. Även inom dessa verksamheter kan det finnas behov av att kunna behandla känsliga personuppgifter, t.ex. uppgifter om allergier.
Huvudmän för fristående förskolor och skolor behandlar även barnens respektive elevernas personuppgifter i samband med att de informerar kommunen om att de tagit emot ett barn eller en elev för
att huvudmannen ska få bidrag från hemkommunen (t.ex. 9 kap. 19 § och 10 kap. 37 §skollagen). I de fall en elev har ett omfattande behov av särskilt stöd eller ska erbjudas modersmålsundervisning ska hemkommunen betala ett tilläggsbelopp (t.ex. 9 kap. 21 § och 10 kap. 39 §skollagen). I ansökan om tilläggsbelopp förekommer känsliga personuppgifter om eleven, t.ex. uppgift om funktionsnedsättning och behov av tekniska hjälpmedel.
Skolorna behandlar även elevernas personuppgifter vid resultatuppföljningar som görs för dels huvudmannens systematiska kvalitetsarbete (4 kap. 3 § skollagen), dels nationell uppföljning och utvärdering (26 kap. 25 § skollagen, förordning [1992:1083] om viss uppgiftsskyldighet för huvudmännen inom skolväsendet m.m. och Skolverkets föreskrifter [SKOLFS 2011:142] om uppgiftsinsamling från huvudmännen inom skolväsendet m.m.).
Särskilt om elevhälsan
Elevhälsan omfattar medicinska, psykologiska, psykosociala och specialpedagogiska insatser. Den del av elevhälsan som består av den medicinska grenen (hälso- och sjukvård) anses utgöra en självständig verksamhetsgren i förhållande till den övriga elevhälsan. För den personuppgiftsbehandling som sker inom hälso- och sjukvården som bedrivs på skolorna gäller patientdatalagen (2008:355). Förutom patientdatalagen med tillhörande förordning innehåller Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter inom hälso- och sjukvården bestämmelser om dokumentation.
Vid vård av patienter ska det föras patientjournal (3 kap. 1 § patientdatalagen). Syftet med journalen är i första hand att bidra till en god och säker vård av patienten. För skolsköterskan och skolläkaren är journalen för elevhälsans medicinska insats ett underlag för att bedöma eventuella behov av uppföljning eller åtgärder utifrån tidigare undersökningsfynd eller åtgärder. Det kan till exempel gälla uppföljning av en ryggundersökning som genomförts i den egna elevhälsan eller i en annan elevhälsa. Journalen för elevhälsans medicinska insats är även en informationskälla för vårdnadshavaren och eleven.
Även skolpsykologer brukar ingå i hälso- och sjukvårdspersonalen och har skyldighet att föra patientjournal. Huruvida en skolpsykologs utredning av och insatser för en elev är hälso- och sjukvård eller inte beror på dess karaktär. Om skolpsykologen gör en individuell utredning av elevens psykiska hälsa i en patient- och behandlarrelation är verksamheten hälso- och sjukvård. En sådan utredning kan bl.a. ha sin grund i att det pedagogiska arbetet inte fungerar. Om utredningen och insatserna i stället är av mer generell karaktär och främst är knutna till den pedagogiska miljön är det emellertid inte hälso- och sjukvård.12
Journalföringsskyldigheten är densamma i fristående skolor som i kommunala skolor.
Elevhälsans psykosociala insatser utförs vanligen av skolkuratorer och de specialpedagogiska insatserna av personal med specialpedagogisk kompetens. Även om en specialpedagog eller motsvarande och, i vissa fall, en skolkurator inte har någon skyldighet att föra patientjournal så har de en dokumentationsskyldighet vid handläggning av enskilda elevärenden som avser myndighetsutövning (29 kap. 10 § skollagen). Det kan exempelvis vara ärenden om särskilt stöd. Personuppgiftsbehandlingen ska då göras enligt personuppgiftslagens bestämmelser. För insatser inom ramen för faktiskt handlande finns inget dokumentationskrav. Gränsen mellan vad som är ärendehandläggning och faktiskt handlande är inte alltid helt tydlig.
4.6. Rättslig grund för personuppgiftsbehandling
4.6.1. Utredningens uppdrag i denna del
Kommittédirektiven
För att personuppgifter ska få behandlas helt eller delvis automatiskt eller annan behandling ska få ske av personuppgifter som ingår i eller kommer att ingå i ett register krävs att en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 första stycket ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av.
12 Socialstyrelsens och Skolverkets Vägledning för elevhälsa – reviderad version 2016, s. 26.
Enligt kommittédirektiven behöver det analyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.
När det gäller behandling av personuppgifter som utförs av myndigheter, kommuner, landsting och enskilda inom utbildningsområdet, förutom forskningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom skollagsreglerad utbildningsverksamhet som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå och lämna de författningsförslag som behövs.
Utredningens närmare utgångspunkter
I dagsläget regleras skolväsendets och de övriga skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling av personuppgiftslagen. Förutom för den medicinska verksamheten inom elevhälsan, som omfattas av patientdatalagen, finns det ingen särskild registerförfattning för denna personuppgiftsbehandling. Den 25 maj 2018 ska dataskyddsförordningen börja tillämpas. Utredningen utgår från att Dataskyddsutredningens förslag till lag (2018:xx) om kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) kommer att träda i kraft samma dag och att personuppgiftslagen därigenom kommer att upphävas.
För en personuppgiftsansvarig som anordnar utbildning eller fullgör andra uppgifter enligt skollagen innebär detta att denne måste ha stöd för sin behandling i en rättslig grund enligt artikel 6.1 i dataskyddsförordningen om behandlingen företas på helt eller delvis automatisk väg eller ingår i eller kommer att ingå i ett register. De
rättsliga grunder som främst är aktuella för en personuppgiftsansvarig inom det skollagsreglerade utbildningsområdet att tillämpa är dels att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (c), dels att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (e). Ytterligare grunder som skulle kunna vara aktuella är samtycke från den registrerade till behandlingen (a) och för enskilda huvudmän intresseavvägningen enligt (f).
Beträffande de rättsliga grunderna i artikel 6.1 c och e i dataskyddsförordningen krävs, enligt artikel 6.3 första stycket, att de är fastställda i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av för att de ska vara tillämpliga. Detta är nytt i jämförelse med personuppgiftslagen. Såsom redogjorts för i avsnitt 3.4.1 är Dataskyddsutredningens uppfattning att det med grunden för behandlingen i artikel 6.3 första stycket avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen (SOU 2017:39, avsnitt 8.3.1). Enligt Dataskyddsutredningens bedömning innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av dataskyddsförordningens ikraftträdande, men förekomsten av reglering avgör i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i artikel 6.1 c och e.
Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Vidare anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Kommittédirektivens beskrivning av utbildningsområdet omfattar inte de uppgifter som skollagen ålägger hemkommunen generellt, t.ex. anordna skolskjuts och betala bidrag till enskilda huvudmän. Andra uppgifter som åligger hemkommunen omnämns dock särskilt t.ex. att hemkommunen ska föra ett register över de ung-
domar i kommunen som omfattas av aktivitetsansvaret enligt 29 kap. 9 § skollagen.
Av direktiven framgår dock att utredningen är oförhindrad att inom de ramar som angetts för uppdraget ta upp och belysa även andra frågeställningar som är relevanta för uppdraget. Om utredaren kommer fram till att det krävs eller är lämpligt med kompletterande eller ändrade nationella bestämmelser i andra delar än de som ska utredas särskilt, ska sådana föreslås.
Det har framkommit att det förenklar för kommunerna om de, när de behandlar personuppgifter med anledning av skollagen har att tillämpa samma regelverk, oavsett om behandlingen grundas i en uppgift som utförs på grund av att kommunen är huvudman för en viss skolform eller om behandlingen grundas i ett annat åliggande enligt skollagen. Utredningen har därför valt att även ta upp frågor som rör kommunernas åligganden såsom hemkommuner enligt skollagen.
De första frågor som utredningen har att ta ställning till är om det finns en eller flera rättsliga grunder som är tillämpliga för huvudmännen för den skollagsreglerade utbildningsverksamheten och kommunerna såsom hemkommuner, dvs. de personuppgiftsansvariga, när de behandlar personuppgifter. Om utredningen kommer fram till att dessa fullgör en rättslig förpliktelse, utför en uppgift av allmänt intresse eller utför en uppgift som ett led i myndighetsutövning måste utredningen även ta ställning till vilket rättsligt stöd det finns för verksamheterna att utföra dessa uppgifter, dvs. om grunderna är fastställda i svensk rätt.
Som framgår av följande avsnitt bedömer utredningen att uppgift av allmänt intresse är den rättsliga grund som skollagsreglerad utbildningsverksamhet oftast kan tillämpa vid behandling av personuppgifter. Av den anledningen inleds genomgången av de rättsliga grunderna med den.
4.6.2. Uppgift av allmänt intresse
Bedömning: Genom bestämmelser i skollagen med anslutande
föreskrifter och beslut fattade med stöd av dessa är det i svensk rätt fastställt att tillhandahållande, anordnande och bedrivande av utbildning och annan pedagogisk verksamhet är en uppgift av allmänt intresse.
Artikel 6.1 e i dataskyddsförordningen kan därmed utgöra rättslig grund för nödvändig personuppgiftsbehandling för att utöva verksamhet som har sin grund i nämnda föreskrifter när personuppgiftslagen upphävs. Det finns således inget behov av en särskild reglering för att de skollagsreglerade verksamheterna ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.
Är anordnande och bedrivande av utbildning en fastställd uppgift av allmänt intresse?
Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att en behandling är laglig endast om och i den mån åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt. Enligt artikel 6.1 e får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Artikeln är inte begränsad till offentligrättsliga aktörer utan den rättsliga grunden allmänt intresse kan åberopas av både det allmänna och enskilda.
Begreppet allmänt intresse är ett unionsrättsligt begrepp som ännu inte har definierats. I artikel 14 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och att denna rätt innefattar möjligheten att kostnadsfritt följa den obligatoriska undervisningen. Att utbildning är en grundläggande rättighet talar för att utbildning, på EU-nivå, bedöms vara en uppgift av allmänt intresse.
Dataskyddsutredningens bedömning är att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Även de obligatoriska uppgifter som utförs av kommuner och landsting, till
följd av deras åligganden enligt lag eller förordning, bör vara av allmänt intresse i dataskyddsförordningens mening. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör även entreprenören anses utföra en uppgift av allmänt intresse. Genom avmonopolisering och konkurrensutsättning av offentlig verksamhet utför numera även privaträttsliga organ en inte obetydlig del av de uppgifter som måste anses vara av allmänt intresse, t.ex. barnomsorg och skola (SOU 2017:39, avsnitt 8.3.4).
Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna särskilt trygga rätten till bl.a. utbildning. Syftet med bestämmelsen är att ange mål för den samhälleliga verksamheten. Redan härur kan det utläsas att anordnande av utbildning enligt svensk rätt är en uppgift av allmänt intresse.
Därtill finns skollagen med anslutande föreskrifter som innehåller närmare bestämmelser om utbildning för barn och vuxna. I förarbetena till den nuvarande skollagen anförs att utbildningen är av betydelse både för den enskilda individens utveckling och för samhällsutvecklingen (prop. 2009/10:165 s. 634). Redan utredningen om offentlighet och sekretess i skolan ansåg att det är av stort allmänt intresse att skolorna kan fullgöra sina arbetsuppgifter (SOU 2003:103 s. 199). Regeringen har i två propositioner från i mars 2017 ansett att undervisning inom skolväsendet får anses vara en uppgift av allmänt intresse i den mening som avses i 10 § PUL (prop. 2016/17:156 s. 43 och prop. 2016/17:161 s. 21).
Skollagen innehåller förutom bestämmelser om skolväsendet och särskilda utbildningsformer även bestämmelser om bl.a. annan pedagogisk verksamhet (25 kap.), se avsnitt 4.1.3. Även om annan pedagogisk verksamhet i strikt mening inte skulle inrymmas i begreppet utbildning så utgör de uppgifter som utförs av kommuner till följd av deras åligganden enligt skollagen med anslutande föreskrifter. När det gäller öppen förskola är det visserligen enligt skollagen frivilligt för kommunen att anordna sådan men om kommunen fattar beslut om att anordna öppen förskola måste verksamheten följa de föreskrifter som kommunen ställer upp. Enligt utredningens bedömning bör även annan pedagogisk verksamhet vara en uppgift av allmänt intresse i dataskyddsförordningens mening. Detsamma gäller för öppen fritidsverksamhet som erbjuds av en huvudman.
Även de uppgifter som åligger en kommun såsom hemkommun enligt skollagen, t.ex. ansvar för att utbildning i förskola kommer till stånd för alla barn i kommunen som ska erbjudas förskola och vars vårdnadshavare önskar det (8 kap. 12 § skollagen) eller tillhandahålla skolskjuts (t.ex. 10 kap. 32 § skollagen) är enligt utredningens bedömning en uppgift av allmänt intresse i dataskyddsförordningens mening.
Utredningens bedömning är således att tillhandahållande och anordnande av utbildning och annan pedagogisk verksamhet enligt skollagen med anslutande föreskrifter är en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.
Frågan härefter blir om denna uppgift är fastställd i svensk rätt. Av skäl 41 till dataskyddsförordningen framgår att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den.
Skolväsendets, de särskilda utbildningsformernas och annan pedagogisk verksamhets samt hemkommunernas uppdrag och åligganden framgår av skollagen men även av flera förordningar som alla antagits i enlighet med grundlagens bestämmelser om normgivningskompetens. Skollagen anger vilka ramar som gäller för all skolverksamhet. Där finns de övergripande målen och riktlinjerna för skolan. Läroplanerna ska tillsammans med skollagen styra verksamheten i skolan. I ämnes- och kursplanerna står vilket syfte och mål undervisningen i varje ämne ska ha. Kursplanerna talar inte om hur undervisningen ska läggas upp eller vilka arbetssätt som ska användas. Däremot anger kursplanerna vilka kunskapskvalitéer som ska utvecklas hos eleverna. Uppgiften av allmänt intresse som går att utläsa av skollagen och tillhörande föreskrifter kan sammanfattas till att tillhandhålla, anordna och genomföra samt utvärdera och följa upp utbildning och annan pedagogisk verksamhet.
Av avsnitt 4.1 framgår vilka som enligt 1 kap. 1 § och 2 kap.2– 6 §§skollagen kan vara huvudmän för olika skolformer. Den närmare innebörden av uppdragen och åliggandena inom dessa verksamheter framgår av 2–21 kap. skollagen och föreskrifter som har sin grund i den lagen som t.ex. skolförordningen, gymnasieförordningen, förordningen (SKOLFS 2010:37) om läroplan för grundskolan, förskoleklassen och fritidshemmet, förordningen (SKOLFS 2011:144) om läroplan för gymnasieskolan, förordningen (SKOLFS 2010:14) om examensmål för gymnasieskolans nationella program, förordningen (SKOLFS 2010:261) om ämnesplaner för de
gymnasiegemensamma ämnena och Skolverkets föreskrifter (SKOLFS 2011:19) om kunskapskrav för grundskolans ämnen.
Av 2 kap. 8 § skollagen framgår att huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i denna lag, föreskrifter som har meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar. Genom bestämmelserna i 2 kap.2–4 §§skollagen åligger det kommuner, staten och i vissa fall landsting att vara huvudmän för vissa skolformer inom skolväsendet och därigenom bedriva utbildningen i enlighet med skollagen och anslutande föreskrifter. Av 5 § framgår att enskilda efter ansökan får godkännas som huvudmän för vissa skolformer. Genom Skolinspektionens beslut om godkännande av enskild som huvudman för förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola eller fritidshem som anordnas vid en skolenhet med förskoleklass, grundskola eller grundskola är den enskilde huvudmannen ålagd att anordna utbildning i enlighet med de bestämmelser som gäller för den aktuella skolformen. På motsvarande sätt utgör en kommuns godkännande av en enskild som huvudman för en fristående förskola eller ett fristående fritidshem som inte är kopplat till en skolenhet ett åläggande för huvudmannen att bedriva utbildningen i enlighet med skollagen och anslutande föreskrifter.
Huvudmännen är, oavsett om de är en kommun, ett landsting, staten eller ett privaträttsligt subjekt, skyldiga att genomföra utbildningen i enlighet med bestämmelserna i skollagen och anslutande föreskrifter samt de bestämmelser för utbildningen som kan finnas i andra författningar, dvs. i enlighet med en offentligrättslig lagstiftning. Uppdraget att bedriva utbildning är således detsamma oavsett huvudmannaskap.
Legalitetsprincipen
Enligt 1 kap. 1 § regeringsformen utövas den offentliga makten under lagarna. Med uttrycket lagarna avses inte endast sådana föreskrifter som riksdagen har beslutat utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397). All offentlig verksamhet, oavsett dess karaktär måste grundas på skrivna regler i rättsordningen. För statliga, kommunala eller landstings myndigheter gäller legalitets-
principen, dvs. myndigheternas maktutövning i vidsträckt mening måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Kravet på författningsstöd bildar utgångspunkten för myndigheternas verksamhet, såväl när det gäller att handlägga ärenden och beslut i dessa som i fråga om annan verksamhet som en myndighet bedriver.
Det kan vidare nämnas att regeringen i en proposition om ny förvaltningslag föreslår att legalitetsprincipen även ska komma till uttryck i förvaltningslagen (prop. 2016/17:180 s. 57 f. och 289). Av föreslagen 5 § framgår att en myndighet endast får vidta åtgärder som har stöd i rättsordningen. Paragrafen föreslås gälla i all verksamhet som en myndighet bedriver, dvs. vid såväl handläggning av och beslutsfattande i enskilda ärenden som s.k. faktiskt handlande. Med kravet på legalitet menar regeringen att det ska finnas någon form av normmässig förankring för all typ av verksamhet som en myndighet bedriver. Däremot bör det inte ställas krav på att varje enskild åtgärd som en myndighet vidtar kan kopplas till ett specifikt bemyndigande. Kravet på legalitet bör inte heller uppfattas så att en myndighets åtgärd måste ha uttryckligt stöd i en viss lagbestämmelse eller i andra föreskrifter som har meddelats i enlighet med 8 kap. regeringsformen.
Det råder ingen tvekan om att de förskolor och skolor vars huvudmän är staten, en kommun eller ett landsting är bundna av legalitetsprincipen. Dessa måste därför ha någon form av normmässig förankring i skollagen med tillhörande föreskrifter för de åtgärder de vidtar inom anordnandet av utbildningen. Detsamma gäller kommunerna när de utför sina åligganden som hemkommun enligt skollagen.
När ett privaträttsligt subjekt, en enskild, fått ett godkännande att bedriva fristående skola innebär det att uppgifter som innefattar myndighetsutövning mot enskilda, t.ex. beslut om disciplinära åtgärder och åtgärdsprogram, överlämnats till huvudmannen (prop. 2009/10:165 s. 598). I 1 kap. 9 § regeringsformen anges att domstolar samt förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter ska i sin verksamhet beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet. Normmässighets- och objektivitetskravet gäller således även för privaträttsliga subjekt när de fullgör förvaltningsuppgifter som har överlämnats till dem (prop. 2009/10:80 s. 247). Det innebär att dessa principer gäller
även för de skolor vars huvudmän är ett privaträttsligt subjekt, en enskild, inom uppdraget att anordna utbildning.
Frågan om de enskilda huvudmännen för fristående skolor är bundna av legalitetsprincipen har uppmärksammats av Johan Hirschfeldt och Lotta Lerwall i artikeln Friskolorna – några konstitutionella synpunkter på deras ställning.13 Författarna anser att fristående skolor i förhållande till eleverna är bundna av legalitetsprincipen. Detta eftersom verksamheten i de fristående skolorna i förhållande till eleverna utgör offentliga förvaltningsuppgifter och då inte bara vid myndighetsutövning. Därtill har eleverna skolplikt eller plikt att närvara i skolan.
Huvudmännen för fristående skolor är bundna av skollagen med anslutande föreskrifters bestämmelser när de bedriver utbildning. Utredningen instämmer i bedömningen att de fristående skolornas huvudmän i förhållande till eleverna är bundna av legalitetsprincipen när de anordnar utbildning för eleverna enligt skollagen med tillhörande föreskrifter eftersom de därigenom på samma sätt som skolor vars huvudmän är staten, en kommun eller ett landsting, utövar offentlig makt över eleverna.
Som tidigare nämnts är utredningen även av uppfattningen att huvudmännen för de fristående förskolorna och fritidshemmen är bundna av skollagen med anslutande föreskrifter när de bedriver sådan utbildning.
Av skollagen och anslutande föreskrifter framgår mer precist vilka uppgifter som åligger huvudmännen när de anordnar utbildning och hemkommunerna när de tillhandahåller utbildning m.m. Som exempel på personuppgiftsbehandling som kan anses nödvändig på grund av huvudmännens uppgifter enligt skollagen kan t.ex. elevregister för administration av elevernas närvaro (7 kap. 17 § skollagen), dokument av elevernas kunskaper för att kunna hålla utvecklingssamtal, skriva en utvecklingsplan (t.ex. 10 kap.12 och 13 §§skollagen) och betygssätta (3 kap. 13 § skollagen) nämnas.
13 Ur boken Bertil Bengtsson 90 år, s. 169 f.
Ett annat exempel är själva undervisningen. Med undervisning avses enligt 1 kap. 3 § skollagen sådana målstyrda processer som under ledning av lärare och förskollärare syftar till utveckling och lärande genom inhämtande och utvecklande av kunskaper och värden. Med utbildning avses enligt samma bestämmelse den verksamhet inom vilken undervisning sker utifrån bestämda mål. Av förarbetena (prop. 2009/10:165 s. 217 f.) framgår att begreppet undervisning fått en definition som är anpassad för såväl förskola och fritidshem som skola och vuxenutbildning. Begreppet har getts en vid tolkning i dessa verksamheter. Med undervisning avses inte bara katederundervisning utan även t.ex. förmedlande och undersökande undervisningsmetodik. Det är centralt i den kunskapssyn som genomsyrar skolans samtliga styrdokument att undervisningen syftar till att eleverna ska inhämta samt utveckla både kunskaper och värden. I förskolan bildar omsorg, utveckling och lärande en helhet i undervisningen.
I förarbetena anges vidare att begreppet utbildning utgör en övergripande term som beskriver all den verksamhet som omfattas av de övergripande målen i skolförfattningarna. Begreppet utbildning är ett vidare begrepp än undervisning och kan omfatta annan verksamhet än undervisning i den inre och yttre miljön, t.ex. på skolgården och i matsalen eller organiserat lärande förlagt till en arbetsplats. Utbildning kan dessutom omfatta annan verksamhet som äger rum t.ex. vid lägerskolor, utflykter eller olika former av praktik eller annan verksamhetsförlagd verksamhet. I förskolan har utbildningsbegreppet ett brett pedagogiskt perspektiv där omsorg, utveckling och lärande bildar en helhet. I det vidare begreppet utbildning omfattas också de frivilliga konfessionella inslag som förskolor och skolor med enskild huvudman kan ha (1 kap. 7 § skollagen).
Vidare framgår av 1 kap. 11 § skollagen att det ska finnas en läroplan för varje skolform och fritidshemmet som utgår från bestämmelserna i skollagen. Läroplanen ska ange utbildningens värdegrund och uppdrag. Den ska också ange mål och riktlinjer för utbildningen.
För t.ex. skolformen grundskola anges i 5 kap. 2 § skolförordningen (2011:185) att eleverna ska genom strukturerad undervisning ges ett kontinuerligt och aktivt lärarstöd i den omfattning som behövs för att skapa förutsättningar för att eleverna når de kunskapskrav som minst ska uppnås och i övrigt utvecklas så långt som möjligt inom ramen för utbildningen.
I förordningen (SKOLFS 2010:37) om läroplan för grundskolan, förskoleklassen och fritidshemmet uppställs mål för elevernas kunskaper efter genomgången grundskola (avsnitt 2.2). Skolan ansvarar för att varje elev efter genomgången grundskola bl.a. kan använda modern teknik som ett verktyg för kunskapssökande, kommunikation, skapande och lärande.
Vidare anges i avsnitt 5.17 angående centralt innehåll för undervisningen i svenska i årskurs 1–3 under delen informationssökning och källkritik att informationssökning i böcker, tidskrifter och på webbsidor för barn ingår. För årskurs 4–6 ingår informationssökning i några olika medier och källor, till exempel i uppslagsböcker, genom intervjuer och via sökmotorer på internet. För årskurs 7–9 ingår informationssökning på bibliotek och på internet, i böcker och massmedier samt genom intervjuer. Vidare ingår i centralt innehåll i ämnet svenska för årskurs 1–3 att eleverna ska lära sig handstil och att skriva på dator och för årskurs 4–6 att skriva, disponera och redigera texter för hand och med hjälp av dator. För årskurs 7–9 ingår redigering och disposition av texter med hjälp av dator samt att lära sig olika funktioner för språkbehandling i digitala medier. Det ingår även att lära sig strategier för att skriva olika typer av texter med anpassning till deras typiska uppbyggnad och språkliga drag och skapande av texter där ord, bild och ljud samspelar.
Beträffande ämnet samhällskunskap (avsnitt 5.15 i nämnda läroplan) anges att ett av syftena med undervisningen är att eleverna ska utveckla sin förmåga att söka information om samhället från medier, internet och andra källor och värdera deras relevans och trovärdighet.
Vidare uppställs som kunskapskrav för godtagbara kunskaper i svenska i slutet av årskurs 3 att eleven kan skriva enkla texter med läslig handstil och på dator (Skolverkets föreskrifter [SKOLFS 2011:19] om kunskapskrav för grundskolans ämnen).
Av läroplanen för grundskolan och föreskrifterna om kunskapskrav för grundskolans ämnen kan utläsas att undervisningen (utbildningen), i vart fall i ämnena svenska och samhällskunskap, förutsätter att eleverna har tillgång till och använder sig av datorer. Om de inte får denna tillgång kommer eleverna inte att kunna uppnå kunskapskraven i svenska och samhällskunskap, dvs. att lära sig skriva texter på dator och söka information på internet.
Dessa uppräknade dokument anger mål med undervisningen men inte exakt i minsta detalj hur undervisningen ska läggas upp eller vilka
arbetssätt som ska användas. Läraren har ett visst mått av bestämmande över undervisningens innehåll men måste hålla sig inom de ramar som satts upp i bl.a. läroplanen och av skolans rektor. En lärare kan dock bestämma t.ex. vilken litteratur som eleverna ska läsa, vilka uppgifter som de ska lösa och vilka hjälpmedel som ev. ska användas t.ex. dator eller miniräknare. Detta innebär emellertid inte att själva undervisningen inte är fastställd i svensk rätt. Den undervisning som bedrivs av lärarna i skolorna har sitt stöd i skollagen med anslutande föreskrifter eftersom dessa sätter ramarna för undervisningen. Även själva undervisningen är enligt utredningens bedömning fastställd genom skollagen och anslutande föreskrifter och därigenom tydlig, precis och förutsägbar (jfr skäl 41 till dataskyddsförordningen).
Enligt utredningens bedömning har således de åtgärder som huvudmännen, oavsett om det är staten, en kommun, ett landsting eller en enskild, vidtar i syfte att utföra uppdragen eller uppfylla åligganden enligt skollagen och anslutande föreskrifter mot bakgrund av det anförda i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler (jfr skäl 41). Uppgiften av allmänt intresse som huvudmännen för olika skolformer utför, dvs. anordna utbildning, är således fastställd i svensk rätt genom skollagen med anslutande föreskrifter. Nödvändig behandling av personuppgifter för att utföra en uppgift som kan finna stöd i skollagen och därmed anslutande författningar kan ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av huvudmännens obligatoriska uppgifter krävs inte för att de ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.
Det finns således rättslig grund för de personuppgiftsbehandlingar som sker i dagsläget för att kunna bedriva utbildning enligt skollagen och anslutande författningar. Som framgår av avsnittet om legalitetsprincipen krävs det redan enligt gällande rätt att skolhuvudmännen har författningsstöd för sina åtgärder inom ramen för den skollagsreglerade verksamheten, dvs. uppgiften av allmänt intresse. Motsvarande krav på författningsstöd kommer från och med den 25 maj 2018 gälla även enligt dataskyddsförordningen, men innebär alltså inte något principiellt nytt för skolhuvudmännen.
I den mån det bedöms angeläget att utvidga uppgiften av allmänt intresse – och därmed utöka möjligheten att behandla personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen – utöver vad som i dagsläget framgår av skollagen och anslutande författningar
följer det redan av legalitetsprincipen att så måste ske genom ändrade eller nya föreskrifter för verksamheten.
Utredningen bedömer att även de övriga skyldigheter som enligt skollagen åligger hemkommunen – t.ex. att ansvara för att utbildning i grundskolan kommer till stånd (10 kap. 24 skollagen) och lämna bidrag till enskilda huvudmän för fristående förskolor och fristående skolor (8 kap. 21 § och 10 kap. 37 §skollagen) – är en uppgift av allmänt intresse. Dessa uppgifter av allmänt intresse är fastställda genom bestämmelserna i skollagen som reglerar just den aktuella uppgiften. Nödvändig behandling av personuppgifter för att utföra dessa uppgifter som kan finna stöd i skollagen och därmed anslutande författningar kan ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av hemkommunernas obligatoriska uppgifter enligt skollagen krävs inte för att de ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra dessa.
Det är dock av vikt att påpeka att det kommer an på den personuppgiftsansvarige att bedöma om den konkreta personuppgiftsbehandlingen är nödvändig för att utföra en uppgift som kan utläsas av skollagen eller anslutande föreskrifter. Om t.ex. en lärare bestämmer att uppgifter ska lösas med hjälp av dator och eleverna därför ges inloggningsuppgifter till dessa uppgifter är det den personuppgiftsansvarige som ska bedöma om personuppgiftsbehandlingen är nödvändig för att utföra uppgiften utbildning. Den personuppgiftsansvarige måste således hålla sig väl informerad om gränserna för det uppdrag och de åligganden som följer av regleringen för den skollagsreglerade verksamheten.
Om den personuppgiftsansvarige inte finner stöd i skollagen eller anslutande föreskrifter för den verksamhet för vilken den aktuella personuppgiftsbehandlingen är nödvändig är det enligt utredningens mening inte fråga om sådan utbildningsverksamhet som ska bedrivas enligt nämnda författningar. I sådant fall måste den personuppgiftsansvarige bedöma om en annan rättslig grund enligt artikel 6.1 är tillämplig för sådan personuppgiftsbehandling som inte krävs för att bedriva utbildning enligt skollagen. Om inte någon rättslig grund är tillämplig på behandlingen är den inte laglig enligt dataskyddsförordningen.
Ändamålet med behandlingen måste vara nödvändigt
Det bör betonas att rättslig grund inte ensam är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. Därutöver måste den personuppgiftsansvarige även tillämpa principerna för behandling av personuppgifter i artikel 5 i dataskyddsförordningen. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (5.1 a). De ska samlas in för särskilda, uttryckliga och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (5.1 b). Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5.
I artikel 6.3 andra stycket anges att syftet med behandlingen, i fråga om behandling enligt punkten 1 e (uppgift av allmänt intresse), ska vara nödvändigt för att utföra en uppgift av allmänt intresse. Enligt Dataskyddsutredningen behöver ändamålet inte framgå av den författning eller det beslut där själva uppgiften fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige, men i vissa fall även kan vara lagstiftaren. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de särskilda ändamålen ska vara berättigade (SOU 2017:39, 8.3.4).
Ett exempel är skolbiblioteken. Eleverna i bl.a. grundskolan och gymnasieskolan ska ha tillgång till skolbibliotek (2 kap. 36 § skollagen). Biblioteken skulle visserligen kunna låna ut böcker till eleverna utan att registrera vem som lånat boken, men om inte alla böcker lämnas tillbaka i tid vet inte bibliotekarien vilken elev som inte lämnat tillbaka boken och kan inte vidta några åtgärder för att få tillbaka den. För att skolbibliotekarien ska kunna veta vilken elev som lånat vilken bok och därigenom kunna återfå boken när lånetiden är slut, om den inte återlämnats, behöver det föras ett register över låntagare och deras lån. Detta ändamål är nödvändigt för att utföra uppgiften, att inom anordnandet av utbildning tillhandahålla skolbibliotek. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e, på
den rättsliga grund som utgörs av skollagen. Att föra ett register över låntagare för att hålla reda på utlånade böcker kan samtidigt också av den personuppgiftsansvarige anges som ett särskilt, uttryckligt angivet och berättigat ändamål enligt artikel 5.1 b.
Ett annat exempel är en av de skyldigheter kommunerna har såsom hemkommun enligt skollagen, utöver de som ankommer på en huvudman för en viss skolform. Av 7 kap. 21 § skollagen framgår att hemkommunen ska se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning. Att kommunerna har vetskap om vilka skolpliktiga barn som finns i kommunen och var de fullgör sin skolplikt är enligt utredningens bedömning en uppgift av allmänt intresse. Uppgiften är fastställd genom bestämmelserna i skollagen. För att kommunerna ska kunna uppfylla uppgiften behöver de föra en förteckning över vilka barn i kommunen som har skolplikt och var de fullgör denna. Syftet med denna behandling är nödvändigt för att utföra uppgiften av allmänt intresse. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e på den rättsliga grund som utgörs av skollagen.
Det bör noteras att avsaknad av författningsbestämmelse eller en särskild reglering till stöd för en viss personuppgiftsbehandling inte medför att det inte går att utläsa ett ändamål som är nödvändigt för att utföra uppgiften av allmänt intresse. Som exempel kan tas en internationell skola på gymnasienivå. Skolan har en enskild huvudman och följer en utländsk eller internationell läroplan. Det finns inga bestämmelser om att huvudmannen ska ha ett godkännande för att få bedriva utbildningen men för att vara berättigad till bidrag för elever från deras hemkommuner måste huvudmannen få en förklaring om rätt till bidrag från Skolinspektionen (24 kap.6 och 6 a §§skollagen). För att en enskild huvudman för en internationell skola på gymnasienivå ska förklaras berättigad till bidrag enligt skollagen krävs bl.a. att utbildningen är utformad så att den som helhet betraktad är likvärdig med utbildningen i gymnasieskolan. Dess allmänna mål och värdegrund får inte strida mot de allmänna mål och den värdegrund som gäller för utbildning inom skolväsendet (7 § förordningen [2015:801] om internationella skolor). Genom bestämmelserna i 24 kap.2, 6 och 6 a §§skollagen tillsammans med relevanta bestämmelser i förordningen om internationella skolor och ett beslut från Skolinspektionen om förklaring om rätt till bidrag är utredningens bedömning att den utbildning som den internationella sko-
lan bedriver är en uppgift av allmänt intresse som är fastställd i svensk rätt. Den internationella skolan är dock inte bunden av t.ex. skollagens bestämmelser om betygssättning (se 3 kap. 13 § skollagen som särskilt räknar upp vilka skolformer som omfattas) och den måste inte ansöka om tillstånd att sätta betyg, anordna prövning samt utfärda betyg, gymnasieexamen och intyg enligt de bestämmelser som gäller för gymnasieskolan (förordningen [2012:509] om betygsrätt för viss utbildning vid internationella skolor). Att eleverna ska få betyg kan dock framgå av den utländska eller internationella läroplanen skolan följer. Om behandling av personuppgifter för att kunna betygssätta eleverna inom den internationella skolan är nödvändig för att utföra uppgiften av allmänt intresse, dvs. anordna utbildning, bör sådan behandling kunna ske med stöd av den rättsliga grunden utföra uppgift av allmänt intresse fastställd i skollagen, förordningen om internationella skolor och beslutet från Skolinspektionen. Förutom att bedöma vilken rättslig grund enligt artikel 6.1 i dataskyddsförordningen som är tillämplig ankommer det på den enskilde huvudmannen att bestämma ändamålen med personuppgiftsbehandlingen, vilka personuppgifter som ska behandlas etc. enligt artikel 5.
Det kan tilläggas att även om den utbildning som en internationell skola på gymnasienivå anordnar inte skulle anses vara fastställd i svensk rätt kan huvudmannen tillämpa den rättsliga grunden intresseavvägning (artikel 6.1 f), se avsnitt 4.6.5.
Särskilda utbildningsformer
Utbildning vid särskilda ungdomshem ska för skolpliktiga barn som vistas där och inte lämpligen kan fullgöra sin skolplikt på annat sätt, anordnas genom försorg av huvudmannen för hemmet. För de barn som inte längre är skolpliktiga och inte lämpligen kan fullgöra sin skolgång på annat sätt ska genom huvudmannens försorg ges möjlighet att delta i utbildning (24 kap.8 och 9 §§skollagen).
Barn som genom en brottmålsdom dömts till sluten ungdomsvård placeras på särskilt ungdomshem. Dessa barn omfattas också av bestämmelserna i 24 kap.8 och 9 §§skollagen (32 kap. 5 § brottsbalken samt 1 och 12 § lagen [1998:603] om verkställighet av sluten ungdomsvård). SiS ansvarar för verkställigheten (3 § lagen om
verkställighet av sluten ungdomsvård). I den del av myndighetens verksamhet som avser verkställighet av sluten ungdomsvård ska enligt Utredningen om 2016 års dataskyddsdirektiv förslaget till brottsdatalag (2018:000) tillämpas eftersom det är fråga om en straffrättslig påföljd (SOU 2017:29, Brottsdatalag, avsnitt 8.4.2).
För barn vars personuppgifter behandlas med anledning av att de får utbildning vid särskilda ungdomshem, och som placerats där med stöd av socialtjänstlagen (2001:453) eller lagen (1990:52) om särskilda bestämmelser om vård av unga, är den föreslagna brottsdatalagens bestämmelser inte tillämpliga (det är inte fråga om verkställighet av en påföljd). Det är således dataskyddsförordningens bestämmelser som ska tillämpas i detta fall på personuppgiftsbehandlingen. Genom bestämmelserna i t.ex. 24 kap. 8 § skollagen är uppgiften av allmänt intresse, dvs. huvudmannen för hemmets (SiS) anordnande av utbildning för skolpliktiga barn som vistas i hemmet om de inte lämpligen kan fullgöra sin skolplikt på annat sätt fastställd. Vidare anges i bestämmelsen att relevanta bestämmelser i skollagen rörande grundskolan eller i förekommande fall grundsärskolan eller specialskolan ska tillämpas med nödvändiga avvikelser. SiS kan grunda nödvändig personuppgiftsbehandling på artikel 6.1 e i dataskyddsförordningen.
Det innebär att SiS kommer att tillämpa olika regelverk för sin personuppgiftsbehandling beroende på med stöd av vilken bestämmelse som barnen har placerats vid det särskilda ungdomshemmet.
Kriminalvården ansvarar för utbildning som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna på kriminalvårdsanstalt (24 kap. 10 § skollagen). Kriminalvården får enligt 3 kap.1 och 2 §§fängelselagen (2010:610) bestämma att en intagen ska ha studier som sysselsättning. Någon åldersgräns gäller inte för sådan verksamhet. När studier är anvisad sysselsättning ingår de som ett led i verkställigheten. Enligt Utredningen om 2016 års dataskyddsdirektiv (SOU 2017:29, avsnitt 8.4.1) bör därför den föreslagna brottsdatalagen tillämpas på behandlingen av personuppgifterna med anledning av studierna. Utredningen instämmer i den bedömningen.
Av 24 kap.2–4 §§skollagen framgår att en elev under vissa förutsättningar får fullgöra sin skolplikt i en internationell skola på grundskolenivå, se avsnitt 4.1.2. De internationella skolorna på grundskolenivå är ålagda att följa vissa föreskrifter i förordningen om
internationella skolor så länge som godkännandet för den enskilde respektive medgivandet för den kommunala huvudmannen gäller (4 §). Av föreskrifterna framgår bl.a. att utbildningen ska vara utformad så att den som helhet betraktad är likvärdig med utbildningen i grundskolan (5 §). Elever som är bosatta i Sverige för en begränsad tid ska ges undervisning i svenska och om Sverige i den omfattning som de behöver. Undervisning i svenska för övriga skolpliktiga elever ska bedrivas enligt läroplanen för grundskolan och kursplanen i svenska (6 §). Av 24 kap.3 och 4 §§skollagen framgår att barn under vissa förutsättningar får fullgöra sin skolplikt i en internationell skola på grundskolenivå. Mot denna bakgrund är den utbildning som de internationella skolorna på grundskolenivå bedriver, enligt utredningens bedömning, en uppgift av allmänt intresse. Denna uppgift är genom bestämmelserna i 24 kap.2, 3 a och 4 a §§skollagen, tillsammans med relevanta bestämmelser i förordningen om internationella skolor och Skolinspektionens beslut om antingen ett godkännande eller förklaring som huvudman för en internationell skola på grundskolenivå, fastställd i svensk rätt. Enligt utredningens bedömning kan en internationell skola på grundskolenivå således tillämpa den rättsliga grunden uppgift av allmänt intresse för nödvändig personuppgiftsbehandling.
Beträffande utredningens bedömning av en internationell skola på gymnasienivås rättsliga grund för behandling av personuppgifter, se exemplet i föregående avsnitt (Ändamålet med behandlingen måste vara nödvändigt).
Om en folkhögskola har getts rätt att sätta betyg, anordna prövning samt utfärda betyg och intyg och förklarat sig ha för avsikt att ta emot den sökande till utbildningen har den som har rätt att delta i kommunal vuxenutbildning i svenska för invandrare rätt att i stället delta i folkhögskolans motsvarande utbildning (24 kap. 11 § skollagen). En folkhögskola som väljer att bedriva sådan utbildning utför genom anordnandet av just den utbildningen en uppgift av allmänt intresse som är fastställd genom 24 kap. 11 § skollagen. Om folkhögskolan bedömer att personuppgiftsbehandlingen är nödvändig för att den ska kunna bedriva utbildningen i svenska för invandrare kan den tillämpa den rättsliga grunden i artikel 6.1 e för att behandla personuppgifter som hör till just den delen av folkhögskolans verksamhet. Folkhögskolan måste dock även bestämma de närmare ändamålen med behandlingen och i övrigt följa bestämmelserna i artikel 5 för att
behandlingen ska vara tillåten. För folkhögskolors personuppgiftsbehandling, se även avsnitt 7.1.
Skollagen innehåller även bestämmelser om utbildning för barn och elever som vårdas på sjukhus eller annan motsvarande institution. Enligt 24 kap. 16 § skollagen ska huvudmannen för institutionen svara för att barn som vårdas på sjukhus eller en institution som är knuten till ett sjukhus, får tillfälle att delta i utbildning som så långt det är möjligt motsvarar den som erbjuds i förskola, förskoleklass eller fritidshem. Enligt utredningens bedömning kan huvudmannen för institutionen grunda nödvändig personuppgiftsbehandling för att utföra uppgiften utbildning motsvarande den som erbjuds i förskola, förskoleklass eller fritidshem på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fastställd genom bestämmelsen i 24 kap. 16 § skollagen tillsammans med de bestämmelser om den aktuella utbildningen som huvudmannen anordnar. Som tidigare nämnts är rättslig grund inte ensam tillräcklig för att behandling av personuppgifter ska vara tillåten. Övriga bestämmelser i dataskyddsförordningen måste också vara uppfyllda.
Av bestämmelserna i 24 kap.17–19 §§skollagen framgår att särskild undervisning under vissa förutsättningar får anordnas på sjukhus eller institution som är knuten till ett sjukhus för en elev i t.ex. grundskolan. Det är kommunen där institutionen är belägen som ska anordna denna. Undervisningen ska så långt möjligt motsvara den undervisning som eleven inte kan delta i. Enligt utredningens bedömning kan kommunen grunda nödvändig personuppgiftsbehandling för att utföra uppgiften särskild undervisning på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap.17–19 §§skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola.
En kommun kan på motsvarande vis grunda nödvändig personuppgiftsbehandling för att utföra särskild undervisning i hemmet eller annan lämplig plats på den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e). Uppgiften av allmänt intresse är fastställd genom bestämmelserna i 24 kap.20–22 §§skollagen tillsammans med bestämmelserna om den aktuella skolformen, t.ex. grundskola. Som tidigare nämnts är rättslig grund inte ensam tillräcklig för att behandling av personuppgifter ska vara tillåten. Övriga bestämmelser i dataskyddsförordningen måste också vara uppfyllda.
Annan pedagogisk verksamhet och entreprenad
Enligt 25 kap. 2 § skollagen ska kommunen sträva efter att i stället för förskola eller fritidshem erbjuda ett barn pedagogisk omsorg om barnets vårdnadshavare önskar det. Med pedagogisk omsorg avses främst familjedaghem och flerfamiljslösningar. Sådan verksamhet utförs ofta i den privata aktörens egna hem (SOU 2016:62 s. 171). Genom att pedagogisk verksamhet är reglerad i skollagen bör en sådan verksamhet anses vara en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom bestämmelsen i 25 kap. 2 § skollagen. Kommunen har således stöd för den nödvändiga personuppgiftsbehandling som den behöver göra för att kunna efterleva bestämmelsen.
Om en enskild anordnar pedagogisk omsorg på entreprenad enligt bestämmelserna i 23 kap. skollagen anses denna utföra uppgiften av allmänt intresse, anordna pedagogisk omsorg, på uppdrag av kommunen (jfr SOU 2017:39, avsnitt 8.3.4). Uppgiften av allmänt intresse är fastställd i svensk rätt genom kommunens beslut om att anlita den enskilde för uppdraget. Med stöd av detta beslut bör den enskilde kunna vidta nödvändiga personuppgiftsbehandlingar med stöd av samma rättsliga grund som kommunen, som om den själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.
Entreprenad enligt skollagen innebär att en huvudman med bibehållet huvudmannaskap sluter avtal med någon annan om att denne utför uppgifter inom bl.a. utbildning eller pedagogisk omsorg för barn. I artikel 4.7 i dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. I artikel 4.8 definieras personuppgiftsbiträde som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Om ett personuppgiftsbiträde anlitas ska hanteringen regleras genom ett avtal enligt artikel 28.3. I de fall två eller flera gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga enligt artikel 26.
Bedömningen av vem som är personuppgiftsansvarig, ensam eller tillsammans med annan, i ett enskilt entreprenadförhållande måste göras utifrån omständigheterna i det enskilda fallet. Det är enligt
utredningens mening parternas ansvar att se till att befintligt regelverk rörande personuppgiftsbehandling följs när det gäller behandlingen av personuppgifter.
En kommun får enligt 25 kap. 3 § skollagen anordna öppen förskola som ett komplement till förskola och pedagogisk omsorg. Den öppna förskolan ska erbjuda barn en pedagogisk verksamhet i samarbete med de till barnen medföljande vuxna samtidigt som de vuxna ges möjlighet till social gemenskap. Barn och föräldrar har ingen formell plats att ta i anspråk och barnen är inte inskrivna i den öppna förskolan. Verksamheten vänder sig till barn och föräldrar som är hemma på dagarna, t.ex. under föräldraledigheten. För dessa är verksamheten en viktig social träffpunkt, där barnen ges tillfälle att tillsammans med en förälder eller annan vuxen delta i en verksamhet i gruppens form, som syftar till att ge pedagogisk stimulans (prop. 2009/10:165 s. 528). Genom bestämmelsen i 25 kap. 3 § skollagen och kommunens beslut att anordna öppen förskola är enligt utredningens bedömning uppgiften av allmänt intresse, att anordna öppen förskola, fastställd. Utredningen anser dock att det är tveksamt om det normalt kan anses nödvändigt att behandla barnens och föräldrarnas eller andra medföljande vuxnas personuppgifter i verksamheten öppen förskola. Detta gäller trots att det uppenbarligen är fråga om en i svensk rätt fastställd uppgift av allmänt intresse. Om en öppen förskola avser att behandla personuppgifter bör den dock enligt utredningens uppfattning kunna använda sig av den rättsliga grunden samtycke genom att inhämta samtycke från de vuxna.
Öppen fritidsverksamhet får enligt 25 kap. 4 § skollagen erbjudas elever i de utbildningsformer där skolplikt kan fullgöras, i stället för fritidshem från och med höstterminen det år eleven fyller 10 år till och med vårterminen det år eleven fyller 13 år. Verksamheten ska genom pedagogisk verksamhet komplettera utbildningen i de olika utbildningsformer i vilka skolplikt kan fullgöras. Den öppna fritidsverksamheten ska erbjuda eleven möjlighet till utveckling och lärande samt en meningsfull fritid och rekreation. Den öppna fritidsverksamheten är en enklare form av verksamhet som inte erbjuder samma grad av omsorg och tillsyn och elevgrupperna kan vara mer flexibla i jämförelse med fritidshemmen. Genom att verksamheten regleras i skollagen är den enligt utredningens bedömning en uppgift av allmänt intresse. Uppgiften av allmänt intresse är fastställd genom den
aktuella bestämmelsen. Huvudmännen har härigenom stöd för att behandla för sin verksamhet nödvändiga personuppgifter.
Av 25 kap. 5 § skollagen framgår att kommunen ska sträva efter att erbjuda omsorg för barn under tid då förskola eller fritidshem inte erbjuds i den omfattning det behövs med hänsyn till föräldrars förvärvsarbete och familjens situation i övrigt. Av förarbetena till bestämmelsen framgår att omsorg för barn under s.k. obekväma arbetstider inte ska betraktas som en skolform, till skillnad från förskolan, och inte heller åläggas de krav som ställs på en sådan verksamhet (prop. 2009/10:165 s. 532). Utgångspunkten är att omsorgen ska erbjudas i den omfattning det behövs med hänsyn till föräldrarnas förvärvsarbete eller familjens situation i övrigt, om föräldrarna inte själva kan ordna omsorgen. Att ”sträva efter” innebär att kommunen inte utan vidare kan avstå från att tillhandahålla sådan omsorg. Ambitionen måste vara att tillhandahålla omsorg även under s.k. obekväm arbetstid åt familjer som har behov av det. Om kommunen vid en viss tidpunkt inte har någon efterfrågan måste kommunen ändå planera för att tillhandahålla omsorg, när situationen förändras.
Eftersom kommunerna genom bestämmelsen i skollagen ges ett uppdrag att ordna barnomsorg under s.k. obekväm arbetstid får sådan verksamhet anses vara en uppgift av allmänt intresse som är fastställd genom bestämmelsen. Kommunerna kan således behandla personuppgifter som är nödvändiga för att kunna utföra uppgiften att tillhandahålla barnomsorg på obekväm arbetstid.
En kommun får med bibehållet huvudmannaskap sluta avtal med en enskild fysisk eller juridisk person om att anordna omsorg för barn under tid då förskola eller fritidshem inte erbjuds (entreprenad enligt 23 kap. skollagen). På samma sätt som angetts ovan angående enskild som anordnar pedagogisk omsorg på entreprenad anser utredningen att den enskilde som ordnar sådan barnomsorg på entreprenad utför uppgiften av allmänt intresse på uppdrag av kommunen.
Som betonats ovan är rättslig grund inte ensam tillräcklig för att behandling av personuppgifter ska vara tillåten. Övriga bestämmelser i dataskyddsförordningen måste också vara uppfyllda.
Sammanfattning
Utredningen konstaterar sammanfattningsvis att all den verksamhet som sker med stöd av (1–25 kap.) skollagen och anslutande föreskrifter är exempel på uppgifter av allmänt intresse. Dessa uppgifter och åligganden har i sig legala grunder som har offentliggjorts genom tydliga, precisa och förutsebara regler. Enligt artikel 6.1 e i dataskyddsförordningen kan därmed sådan personuppgiftsbehandling som krävs för att utföra denna verksamhet ske. Inom ramen för denna verksamhet behöver de personuppgiftsansvariga inte inhämta samtycke för nödvändig personuppgiftsbehandling (se dock avsnitt 4.7 om känsliga personuppgifter). En förutsättning är dock att kraven i artikel 5 också är uppfyllda. Det är den personuppgiftsansvarige som ska säkerställa att behandlingen är laglig och den ansvarige ska också kunna visa att så är fallet.
Enligt utredningens bedömning finns det således inget behov av en särskild reglering för att de skollagsreglerade verksamheternas huvudmän, kommunerna såsom hemkommuner och aktörerna enligt 24 och 25 kap. skollagen ska kunna tillämpa den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse.
4.6.3. Myndighetsutövning
Bedömning: Både offentliga och enskilda huvudmän vidtar vissa
åtgärder med stöd av skollagen som innefattar myndighetsutövning gentemot en elev, t.ex. betygssättning och beslut om särskilt stöd.
Det är i dessa situationer möjligt för huvudmännen att tillämpa den rättsliga grunden i andra ledet i artikel 6.1 e i dataskyddsförordningen, för sådan behandling som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Något behov av ytterligare reglering föreligger inte. I dessa fall kan även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.
Enligt andra ledet i artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 första
stycket framgår att rätten att utöva myndighet ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt andra stycket ska syftet med behandlingen vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befogenheten fastställs. Ändamålet med behandlingen av personuppgifter måste dock vara nödvändigt för att utföra myndighetsutövningen. För tillämpningen av den rättsliga grunden myndighetsutövning gäller således motsvarande krav som för den rättsliga grunden uppgift av allmänt intresse.
Begreppet myndighetsutövning har en unionsrättslig innebörd. Enligt Dataskyddsutredningen bör man till dess annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller in under begreppet (SOU 2017:39, avsnitt 8.3.3). Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde.
Den största delen av skolornas verksamhet, undervisning, utgör vad som brukar omnämnas som faktiskt handlande. Bara en liten del av verksamheten i förskolor och skolor utgör ärendehandläggning som innebär myndighetsutövning mot enskild. Det kan handla om ärenden som rör mottagande av elever (t.ex. 7 kap. 5 § skollagen), särskilt stöd (3 kap. 9 § skollagen), avstängning av elever (t.ex. 5 kap. 14 § skollagen) eller befrielse från sådana inslag i undervisningen som är obligatoriska (7 kap. 19 § skollagen). Betygssättning av eleverna utgör också myndighetsutövning. De allmänna bestämmelserna om betygsättning finns i bl.a. 3 kap. 13 § skollagen, samt i förordningarna för de olika skolformerna såsom t.ex. gymnasieförordningen.
Enligt utredningens bedömning är grunden för behandlingen redan i dag, genom exemplifierade bestämmelser i skollagen, fastställd. Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden myndighetsutövning i de fall en sådan rätt föreligger enligt nationell rätt.
Det bör dock åter betonas att en ytterligare förutsättning för att kunna tillämpa myndighetsutövning som rättslig grund för behandlingen är att också syftet med behandlingen är nödvändigt. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att behandlingen är laglig och att ändamålet är berättigat och nödvändigt (artikel 5.2 i dataskyddsförordningen).
Avslutningsvis är det utredningens bedömning att även första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämpligt som rättslig grund för ovan nämnda moment, eftersom betygssättning m.m. ingår i uppgiften att anordna utbildning.
4.6.4. Rättslig förpliktelse
Bedömning: För skollagsreglerad verksamhet finns det i svensk
rätt fastställda rättsliga förpliktelser som åvilar verksamhetsutövarna och som gör det nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen kan då tillämpas. Något behov av ytterligare reglering finns inte.
I dessa fall kan även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.
Enligt artikel 6.1 c i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Av artikel 6.3 första stycket framgår att den rättsliga grunden för behandlingen, dvs. i detta fall den rättsliga förpliktelsen, ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dessutom ska syftet med behandlingen fastställas i den rättsliga grunden.
Dataskyddsutredningen gör bedömningen att förpliktelsen inte nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser ska alltid ha sin grund i lag, men förpliktelser kan också anges i domar eller i myndighetsbeslut som meddelats med stöd av lag eller med stöd av föreskrifter som i sin tur meddelats i lag (SOU 2017:39, avsnitt 8.3.2).
Frågan är då om det finns en eller flera rättsliga förpliktelser för huvudmännen som bedriver förskola, skola och vuxenutbildning att tillhandahålla utbildning för barnen och eleverna.
Utredningen om offentlighet och sekretess i skolan ansåg att skolmyndigheter enligt den då lydande skollagen och andra författningar hade en rättslig skyldighet i personuppgiftslagens mening att fullgöra sina åligganden gentemot eleverna i fråga om såväl undervisning som elevvård (SOU 2003:103 s. 199).
Datainspektionen har ansett att den skyldighet för myndigheter som följer av offentlighetsprincipen är en sådan rättslig skyldighet som avses i motsvarande bestämmelse till rättslig förpliktelse i personuppgiftslagen.14
En skillnad mellan personuppgiftslagen och dataskyddsförordningen är att dataskyddsförordningen kräver att den rättsliga förpliktelsen ska vara fastställd i svensk rätt och att syftet med behandlingen ska vara fastställt i den rättsliga grunden. Skollagen innehåller många rättsliga förpliktelser för huvudmännen som bedriver skolverksamhet enligt lagen. Av t.ex. 2 kap. 8 § framgår att huvudmannen ansvarar för att utbildningen genomförs i enlighet med bestämmelserna i skollagen, föreskrifter som har meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar. Enligt utredningens bedömning kan emellertid inte något syfte med en eventuell personuppgiftsbehandling utläsas av bestämmelsen. Bestämmelsen kan därför inte ses som en rättslig förpliktelse i dataskyddsförordningens mening.
I skollagen finns även bestämmelser där syftet med behandlingen enligt utredningens bedömning kan utläsas genom bestämmelsen och därigenom vara fastställt i den rättsliga grunden t.ex.
- att eleven och elevens vårdnadshavare fortlöpande ska informeras om elevens utveckling (3 kap. 4 §),
- att ett åtgärdsprogram ska utarbetas för en elev som ska ges särskilt stöd (3 kap. 9 §),
- att i vissa skolformer ska eleven betygsättas (3 kap. 13 §),
- att grundskolan och gymnasieskolan och motsvarande skolformer ska erbjuda modersmålsundervisning under vissa förutsättningar (10 kap. 7 §, 11 kap. 10 §, 12 kap. 7 §, 13 kap. 7 §, 15 kap. 19 § och 18 kap. 19 §), och
14 Datainspektionens rapport 2005:3 Övervakning i arbetslivet. Kontroll av de anställdas Internet och e-postanvändning m.m, s. 15.
- att rektorn ska se till att vårdnadshavaren till en elev i vissa skolformer, t.ex. grundskolan, samma dag informeras om eleven utan giltigt skäl uteblir från den obligatoriska verksamheten (7 kap. 17 §).
Det behövs därför inte någon ytterligare reglering för att skolorna ska kunna tillämpa den rättsliga grunden i artikel 6.1 c för sin nödvändiga personuppgiftsbehandling. Enligt utredningens bedömning är även artikel 6.1 e, dvs. uppgift av allmänt intresse, tillämplig som rättslig grund för ovan nämnda moment, eftersom dessa t.ex. betygssättning, ingår i uppgiften att anordna utbildning. Personuppgiftsbehandling inom skollagsreglerad utbildningsverksamhet bör till största delen kunna ske med stöd av den rättsliga grunden utföra uppgift av allmänt intresse. Det torde därför vara i undantagsfall som artikel 6.1 c behöver tillämpas av huvudmännen.
4.6.5. Intresseavvägning
Bedömning: Enskilda huvudmän kan för sin personuppgifts-
behandling använda sig av den rättsliga grunden i artikel 6.1 f i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Nämnda rättsliga grund skulle kunna vara tillämplig när det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämplig. Eftersom det för enskilda huvudmän finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva utbildning är det endast i undantagsfall som den rättsliga grunden i artikel 6.1 f behöver tillämpas.
Enligt artikel 6.1 f i dataskyddsförordningen är behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre
och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägning).
Av 6.1 f andra stycket framgår att denna grund inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom skolor med staten, en kommun eller ett landsting som huvudman är myndigheter som fullgör sina uppgifter när de tillhandahåller utbildning enligt skollagen, är det endast de skolor som drivs av enskilda huvudmän som kan tillämpa denna grund till stöd för sin personuppgiftsbehandling.
Dataskyddsutredningen gör bedömningen att den här aktuella grunden ofta är möjlig att tillämpa i de fall det är tveksamt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse i unionsrättslig mening (SOU 2017:39, avsnitt 8.3.4).
Ovan bedömer utredningen att anordnande av utbildning enligt skollagen och anslutande föreskrifter är en i svensk rätt fastställd uppgift av allmänt intresse, oavsett om det är staten, en kommun eller en enskild som är huvudman. Huvudmannen kan således grunda nödvändig personuppgiftsbehandling på artikel 6.1 e. Enligt Dataskyddsutredningen spelar det i en sådan situation inte någon roll om verksamheten utförs på direkt uppdrag av en myndighet eller på eget initiativ (SOU 2017:39, avsnitt 8.3.4). Som tidigare nämnts bör således den skollagsreglerade utbildningsverksamheten till största delen kunna behandla personuppgifter med stöd av den rättsliga grunden i artikel 6.1 e, dvs. utföra en uppgift av allmänt intresse. Den rättsliga grunden i artikel 6.1 f bör enligt utredningens uppfattning därmed ytterst sällan eller aldrig bli aktuell att tillämpa av enskilda skolhuvudmän i skollagsreglerad verksamhet. Den enskilda huvudman som avser att tillämpa den rättsliga grunden intresseavvägning har vid intresseavvägningen särskilt att beakta barns rätt till integritetsskydd.
4.6.6. Samtycke
Bedömning: Enskilda huvudmän och offentliga huvudmän, dvs.
kommuner, landsting eller staten, kan i viss utsträckning använda sig av samtycke som rättslig grund för sin personuppgiftsbehandling.
Enligt artikel 6.1 a i dataskyddsförordningen är behandling laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Med samtycke avses, enligt artikel 4.11, varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till dataskyddsförordningen).
En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.
Enligt skäl 43 till dataskyddsförordningen bör samtycke inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Någon sådan skrivning finns inte i skälen till dataskyddsdirektivet, men mot bakgrund av att definitionen av samtycke i princip är densamma och de uttalanden som gjorts av bl.a. Artikel 29-gruppen15får detta anses gälla enligt befintligt regelverk. Artikel 29-gruppen har yttrat att samtycke i undantagsfall kan vara en giltig grund för
15 Yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 13–14 och 16–17.
stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse snarare än samtycke.16
Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Det bör betonas att samtycke normalt inte bör tillämpas om behandlingen i stället kan grundas på artikel 6.1 c och e i dataskyddsförordningen. Om behandlingen grundar sig på samtycke ska den personuppgiftsansvarige, enligt artikel 7.1, kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.
Artikel 29-gruppen har även uttalat sig om uppgifter om barn och specialfallet skolor i ett yttrande. I det yttrandet anförs beträffande behandling av barns personuppgifter i skolan bl.a. att samtycke till behandling av alla uppgifter som kan ge upphov till diskriminering måste vara otvetydigt och att överföring till tredje part i marknadsföringssyfte är beroende av om vårdnadshavarna på förhand har underrättats och gett sitt samtycke.17 Artikel 29-gruppen synes således vara av uppfattningen att samtycke kan användas som rättslig grund för, i vart fall vid viss, personuppgiftsbehandling inom skolor.
Enligt utredningens bedömning är det möjligt att för viss personuppgiftsbehandling använda sig av samtycke även i förhållandet mellan ett barns vårdnadshavare och en förskola samt en elevs vårdnadshavare eller eleven själv beroende på ålder och en skola. Ett exempel på när samtycke skulle kunna vara lämplig grund för personuppgiftsbehandling är inför fotografering av eleverna i syfte att skapa elektroniska skolkataloger eller fotografering för att dokumentera verksamheten i förskola och skola, inte minst i syfte att kunna redogöra för den för barnens vårdnadshavare. I sammanhanget kan även nämnas att artikel 29-gruppen är av uppfattningen att samtycke från vårdnadshavarna ska inhämtas om en skola har för avsikt att t.ex. lägga ut individuella foton av eleverna med uppgift om deras identitet
16 Yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 13–14 och 16–17. 17 Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor) s. 12 f.
på internet.18 Genom att samtycke inhämtas har berörda parter möjlighet att säga nej till att eleverna tas med på fotona.
4.6.7. Sammanfattning
Artikel 5 i dataskyddsförordningen innehåller bestämmelser om principerna för behandling av personuppgifter. Enligt 5.1 a ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att behandling av personuppgifter är laglig endast om och i den mån som åtminstone ett av de i bestämmelsen angivna villkoren är uppfyllt.
Utredningen har i de tidigare avsnitten kommit fram till att de skollagsreglerade utbildningsverksamheterna kan tillämpa flera olika rättsliga grunder (villkor) i artikel 6.1 till stöd för sin personuppgiftsbehandling. I vissa situationer kan dessutom flera rättsliga grunder vara tillämpliga samtidigt var för sig.
De rättsliga grunder som kan vara tillämpliga är samtycke (a), fullgöra en rättslig förpliktelse (c) eller utföra en uppgift av allmänt intresse eller myndighetsutövning (e).
De verksamheter som inte fullgörs av myndigheter kan även tilllämpa den rättsliga grunden intresseavvägning (f) när de fullgör sina uppgifter enligt skollagen och anslutande föreskrifter.
De rättsliga grunderna fullgöra en rättslig förpliktelse (c) och utföra en uppgift av allmänt intresse eller myndighetsutövning (e) är fastställda genom bestämmelser i skollagen med anslutande föreskrifter.
När dataskyddsförordningen ska börja tillämpas kan en ändamålsenlig och nödvändig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, ske inom skollagsreglerad utbildningsverksamhet med stöd av bestämmelserna i dataskyddsförordningen. Något ytterligare regleringsbehov aktualiseras följaktligen inte för att skollagsreglerad verksamhet ska kunna tillämpa ovan nämnda rättsliga grunder.
18 Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor) s. 18.
4.7. Känsliga personuppgifter
4.7.1. Utredningens uppdrag i denna del
Enligt kommittédirektiven ska utredningen analysera om det, utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå, finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet och lämna de författningsförslag som behövs.
I direktiven konstateras att det inom utbildningsområdet är nödvändigt att i vissa fall behandla s.k. känsliga personuppgifter. Inom skolväsendet kan det exempelvis handla om sådana uppgifter i samband med modersmålsundervisning eller om elever i sameskolan som anses avslöja etniskt ursprung eller uppgifter som rör hälsa, t.ex. inom elevhälsan eller i de utredningar som ska göras inför antagning till specialskolan och grundsärskolan och i vissa fall till gymnasiesärskolan. Eftersom behandling av känsliga personuppgifter förekommer hos flera olika myndigheter och enskilda behöver det i detta sammanhang också övervägas om en sådan reglering i så fall behöver finnas i en eller flera olika registerförfattningar.
4.7.2. Behov av att behandla känsliga personuppgifter
Det har framkommit att det för att förskolorna, skolorna och vuxenutbildningen ska kunna utföra sina uppdrag är nödvändigt att de i vissa sammanhang kan behandla vissa känsliga personuppgifter, främst uppgifter om hälsa, men ibland även om etnicitet.
Elevhälsan ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser (2 kap. 26 § skollagen). Elevhälsan ska främst vara förebyggande och hälsofrämjande. Elevernas utveckling mot utbildningens mål ska stödjas. Den del av elevhälsan som tillhandahåller medicinska insatser erbjuder eleverna förebyggande hälso- och sjukvård men även enklare sjukvårdsinsatser. Att tillhandahålla hälso- och sjukvård är, liksom utbildning, en uppgift av allmänt intresse. Varje elev i grundskolan, grundsärskolan, specialskolan och sameskolan ska erbjudas ett minsta antal hälsobesök. Den personuppgiftsbehandling som sker inom elevhälsans medicinska verksamhet omfattas i dagsläget av och kommer även fortsättningsvis att omfattas av patientdatalagens bestämmelser. Socialdataskydds-
utredningen har i uppdrag att se över patientdatalagen (S 2016:05, dir. 2016:52) och den behandlas därför inte i detta betänkande.
Den personuppgiftsbehandling som sker inom elevhälsans psykosociala och specialpedagogiska verksamheter omfattas däremot inte av patientdatalagens bestämmelser. Den psykosociala insatsen består av kurator som kan föra stöd-, motivations- och krissamtal liksom utredande och rådgivande samtal med enskilda elever och deras familjer relaterade till skolsituationen. Inom den specialpedagogiska insatsen finns specialpedagoger och speciallärare som t.ex. kan delta i kartläggning av elevers behov av särskilt stöd, genomföra pedagogiska utredningar samt utforma och genomföra åtgärdsprogram. Det kan även inom denna del av elevhälsan finnas ett behov av att kunna behandla uppgifter om hälsa.
Det förekommer även utanför elevhälsan att uppgifter om hälsa behöver behandlas. Ett exempel är skolmatsalspersonalen som behöver kunna behandla uppgifter om specialkost p.g.a. allergier eller religiös övertygelse. För att kunna möjliggöra en ändamålsenlig undervisningssituation kan även uppgifter om funktionsnedsättning behöva behandlas utanför elevhälsan. Vidare kan åtgärdsprogram innehålla uppgifter om ett barns eller en elevs hälsa. Ett åtgärdsprogram är en samlad dokumentation av elevens behov av särskilt stöd och en skriftlig bekräftelse av de särskilda stödåtgärder som ska sättas in.
En mobbningssituation (kränkande behandling) skulle kunna röra en enskild elevs hälsa eller sexuella läggning. En lärare, förskollärare, annan personal, förskolechef eller rektor som får kännedom om en sådan händelse är skyldig att anmäla detta (6 kap. 10 §) och har därigenom i förekommande fall behov av att i sin dokumentation kunna behandla känsliga personuppgifter.
Även uppgifter om vilka barn och elever som begärt modersmålsundervisning måste kunna behandlas. Datainspektionen har i sin rapport 2002:2 ansett att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung.19 I sammanhanget kan nämnas att regeringen bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). Enligt utredningens bedömning synes en uppgift om modersmål i sig inte vara en känslig personupp-
19 Datainspektionens rapport 2002:2, Behandling av elevers personuppgifter i grundskolan, s. 8.
gift men uppgiften kan, beroende på i vilket sammanhang den förekommer, bedömas vara en uppgift om etniskt ursprung vilket är en känslig personuppgift. En bedömning måste således göras i det enskilda fallet.
En förutsättning för att ett barn ska få gå i grundsärskolan är att barnet bedöms inte kunna nå upp till grundskolans kunskapskrav därför att barnet har en utvecklingsstörning (7 kap. 5 § skollagen). För att en elev ska få gå i en specialskola krävs att han eller hon på grund av sin funktionsnedsättning eller andra särskilda skäl inte kan gå i grundskolan eller grundsärskolan och eleven är döv, hörselskadad, dövblind eller annars är synskadad och har ytterligare funktionsnedsättning, eller har en grav språkstörning (7 kap. 6 § skollagen). Gymnasiesärskolan är öppen för ungdomar vars skolplikt upphör och som inte bedöms ha förutsättningar att nå upp till gymnasieskolans kunskapskrav därför att de har en utvecklingsstörning (18 kap. 4 § skollagen).
Målet med den särskilda utbildningen för vuxna är att vuxna med utvecklingsstörning ska stödjas och stimuleras i sitt lärande (21 kap. 2 § skollagen). Det är endast vuxna med utvecklingsstörning som har rätt att under vissa förutsättningar delta i särskild utbildning för vuxna på grundläggande nivå eller som kan vara behörig att delta i särskild utbildning för vuxna på gymnasial nivå (21 kap. 11 § och 16 §skollagen). Genom att alla elever som går i grundsärskolan, specialskolan, gymnasiesärskolan eller särskild utbildning för vuxna har en funktionsnedsättning blir uppgiften om att en elev går i en specialskola, grund- eller gymnasieskola som enbart anordnar särskoleverksamhet eller i särskild utbildning för vuxna en känslig personuppgift om hälsa eftersom man av skolans namn kan utläsa att eleven har en funktionsnedsättning.
Barn till samer får fullgöra sin skolplikt i sameskolan i stället för i årskurs 1–6 i grundskolan (7 kap. 7 § skollagen). Även andra barn får fullgöra den delen av sin skolplikt i sameskolan, om det finns särskilda skäl. Sameskolans syfte är att ge en utbildning med samisk inriktning som i övrigt motsvarar utbildningen i årskurserna 1–6 i grundskolan (13 kap. 2 § skollagen). Med hänsyn till sameskolans inriktning och att den främst är öppen för barn till samer blir uppgiften om att en elev går i sameskolan en känslig personuppgift eftersom man genom skolans namn kan utläsa elevens etniska ursprung.
Endast uppgiften att en elev går på en skola med konfessionell inriktning är däremot inte en känslig personuppgift. Fristående skolor med konfessionell inriktning ska vara öppna för alla elever som har rätt till utbildning i grundskolan respektive gymnasieskolan (1 kap. 7 §, 10 kap. 35 § och 15 kap. 33 §skollagen). Undervisningen vid fristående skolor, fristående förskolor och fristående fritidshem ska vara icke-konfessionell. Utbildningen i övrigt vid fristående skolor, fristående förskolor och fristående fritidshem får ha en konfessionell inriktning. Deltagandet i konfessionella inslag ska vara frivilligt (1 kap. 7 § skollagen). Datainspektionen har i ett svar20 till Skolverket ansett att enbart en uppgift om att en fysisk person går på en skola som har konfessionell inriktning inte ensamt torde avslöja den fysiska personens religiösa eller filosofiska övertygelse. Däremot skulle den uppgiften tillsammans med andra uppgifter om den fysiska personen kunna avslöja dennes religiösa eller filosofiska övertygelse och därmed utgöra känsliga personuppgifter.
Elever i t.ex. grundskolan har under vissa förutsättningar rätt till kostnadsfri skolskjuts (10 kap. 32 § skollagen). En anledning till att en elev har behov av skolskjuts kan vara att eleven har en funktionsnedsättning. Det är elevens hemkommun som ska ombesörja att skolskjuts anordnas. För prövningen av en elevs rätt till skolskjuts kan kommunen komma att få in handlingar som innehåller uppgifter om elevens hälsa. Kommunen kan även i sitt beslut behöva skriva in uppgifter som rör elevens hälsa. Det är inte ovanligt att kommuner upphandlar själva skolskjutsen. I dessa fall kan det finnas behov av att överföra vissa uppgifter om elever, t.ex. att en elev har rullstol, till taxibolaget som utför skolskjutsen för att möjliggöra en ändamålsenlig skolskjuts. En sådan uppgift är en indirekt uppgift om elevens hälsa.
För att kommunerna ska kunna uppfylla sina åligganden i egenskap av hemkommun enligt skollagen har de även ett behov av att kunna behandla känsliga personuppgifter i samband med att de för en förteckning över var skolpliktiga barn fullgör sin skolplikt (7 kap. 21 § skollagen) samt i ärenden rörande mottagande av ett barn i grundsärskolan (7 kap. 5 § skollagen) och om en sökande tillhör målgruppen för gymnasiesärskolan (18 kap. 5 § skollagen). Även i ärenden om tilläggsbelopp till t.ex. en fristående skola för en elev som har
20 Datainspektionen, 2016-12-06, dnr 316-2016.
ett omfattande behov av särskilt stöd har hemkommunen ett behov av att kunna behandla känsliga personuppgifter i form av uppgifter om den enskilde elevens hälsa.
4.7.3. Gällande bestämmelser
I fråga om statliga, landstings och kommunala huvudmäns skyldigheter enligt offentlighetsprincipen kan konstateras att enligt 8 § första stycket PUL tillämpas inte bestämmelserna i personuppgiftslagen i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen, att lämna ut personuppgifter.
De förskolor, skolor och vuxenutbildningsenheter vars huvudman är staten, en kommun eller ett landsting kan med stöd av 8 § PUF behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Oavsett om huvudmannen är offentlig eller enskild får känsliga personuppgifter skrivas i s.k. ostrukturerat material (löpande text) och därigenom behandlas, förutsatt att behandlingen inte innebär en kränkning av den registrerades personliga integritet (5 a § PUL). Om dessa bestämmelser inte är tillämpliga på behandlingen av känsliga personuppgifter måste samtycke inhämtas från den registrerade enligt 15 § PUL för att känsliga personuppgifter ska få behandlas.
4.7.4. Dataskyddsförordningen och dataskyddslagen
Med särskilda kategorier av personuppgifter (känsliga personuppgifter) avses enligt artikel 9.1 i dataskyddsförordningen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Enligt artikel 9.1 är huvudregeln att det är förbjudet att behandla känsliga personuppgifter. Vidare framgår det av artikel 9.2 att känsliga personuppgifter får behandlas om vissa förutsättningar är uppfyllda. De undantag som aktualiseras i detta sammanhang är artikel 9.2 a och g. Av 9.2 a framgår att känsliga personuppgifter får
behandlas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål. I artikel 9.2 g anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Utifrån denna möjlighet för medlemsstaterna att skapa förutsättningar för att möjliggöra behandling av känsliga personuppgifter har Dataskyddsutredningen i dataskyddslagen föreslagit tre generella undantag från förbudet att behandla känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2). Bestämmelserna har sin grund i artikel 9.2 g, dvs. om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.
Det första undantaget gäller behandling av uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende (3 kap. 3 § 1 dataskyddslagen). Enligt Dataskyddsutredningen bör begränsningen till löpande text inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.
Det andra undantaget gäller uppgifter som har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § 2 dataskyddslagen). Bestämmelsen möjliggör behandling av känsliga personuppgifter som är oundviklig i myndigheternas verksamhet som en direkt följd av t.ex. tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post.
Dataskyddslagen föreslås även innehålla en bestämmelse som innebär att vissa bestämmelser i lagen ska gälla för andra organ än myndigheter (1 kap. 5 § dataskyddslagen). Det gäller organ i vilkas verksamhet offentlighetsprincipen och sekretesslagstiftningen gäller. De bestämmelser som kan tillämpas på även dessa organ är 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket dataskyddslagen.
Utöver detta föreslås myndigheter få behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet (3 kap. 3 § 3 dataskyddslagen).
Syftet med paragrafen är att möjliggöra behandling av känsliga personuppgifter i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan det vara i t.ex. faktisk verksamhet såsom i kommunikation mellan skola och föräldrar. Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Vid bedömningen av om behandlingen utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet och den inställning de registrerade kan antas ha till att uppgiften behandlas.
Som skyddsåtgärd, för att säkerställa den registrerades grundläggande rättigheter och intressen, uppställs ett förbud för myndigheter att söka på känsliga personuppgifter då sådana uppgifter behandlas enbart med stöd av 3 § dataskyddslagen (3 kap. 4 § dataskyddslagen).
Det bör även nämnas att artikel 9.2 i dataskyddsförordningen innehåller flera bestämmelser förutom samtycke som är direkt tilllämpliga. Vidare har Dataskyddsutredningen genom förslag till bestämmelser i 3 kap. dataskyddslagen möjliggjort behandling av känsliga personuppgifter rörande bl.a. hälso- och sjukvård, arkiv och statistik.
4.7.5. Behov av särskild reglering
Förslag: Särskilda undantag från förbudet i artikel 9.1 i data-
skyddsförordningen mot behandling av känsliga personuppgifter ska regleras i ett nytt kapitel i skollagen som gäller för en huvudman inom skolväsendet, en hemkommun eller en aktör enligt 24 och 25 kap. skollagen.
Det ska införas en bestämmelse som möjliggör för dessa organ att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
Vidare ska det införas en bestämmelse som anger att de organ som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter om dessa har lämnats till organet och behandlingen krävs enligt lag.
För grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna införs ytterligare bestämmelser som möjliggör nödvändig och regelmässig behandling av personuppgifter om hälsa. På samma sätt möjliggörs behandling av uppgift om hälsa i gymnasieskolan med Rh-anpassad utbildning, utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning samt fristående skolor som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling.
För sameskolan införs ytterligare bestämmelser som möjliggör nödvändig och regelmässig behandling av personuppgifter om etniskt ursprung.
För hemkommunen införs ytterligare bestämmelser som möjliggör nödvändig behandling av uppgifter om hälsa och etniskt ursprung i vissa fall.
Dessutom ska organen i enstaka fall få behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Ett förbud att använda sökbegrepp som avslöjar känsliga personuppgifter ska införas, i fall då behandlingen sker med stöd av de nämnda undantagen. I grundsärskola, specialskola, gymnasiesärskola, särskild utbildning för vuxna, gymnasieskolan med Rh-anpassad utbildning, utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning och fristående skolor som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling ska det vara tillåtet att söka på begrepp som avslöjar hälsa. På motsvarande sätt ska det i sameskolan vara tillåtet att söka på begrepp som avslöjar etniskt ursprung. För en hemkommun ska det i vissa fall vara möjligt att söka på begrepp som avslöjar hälsa och etniskt ursprung. Regeringen ska få meddela föreskrifter om närmare sökbegränsningar för dessa utbildningsformer och en hemkommun.
Regeringen ska få meddela föreskrifter om ytterligare undantag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till det allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av den lagen.
Slutligen ska det införas upplysningsbestämmelser som anger att nämnda bestämmelser kompletterar dataskyddsförordningen samt att bestämmelser om personuppgiftsbehandling också finns i dataskyddslagen. Kapitlet ska inte tillämpas på elevhälsans medicinska verksamhets personuppgiftsbehandling eller Kriminalvårdens verksamhet enligt 24 kap. 10 § skollagen.
I föregående avsnitt ges exempel på situationer där känsliga personuppgifter behöver behandlas i den skollagsreglerade utbildningsverksamheten. Enligt utredningens bedömning utesluter inte dataskyddsförordningen att samtycke kan användas som rättslig grund för behandling av personuppgifter, även känsliga sådana, av både myndigheter och enskilda, men att en bedömning måste göras av vilken slags behandling som samtycket avser för att avgöra om det är lämpligt (se avsnitt 4.6.6). För den behandling av känsliga personuppgifter som behövs för att huvudmännen ska kunna fullgöra uppdraget som ankommer på dem enligt skollagen bör dock huvudmännen inte vara beroende av om den registrerade eller dennes vårdnadshavare lämnar samtycke till behandlingen av känsliga personuppgifter eller inte. Detsamma gäller för en kommuns behandling av personuppgifter som behövs för att den ska kunna fullgöra sina åligganden i egenskap av hemkommun enligt skollagen.
Skälet till att utredningen gör den bedömningen är att det kan ifrågasättas om den registrerade faktiskt, i många fall, har något val i frågan om behandlingen ska ske eller inte och därmed en reell möjlighet att motsätta sig behandlingen. Det är också tveksamt ur synvinkeln att lagstiftaren ålägger huvudmännen och hemkommunerna skyldigheter och att fullgörandet av dessa skyldigheter ska göras beroende av den enskildes samtycke. Utredningen konstaterar vidare att offentliga huvudmän och hemkommuner i och med förslaget till bestämmelser i dataskyddslagen om myndigheters behandling i vissa fall kommer att få uttryckligt lagstöd för sådan behandling. Enligt utredningens bedömning bör det för den behandling av känsliga personuppgifter som är nödvändig inom främst skolväsendet för de enskilda huvudmännen finnas ett annat rättsligt stöd för behandlingen än samtycke.
Behandling i löpande text
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 1 dataskyddslagen får myndigheter behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för behandlingen av det. Det innebär enligt utredningens bedömning att förskolor, skolor och vuxenutbildningsenheter som drivs av kommuner, landsting eller staten även fortsättningsvis kommer att kunna behandla nödvändiga känsliga personuppgifter i löpande text i ärenden. För dessa huvudmän skulle således ingen ytterligare reglering för att kunna behandla känsliga personuppgifter i detta avseende krävas. Detsamma gäller för en hemkommuns möjlighet att behandla nödvändiga känsliga personuppgifter i löpande text i ärenden.
Enskilda huvudmän för förskolor och skolor omfattas beträffande utförandet av den aktuella utbildningen av samma bestämmelser i skollagen som de offentliga huvudmännen. Vidare anges i skollagen att vissa beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos allmän förvaltningsdomstol (28 kap.6 och 9 §§skollagen). Andra typer av beslut som fattas av en enskild huvudman eller rektor i en fristående skola får överklagas hos Skolväsendets överklagandenämnd (28 kap.13 och 16 §§skollagen). Vidare framgår av 29 kap.10 och 11 §§skollagen att i ärenden som avser myndighetsutövning mot någon enskild enligt skollagen hos en kommun, ett landsting, eller en enskild huvudman ska vissa uppräknade bestämmelser i förvaltningslagen (1986:223) tillämpas.
De enskilda huvudmännen har således samma behov av, i de fall det är relevant och nödvändigt, att kunna behandla känsliga personuppgifter i sina ärenden som de offentliga huvudmännen. Vidare kan en fristående förskola eller fristående skola i en ansökan om tilläggsbelopp för elever som har ett omfattande behov av särskilt stöd behöva behandla uppgifter om elevens hälsa för att kunna styrka behovet av särskilt stöd (t.ex. 9 kap. 21 § och 10 kap. 39 §skollagen). I dagsläget kan sådan behandling av känsliga personuppgifter ske med stöd av 5 a § PUL, men den bestämmelsen kommer som ovan nämnts att upphävas när dataskyddsförordningen ska börja tillämpas.
Enligt utredningens bedömning är även de enskilda huvudmännen i förhållande till eleverna bundna av legalitetsprincipen. Det krävs således även för dessa att det finns någon form av förankring i skollagen med tillhörande föreskrifter för deras verksamhet. Utred-
ningens bedömning är därför att det finns behov av att införa en bestämmelse som möjliggör för de enskilda huvudmännen att behandla känsliga personuppgifter i ärenden på motsvarande sätt som för myndigheter.
Med stöd av den föreslagna bestämmelsen bör känsliga personuppgifter, i det fall det är nödvändigt, kunna behandlas i löpande text i t.ex. utredningar om särskilt stöd och åtgärdsprogram (7 kap.8 och 9 §§skollagen) och anmälningar och utredningar om kränkande behandlingar (6 kap. 10 § skollagen). Även fristående skolors ansökan om tilläggsbelopp hos hemkommunen (10 kap. 39 § skollagen) bör enligt utredningens bedömning betraktas som ett ärende.
Eftersom de aktuella huvudmännen har möjlighet att utföra dessa behandlingar av känsliga personuppgifter redan i dagsläget med stöd av 5 a § PUL bedömer utredningen att integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs. Med hänsyn till huvudmännens behov av att kunna behandla känsliga personuppgifter i vissa ärenden för att uppfylla de skyldigheter som åligger dem enligt skollagen anser utredningen att bestämmelsen står i proportion till det eftersträvande syftet, dvs. att möjliggöra behandling av känsliga personuppgifter i vissa ärenden.
Av enhetlighetsskäl föreslås en bestämmelse som möjliggör för samtliga skolhuvudmän, kommunerna när de utför sina åligganden såsom hemkommuner enligt skollagen och aktörer enligt 24 och 25 kap. skollagen att behandla känsliga personuppgifter i löpande text, se nedan angående att ett nytt 28 a kap. ska införas i skollagen. Beträffande skyddsåtgärder, se nedan angående sökbegränsningar.
Behandling som krävs på grund av lag
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 2 dataskyddslagen får myndigheter behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Dataskyddsutredningen föreslår även att bestämmelsen ska gälla för andra organ än myndigheter om offentlighetsprincipen och sekretesslagstiftningen gäller i organets verksamhet. Enligt 1 kap. 5 § dataskyddslagen ska vid tillämpningen av 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna hand-
lingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i organets verksamhet.
Förslagen innebär, enligt utredningens bedömning, att förskolor, skolor och vuxenutbildningsenheter som drivs av kommuner, landsting eller staten även fortsättningsvis kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter. Detsamma gäller kommunerna när de utför sina övriga åligganden enligt skollagen.
Beträffande de fristående skolorna har Utredningen om offentlighetsprincipen i fristående skolor i betänkandet Ökad insyn i fristående skolor (SOU 2015:82) föreslagit att offentlighetsprincipen ska införas hos huvudmän för fristående skolor (betänkandet omfattar således inte fristående förskolor, jfr definitionerna i 1 kap. 3 § skollagen). En ny bestämmelse föreslås införas i offentlighets- och sekretesslagen av innebörden att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar ska gälla också handlingar hos huvudmän för fristående skolor. Samtliga huvudmän för fristående skolor ska omfattas. Huvudmännen ska enligt förslaget vid tillämpningen av offentlighets- och sekretesslagen jämställas med myndigheter. Det innebär bl.a. att de fristående skolorna blir skyldiga att registrera sina allmänna handlingar enligt samma principer som gäller för myndigheter (SOU 2015:82 s. 93 ff.). Bestämmelserna föreslås träda i kraft den 1 juli 2017. Betänkandet bereds inom Regeringskansliet.
Utredningen om ökad insyn i välfärden har i betänkandet Ökad insyn i välfärden (SOU 2016:62) på motsvarande sätt föreslagit att offentlighetsprincipen bör gälla för juridiska personer som i egenskap av enskilda huvudmän driver förskola eller fritidshem, för privata aktörer som enligt avtal med kommun, enskild huvudman eller landsting utför uppgifter enligt 23 kap. skollagen (entreprenad) med undantag av verksamhet som regleras i 25 kap. skollagen, samt för privat folkhögskola som anordnar utbildning som motsvarar kommunal vuxenutbildning i svenska för invandrare (enligt 24 kap.11– 15 §§skollagen). Bestämmelserna föreslås träda i kraft den 1 januari 2019. Betänkandet bereds inom Regeringskansliet.
Dataskyddsutredningens förslag till bestämmelser i 1 kap. 5 § och 3 kap. 3 § 2 dataskyddslagen innebär att en skolhuvudman för vilken offentlighetsprincipen och sekretesslagstiftningen enligt författning
gäller i huvudmannens verksamhet, oavsett om denne är en offentlig eller privat aktör, kan tillämpa bl.a. 3 kap. 3 § 2 dataskyddslagen för behandling av känsliga personuppgifter som är oundviklig i den del av huvudmannens verksamhet som en direkt följd av bl.a. tryckfrihetsförordningens och offentlighets- och sekretesslagens bestämmelser om allmänna handlingar och diarieföring. Skolhuvudmännens behov av att kunna behandla känsliga personuppgifter med anledning av att de omfattas av eller föreslås omfattas av offentlighetsprincipen är tillgodosett av nämnda föreslagna bestämmelser i dataskyddslagen. Då det finns behov av att införa en särskild reglering för de enskilda huvudmännens behandling av känsliga personuppgifter i ärenden är dock utredningens bedömning att det är lämpligare att även bestämmelserna om när skolhuvudmännen får behandla känsliga personuppgifter till följd av bl.a. offentlighetsprincipen tas in i samma författning. Förslaget omfattar också kommunerna när de utför sina åligganden såsom hemkommuner enligt skollagen och de aktörer enligt 24 och 25 kap. skollagen för vilka offentlighetsprincipen och sekretesslagstiftningen enligt författning gäller i verksamheten.
Som en skyddsåtgärd föreslås, i likhet med dataskyddslagen, sökbegränsningar, se nedan.
Eftersom dessa bestämmelser inte tillför något ytterligare eller mindre jämfört med dataskyddslagen bedömer utredningen att det inte behöver göras någon särskild proportionalitetsprövning i detta sammanhang. Det kan dock nämnas att en bestämmelse som möjliggör behandling av känsliga personuppgifter som är oundviklig i organets verksamhet som en direkt följd av tryckfrihetsförordningens och offentlighets- och sekretesslagens bestämmelser om allmänna handlingar och diarieföring är en förutsättning för att– organet ska kunna uppfylla sina skyldigheter enligt offentlighetsprincipen. Det allmänna intresset av att organen som har att tillämpa offentlighetsprincipen kan uppfylla sina skyldigheter väger enligt utredningens bedömning tyngre än den enskildes intresse av att uppgiften inte ska behandlas i detta avseende. Bestämmelsen bedöms stå i proportion till det eftersträvade syftet. Det bör därför, om föreslagna ändringar i offentlighets- och sekretesslagen införs, införas en bestämmelse som motsvarar 3 kap. 3 § 2 dataskyddslagen.
Det kan även nämnas att 1 kap. 5 § dataskyddslagen innehåller en hänvisning till 4 kap. 1 § andra stycket samma lag (arkiverade personuppgifter). Eftersom utredningens förslag är att dataskyddslagen
ska gälla om inte något annat följer av det föreslagna nya kapitlet i skollagen och kapitlet inte innehåller några bestämmelser om arkiv så ska dataskyddslagens bestämmelser i den delen tillämpas av huvudmännen, oavsett om de är myndigheter eller enskilda rättssubjekt, och kommunerna.
Absolut nödvändig behandling i andra fall
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen får en myndighet i enstaka fall behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Som exempel på när bestämmelsen kan vara tillämplig anges faktisk verksamhet såsom i kommunikation mellan skola och föräldrar (SOU 2017:39, avsnitt 10.6.2).
Enligt utredningens bedömning kan bestämmelsen tillämpas i kommunikation mellan skola och föräldrar både i de fall det finns ett övergående behov av att behandla en uppgift om t.ex. barnets hälsa och i de fall det till följd av att ett barn har en kronisk sjukdom, t.ex. diabetes, finns ett mer regelbundet behov av att behandla uppgiften.
Ett annat exempel på när paragrafen kan vara tillämplig är på ett dokument med uppgifter om vilka elever som har behov av specialkost på grund av allergi eller religiös övertygelse som skapas i syfte att skolmåltidspersonalen ska få kännedom om det. Om skolmåltidspersonalen inte vet vilka elever som har behov av särskild kost kan den inte tillgodose det. Behandlingen av uppgiften om t.ex. allergi är därför absolut nödvändig och utgör enligt utredningens bedömning inte ett otillbörligt intrång i den registrerades integritet. Även inom t.ex. elevhälsans psykosociala och specialpedagogiska insatser kan det förekomma situationer när bestämmelsen är tillämplig, dvs. det är inte fråga om ett ärende men det är absolut nödvändigt att behandla känsliga personuppgifter och behandlingen bedöms inte vara ett otillbörligt intrång i den registrerades personliga integritet.
Bestämmelsen i dataskyddslagen är direkt tillämplig på kommunal verksamhet och verksamhet vars huvudman är staten, ett landsting eller en kommun. De enskilda huvudmännen och privata aktörerna som bedriver utbildningsverksamhet enligt skollagen har, som ovan angetts beträffande ärenden, samma behov av att kunna behand-
la känsliga personuppgifter som de offentliga huvudmännen. Utredningens bedömning är att en bestämmelse som möjliggör för även dessa huvudmän att behandla känsliga personuppgifter i enstaka fall i t.ex. faktiskt verksamhet, vilket undervisning är, står i proportion till det eftersträvade syftet. En bestämmelse med sådana starkt begränsande rekvisit tillgodoser, enligt utredningens bedömning, dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. Utredningen anser därför att en sådan möjlighet ska införas. Såsom tidigare anförts bedömer utredningen att det är lämpligt att det införs en bestämmelse som ska tillämpas av kommunerna på den verksamhet som tillhandahålls såsom hemkommun enligt skollagen, huvudmännen för skolväsendet och aktörer enligt 24 och 25 kap. skollagen. Beträffande skyddsåtgärder, se avsnittet nedan med samma namn.
Särskilda bestämmelser för grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna
Som tidigare nämnts är behandling av alla personuppgifter om en elev i grundsärskolan, specialskolan, gymnasiesärskolan och särskild utbildning för vuxna en behandling av känsliga personuppgifter. Anledningen till detta är att det endast är elever med funktionsnedsättning som tillhör målgruppen för dessa skolformer och enbart uppgiften om att eleven går i den skolan innebär därmed att man får reda på en uppgift om elevens hälsa.
Det innebär att huvudmännen måste tillämpa de särskilda bestämmelserna som gäller för behandling av känsliga personuppgifter på all personuppgiftsbehandling, dvs. även för elevadministration som t.ex. kontaktuppgifter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som – bortsett från att eleven går i en viss skolform – vanligen är harmlösa uppgifter. Även behandling av personuppgifter i samband med t.ex. dokumentation inför och skrivandet av utvecklingsplaner omfattas av de särskilda bestämmelser som rör behandling av känsliga personuppgifter.
I dagsläget är det rättsliga stödet för att behandla känsliga personuppgifter i detta sammanhang främst samtycke. Utredningen erfar att Specialpedagogiska skolmyndigheten vid hanteringen av klagomål enligt 6 kap. skollagen har tillämpat 16 c § PUL, dvs. att behand-
lingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, för viss behandling.
Av artikel 9.2 f i dataskyddsförordningen framgår att behandling av känsliga personuppgifter får ske om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk. I skäl 52 till dataskyddsförordningen anges att genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller inom ett administrativt eller ett utomrättsligt förfarande. Bestämmelsen i artikel 9.2 f är inte begränsad till myndigheter. Om en huvudman gör bedömningen att behandlingen av känsliga personuppgifter är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk kan den tillämpa artikel 9.2 f till stöd för sådan behandling.
Utredningen bedömer, som även tidigare nämnts, att samtycke inte är ett lämpligt rättsligt stöd för behandlingen av känsliga personuppgifter i dessa skolformer, eftersom lagstiftaren ålägger huvudmännen skyldigheter gentemot eleven och för att kunna uppfylla dessa åligganden måste huvudmannen kunna behandla relevanta personuppgifter om eleven.
De av Dataskyddsutredningen föreslagna bestämmelserna som möjliggör nödvändig behandling av känsliga personuppgifter i löpande text i ärenden och behandling som krävs på grund av lag kommer inte kunna tillämpas på den behandling av elevernas personuppgifter som sker i bl.a. den elevadministrativa verksamheten. Inte heller bestämmelsen som möjliggör behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet kommer bli tillämplig, eftersom bestämmelsen inte är avsedd att tillämpas på upprepad, omfattande, strukturell eller storskalig behandling. Personuppgiftsbehandlingen inom elevadministrationen sker inte i enstaka fall och är upprepad och strukturell.
Utredningens bedömning är att personuppgiftsbehandling för att föra t.ex. elevregister, kontrollera närvaro och upprätta utvecklingsplaner är nödvändig för att huvudmännen för särskolor, specialskolor och särskild utbildning för vuxna ska kunna bedriva sin verksamhet. De personuppgifter som i det sammanhanget behöver behandlas är t.ex. namn, personnummer, adress, vårdnadshavare och kontakt-
uppgifter till dessa. Enligt utredningens bedömning är dessa uppgifter normalt sett harmlösa och anledningen till att de bedöms som känsliga är att de förekommer i verksamheten. Utredningens bedömning är att huvudmännen för dessa skolformer är i behov av att kunna behandla elevernas personuppgifter i dessa sammanhang på samma sätt som andra huvudmän, men huvudmännen har fortfarande att behandla dessa uppgifter som känsliga personuppgifter ur dataskydds- och datasäkerhetssynpunkt (artikel 25 och 32 i dataskyddsförordningen). Det behöver därför finnas en särskild bestämmelse som möjliggör för dessa huvudmän att behandla känsliga personuppgifter i denna situation.
När det gäller det integritetsintrång som utredningens förslag medför görs följande bedömning. I dagsläget behandlas elevernas personuppgifter inom de berörda skolformerna med stöd av samtycke från eleven eller vårdnadshavarna. Det kan dock diskuteras hur frivilligt ett sådant samtycke kan anses vara och om det i praktiken går att vägra en behandling av personuppgifterna på automatisk väg (jfr skäl 43 till dataskyddsförordningen). Med hänsyn till den digitalisering som skett inom offentlig verksamhet är det i dagsläget nödvändigt att kunna behandla elevernas personuppgifter automatiserat, t.ex. i ett elevregister, och i löpande text inom den faktiska verksamheten, dvs. undervisningen. Utredningens bedömning är att samtycke inte är ett lämpligt rättsligt stöd när verksamhetsbehovet av att kunna behandla de känsliga personuppgifterna är så stort och väger tungt. Utredningen anser för övrigt att det också ligger i elevens intresse att uppgifterna i detta sammanhang kan behandlas automatiskt.
Utredningen föreslår att huvudmännen för särskolor, specialskolor och särskild utbildning för vuxna ska kunna behandla uppgifter om hälsa om det är nödvändigt för ändamålet med behandlingen. Dessutom krävs att behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Anledningen till att det senare kravet föreslås är för att vikt ska läggas vid aspekter som uppgifternas känslighet, den inställning de registrerade kan ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få vid bedömningen om uppgiften bör behandlas eller inte.
Eftersom elevernas personuppgifter redan i dagsläget behandlas automatiserat i särskolor, specialskolor och särskild utbildning för vuxna i t.ex. elevregister och de föreslagna bestämmelserna inte avser att medföra ett stöd för att ytterligare uppgifter ska kunna behandlas
än de som kan behandlas i dagsläget med stöd av samtycke, bedömer utredningen att bestämmelserna innebär att integritetsintrånget för den enskilde varken blir större eller mindre än i dagsläget. Utredningen bedömer att bestämmelsen står i proportion till det eftersträvade syftet.
Det kan även förtydligas att beträffande behandling av andra känsliga personuppgifter än uppgift om hälsa gäller de övriga föreslagna bestämmelserna även för särskolorna och specialskolorna. När det gäller dataskydd, se avsnittet nedan om skyddsåtgärder.
Särskilda bestämmelser för vissa fristående skolor och vissa kommunala gymnasieskolor
Huvudregeln är att fristående skolor ska vara öppna för alla elever. En huvudman för fristående förskoleklass, grundskola, grundsärskola och gymnasieskola får dock begränsa sitt mottagande till att avse elever som är i behov av särskilt stöd (9 kap. 17 §, 10 kap. 35 § 2, 11 kap. 34 § 2 och 15 kap. 33 § 1 skollagen). Skolorna med begränsat mottagande riktar sig ofta till elever med neuropsykiatriska funktionsnedsättningar som ADHD och AST. Många skolor skriver samtidigt att de även riktar sig till elever med annan problematik, bl.a. elever med social problematik eller elever med tidigare skolmisslyckanden (Skolverket, Rapport nr 409, 2014, Fristående skolor för elever i behov av särskilt stöd – en kartläggning, s. 8).
Utredningens bedömning är att en uppgift om att en elev går i en fristående skola som begränsat sitt mottagande till elever som är i behov av särskilt stöd vanligen är en känslig personuppgift på samma sätt som en uppgift om att en elev går i t.ex. en grundsärskola. Anledningen till detta är att skolorna endast mottar elever som är i behov av det slag av särskilt stöd som huvudmannen bestämt och enbart uppgiften om att eleven går vid den skolan innebär därför att man får reda på en uppgift om elevens hälsa.
Enligt utredningens bedömning gör sig samma motiv till att införa en bestämmelse som möjliggör behandling av uppgift om hälsa gällande i dessa verksamheter som för t.ex. grundsärskolan. Utredningen föreslår därför att uppgifter om hälsa ska få behandlas om det är nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Beträffande integritetsintrånget gör utredningen samma bedömning som
den gjort för t.ex. grundsärskolan. Angående skyddsåtgärder, se nedan om sökbegränsningar. En grundsärskola som begränsat sitt mottagande till elever som är i behov av särskilt stöd kan tillämpa bestämmelsen som gäller för grundsärskolan.
Rh-anpassad gymnasieutbildning anordnas för ungdomar med svårt rörelsehinder (15 kap. 9 § första stycket skollagen). Enligt 11 kap. 1 § gymnasieförordningen ska den Rh-anpassade utbildningen så långt det är möjligt integreras med motsvarande utbildning i gymnasieskolan. Enligt 1 § förordningen (1986:578) om utbildning för döva och gravt hörselskadade i Örebro kommuns gymnasieskola får Örebro kommun i sin gymnasieskola anordna utbildning för döva och gravt hörselskadade från hela landet. Utbildningen ska vända sig även till dem som på grund av språkstörning behöver insatser av samma slag som döva och gravt hörselskadade.
I de klasser som kommunala gymnasieskolor som anordnar Rhanpassad gymnasieutbildning eller utbildning för döva och gravt hörselskadade där endast elever som har funktionsnedsättningar går blir uppgiften om att eleven går en sådan utbildning även en uppgift om elevens hälsa. Detta eftersom det i dessa klasser endast går elever med funktionsnedsättningar.
Utredningen gör bedömningen att samma motiv gör sig gällande till att införa en bestämmelse som möjliggör behandling av uppgift om hälsa i dessa verksamheter som för t.ex. gymnasiesärskolan och fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd. Utredningen föreslår därför att uppgifter om hälsa ska få behandlas i denna verksamhet om det är nödvändigt för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Beträffande integritetsintrånget gör utredningen samma bedömning som den gjort för t.ex. gymnasiesärskolan. Angående skyddsåtgärder, se nedan om sökbegränsningar.
Särskilda bestämmelser för sameskolan
Som tidigare nämnts är behandling av alla personuppgifter om en elev i sameskolan en behandling av känsliga personuppgifter. Genom att sameskolan vänder sig till barn till samer och främst är öppen för barn till samer blir uppgiften om att en elev går i sameskolan en
känslig personuppgift, eftersom man genom skolformens namn typiskt sett kan utläsa elevernas etniska ursprung.
Det innebär att Sameskolstyrelsen, som är huvudman för samtliga sameskolor, måste tillämpa de särskilda bestämmelserna som gäller för behandling av känsliga personuppgifter på all personuppgiftsbehandling, dvs. även för elevadministration såsom kontaktuppgifter, elevregister, närvarorapportering, klasslistor och ämnesval. Det är uppgifter som vanligen är harmlösa uppgifter. Även behandling av personuppgifter i samband med t.ex. dokumentation inför och skrivandet av utvecklingsplaner omfattas av de särskilda bestämmelser som rör behandling av känsliga personuppgifter.
I dagsläget är det rättsliga stödet för att behandla känsliga personuppgifter i detta sammanhang samtycke. Utredningen gör, som även tidigare nämnts, bedömningen att samtycke inte är ett lämpligt rättsligt stöd för behandlingen av känsliga personuppgifter i detta hänseende eftersom lagstiftaren ålägger huvudmännen skyldigheter gentemot eleven och att det för att kunna uppfylla dessa åligganden finns ett berättigat behov av att kunna behandla relevanta personuppgifter om eleven.
De föreslagna bestämmelserna som möjliggör nödvändig behandling av känsliga personuppgifter i löpande text i ärenden och behandling som krävs på grund av lag kommer inte att kunna tillämpas på den behandling av elevernas personuppgifter som sker i bl.a. den elevadministrativa verksamheten. Inte heller är den föreslagna bestämmelsen som möjliggör behandling av känsliga personuppgifter i enstaka fall om det är absolut nödvändig för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades integritet tillämplig, eftersom bestämmelsen inte är avsedd att tillämpas på upprepad, omfattande, strukturell eller storskalig behandling. Personuppgiftsbehandlingen inom elevadministrationen sker inte i enstaka fall och är upprepad och strukturell.
Utredningen bedömer att personuppgiftsbehandling för att föra t.ex. elevregister, kontrollera närvaro och upprätta utvecklingsplaner är nödvändig för att sameskolan ska kunna bedriva sin verksamhet. De personuppgifter som i det sammanhanget behöver behandlas är t.ex. namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa. Enligt utredningens bedömning är dessa uppgifter normalt sett harmlösa och anledningen till att de bedöms som känsliga är att de förekommer i verksamheten. Utredningen bedömer att
det i sameskolan finns ett behov av att kunna behandla elevernas personuppgifter i dessa sammanhang på samma sätt som i andra skolformer, men huvudmannen har fortfarande att behandla dessa uppgifter som känsliga personuppgifter ur dataskydds- och datasäkerhetssynpunkt (artikel 25 och 32 i dataskyddsförordningen). Utredningens uppfattning är att det behövs en särskild bestämmelse som ger rättsligt stöd för Sameskolstyrelsen att behandla känsliga personuppgifter i denna situation.
Utredningen föreslår att uppgifter om etniskt ursprung ska få behandlas i sameskolan om det är nödvändigt för ändamålet med behandlingen. Dessutom krävs att behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Anledningen till att det senare kravet föreslås är att vikt ska läggas vid aspekter som uppgifternas känslighet, den inställning de registrerade kan ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få vid bedömningen om uppgiften bör behandlas eller inte.
Eftersom sameskolan redan i dagsläget behandlar elevernas personuppgifter automatiserat i t.ex. elevregister, och då de föreslagna bestämmelserna inte avser att medföra ett stöd för att ytterligare uppgifter ska kunna behandlas än de som kan behandlas i dagsläget, bedömer utredningen att bestämmelserna innebär att integritetsintrånget för den enskilde varken blir större eller mindre än i dagsläget. Utredningen bedömer vidare att bestämmelsen står i proportion till det eftersträvade syftet.
Det kan även förtydligas att för behandling av andra känsliga personuppgifter än uppgift om etniskt ursprung gäller de övriga föreslagna bestämmelserna även för sameskolorna. När det gäller skyddsåtgärder, se avsnittet nedan.
Hemkommunens ansvar och skyldigheter enligt skollagen
Skollagen ålägger kommunerna särskilda uppgifter såsom hemkommuner, t.ex. att pröva mottagande i grundsärskola (7 kap. 5 § skollagen), att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning (7 kap. 21 § skollagen) och att ombesörja skolskjuts (t.ex. 10 kap. 32 § skollagen). I dessa sammanhang kan det finnas ett behov för hemkommunen att behandla känsliga personuppgifter.
Beträffande exemplet skolskjuts är utredningens bedömning följande. I detta fall är uppgiften av allmänt intresse – att ombesörja skolskjuts för elever i grundskola som uppfyller vissa förutsättningar – fastställd genom bestämmelsen i 10 kap. 32 § skollagen. Hemkommunen kan således tillämpa artikel 6.1 e i dataskyddsförordningen som stöd för nödvändig personuppgiftsbehandling för att utföra denna uppgift av allmänt intresse.
En anledning till att en elev har behov av skolskjuts kan vara att eleven har en funktionsnedsättning. För prövningen av en elevs rätt till skolskjuts kan kommunen komma att få in handlingar som innehåller uppgifter om elevens hälsa. Kommunen kan även i sitt beslut behöva nedteckna uppgifter som rör elevens hälsa. Uppgifter om hälsa är känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. Utredningen föreslår en bestämmelse som – motsvarande 3 kap. 3 § 1 och 2 dataskyddslagen – möjliggör behandling av känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende samt om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag.
Hemkommunens ansvar för att skolplikten fullgörs
Enligt 7 kap. 21 § skollagen ska hemkommunen se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning.
Vad utredningen erfar kan det krävas att kommuner med anledning av detta åliggande för ett fullständigt elevregister med uppgifter om personnummer, namn, adress och vårdnadshavare samt vid vilken skola eleven är inskriven i för att kommunen ska kunna fullgöra sitt ansvar. Registret bör omfatta samtliga elever som bor inom den egna kommunen och skolor oavsett huvudman, dvs. även t.ex. grundsärskolor och specialskolor.
Att en elev går i en skola som är t.ex. en grundsärskola eller specialskola är en uppgift om hälsa, dvs. en känslig personuppgift. På samma sätt är uppgiften att en elev går i en sameskola en uppgift om etniskt ursprung och således en känslig personuppgift.
I dagsläget behandlas personuppgifterna i sådana elevregister med stöd av bestämmelserna i personuppgiftslagen.
För att en hemkommun ska kunna fullgöra sitt ansvar och se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning måste personuppgifter samlas in och bearbetas. För att behandlingen ska vara tillåten när dataskyddsförordningen ska börja tillämpas måste kommunen kunna stödja den på en rättslig grund enligt artikel 6.1 i dataskyddsförordningen.
Utredningen bedömer att en kommuns uppdrag och åligganden enligt skollagen med anslutande föreskrifter är uppgifter av allmänt intresse. Dessa uppdrag och åligganden är fastställda i svensk rätt genom just dessa föreskrifter. De åtgärder som kommunerna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen (jfr Dataskyddsutredningen SOU 2017:39, avsnitt 8.3.4).
Kommunernas ansvar enligt 7 kap. 21 § skollagen är enligt utredningens bedömning att betrakta som en uppgift av allmänt intresse i dataskyddsförordningens mening. Uppgiften av allmänt intresse är genom 7 kap. 21 § skollagen också fastställd i svensk rätt. Bestämmelsen är tydlig, precis och förutsägbar (jfr skäl 41 till dataskyddsförordningen). En hemkommun kan enligt utredningens bedömning stödja nödvändig behandling på den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen.
Rättslig grund är dock inte ensam tillräcklig för att personuppgiftsbehandlingen ska vara tillåten. Dessutom måste övriga bestämmelser i dataskyddsförordningen vara uppfyllda, t.ex. bestämmelserna om principer för behandling av personuppgifter enligt artikel 5. För att få behandla känsliga personuppgifter krävs dessutom att något av kriterierna i artikel 9.2 i dataskyddsförordningen är uppfyllt. Av artikel 9.2 g framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Dataskyddsutredningen har beträffande myndigheters behandling utgått från att det utgör ett viktigt allmänt intresse att svenska
myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt (SOU 2017:39, avsnitt 10.6.2). Enligt utredningens bedömning är det ett viktigt allmänt intresse att hemkommunen fullgör sitt ansvar enligt 7 kap. 21 § skollagen.
Dataskyddsutredningen anser att kravet på stöd i nationell rätt i 9.2 g innebär att undantaget i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering (SOU 2017:39, avsnitt 10.3). De bestämmelser som föreslås möjliggöra behandling av känsliga personuppgifter kommer inte att bli tillämpliga på ett sådant register. Detta eftersom dessa register inte är ärenden och inte heller förs som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om hur inkomna handlingar ska hanteras. Behandlingen av känsliga personuppgifter sker inte i enstaka fall då uppgifter om elever i t.ex. grundsärskolor behandlas regelmässigt.
Enligt utredningens bedömning är det nödvändigt att hemkommunerna kan behandla uppgifter om att en viss elev går i t.ex. grundsärskola för att kommunerna ska kunna fullgöra åliggandet att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning. Om hemkommunen inte kan föra in dessa uppgifter i sådana register kommer de i praktiken inte kunna uppfylla sitt ansvar enligt 7 kap. 21 § skollagen.
Utredningen föreslår därför en bestämmelse som möjliggör för kommunerna i egenskap av hemkommuner att behandla känsliga personuppgifter som är nödvändiga för att fullgöra sina skyldigheter enligt 7 kap. 21 § skollagen.
För att minska risken för integritetsintrång bör de känsliga personuppgifter som får behandlas begränsas till personnummer, namn, adress och vårdnadshavare, dvs. uppgifter som i normalfallet är harmlösa uppgifter, men som tillsammans med en uppgift om t.ex. särskola blir en känslig personuppgift. Enligt utredningens bedömning är detta en lämplig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen. Hemkommunen har även att beakta t.ex. artikel 32 i dataskyddsförordningen om säkerhet för personuppgifter vid behandlingen av personuppgifterna.
Eftersom kommunerna redan i dagsläget behandlar dessa uppgifter i sina elevregister bedömer utredningen att den föreslagna bestämmelsen varken medför ett ökat eller minskat integritetsintrång.
Mottagande i särskola
Enligt 7 kap. 5 § andra stycket skollagen ska barnets hemkommun pröva frågan om mottagande i grundsärskolan. Ett beslut om mottagande i grundsärskolan ska föregås av en utredning som omfattar en pedagogisk, psykologisk, medicinsk och social bedömning.
Av 18 kap. 5 § skollagen framgår att hemkommunen prövar frågan om en sökande tillhör målgruppen för gymnasiesärskolan. Utredningens bedömning är att hemkommunerna när de handlägger dessa ärenden utför en uppgift av allmänt intresse och att uppgiften av allmänt intresse är fastställd genom ovan nämnda bestämmelser i skollagen. Bestämmelserna är tydliga, precisa och förutsägbara. Artikel 6.1 e i dataskyddsförordningen är således tillämplig som rättslig grund för nödvändig personuppgiftsbehandling.
Vid handläggningen av dessa ärenden kommer hemkommunerna att behöva behandla uppgifter om elevernas hälsa, dvs. känsliga personuppgifter. Som ovan nämnts föreslås bestämmelser som möjliggör för kommunen såsom hemkommun att behandla känsliga personuppgifter i bl.a. löpande text om uppgifterna är nödvändiga för handläggningen av ett ärende. Enligt vad utredningen erfar kan det krävas att uppgifter om ärenden om bl.a. mottagande i grundsärskolan läggs in i kommunernas ärendehanteringssystem. I ärendet läggs även uppgiften om vilken elev det rör in. Uppgiften om att en elev är föremål för frågan om mottagande i grundsärskolan eller tillhör målgruppen för gymnasiesärskolan är en uppgift om elevens hälsa. Enligt utredningens bedömning kan den förslagna bestämmelsen om behandling av känsliga personuppgifter i enstaka fall inte bli tillämplig på dessa behandlingar eftersom det inte rör sig om enstaka fall.
Enligt utredningens bedömning är det nödvändigt med hänsyn till ett viktigt allmänt intresse på grundval av nämnda bestämmelser i skollagen att kommunerna kan göra dessa personuppgiftsbehandlingar. Dessa behandlingar är även i elevernas intresse då de är en förutsättning för att kommunerna ska kunna fatta beslut i frågan och sedan ha möjlighet att återfinna sina beslut i ärendehanteringssystemen.
Utredningen föreslår därför en bestämmelse som möjliggör för en hemkommun att med stöd av artikel 9.2 g i dataskyddsförordningen behandla uppgifter om hälsa om det är absolut nödvändigt
för handläggningen av ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket skollagen, eller ett ärende om en sökande tillhör målgruppen för gymnasiesärskolan enligt 18 kap. 5 § skollagen. För att behandlingen ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Kommunerna ska noga överväga vilka uppgifter om hälsa som läggs in i både löpande text och eventuellt direkt i ärendehanteringssystemet och pröva det mot ändamålet med behandlingen. Vidare ställer bestämmelsen upp ett krav på att ytterligare avvägning ska göras i det enskilda fallet. Vid bedömningen av om en behandling utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning de registrerade kan antas ha till att uppgiften behandlas, den spridning uppgiften skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.
För att begränsa risken för integritetsintrång föreslås i förordning att endast vissa sökbegrepp får användas. De sökbegrepp som tillåts är sådana som i andra sammanhang betraktas som harmlösa, t.ex. namn, personnummer, adress, skolenhet och diarienummer. Sökbegränsningen bedöms vara en sådan lämplig och särskild åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs enligt artikel 9.2 g i dataskyddsförordningen. Enligt utredningens bedömning står bestämmelsen i proportion till det eftersträvade syftet.
Tilläggsbelopp till enskilda huvudmän
Till en hemkommuns åliggande hör även att handlägga och besluta om fristående skolors ansökan om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd enligt t.ex. 10 kap. 39 § skollagen. I detta fall är uppgiften av allmänt intresse – att ge bidrag till den enskilde huvudmannen för anordnande av omfattande särskilt stöd till en elev – fastställd genom bestämmelserna i bl.a. 10 kap.37– 39 §§skollagen. Hemkommunen kan således tillämpa artikel 6.1 e i dataskyddsförordningen som stöd för nödvändig personuppgiftsbehandling för att utföra denna uppgift av allmänt intresse. Kommu-
nen kan även vara i behov av att kunna behandla uppgifter om en enskild elevs hälsa för handläggningen av ärendet.
Enligt vad utredningen erfar kan det på samma sätt som i ärenden om mottagande i grundsärskolan krävas att uppgifter om vilken elev som en ansökan om tilläggsbelopp avser läggs in i kommunens ärendehanteringssystem. En sådan uppgift är en känslig personuppgift. Utredningen bedömer att samma skäl gör sig gällande för att en kommun ska få vidta nödvändig personuppgiftsbehandling i dessa fall som avseende ärenden om mottagande i grundsärskolan.
Utredningen föreslår därför en bestämmelse som på samma sätt möjliggör för en hemkommun att med stöd av artikel 9.2 g i dataskyddsförordningen behandla uppgifter om hälsa om det är absolut nödvändigt för handläggningen av ett ärende om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd. För att behandlingen ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Samma slags sökbegränsningar föreslås också.
Skyddsåtgärder – sökförbud
Förslagen till bestämmelser i dataskyddslagen som Dataskyddsutredningen lämnar för att möjliggöra för myndigheter att i vissa fall behandla känsliga personuppgifter har sin grund i artikel 9.2 g i dataskyddsförordningen. För att i den delen leva upp till förordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Dataskyddsutredningen även en skyddsåtgärd i form av en sökbegränsning i 3 kap. 4 § dataskyddslagen. Vid behandling som sker enbart med stöd av 3 § dataskyddslagen får en myndighet inte använda sökbegrepp som avslöjar känsliga personuppgifter.
Dataskyddsutredningen menar att sökningar som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Enligt Dataskyddsutredningen ligger företeelsen nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen anser att med ett sökförbud uppnås
ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna (SOU 2017:39, avsnitt 10.6.2).
Dataskyddsutredningen konstaterar vidare att ett sådant sökförbud i svensk rätt innebär att offentlighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förvarad hos myndigheten.
Dataskyddsutredningen anser att den omständigheten att sammanställningar av känsliga personuppgifter inte kommer att lämnas ut är en inte obetydlig integritetsvinst för de registrerade. Dataskyddsutredningen understryker dock att den s.k. begränsningsregeln inte hindrar att sökningar görs i färdiga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar, dvs. sökning får på begäran ske i upptagningar där myndigheten eller den som lämnat in handlingen till myndigheten har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.
Dataskyddsutredningens förslag till sökförbud i 3 kap. 4 § dataskyddslagen gäller för myndigheter och enligt 1 kap. 5 § även för de organ som jämställs med myndigheter vid tillämpningen av 3 kap. 3 § 2 och 4 §.
Utredningen föreslår att även enskilda huvudmän ska kunna tilllämpa bestämmelser motsvarande 3 kap. 3 § 1 och 3 dataskyddslagen. De skäl som finns för att sökbegränsningar ska gälla för myndigheter – dvs. för offentliga huvudmäns del – gör sig enligt utredningens bedömning även gällande för enskilda huvudmän. En motsvarande bestämmelse som begränsar enskilda huvudmäns anställdas möjligheter till behandling av känsliga personuppgifter bör därför också införas.
Dessa generella sökbegränsningar omfattar även huvudmän för särskolor, specialskolor, sameskolor, särskild utbildning för vuxna, fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling och gymnasieskolan med Rh-anpassad utbildning och utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning.
Utredningens bedömning är att det inte heller inom dessa utbildningsformers verksamhet bör kunna sökas på uppgifter om t.ex. en medicinsk diagnos eller en viss funktionsnedsättning. Den föreslagna
bestämmelsen medför dock att personal i särskolor, specialskolor, sameskolor, särskild utbildning för vuxna och fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling inte kan söka på någon personuppgift alls eftersom alla uppgifter är känsliga personuppgifter, även t.ex. uppgift om namn och personnummer som i andra sammanhang skulle anses som en harmlös uppgift. För att dessa skolformers administration ska fungera behöver i vart fall viss personal kunna söka på vissa personuppgifter, t.ex. namn, personnummer och elevens hemkommun. Om man i den administrativa verksamheten inte kan göra några sökningar kan personalen inte heller få fram i systemen inmatade uppgifter om eleverna, vilket skulle vara helt orimligt. Att administrationen fungerar gagnar även eleverna eftersom syftet normalt är att administrera deras skolgång.
Utredningen föreslår därför en bestämmelse som möjliggör för särskolor, specialskolor, särskild utbildning för vuxna och fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling att göra sökning på uppgift om hälsa. Samma möjlighet föreslås även för huvudmän för gymnasieskolan med Rh-anpassad utbildning och utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning eftersom personal som arbetar med dessa utbildningar har samma behov att kunna behandla uppgifter om eleverna som personal som arbetar med de övriga eleverna i gymnasieskolan. För sameskolor föreslås en motsvarande bestämmelse för uppgift om etniskt ursprung. Detta för att personal inom dessa utbildningsformer ska kunna använda normalt sett harmlösa uppgifter såsom t.ex. namn, personnummer och elevens hemkommun som sökbegrepp. Utredningens förslag avser inte att ge dessa utbildningsformers personal en utökad möjlighet till användning av sökbegreppen hälsa respektive etniskt ursprung jämfört med övriga skolformers utan endast att möjliggöra sökning på samma sätt. Eftersom det rör sig om känsliga personuppgifter bör det vid bestämmande av sökbegrepp särskilt övervägas om det aktuella sökbegreppet är nödvändigt och uppfyller ett specifikt behov i verksamheten. Uppgifter om t.ex. namn och personnummer är i andra sammanhang harmlösa uppgifter och är nödvändiga för att uppgifter om en viss elev ska kunna tas fram och borde därför kunna användas som sökbegrepp även inom dessa skolformer.
Då det endast är den känsliga uppgiften hälsa som möjliggörs att sökas på inom särskolor, specialskolor, särskild utbildning för vuxna, fristående skolor som begränsats till elever som är i behov av särskilt stöd för sin utveckling, gymnasieskolan med Rh-anpassad utbildning och utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning respektive uppgiften om etniskt ursprung som möjliggörs att söka på inom sameskolorna och sökmöjligheter i it-systemen på t.ex. en elevs namn, personnummer eller hemkommun, är nödvändiga för att få en fungerande verksamhet bedömer utredningen att dessa begränsande sökmöjligheter tillgodoser dataskyddsförordningens krav på proportionalitet och skyddsåtgärder.
Undantagen bör dock av integritetsskyddsskäl kunna avgränsas så specifikt som möjligt. Dessa avgränsningar bör dessutom kunna anpassas kontinuerligt, om det med hänsyn till utvecklingen av verksamheten uppstår behov av andra sökbegrepp. Det är därför lämpligt att det i förordning preciseras vilka möjligheter till sökning som ska finnas. Mot denna bakgrund bör det tas in en upplysning om att regeringen kan meddela föreskrifter om begränsningar av möjligheten att använda de aktuella sökbegreppen. I förordningsbestämmelserna kan det t.ex. specificeras vilka sökbegrepp som får användas. Bestämmelserna i förordning som begränsar möjligheterna att använda de aktuella sökbegreppen bör utformas som ovillkorliga bestämmelser så att de får genomslag när allmänheten begär att en sökning ska utföras med stöd av offentlighetsprincipen.
Utredningen föreslår samma slags sökbegränsningar för kommunerna för de situationer som de såsom hemkommuner föreslås särskilt få behandla känsliga personuppgifter.
Bemyndigande som möjliggör ytterligare undantag
I dataskyddslagen införs ett bemyndigande för regeringen att föreskriva om undantag från förbudet i artikel 9.1 i dataskyddsförordningen att behandla känsliga personuppgifter (3 kap. 8 § dataskyddslagen). Eftersom utredningen föreslår en särreglering beträffande behandling av känsliga personuppgifter behöver en motsvarande bestämmelse införas för att möjliggöra för regeringen att meddela ytterligare undantag från förbudet i artikel 9.1 beträffande det viktiga
allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av den lagen.
En förutsättning när nya undantag övervägs med stöd av bemyndigandet är att en noggrann bedömning görs för att säkerställa att dataskyddsförordningens krav i övrigt, bl.a. skyddsåtgärder, är uppfyllda.
Ett nytt 28 a kap. ska införas i skollagen
En ytterligare fråga är vad som är författningstekniskt mest lämpligt att föra in dessa särbestämmelser som ger möjlighet att i vissa situationer behandla känsliga personuppgifter. I 3 kap. 8 § dataskyddslagen ges ett bemyndigande för regeringen att meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter. Det skulle således vara möjligt att reglera enskilda huvudmäns möjligheter att behandla känsliga personuppgifter i en förordning.
Utredningen bedömer dock att det förenklar om samtliga huvudmän som har att tillämpa skollagen i sin utbildningsverksamhet kan tillämpa samma bestämmelser för sin behandling av känsliga personuppgifter och att det därför ska införas enhetliga bestämmelser. Det framstår även som angeläget ur enskildas perspektiv att samma dataskyddsbestämmelser är tillämpliga i skolformer som tillämpar samma verksamhetsreglering. För kommunernas del förenklar det om de för samtliga åligganden enligt skollagen, dvs. både som huvudman respektive hemkommun, har att tillämpa samma bestämmelser.
De bestämmelser som myndigheter har att tillämpa enligt dataskyddslagen är i lagform. Om det inte införs särreglering för deras del ska de tillämpa dataskyddslagen. Utredningens bedömning är därför att det är lämpligt att bestämmelserna som ger huvudmännen enligt skollagen stöd för att behandla känsliga personuppgifter förs in på samma normhierarkiska nivå, i ett nytt 28 a kap. i skollagen. Även kommunerna såsom hemkommuner enligt skollagen och aktörer enligt 24 och 25 kap. ska tillämpa det föreslagna kapitlet vid behandling av känsliga personuppgifter som utförs med stöd av skollagen och anslutande föreskrifter. Kapitlet inleds med en upplysningsbestämmelse som anger de organ enligt skollagen som kan tilllämpa bestämmelserna i det.
Därefter följer en upplysningsbestämmelse som anger att kapitlet utgör en komplettering till dataskyddsförordningen och dess förhållande till dataskyddslagen. Även en bestämmelse som anger att kapitlet inte ska tillämpas på den personuppgiftsbehandling som utförs av dels den verksamhet inom elevhälsan som ska tillämpa patientdatalagens bestämmelser, dels Kriminalvårdens verksamhet enligt 24 kap. 10 § föreslås.
4.8. Personuppgifter som rör lagöverträdelser
4.8.1. Utredningens uppdrag i denna del
Utredningen har inte getts ett uttryckligt uppdrag att analysera om det finns behov av att möjliggöra ändamålsenlig behandling av personuppgifter som rör lagöverträdelser. Eftersom utredningen ska föreslå kompletterande regleringar som ska möjliggöra en ändamålsenlig behandling som samtidigt skyddar den enskildes fri- och rättigheter, ingår det dock i uppdraget att också analysera behovet av reglering i denna del.
4.8.2. Gällande bestämmelser
Enligt 21 § första stycket PUL är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar bl.a. brott och domar i brottmål. Förbudet gäller således inte för förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting, utan endast för enskilda huvudmän. Med stöd av 5 a § PUL kan dock även enskilda huvudmän behandla sådana uppgifter i ostrukturerat material.
Vidare får, enligt 21 § tredje stycket PUL, regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om undantag från förbudet i 21 § första stycket. I 9 § PUF har Datainspektionen bemyndigats att meddela föreskrifter om sådana undantag. Datainspektionen har meddelat sådana föreskrifter genom DIFS 1998:3 (Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.), som ändrats genom DIFS 2010:1. Enligt 1 § b i föreskrifterna får, utan hinder av förbudet i 21 § PUL, sådana
personuppgifter behandlas om behandlingen avser uppgift i anteckningar som förs i fristående skolors elevvårdande verksamhet. Även genom Datainspektionens föreskrifter finns således en möjlighet för enskilda huvudmän för fristående skolor att i sin elevvårdande verksamhet behandla personuppgifter som rör fällande domar i brottmål.
Med fristående skolor avses i 1 kap. 3 § skollagen en skolenhet vid vilken en enskild bedriver utbildning inom skolväsendet i form av förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola eller sådant fritidshem.
4.8.3. Dataskyddsförordningen och dataskyddslagen
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
Dataskyddsutredningen har lämnat förslag till bestämmelser om behandling av personuppgifter som rör lagöverträdelser i 3 kap. 9, 10 och 12 §§ dataskyddslagen.
I 9 § anges att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.
Enligt Dataskyddsutredningen är det av stor vikt att regleringen i artikel 10 i dataskyddsförordningen, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Dataskyddsutredningen anser att ett sådant införlivande behövs när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter om lagöverträdelser (SOU 2017:39, avsnitt 11.4).
Enligt 10 § får den myndighet som regeringen bestämmer i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Enligt 12 § bemyndigas regeringen eller den myndighet som regeringen bestämmer att få meddela föreskrifter om
i vilka fall andra än myndigheter får behandla sådana uppgifter som avses i 9 §.
I 4 och 5 §§ förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslår Dataskyddsutredningen kompletterande bestämmelser avseende behandling av uppgifter som rör lagöverträdelser.
Enligt 4 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel behandlas av andra än myndigheter om
1. behandlingen är nödvändig för att rättsliga anspråk ska kunna fast-
ställas, göras gällande eller försvaras i ett enskilt fall,
2. behandlingen avser enstaka uppgifter och är nödvändig för att till
polisen anmäla misstanke om brott, eller
3. behandlingen avser enstaka uppgifter och är nödvändig för att en
rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Enligt Dataskyddsutredningens förslag till 5 § får Datainspektionen meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel.
4.8.4. Behov av särskild reglering
Förslag: I 28 a kap. skollagen ska det införas en bestämmelse som
möjliggör för elevhälsan i fristående skolor att i löpande text behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel, om det är absolut nödvändigt för ändamålet med behandlingen. Vidare möjliggörs för huvudmännen för fristående skolor samt rektorer och lärare i fristående skolor att i skriftlig dokumentation som åligger dem enligt 5 kap. 24 § skollagen behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel, om det är absolut nödvändigt för ändamålet med behandlingen.
Bedömning: Förskolor, skolor och vuxenutbildningsenheter vars
huvudmän är staten, en kommun eller ett landsting kan med stöd av artikel 10 i dataskyddsförordningen behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Dataskyddslagen föreslås innehålla en upplysningsbestämmelse om att myndigheter får behandla sådana uppgifter. Det finns inget behov av att införa någon ytterligare reglering för dessa huvudmäns eller övriga huvudmäns behandling av personuppgifter som rör lagöverträdelser.
Förbudet i artikel 10 mot behandling av personuppgifter som rör lagöverträdelser och liknande gäller inte för myndigheter. En upplysningsbestämmelse om nämnda förhållande föreslår Dataskyddsutredningen ska finnas i 3 kap. 9 § dataskyddslagen. Även när dataskyddsförordningen ska börja tillämpas kommer således förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting att kunna behandla personuppgifter som rör lagöverträdelser och liknande i de enskilda fall sådan behandling bedöms nödvändig. Någon ytterligare reglering i denna del krävs därmed inte för dessa huvudmäns behandlingar.
Datainspektionen har genom föreskrifter från 1998 möjliggjort för den elevvårdande verksamheten i fristående skolor att i anteckningar behandla uppgifter om bl.a. lagöverträdelser. Med fristående skolor avses i skollagen en skolenhet vid vilken en enskild bedriver utbildning inom skolväsendet i form av förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola eller sådant fritidshem. I dessa skolformer har det således sedan 1998 bedömts finnas ett behov av att i den elevvårdande verksamheten kunna behandla uppgifter om bl.a. lagöverträdelser i anteckningar, dvs. löpande text, eftersom sådan behandling möjliggjorts. I sammanhanget kan även nämnas att sådan behandling sedan 5 a § PUL trädde i kraft även varit möjlig genom att tillämpa den bestämmelsen.
Begreppet elevvårdande verksamhet används inte i skollagen. I stället används begreppet elevhälsa som ska omfatta medicinska, psykologiska, psykosociala och specialpedagogiska insatser.
I 5 kap. skollagen finns bestämmelser om disciplinära och andra särskilda åtgärder. Med sådana åtgärder avses utvisning, kvarsittning, tillfällig omplacering, tillfällig placering vid annan skolenhet, avstängning och omhändertagande av föremål. Rektor eller en lärare
får vidta de omedelbara och tillfälliga åtgärder som är befogade för att tillförsäkra eleverna trygghet och studiero eller för att komma till rätta med en elevs ordningsstörande uppträdande. Huvudmannen får under vissa förutsättningar besluta att helt eller delvis stänga av en elev från gymnasieskolan, gymnasiesärskolan, kommunal vuxenutbildning och särskild utbildning för vuxna (t.ex. 5 kap. 17 § skollagen).
Av 5 kap. 24 § skollagen framgår att om vissa åtgärder vidtagits enligt kapitlet, såsom t.ex. utvisning ur undervisningslokalen, tillfällig omplacering till en annan undervisningsgrupp än den eleven annars hör till, tillfällig placering till en annan skolenhet, avstängning från vissa obligatoriska skolformer och avstängning från de frivilliga skolformerna, ska åtgärden dokumenteras skriftligt av den som genomfört den.
Utredningen erfar att det i vissa fall i samband med att disciplinära eller andra särskilda åtgärder, t.ex. avstängning, behöver vidtas är nödvändigt att behandla en uppgift om bl.a. lagöverträdelser. Ett exempel kan vara i ett ärende rörande avstängning av en narkotikapåverkad elev som dyker upp i skolan och är farlig för sig själv eller andra. I detta sammanhang skulle det om eleven tidigare har dömts för t.ex. ringa narkotikabrott kunna bli aktuellt att även anteckna den uppgiften. Också inom elevhälsan skulle det kunna uppstå situationer där det finns ett berättigat behov av att i löpande text behandla en uppgift om t.ex. lagöverträdelse.
Dessa behov av att behandla uppgifter om lagöverträdelser och liknande gör sig lika gällande hos en skolhuvudman som är en kommun, staten, eller ett landsting som hos en enskild skolhuvudman. I dagsläget finns det möjlighet att i fristående skolor behandla denna uppgift i fristående text med stöd av bestämmelsen i 5 a § PUL, men även nämnda föreskrift av Datainspektionen. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.
Enligt utredningens bedömning är det inte möjligt för huvudmän för samt rektorer och lärare i fristående skolor att behandla personuppgifter om lagöverträdelser i anteckningar med anledning av t.ex. en disciplinåtgärd med stöd av Dataskyddsutredningens förslag i nyss nämnda delar. Samma bedömning görs för elevhälsan inom fristående skolors möjlighet att i löpande text behandla uppgifter om t.ex. lagöverträdelser.
Enligt Dataskyddsutredningens förslag till 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning bemyndigas Datainspektionen att meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. I vilken mån Datainspektionen kommer att använda sig av bemyndigandet och i så fall på vilket sätt är i dagsläget oklart.
Dataskyddsförordningen tillåter således inte att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel behandlas i löpande text i fristående skolor och det saknas förslag till undantag som möjliggör sådan behandling. Frågan är då om utredningen bör föreslå en sådan bestämmelse.
Bestämmelser om bl.a. tillfällig omplacering och avstängning i 5 kap. skollagen tar sikte på bl.a. övriga elevernas trygghet och studiero. Det måste därmed, enligt utredningens bedömning, anses vara lika angeläget att det i fristående skolor är möjligt att behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel i dessa sammanhang som i skolor vars huvudmän är staten, en kommun eller ett landsting. En sådan bestämmelse bör således införas.
En bestämmelse som möjliggör för att i fristående skolor behandla personuppgifter som rör bl.a. fällande domar i brottmål måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som starkt betonar att det är fråga om en restriktiv tillämpning där en noggrann avvägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Enligt utredningens uppfattning kan utformningen av Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen tjäna som riktmärke.
Behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel skulle då kunna tillåtas om det är absolut nödvändigt, vilket innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling.
En ytterligare lämplig skyddsåtgärd kan, enligt utredningens uppfattning, vara att avgränsa tillämpningsområdet för bestämmelsen till att gälla enbart i löpande text.
Genom dessa begränsningar skapas en möjlighet för dels elevhälsan, dels huvudman, rektor respektive lärare när dessa har en skyldighet enligt 5 kap. 24 § skollagen att dokumentera åtgärder som vidtagits enligt det kapitlet att behandla absolut nödvändiga uppgifter om t.ex. fällande domar i brottmål samtidigt som den enskilda elevens integritet skyddas genom att bestämmelsen ska tillämpas restriktivt och behandlingen endast får ske i löpande text.
Utredningens bedömning är att en bestämmelse, med sådana begränsande rekvisit, uppfyller kraven i artikel 10 i dataskyddsförordningen.
Eftersom det redan i dagsläget är tillåtet i fristående skolor att behandla uppgifter om bl.a. fällande domar i brottmål i löpande text med stöd av 5 a § PUL gör utredningen bedömningen att den föreslagna bestämmelsens intrång i de enskildas integritet varken blir större eller mindre än med gällande bestämmelser.
Såvitt utredningen erfar finns det inte behov av att behandla uppgifter om lagöverträdelser i fristående förskolors verksamhet och därför föreslås inte någon sådan bestämmelse. Om ett sådant behov skulle uppkomma finns det genom de föreslagna bestämmelserna i dataskyddslagen möjlighet för regeringen eller Datainspektionen att meddela föreskrifter som möjliggör sådan behandling.
4.9. Behov av ytterligare reglering
Bedömning: Dataskyddsförordningen, dataskyddslagen och ut-
redningens förslag till författningsreglering av huvudmännens och hemkommunernas behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser utgör en ändamålsenlig reglering för de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling och ett välavvägt skydd för barnens respektive elevernas personliga integritet.
Den personuppgiftsbehandling som de skollagsreglerade utbildningsverksamheterna utför och som inte omfattas av utredningens förslag till lagreglering är inte sådan att det krävs ytterligare lagreglering enligt 2 kap. 6 § regeringsformen. Någon ytterligare reglering, utöver förslagen till reglering av huvudmännens behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser och liknande, behövs därmed inte.
När personuppgiftslagen upphävs kommer den personuppgiftsbehandling som utförs av de skollagsreglerade utbildningsverksamheterna att i huvudsak omfattas av dataskyddsförordningens och den föreslagna dataskyddslagens bestämmelser samt de bestämmelser utredningen föreslår för huvudmännens och hemkommunernas behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser och liknande.
Några områden kommer dock inte omfattas av dessa bestämmelser. Den personuppgiftsbehandling som sker inom elevhälsans medicinska insatser kommer även fortsättningsvis omfattas av patientdatalagen med tillhörande föreskrifter. Den personuppgiftsbehandling som SiS vidtar med anledning av utbildningen som genomförs genom dess försorg för ungdomar som dömts till sluten ungdomsvård och placerats vid särskilt ungdomshem kommer att omfattas av den föreslagna brottsdatalagens bestämmelser (SOU 2017:29). Detsamma gäller den personuppgiftsbehandling som Kriminalvården utför med anledning av utbildningen som motsvarar kommunal vuxenutbildning och särskild utbildning för vuxna för intagna i kriminalvårdsanstalt.
Frågan är således om det, utöver nämnda regleringar och förslag, krävs och behövs en ytterligare författning i form av en särskild lag för att ytterligare reglera de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling i andra fall än då det gäller behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser och liknande.
Dataskyddsförordningen möjliggör genom artikel 6.2 och 6.3 andra stycket för medlemsstaterna att införa särskilda registerförfattningar men varken dessa bestämmelser eller förordningen i sig innebär något krav på att det införs sådana författningar.
Enligt utredningens bedömning kan de skollagsreglerade utbildningsverksamheterna som rättslig grund för sin nödvändiga behandling av personuppgifter tillämpa artikel 6.1 a, c eller e i dataskyddsförordningen (se avsnitt 4.6). För enskilda huvudmän är det inte uteslutet att tillämpa artikel 6.1 f som rättslig grund för nödvändig behandling. Som framgår ovan är det utredningens bedömning att det inte behövs någon särskild reglering för att de skollagsreglerade utbildningsverksamheternas huvudmän eller kommunen såsom hemkommun ska kunna tillämpa dessa rättsliga grunder. Enligt ovan är det
även utredningens bedömning att nämnda rättsliga grunder i dataskyddsförordningen är tillräckliga för sådan behandling som är nödvändig för att huvudmännen respektive kommunen såsom hemkommun ska kunna uppfylla de uppgifter och åligganden som framgår av skollagen med tillhörande föreskrifter och beslut grundade i dessa.
För nödvändig och absolut nödvändig behandling av känsliga personuppgifter kan huvudmännen respektive kommunen såsom hemkommun tillämpa de bestämmelser som utredningen föreslår ska införas i ett nytt 28 a kap. i skollagen. Dessa bestämmelser har sin grund i artikel 9.2 g i dataskyddsförordningen och är utformade med dataskyddslagens motsvarande bestämmelser som förebild. Som framgår ovan är det utredningens bedömning att dessa bestämmelser, i förening med möjligheten att i viss utsträckning använda sig av samtycke, är tillräckliga för sådan behandling av känsliga personuppgifter som är nödvändig eller absolut nödvändig i huvudmännens verksamhet enligt bl.a. skollagen.
Det kommer således att finnas rättslig grund som medför att de skollagsreglerade utbildningsverksamheterna även när dataskyddsförordningen ska börja tillämpas den 25 maj 2018 kan utföra nödvändiga behandlingar av personuppgifter. Ur den synvinkeln saknas det anledning att införa en särskild reglering av de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandlingar.
Regeringsformens krav
Frågan är då om skyddet mot betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen innebär att det enligt 2 kap. 20 § regeringsformen krävs en särskild lag för de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling.
Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen trädde i kraft den 1 januari 2011. Genom en särskild övergångsbestämmelse har äldre regleringar, som inte har lagform, dock varit gällande t.o.m. utgången av 2015. Någon särskild lag om skolornas personuppgiftsbehandling har inte införts med anledning av grundlagsändringen.
Utredningen om offentlighet och sekretess i skolan har i betänkandet Sekretess i elevernas intresse – Dokumentation, samverkan och integritet i skolan (SOU 2003:103) utrett bl.a. om det med
anledning av personuppgiftslagen behövs särskilda regler för användningen av datorer i skolan. Utredningen kom fram till att det inte behövdes en särskild författningsreglering om behandling av personuppgifter i skolan.
Någon utredning har inte tillsatts med uppgiften att analysera behovet av en särskild författningsreglering inom den skollagsreglerade utbildningsverksamhetens område med anledning av grundlagsändringen.
Det förefaller därmed som att regeringen och lagstiftaren bedömt att den skollagsreglerade utbildningsverksamhetens behandling av personuppgifter inte är sådan att den kräver särskilt lagstöd enligt 2 kap. 20 § regeringsformen, utan att de möjligheter till behandling av personuppgifter som finns enligt personuppgiftslagen är både tillräckliga och inte för långtgående för integritetsskyddet.
Vidare har det inte framkommit att de skollagsreglerade verksamheternas personuppgiftsbehandlingar sedan den 1 januari 2016 har ändrats eller avses ändras på ett sätt som medför att behovet av att införa en särskild lagreglering har förändrats. Det är inte några ofullkomligheter i lagstiftningen eller ifrågasatta integritetskränkningar som har föranlett utredningsuppdraget, utan enbart den kommande nya EU-regleringen av behandling av personuppgifter, vilken medför att personuppgiftslagen kommer att upphävas.
De skollagsreglerade utbildningsverksamheternas behandling av personuppgifter består huvudsakligen av uppgifter i form av elevens namn, adress och personnummer samt vårdnadshavares namn och kontaktuppgifter. Vidare dokumenteras elevernas tider på förskolorna och fritidshemmen samt deras närvaro på förskolorna respektive fritidshemmen och i skolorna. De personuppgifter som förekommer i dessa sammanhang är normalt harmlösa.
Inom undervisningsverksamheten förekommer det oundvikligen behandling av vissa av elevernas personuppgifter eftersom det ingår i läroplanerna för t.ex. grundskolan att eleverna ska t.ex. lära sig skriva dokument med hjälp av ordbehandlare. Regeringen beslutade så nyligen som den 9 mars 2017 om förtydliganden och förstärkningar i styrdokument – bl.a. i läroplaner för grundskolan och gymnasieskolan – för att tydliggöra skolans uppdrag att stärka elevernas digitala kompetens. I skolans uppdrag kommer att ingå att bidra till att
eleverna utvecklar förståelse för hur digitaliseringen påverkar individen och samhällets utveckling.21 Alla elever ska ges möjlighet att utveckla sin förmåga att använda digital teknik. De ska också ges möjlighet att utveckla ett kritiskt och ansvarsfullt förhållningssätt till digital teknik, för att kunna se möjligheter och förstå risker och för att kunna värdera information. Ändringarna syftar bl.a. till att eleverna ska kunna använda och förstå digitala system och tjänster. Ändringarna ska tillämpas senast från och med den 1 juli 2018, men huvudmännen kommer att kunna välja om de ska börja tillämpa dem tidigare med början från och med den 1 juli 2017.
Även i de fall skoluppgifter görs i skolans datorer till vilka eleven har egen inloggning eller redovisningar lämnas in till en lärare per epost eller via en lärplattform behandlas elevens personuppgifter. I vart fall elevernas namn behandlas i utvecklingsplaner och elevernas namn och personnummer i betygsdokumenten. I utvecklingsplaner sker en bedömning av elevens kunskaper jämfört med uppsatta mål. Att en individs förmåga och prestation dokumenteras är integritetskänsligt, men att göra dessa bedömningar ingår som en del av skolornas uppdrag. För att kunna utföra det uppdraget måste dokumentation av elevens resultat och lärarens bedömning av elevens kunskaper ske. Dokumentationen kan föras manuellt på papper eller automatiserat. Om dokumentationen sker manuellt i pappersform ankommer det på läraren att se till att dokumenten inte sprids till obehöriga eftersom en sådan spridning sannolikt skulle uppfattas av den drabbade som en integritetskränkning.
I dagsläget har dock teknikutvecklingen gått så långt och kravet på effektivitet är sådant att dokumentationen av elevens kunskaper främst sker automatiserat. Om dokumentationen av elevernas utveckling mot uppsatta mål sker med ett dataskydd i enlighet med dataskyddsförordningens krav, med t.ex. behörighetsbegränsningar till dokumenten och ett dataskydd som säkerställer att uppgifterna skyddas mot att obehöriga får del av dem, blir inte den automatiserade behandlingen mer integritetskänslig än den manuella.
Utredningen anser vidare att sedvanlig och återkommande uppföljning och bedömning av elevers resultat inte heller typiskt sett kan anses särskilt integritetsskadlig. I den mån sådana åtgärder inbegriper
21 www.regeringen.se/pressmeddelanden/2017/03/starkt-digital-kompetens-i-laroplaner-och-kursplaner/ och ändringsföreskrifterna SKOLFS 2017:10–18.
en bedömning av elevens hälsotillstånd eller liknande bör dock normalt integritetsintrånget bli större. För sådana fall har dock utredningen föreslagit bestämmelser i lag som tillsammans med dataskyddsförordningen uttömmande reglerar möjligheten att behandla sådana uppgifter.
Enligt utredningens uppfattning är det alltså inte behandlingen av personuppgifter i nu aktuella fall, dvs. behandling som inte innefattar känsliga personuppgifter, som orsakar integritetsintrånget utan verksamheten som sådan i form av bedömningar och omdömen som gör det. Den verksamheten är noggrant reglerad i skollagen och anslutande författningar och lagstiftaren har därigenom gjort en avvägning mellan intresset av elevernas integritetsskydd och behovet av att dokumentera elevernas kunskaper för att kunna bedriva adekvat utbildning.
I den skollagsreglerade utbildningsverksamheten kan behandling av känsliga personuppgifter förekomma i t.ex. åtgärdsplaner. Såvitt framkommit förekommer behandlingarna av känsliga personuppgifter i löpande text och inte strukturerat i register. Dessa behandlingar har i dagsläget stöd i personuppgiftslagen och personuppgiftsförordningen och kommer, när dataskyddsförordningen ska börja tillämpas, att ha stöd i den reglering som utredningen föreslår. Denna reglering omfattas av skyddsåtgärder som ska säkerställa den registrerades rättigheter. Regleringen, om förslaget införs, kommer i så fall dessutom att vara i lagform.
Inom elevhälsans medicinska insatser förekommer behandlingar av känsliga personuppgifter men dessa behandlas och kommer att behandlas med stöd av bestämmelserna i patientdatalagen och anslutande föreskrifter.
Det kan vidare konstateras att de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling omfattar personuppgiftssamlingar som är begränsade till de barn och elever som mottagits eller placerats i den personuppgiftsansvariges verksamhet. Sannolikt omfattar de största uppgiftssamlingarna personuppgifter rörande barn eller elever i större kommuner då det är den kommunala nämnden som har personuppgiftsansvaret för den personuppgiftsbehandling som sker vid dess skolor. Personuppgiftssamlingarna blir därför inte så omfattande som t.ex. vissa statliga förvaltningsmyndigheters nationella personuppgiftssamlingar är.
Den personuppgiftsansvarige ska dessutom enligt artikel 5 i dataskyddsförordningen se till att personuppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Vidare får personuppgifterna inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering). Dessa bestämmelser begränsar den personuppgiftsansvariges möjligheter att behandla fler personuppgifter än nödvändigt för längre tid än nödvändigt.
Sammantaget bedömer utredningen att de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling, i de delar som inte omfattas av någon särskild författning eller förslag till reglering, inte är sådan att den utgör ett betydande intrång i regeringsformens mening. Utredningen fäster särskilt avseende vid att det inte är fråga om omfattande sammanställningar av personuppgifter eller att det rör särskilt integritetskänsliga uppgifter.
Finns det andra skäl att införa en särskild lag?
I bedömningen av behovet, av andra skäl än kraven i regeringsformen, av särskild lagreglering av den skollagsreglerade utbildningsverksamhetens personuppgiftsbehandlingar bör följande beaktas.
Av skäl 38 till dataskyddsförordningen framgår att barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.
På flera ställen i dataskyddsförordningen betonas att barns personuppgifter anses särskilt skyddsvärda, både i artiklar och i skälen till förordningen. I artikel 8 i dataskyddsförordningen anges särskilda villkor som gäller barns samtycke avseende informationssamhällets
tjänster. Bestämmelsen gäller erbjudande av informationssamhällets tjänster direkt till ett barn.
Dataskyddsförordningen innehåller inte några särskilda bestämmelser rörande säkerhetsåtgärder för behandlingar av barns personuppgifter utan de allmänna bestämmelserna har ansetts ge även barns personuppgifter ett tillräckligt starkt integritetsskydd. Artikel 29gruppen har ansett att bestämmelserna i dataskyddsdirektivet i de flesta fall på ett ändamålsenligt vis säkerställer skyddet för uppgifter om barn.22 Det kan anmärkas att dataskyddsdirektivet inte innehåller några särskilda bestämmelser för barns personuppgifter utan samma skydd gäller för dem som för vuxnas. Dataskyddsförordningen föreskriver inte heller att det ska införas en särskild nationell lagstiftning för att behandlingen av barns personuppgifter ska vara tillåten.
Enligt artikel 5.2 är det den personuppgiftsansvarige som ansvarar för och ska kunna visa att artikel 5.1 efterlevs. I 5.1 a anges att uppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
Vad som är en laglig behandling regleras i artikel 6. Om inte samtycke tillämpas, krävs att behandlingen är nödvändig för de grunder i artikel 6.1 b–f som kan tillämpas på den avsedda behandlingen. Genom nödvändighetsrekvisitet tvingas den personuppgiftsansvarige därmed till ett ställningstagande till om den avsedda behandlingen verkligen behövs för att t.ex. utföra en uppgift av allmänt intresse.
För de rättsliga grunderna rättslig förpliktelse (6.1 c), uppgift av allmänt intresse och myndighetsutövning (6.1 e) finns ytterligare förutsättningar som enligt artikel 6.3 måste vara uppfyllda för att de ska kunna tillämpas. Dessa grunder ska vara fastställda i unionsrätten eller i den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Vidare ska syftet med behandlingen, i fråga om rättslig förpliktelse, fastställas i den rättsliga grunden eller, i fråga om uppgift av allmänt intresse eller myndighetsutövning, vara nödvändigt. Nämnda bestämmelser, i förening med ansvaret enligt artikel 5.2, innebär därmed att det åligger den personuppgiftsansvarige att göra en mycket noggrann prövning av om den avsedda behandlingen verkligen är nödvändig och om det finns en i svensk rätt fastställd rättslig grund som kan tillämpas på behandlingen.
22 Yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor), s. 19.
Ytterligare skydd för den enskildes integritet och rättigheter finns i bl.a. artikel 9 där behandling av känsliga personuppgifter regleras. Enligt bestämmelserna måste behandlingen i de flesta fall vara nödvändig för att ett undantag från förbudet i artikel 9.1 att behandla känsliga personuppgifter ska vara tillämpligt. För att en del undantag från förbudet ska vara tillämpliga krävs dessutom nationell lagstiftning, vars reglering ska omfatta lämpliga skyddsåtgärder med hänsyn till den enskildes rättigheter och friheter. I de fall sådana möjligheter till undantag från förbudet ska införas eller behållas måste regleringen således omfatta sådana skyddsåtgärder.
Känsliga personuppgifter har därmed, enligt utredningens bedömning, ett starkt skydd genom dataskyddsförordningens bestämmelser, eftersom inte enbart den personuppgiftsansvarige utan, i förekommande fall, även regeringen eller lagstiftaren tvingas till noggranna bedömningar i vilka situationer och för vilka ändamål känsliga personuppgifter ska få behandlas. I utredningens förslag till reglering avseende den skollagsreglerade utbildningsverksamhetens behandling av känsliga personuppgifter finns också förslag till lämpliga skyddsåtgärder.
I artikel 5 i dataskyddsförordningen finns ytterligare ett flertal bestämmelser som innebär ett starkt skydd för den enskildes integritet och rättigheter. Enligt artikel 5.1 b ska uppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. I artikel 5.1 c ges uttryck för en princip om uppgiftsminimering. Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt artikel 5.1 d ska uppgifterna vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 5.1 e får uppgifterna inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Slutligen ska uppgifterna enligt artikel 5.1 f behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna, vilket inbegriper skydd mot bl.a. obehörig eller otillåten behandling.
Som nämnts ovan är det den personuppgiftsansvarige som enligt artikel 5.2 ansvarar för och ska kunna visa att samtliga förutsätt-
ningar för att en behandling ska vara tillåten är uppfyllda. Denne har således en långtgående skyldighet att se till att inga uppgifter behandlas i onödan eller på ett felaktigt eller olagligt sätt. I sammanhanget kan artikel 30 nämnas. Enligt dessa bestämmelser ska varje personuppgiftsansvarig föra ett register över behandling som utförs under dennes ansvar. Registret ska innehålla uppgifter om bl.a. namn och kontaktuppgifter för den personuppgiftsansvarige, ändamålen med behandlingen, en beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, de kategorier av mottagare till vilka uppgifterna lämnas ut, förutsedda tidsfrister för radering samt en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.
I artikel 32 regleras vidare vilka tekniska och organisatoriska säkerhetsåtgärder som den personuppgiftsansvarige ska vidta för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna för fysiska personers rättigheter och friheter. Bl.a. kan artikel 32.2 nämnas, enligt vilken särskild hänsyn ska tas till de risker som behandling medför, i synnerhet till bl.a. obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Enligt artikel 32.4 ska den personuppgiftsansvarige och personuppgiftsbiträdet vidare vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under deras överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige. De uppgifter och åligganden som åvilar den personuppgiftsansvarige i dessa delar syftar därmed också till att skydda den enskildes integritet.
I kapitel 3 i dataskyddsförordningen finns vidare ett flertal bestämmelser om den registrerades rättigheter. I detta kapitel regleras bl.a. rätten till information, vilken information som ska tillhandahållas, rätten till rättelse, radering och begränsning av behandling samt rätten att göra invändningar. Genom dessa bestämmelser ges således den registrerade insyn i vilka behandlingar som sker samt möjlighet att påverka dessa.
Enligt artikel 23 i dataskyddsförordningen är det möjligt att i nationell rätt införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de rättigheter och skyldigheter som föreskrivs i artiklarna 12–22 (kapitel 3) och 34 under förutsättning att vissa åtgärder vidtas. Av 12 § PUL framgår att en registrerad endast kan motsätta sig behandling om det rättsliga stödet för behandlingen var
den registrerades samtycke och han eller hon återkallat samtycket. Dataskyddsutredningen föreslår inte någon motsvarande bestämmelse i dataskyddslagen som begränsar rätten att göra invändningar. Utredningen har inte heller föreslagit någon sådan bestämmelse i det nya kapitlet i skollagen. Rätten att göra invändningar enligt artikel 21 är en viktig rätt för den enskilde som inte bör begränsas. Dessutom åligger det i alla fall den personuppgiftsansvarige att ansvara för och kunna visa att behandlingen av personuppgifter följer principerna i artikel 5. Rättigheten för den enskilde att göra invändningar bör därför enligt utredningens bedömning sällan skapa några nämnvärda administrativa bördor för den personuppgiftsansvarige när denne ska påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.
Sammanfattningsvis är det utredningens uppfattning att bestämmelserna i dataskyddsförordningen ger ett mycket starkt skydd för den enskildes integritet och rättigheter. En särskild författning som reglerar den skollagsreglerade utbildningsverksamhetens personuppgiftsbehandling skulle enligt utredningens bedömning inte innebära att skyddet för enskildas integritet och rättigheter blev starkare. En sådan reglering skulle dessutom kunna vara kontraproduktiv på så sätt att den skulle kunna komma att begränsa huvudmännens möjligheter att behandla personuppgifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att bedriva utbildning med utnyttjande av tillgängliga tekniska hjälpmedel med ett gott resultat. Sådan indirekt styrning av undervisningen och hur den ska bedrivas bör enligt utredningens uppfattning inte ske genom reglering av personuppgiftshanteringen inom den skollagsreglerade utbildningsverksamheten.
Sammanfattningsvis är utredningen således av uppfattningen att den skollagsreglerade utbildningsverksamhetens personuppgiftsbehandling, som saknar särskild författning eller förslag till sådan reglering, inte är sådan att den utgör ett betydande intrång i den enskildes personliga integritet. Vidare ger dataskyddsförordningen den enskilde ett starkt skydd i detta avseende. Det saknas därmed skäl att föreslå ytterligare reglering för den skollagsreglerade verksamhetens behandling av personuppgifter.
4.10. Uppförandekod för skolväsendet
Förslag: Regeringen ska ge lämplig myndighet i uppdrag att vid-
ta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.
Avsnitt 5 i dataskyddsförordningen innehåller bestämmelser om uppförandekod och certifiering. I artikel 40.1 anges att bl.a. medlemsstaterna ska uppmuntra utarbetandet av uppförandekoder avsedda att bidra till att dataskyddsförordningen genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.
Av artikel 40.2 framgår att sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga får utarbeta uppförandekoder eller ändra eller utöka sådana koder i syfte att specificera tillämpningen av denna förordning. Som exempel på områden anges bl.a. rättvis och öppen behandling, personuppgiftsansvarigas berättigade intressen i särskilda sammanhang, insamling av personuppgifter, information till allmänheten och de registrerade, utövande av registrerades rättigheter och åtgärder och förfaranden som avses i artiklarna 24 och 25 samt åtgärder för att säkerställa säkerhet vid behandling i enlighet med artikel 32.
I artikel 24 regleras den personuppgiftsansvariges ansvar och i artikel 25 finns bestämmelser om inbyggt dataskydd och dataskydd som standard. I artikel 32 finns bestämmelser om säkerhet i samband med behandlingen.
Utredningen har, som framgår av föregående avsnitt, kommit fram till att dataskyddsförordningen, dataskyddslagen och utredningens förslag till reglering av huvudmännens behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser utgör en ändamålsenlig reglering för de skollagsreglerade utbildningsverksamheternas personuppgiftsbehandling och ett välavvägt skydd för barnens respektive elevernas personliga integritet. Vidare anser utredningen att den personuppgiftsbehandling som de skollagsreglerade utbildningsverksamheterna utför och som inte omfattas av utredningens förslag till reglering inte är sådan att det krävs en särskild lagreglering enligt 2 kap. 6 § regeringsformen. Någon ytterligare reglering, utöver förslagen till reglering av huvud-
männens behandling av känsliga personuppgifter och fristående skolors behandling av lagöverträdelser, behövs därmed inte.
Enligt vad utredningen erfar anser många huvudmän att nuvarande regelverk om personuppgiftsbehandling är svårt och det efterfrågas därför någon form av handbok eller handledning i personuppgiftsbehandling inom skolväsendet.
Utredningen anser därför att goda skäl talar för att det ska tas fram en uppförandekod för skolväsendets personuppgiftsbehandling. En uppförandekod skulle på ett pedagogiskt sätt kunna anpassas till skolornas befattningshavare, dvs. till dem som i praktiken har att göra bedömningar och val av vilka digitala hjälpmedel som faktiskt används i skolan. En uppförandekod skulle även kunna innehålla goda exempel. Det är de personuppgiftsansvariga, dvs. skolhuvudmännen, som tillsammans ska utarbeta koden (artikel 40.2). De kan därigenom påverka innehållet i uppförandekoden och på det sättet göra den ännu mer relevant för verksamheterna.
En uppförandekod skulle lämpligen innehålla bl.a. – en rekommendation om hur huvudmännen ska förfara vid be-
dömning och bestämmande av vilka digitala tjänster som ska användas i undervisningen eller i annan kommunikation med elever och vårdnadshavare med angivande av goda exempel, – en rekommendation för inbyggt dataskydd och dataskydd som
standard (se artikel 25 i dataskyddsförordningen) med angivande av goda exempel, – en rekommendation om i vilka situationer som behandlingen
kan bygga på samtycke från elev eller vårdnadshavare, och – en rekommendation om hur och när uppgifter bör gallras.
Utredningen är av uppfattningen att regeringen bör verka för att en uppförandekod för skolväsendet kommer till stånd. Utredningens förslag är att regeringen ger lämplig myndighet i uppdrag att initiera och stödja utarbetandet av en uppförandekod för skolväsendet.
5. Universitets- och högskolesektorn
5.1. Allmänt
Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna trygga rätten till bl.a. utbildning och enligt 2 kap. 18 § första stycket ska det allmänna svara för att högre utbildning finns. Av 1 kap. 2 § högskolelagen (1992:1434) följer att staten som huvudman ska anordna universitet och högskolor för utbildning som vilar på vetenskaplig eller konstnärlig grund samt på beprövad erfarenhet. Statliga universitet och högskolor ska också bedriva forskning och konstnärlig forskning. Skillnaden mellan universitet och högskolor är att det endast är universitet som har generellt tillstånd att utfärda examina på forskarnivå medan högskolor måste ansöka om tillstånd för specifika områden. Med högskolor avses i fortsättningen dock både universitet och högskolor.
Av 1 kap. 2 § högskolelagen framgår vidare att det i de statliga högskolornas uppgifter också ingår att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta.
I högskolelagen finns även bestämmelser om bl.a. de statliga högskolornas organisation, professorer och andra lärare samt studenterna. Högskolelagen kompletteras av bl.a. högskoleförordningen (1993:100) som innehåller bestämmelser om bl.a. anställning av lärare och doktorander, tillträde till utbildningarna, betyg och disciplinära åtgärder. Högskoleförordningen gäller i vissa delar även för Sveriges lantbruksuniversitet och Försvarshögskolan som annars har att tillämpa förordningen (1993:221) för Sveriges lantbruksuniversitet och förordningen (2007:1164) för Försvarshögskolan. En annan viktig författning inom området är förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor. Då stat-
liga högskolor är myndigheter styrs verksamheterna även av regeringens årliga regleringsbrev.
Utöver de statliga universiteten och högskolorna, som enligt bilaga 1 till högskoleförordningen är 14 respektive 17 till antalet, finns det enligt Universitetskanslersämbetet (UKÄ) 17 enskilda utbildningsanordnare med examenstillstånd.1 Dessa drivs av t.ex. stiftelser eller föreningar som av regeringen getts tillstånd att utfärda högskoleexamina enligt den svenska examensordningen. Chalmers tekniska högskola och Handelshögskolan i Stockholm är exempel på sådana enskilda utbildningsanordnare.
Enskilda utbildningsanordnares verksamhet regleras i lagen (1993:792) om tillstånd att utfärda vissa examina. I nämnda lag anges bl.a. att utbildningen ska vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt uppfyller de krav som uppställs på utbildning i 1 kap. högskolelagen. För enskilda utbildningsanordnare kan det dessutom finnas avtal med regeringen där ytterligare krav anges.
UKÄ, som inrättades den 1 januari 2013 och då tog över verksamhet som Högskoleverket tidigare ansvarade för, ska enligt förordningen (2012:810) med instruktion för Universitetskanslersämbetet utöva tillsyn över verksamheterna vid de statliga högskolorna samt de som bedrivs av enskilda utbildningsanordnare.
Genom utvärdering av utbildningar och prövning av frågor om examenstillstånd enligt högskolelagen och lagen om tillstånd att utfärda vissa examina ansvarar UKÄ även för kvalitetssäkring av högskoleutbildningar. UKÄ ska också ansvara för granskning av hur effektivt verksamheterna bedrivs och uppföljning, omvärldsbevakning och analys av frågor inom myndighetens ansvarsområde samt officiell statistik enligt förordningen (2001:100) om den officiella statistiken.
En annan viktig myndighet inom universitets- och högskolesektorn är Universitets- och högskolerådet (UHR), som inrättades den 1 januari 2013 med ansvar för den verksamhet som Högskoleverket, Verket för högskoleservice och Internationella programkontoret tidigare ansvarade för.
1 www.uka.se/fakta-om-hogskolan/universitet-och-hogskolor/var-finns-universiteten-ochhogskolorna-.html
UHR:s verksamhet styrs av förordningen (2012:811) med instruktion för Universitets- och högskolerådet. Av denna framgår att UHR har till uppgift att, på uppdrag av högskolor som omfattas av högskolelagen eller av enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen om tillstånd att utfärda vissa examina, biträda vid antagning av studenter och ansvara för ett samordnat antagningsförfarande samt ge service och råd i fråga om studieadministrativ verksamhet. UHR ansvarar även för bedömning av utländska utbildningar på gymnasial och eftergymnasial nivå. UHR är vidare bl.a. det svenska programkontoret för de EU-program och andra internationella program inom utbildningsområdet som regeringen beslutar i ett enskilt fall. Enligt 7 kap. 20 § högskoleförordningen ansvarar UHR även för högskoleprovet.
5.2. Högskolornas personuppgiftsbehandling
Inom universitets- och högskolesektorn sker en mycket stor mängd personuppgiftsbehandlingar av olika slag. Att här ange samtliga behandlingar som lärosätena ägnar sig åt låter sig inte göras. Utifrån utredningens uppdrag, att det när dataskyddsförordningen ska börja tillämpas ska finnas en reglering som möjliggör en ändamålsenlig behandling inom utbildningsområdet, ges nedan därför en översiktlig beskrivning endast av lärosätenas huvudsakliga behandlingar. Högskolornas behandlingar av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål redogörs för i avsnitt 5.4.2.
Anmälan om studier
Utbildning på högskolor ska ges på grundnivå, avancerad nivå och forskarnivå (1 kap. 7 § högskolelagen). Förutom för de få lärosäten som själva sköter antagningsförfarandet gäller att anmälan till studier ska göras på webbplatsen antagning.se som UHR ansvarar för.
För att kunna anmäla sig krävs att sökanden skapar ett konto där personuppgifter i form av namn, personnummer och kontaktuppgifter behandlas. Personer som inte är medborgare i en stat som omfattas av avtalet om Europeiska ekonomiska samarbetsområdet (EES) eller i Schweiz är dessutom, med vissa undantag, skyldiga att betala en anmälningsavgift om 900 kronor (se 2 § förordningen
[2010:543] om anmälningsavgift och studieavgift vid universitet och högskolor).
För handläggningen vid antagningsförfarandet använder sig UHR av ett system som heter NyA. Även om det är UHR som är ansvarig för NyA används systemet lika mycket av de olika lärosätena, som har direktåtkomst till uppgifterna. Bestämmelser om personuppgiftsbehandlingen i Nya finns i 4 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor.
Från den nationella betygsdatabasen BEDA (se avsnitt 9) hämtar NyA uppgifter om slutbetyg och examensbevis från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå. Vidare hämtar NyA uppgifter om bl.a. akademiska meriter från de olika högskolornas databaser, Ladok (se nedan). Från HP-registret, där resultaten från högskoleprovet finns samlade, förs nämnda resultat över till NyA.
Antagningshandläggare på UHR och lärosätena granskar, registrerar och bedömer de sökandes meriter. I NyA görs också maskinella bedömningar av behörighet. Det är även möjligt att räkna fram ett meritvärde utifrån behörighetsmodeller och meritvärderingsmodeller i systemet.
När samtliga sökande blivit bedömda, antas eller reservplaceras behöriga sökande och obehöriga sökande blir strukna. Antagning, reservplacering och strykning sker i två maskinella urval. Uppgifter om de som antagits och reservplacerats skickas därefter till Ladoksystemen (se nedan) vid aktuella lärosäten. En högskolas beslut om att en sökande inte uppfyller kraven på behörighet för att bli antagen till utbildning är, enligt 12 kap. 2 § 2 högskoleförordningen, överklagbart.
Högskoleprovet
Ett sätt att öka sina chanser att antas till utbildning på grundnivå och avancerad nivå är att skriva högskoleprovet. För genomförandet av högskoleprovet finns det två webbplatser, dels hogskoleprov.nu där provdeltagare anmäler sig och då anger namn, personnummer, adress och telefonnummer, dels hpadmin.uhr.se, som är ett system där handläggare på lärosätena administrerar lokaler, personal och provdeltagare samt skickar placeringsbesked till personalen och kallelser
till provdeltagare. UHR äger och förvaltar webbplatserna men det är lärosätena som är personuppgiftsansvariga. UHR är dock personuppgiftsansvarig för det register där resultaten från högskoleprovet finns samlade, HP-registret.
Studieadministration
För sin studieadministration använder samtliga statliga lärosäten och några av de enskilda utbildningsanordnarna sig bl.a. av det nationella systemet Ladok. Ladok är det enskilt största systemet inom universitets- och högskolesektorn. Systemet ägs av 38 lärosäten och Centrala studiestödsnämnden (CSN) tillsammans genom ett konsortium.2Systemutvecklingen sker gemensamt för alla lärosäten men varje lärosäte som använder systemet ansvarar för sitt eget Ladokregister.
Behandlingen av personuppgifter i studieadministrativt syfte regleras i 2 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt 2 kap. 3 och 5 §§ omfattar behandlingen personuppgifter i form namn, personnummer, behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet, examen och sådana uppgifter som krävs för att uppgifter ska kunna lämnas till Statistiska centralbyrån (SCB) och UHR. Registret får också innehålla de uppgifter om studenter som behövs för resultatredovisning. Av 2 kap. 5 a § framgår att en högskola även får behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204, PUL) i antagningsärenden, om den enskilde har lämnat samtycke till detta. Av 2 kap. 8 § framgår att uppgift om medborgarskap som lärosätena behöver för beslut om skyldighet att betala anmälningsavgift eller studieavgift också får behandlas men att sådan uppgift ska gallras så snart studieregistret har uppdaterats med uppgift om studenten tillhör den personkrets som ska betala anmälningsavgift eller studieavgift.
Ladok används också för utbyte av information mellan högskolor och andra myndigheter. Till CSN rapporteras uppgifter som behövs för beviljande av studiemedel. Som framgått ovan lämnas de
2 www.ladok.se/ladok/om-ladok_och_konsortiet/medlemmar/
uppgifter till UHR som behövs för behörighets- och meritvärdering i samband med ansökan och antagning till högskoleutbildning. SCB får uppgifter som sammanställs till statistik om högskolan på uppdrag av UKÄ. Eftersom Ladok omfattas av offentlighetsprincipen lämnas också uppgifter på begäran flitigt ut till bl.a. media, rekryteringsföretag, föreningar eller andra som vill rikta erbjudanden till nuvarande eller tidigare studenter.
En stor del av de administrativa tjänsterna i form av bl.a. registrering till kurser, anmälan till tentamen, begäran om studieintyg, kursbevis och examensbevis har samlats i webbaserade s.k. studentportaler. Dessa portaler hämtar uppgifterna från Ladok. Även studenterna använder sig därför av Ladok.
En ny version av Ladok håller på att utvecklas, Ladok3, som ska vara klar 2018. Enligt planeringen ska nuvarande Ladok stängas ner under 2018. I Ladok3 kommer en tjänst som delas med antagningssystemet NyA att drivas. Genom tjänsten hämtas uppgifter från Skatteverket och gemensamma data för alla studenter i Sverige är namn, personnummer, adress, kön och uppgift om personen är avliden. Det betyder inte att alla lärosäten har tillgång till alla uppgifter utan endast det som är centralt för alla parter delas.
För administration vid tentamen kan lärosätena använda sig av ett system som heter TentaAdmin, vilket tillhandahålls av UHR. Systemet hämtar sin information från de system som anslutet lärosäte använder för lokaler och tentander. Det kan också användas helt eller delvis manuellt beroende på lärosätets förutsättningar. Systemet används till att boka, placera och informera vakter samt för att placera och informera tentander.
Utbildningen
All utbildning på grundnivå och avancerad nivå ska bedrivas i form av kurser som får sammanföras till utbildningsprogram (6 kap. 13 § högskoleförordningen). Som hjälpmedel i undervisningen används s.k. lärplattformar. Plattformarna är webbaserade och i dessa har samlats sådana specifika moment som krävs för genomförandet av en kurs, t.ex. hämtning av kursmaterial och inlämnande av uppgifter. Genom plattformarna underlättas dessutom kommunikationen mel-
lan lärare och studenter och information kan spridas på ett snabbt och enkelt sätt.
I plattformarna behandlas personuppgifter och liksom studentportalerna hämtas uppgifterna in från det aktuella lärosätets Ladoksystem.
Tillgodoräknande av tidigare utbildning och verksamhet
En student kan under vissa förutsättningar få tillgodoräkna sig tidigare utbildning eller verksamhet (se 6 kap.6–8 §§högskoleförordningen). En högskolas beslut om tillgodoräknande av utbildning eller yrkesverksamhet kan överklagas enligt 12 kap. 2 § 3 högskoleförordningen.
De lärosäten som erbjuder kurser inom Lärarlyftet II kan för validering av tidigare meriter använda sig av ett digitalt ansöknings- och administrationssystem som tillhandahålls av UHR. Efter att UHR anslutit en administratör på ett lärosäte till systemet, Valda, kan denne skapa kurser, lägga till antagna inom en antagningsomgång, ta emot ansökningar om validering och öppna ärenden för handläggning.
När en person ansöker om validering för tillgodoräknande av kurser och lärandemål ska denne ange namn, personnummer och aktuella kontaktuppgifter. Sökanden ska även lämna en utförlig beskrivning av hur denne uppfyller lärandemålen och bifoga de filer som styrker ansökan. Valda stöder sedan den fortsatta hanteringen av ärendet genom hela processen av kartläggning, bedömning och beslutsfattande. Alla avslutade ärenden sparas i ett nationellt arkiv där alla anslutna lärosäten kan få en uppfattning om hur tidigare bedömningar sett ut, vilket bl.a. ska förhindra att samma meriter bedöms på olika sätt.
Bibliotek
Enligt 12 § bibliotekslagen (2013:801) ska det finnas tillgång till högskolebibliotek vid alla universitet och högskolor som omfattas av högskolelagen. Dessa bibliotek ska svara för biblioteksverksamhet inom de områden som anknyter till utbildning och forskning vid högskolan. Ett högskolebibliotek ska avgiftsfritt ställa litteratur ur de egna samlingarna till andra högskolebiblioteks förfogande (2 kap.
16 § högskoleförordningen). För statliga högskolors del finns det således en skyldighet att ha ett bibliotek. I denna verksamhet behandlas också personuppgifter i syfte att hålla reda på utlånade böcker. På högskolorna finns ofta ett särskilt kort som har flera funktioner som är nödvändiga för att bedriva studier på lärosätet. Att fungera som lånekort kan vara en sådan funktion.
Alumner
Hos lärosätena finns databaser där tidigare studenter, s.k. alumner, kan registrera sig. Genom registreringen kan alumner t.ex. komma i kontakt med andra alumner eller högskolan. Genom alumnverksamheten kan även kontakterna med näringslivet öka och förbättras.
Vid registreringen förs personuppgifter i form av namn, personnummer och utbildning över från Ladok. Därutöver kan alumnen lägga till uppgifter om sitt nuvarande arbete m.m. Alumnen kan själv välja i vilken omfattning vissa uppgifter ska synas.
Att registrera sig i en alumndatabas vid ett lärosäte är helt frivilligt och vid registreringen godkänner alumnen att dennes personuppgifter behandlas.
5.3. Rättslig grund för personuppgiftsbehandling
5.3.1. Utredningens uppdrag i denna del
Kommittédirektiven
För att personuppgifter ska få behandlas helt eller delvis automatiskt eller annan behandling ska få ske av personuppgifter som ingår i eller kommer att ingå i ett register krävs att en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 första stycket ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av. Enligt kommittédirektiven behöver det analyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndighe-
ters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.
När det gäller behandling av personuppgifter som utförs av bl.a. myndigheter och enskilda inom utbildningsområdet, förutom forskningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom universitets- och högskolesektorn som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå samt lämna de författningsförslag som behövs.
Utredningens närmare utgångspunkter
Inom universitets- och högskolesektorn finns det en författning som särskilt tar sikte på behandling av personuppgifter, förordningen om redovisning av studier m.m. vid universitet och högskolor (se avsnitt 5.6). Med undantag för den medicinska verksamheten inom studenthälsan, som omfattas av patientdatalagen (2008:355), gäller i övrigt bestämmelserna i personuppgiftslagen. Den 25 maj 2018 kommer personuppgiftslagen att upphävas och dataskyddsförordningen och den av Dataskyddsutredningen föreslagna lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) ska börja tillämpas.
För en personuppgiftsansvarig som bedriver högskoleutbildning innebär detta att denne måste ha stöd för sin behandling i en rättslig grund enligt artikel 6.1 i dataskyddsförordningen, om behandlingen helt eller delvis företas på automatisk väg eller om behandlingen avser personuppgifter som ingår i eller kommer att ingå i ett register. För lärosätena kommer möjliga grunder för behandling av personuppgifter huvudsakligen att vara att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a), att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp-
giftsansvarige (6.1 c) eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (6.1 e).
För enskilda utbildningsanordnare finns möjligheten att använda sig av ytterligare en grund i dataskyddsförordningen, nämligen för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (6.1 f).
Beträffande de rättsliga grunderna i artikel 6.1 c och e i dataskyddsförordningen krävs, enligt artikel 6.3 första stycket, att de är fastställda i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av för att de ska vara tillämpliga. Detta är nytt i jämförelse med personuppgiftslagen. Såsom redogjorts för i avsnitt 3.4.1 är Dataskyddsutredningens uppfattning att det med grunden för behandlingen i artikel 6.3 första stycket avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Enligt Dataskyddsutredningens bedömning innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av att dataskyddsförordningen ska börja tillämpas. Förekomsten av reglering avgör dock i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i artikel 6.1 c och e (SOU 2017:39, avsnitt 8.3.1).
Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Vidare anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
De första frågor som utredningen har att ta ställning till är om det finns en eller flera rättsliga grunder som är tillämpliga för statliga högskolors och enskilda utbildningsanordnares behandling av personuppgifter. Om utredningen kommer fram till att lärosätena fullgör en rättslig förpliktelse eller utför en uppgift av allmänt intresse eller att det i deras verksamhet finns inslag av myndighetsutövning,
måste det även undersökas vilket rättsligt stöd det finns för verksamheterna att utföra dessa uppgifter, dvs. om grunderna är fastställda i svensk rätt. Eftersom utredningen bedömer att uppgift av allmänt intresse är den rättsliga grund som lärosätena oftast kan tillämpa vid behandling av personuppgifter, är det lärosätenas möjligheter att tillämpa den grunden som först kommer att analyseras.
5.3.2. Uppgift av allmänt intresse
Bedömning: Genom bestämmelser i högskolelagen med anslu-
tande föreskrifter och lagen om tillstånd att utfärda vissa examina samt beslut fattade med stöd av dessa bestämmelser är det i svensk rätt fastställt att anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse.
Artikel 6.1 e i dataskyddsförordningen kan därmed utgöra rättslig grund för nödvändig personuppgiftsbehandling för att utöva verksamhet som har sin grund i nämnda föreskrifter när personuppgiftslagen upphävs. Det finns således inget behov av en särskild reglering för att lärosätena ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.
Är anordnande och bedrivande av högskoleutbildning en fastställd uppgift av allmänt intresse?
Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Av första ledet i artikel 6.1 e framgår att en behandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse. Artikel 6.1 e är inte begränsad till offentliga aktörer, utan även privaträttsliga organ kan utföra en uppgift av allmänt intresse.
För att nämnda grund ska kunna tillämpas vid personuppgiftsbehandling krävs dock att uppgiften av allmänt intresse är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket). Dataskyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvän-
dig bl.a. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning. Det är således inte tillräckligt att konstatera att det generellt föreligger en uppgift av allmänt intresse för att den aktuella grunden ska kunna tillämpas som stöd för behandling av personuppgifter. Av skäl 41 framgår vidare att den rättsliga grunden bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.
Vad utredningen har att analysera är följaktligen om det för statliga högskolor och enskilda utbildningsanordnare finns en i svensk rätt fastställd uppgift av allmänt intresse. Utredningen ska i så fall även analysera om den reglering där uppgiften fastställs är tydlig och precis och om dess tillämpning är förutsägbar för de personer som omfattas av den.
Statliga högskolor
Begreppet allmänt intresse är ett unionsrättsligt begrepp som ännu inte har definierats. I artikel 14.1 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Att utbildning och fortbildning är en grundläggande rättighet talar för att i vart fall anordnande och bedrivande av högskoleutbildning, på EU-nivå, bedöms vara en uppgift av allmänt intresse.
Vidare bedömer Dataskyddsutredningen att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse (SOU 2017:39, avsnitt 8.3.4).
Enligt 1 kap. 2 § andra stycket regeringsformen ska det allmänna trygga rätten till utbildning. Av 2 kap. 18 § första stycket framgår att det allmänna ska svara för att högre utbildning finns. Redan av detta kan det utläsas att anordnande och bedrivande av högskoleutbildning enligt svensk rätt är en uppgift av allmänt intresse.
Därtill finns högskolelagen med anslutande författningar som innehåller närmare bestämmelser om högskoleutbildning. I förarbetena till högskolelagen uttalas bl.a. följande (prop. 1992/93:1 s. 9 f.).
Genom högre utbildning och forskning kan de kulturella och humanistiska värden som är en del av det goda samhället förstärkas. Det är också bara genom en avancerad utbildning och forskning som Sverige kan hävda sig i en hårdnande internationell konkurrens. Att både öka antalet högskoleutbildade och att höja kvaliteten inom utbildningen och forskningen blir i detta perspektiv avgörande för Sveriges framtida utveckling.
[…] I ökande utsträckning kommer vi att leva i en internationell miljö där kunskapsmässig kompetens är avgörande för vårt lands välstånd.
Utredningens bedömning är således att anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Frågan härefter blir om denna uppgift är fastställd i svensk rätt.
Vad anordnande och bedrivande av högskoleutbildning innebär för statliga högskolor preciseras i högskolelagen och högskoleförordningen. För Sveriges lantbruksuniversitet och Försvarshögskolan finns ytterligare bestämmelser i deras respektive förordning. Enligt 1 kap. 2 § högskolelagen ska staten som huvudman anordna högskolor för utbildning och forskning. Av lagrummet framgår att det i högskolornas uppgift även ingår att samverka med det omgivande samhället och informera om sin verksamhet samt verka för att forskningsresultat tillkomna vid högskolan kommer till nytta.
Att anordnande och bedrivande av högskoleutbildning är en uppgift av allmänt intresse framgår uttryckligen av högskolelagen. I 1 kap. 10 a § anges att examina ska avläggas på grundnivå, avancerad nivå eller forskarnivå. Enligt 1 kap. 13 § får ett tillstånd att utfärda examina lämnas bara om bl.a. det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. I de fall tillstånd att utfärda examina har lämnats, har det därmed ansetts finnas ett allmänt intresse av sådan utbildning.
I 1 kap. högskolelagen preciseras ytterligare vad uppgiften att anordna och bedriva högskoleutbildning innebär. Av bestämmelserna där framgår bl.a. följande. Utbildningen ska ges på grundnivå, avancerad nivå och forskarnivå. Utbildning på t.ex. grundnivå ska
väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Utbildningen ska utveckla studenternas förmåga att göra självständiga och kritiska bedömningar samt deras förmåga att självständigt urskilja, formulera och lösa problem. Utbildningen ska även utveckla studenternas beredskap att möta förändringar i arbetslivet. Inom det område som utbildningen avser ska studenterna, utöver kunskaper och färdigheter, utveckla förmåga att söka och värdera kunskap på vetenskaplig nivå, följa kunskapsutvecklingen och utbyta kunskaper även med personer utan specialkunskaper inom området.
Ytterligare precisering av vad uppgiften att anordna och bedriva högskoleutbildning innebär framgår av 6 kap. högskoleförordningen. All utbildning på grundnivå och avancerad nivå ska bedrivas i form av kurser. För en kurs ska det finnas en kursplan. I kursplanen ska anges kursens nivå, antal högskolepoäng, mål, krav på särskild behörighet, formerna för bedömning av studenternas prestationer och de övriga föreskrifter som behövs (6 kap. 13–15 §§). I kursplanerna finns således den mest konkreta preciseringen av vad en specifik utbildning innebär i form av bl.a. former för undervisning och bedömning. Vidare får kurser sammanföras till utbildningsprogram. För utbildningsprogrammen ska det finnas en utbildningsplan. I utbildningsplanen ska anges de kurser som programmet omfattar, kraven på särskild behörighet och de övriga föreskrifter som behövs (6 kap. 13, 16 och 17 §§). De angivna bestämmelserna i högskoleförordningen gäller även för Sveriges lantbruksuniversitet och Försvarshögskolan (se 5 kap. 2 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 2 § förordningen för Försvarshögskolan).
Enligt 6 kap. 4 § högskoleförordningen får det inom utbildningen vidare bara avläggas de examina som anges i bilaga 2 till högskoleförordningen (examensordningen). I examensordningen anges det på vilken nivå en viss examen ska avläggas och vilka krav som ska uppfyllas för en viss examen (6 kap. 5 §). I 5 kap. 1 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 1 § förordningen för Försvarshögskolan finns motsvarande bestämmelser.
I examensordningen i bilagan till högskoleförordningen finns således en förteckning över vilka examina som får avläggas på grundnivå, avancerad nivå och forskarnivå. För respektive examen finns också en beskrivning av vilka krav som ska uppfyllas i fråga om t.ex. antal högskolepoäng, kunskaper och färdigheter samt självständiga
arbeten. I examensbeskrivningarna anges vidare att också de preciserade krav som varje högskola själv bestämmer inom ramen för kraven i examensbeskrivningen ska gälla. Motsvarande bestämmelser finns i bilagorna till förordningen för Sveriges lantbruksuniversitet och förordningen för Försvarshögskolan.
På en genomgången kurs ska det vidare sättas ett betyg och en student som har fått en kurs godkänd ska på begäran få ett kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få ett examensbevis av högskolan (6 kap.9, 18 och 20 §§högskoleförordningen). Även dessa bestämmelser gäller för Sveriges lantbruksuniversitet och Försvarshögskolan enligt 5 kap. 2 § respektive 4 kap. 2 § i de förordningar som särskilt reglerar deras verksamhet.
Genom högskolelagen, högskoleförordningen och förordningarna för Sveriges lantbruksuniversitet och Försvarshögskolan finns således tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva högskoleutbildning innebär för statliga högskolor. Utredningens bedömning är därför att det för statliga högskolor finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning. Detta innebär att samtliga åtgärder som högskolorna företar i syfte att bedriva utbildningsverksamhet och som har sin grund i nu nämnda föreskrifter är att anse som utförande av en uppgift av allmänt intresse enligt dataskyddsförordningen. Någon ytterligare reglering behöver följaktligen inte införas för att högskolorna ska kunna tillämpa artikel 6.1 e i dataskyddsförordningen för sådan personuppgiftsbehandling som är nödvändig för att utföra uppgifter eller uppfylla åligganden enligt högskolelagen med anslutande föreskrifter.
Förutom högskolelagen med anslutande föreskrifter kan uppgifter och åligganden för de statliga högskolorna även framgå av andra författningar, t.ex. förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt Dataskyddsutredningen måste uppgiften av allmänt intresse dock inte vara uttryckt i lag eller förordning, utan kan även framgå av beslut, förutsatt att dessa har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4). Som angetts ovan föreslår Dataskyddsutredningen en bestämmelse som förtydligar detta förhållande.
Uppgifter och åligganden kan således även framgå av regleringsbrev till de statliga högskolorna. Som nämnts ovan ska det för en
kurs och ett utbildningsprogram vidare finnas en kursplan respektive en utbildningsplan (6 kap.14 och 16 §§högskoleförordningen). Beslut om fastställande av sådana planer ska fattas av personer med vetenskaplig eller konstnärlig kompetens (2 kap. 5 § högskolelagen och prop. 2009/10:149 s. 35 f.).
Stöd för nödvändig behandling för att utföra uppgiften att anordna och bedriva högskoleutbildning är således inte begränsad till högskolelagen med anslutande föreskrifter, utan kan även finnas i andra författningar och beslut som meddelats i konstitutionell ordning.
Av artikel 5.2 i dataskyddsförordningen följer att det är den personuppgiftsansvarige, dvs. högskolan, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på högskolan att bedöma om behandlingen är nödvändig för att utföra en uppgift som har sin grund i relevanta beslut och författningar, t.ex. för att utfärda kurs- eller examensbevis eller för att genomföra högskoleprovet (6 kap.9 och 20 §§ samt 7 kap. 20 §högskoleförordningen). Om behandlingen saknar koppling till uppgifter, åligganden och verksamhet som har sin grund i för högskolorna relevanta författningar och beslut, kan den inte anses nödvändig för att utföra uppgiften att anordna och bedriva högskoleutbildning. Högskolorna måste då i egenskap av personuppgiftsansvariga avgöra om artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen.
När det gäller statliga högskolor konstaterar dock utredningen, i likhet med Dataskyddsutredningen, att myndigheters verksamhet i allt väsentligt är av allmänt intresse. Den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen kan därför vanligen tillämpas. Högskolors uppdrag och åligganden framgår av författningar och regeringsbeslut antagna i enlighet med grundlagens bestämmelser om normgivningskompetens. De åtgärder som högskolorna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund som har offentliggjorts genom tydliga, precisa och förutsägbara regler. Detta innebär att när högskolorna fullgör sina författningsreglerade uppgifter är frågan vid bedömning av om artikel 6.1 e i dataskyddsförordningen är tillämplig och som den personuppgiftsansvarige måste ta ställning till normalt endast om personuppgiftsbehandlingen är nödvändig för att utföra det
aktuella uppdraget eller åliggandet. Det bör alltså i en sådan situation endast undantagsvis bli aktuellt att ifrågasätta om högskolan utför en lagligen fastställd uppgift av allmänt intresse.
Enskilda utbildningsanordnare
Ovan gör utredningen bedömningen att det genom bestämmelserna i högskolelagen med anslutande föreskrifter finns en för statliga högskolor fastställd uppgift av allmänt intresse i form av att anordna och bedriva högskoleutbildning. Den nämnda regleringen bedöms vara tydlig och precis och dess tillämpning är förutsägbar för de personer som omfattas av den. Frågan är om det för enskilda utbildningsanordnare finns en motsvarande reglering som gör att även de kan tillämpa den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. uppgift av allmänt intresse, för nödvändig personuppgiftsbehandling.
I förarbetena till högskolelagen uttalar regeringen att statligt huvudmannaskap i myndighetsform bara är en av många möjliga verksamhetsformer för universitet och högskolor. Det behövs också alternativ till den statliga verksamheten om mångfald och konstruktiv konkurrens ska befordras (prop. 1992/93:1 s. 24).
Av 1 § lagen om tillstånd att utfärda vissa examina framgår att enskilda utbildningsanordnare kan få tillstånd att utfärda sådana examina som regeringen, enligt vad som anges i högskolelagen, meddelat föreskrifter om. Tillstånd lämnas enligt 6 § av regeringen men endast om utbildningen uppfyller de krav som uppställs i 2 §.
Enligt 2 § första stycket ska utbildningen vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt uppfyller de krav som uppställs på utbildning i 1 kap. högskolelagen. För varje examen som tillståndet avser ska utbildningen också svara mot de särskilda krav som enligt förordningsbestämmelser gäller för denna examen vid de universitet och högskolor som omfattas av högskolelagen.
Även för enskilda utbildningsanordnare finns det således bestämmelser i högskolelagen och högskoleförordningen som preciserar vad anordnande och bedrivande av högskoleutbildning innebär.
Enligt 1 kap. 13 § högskolelagen får ett tillstånd att utfärda examina lämnas bara om utbildningen uppfyller de krav som i detta
kapitel ställs på utbildningen och de särskilda krav som finns i förordning. En ytterligare förutsättning är att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas.
För att en enskild utbildningsanordnare ska beviljas tillstånd att utfärda examina krävs således att kraven på utbildningen som anges i 1 kap. högskolelagen är uppfyllda samt att det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. I de fall tillstånd att utfärda examina har lämnats till en enskild utbildningsanordnare har det därmed ansetts finnas ett allmänt intresse av sådan utbildning.
I 1 kap. högskolelagen, som i tillämpliga delar gäller för enskilda utbildningsanordnare, preciseras ytterligare vad uppgiften att anordna och bedriva högskoleutbildning innebär. Av bestämmelserna där framgår bl.a. följande. Utbildning på t.ex. grundnivå ska väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Utbildningen ska utveckla studenternas förmåga att göra självständiga och kritiska bedömningar samt deras förmåga att självständigt urskilja, formulera och lösa problem. Utbildningen ska även utveckla studenternas beredskap att möta förändringar i arbetslivet. Inom det område som utbildningen avser ska studenterna, utöver kunskaper och färdigheter, utveckla förmåga att söka och värdera kunskap på vetenskaplig nivå, följa kunskapsutvecklingen och utbyta kunskaper även med personer utan specialkunskaper inom området.
Som angetts ovan finns det i 2 § andra stycket lagen om tillstånd att utfärda vissa examina ytterligare ett krav på utbildningen för att tillstånd att utfärda examina ska beviljas. Utbildningen ska svara mot de särskilda krav som enligt förordningsbestämmelser gäller för denna examen vid de universitet och högskolor som omfattas av högskolelagen. De krav som utbildningen ska uppfylla finns i bilaga 2 till högskoleförordningen, examensordningen, där alla statligt reglerade examina beskrivs. En enskild utbildningsanordnare måste därmed utforma sina utbildningar på sådant sätt att studenterna, genom att fullgöra utbildningarna, kan uppfylla de krav som examensordningen föreskriver för att uppnå aktuella examina. I examensordningen anges för de olika examina att också de preciserade krav som varje högskola själv bestämmer inom ramen för kraven i denna examensbeskrivning ska gälla. Genom sistnämnda bestämmelse överlämnas därmed rätten till såväl statliga högskolor som enskilda utbildnings-
anordnare att närmare precisera hur kraven i examensordningen ska uppfyllas.3
I den del som gäller utbildning som bedrivs inom ramen för lämnat tillstånd att utfärda examina har enskilda utbildningsanordnare därmed samma reglering att förhålla sig till som statliga högskolor, dvs. att utbildningen ska vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet, att den ska bedrivas så att den uppfyller de krav som uppställs på utbildning i 1 kap. högskolelagen samt att den ska svara mot de särskilda krav som gäller enligt examensordningen. Därtill överlämnar examensordningen till såväl statliga högskolor som enskilda utbildningsanordnare att närmare precisera kraven på hur undervisningen ska utformas.
Genom lagen om tillstånd att utfärda vissa examina, med dess hänvisningar till bestämmelser i högskolelagen och högskoleförordningen, är det enligt utredningens bedömning följaktligen fastställt att även enskilda utbildningsanordnare utför en uppgift av allmänt intresse när de anordnar och bedriver utbildning inom ramen för det tillstånd som lämnats. Mot bakgrund av att regleringen i aktuella delar är i stort sett densamma som för statliga högskolor, saknas det skäl till annan bedömning än att regleringen är tydlig och precis samt förutsägbar för de personer som omfattas av den. Enskilda utbildningsanordnare kan därmed, inom ramen för det tillstånd som lämnats, tillämpa första ledet i artikel 6.1 e i dataskyddsförordningen för sådan behandling som är nödvändig för att utföra uppgiften att anordna och bedriva högskoleutbildning.
Som angetts i föregående avsnitt anser Dataskyddsutredningen att uppgiften av allmänt intresse inte behöver vara uttryckt i lag eller förordning, utan att den även kan framgå av beslut förutsatt att dessa har medelats med stöd av lag eller annan författning. Detta innebär att även de preciserade krav de enskilda utbildningsanordnarna beslutar fastställer den rättsliga grunden uppgift av allmänt intresse. Utredningen vill dock understryka att detta blir ytterligare preciseringar av grunden men att sådana normalt inte är nödvändiga för att uppgiften av allmänt intresse ska anses vara fastställd i nationell rätt i enlighet med dataskyddsförordningen.
3 Se även s. 15 i dåvarande Högskoleverkets Rapport 2008:37 R, Rättssäkerheten för studenter hos enskilda utbildningsanordnare med examensrätt.
Uppgifter och åligganden kan för enskilda utbildningsanordnares del vidare även framgå av regeringens beslut att bevilja tillstånd att utfärda examina. Som exempel på sistnämnda förhållande kan nämnas 4 § lagen om tillstånd att utfärda vissa examina. Enligt den bestämmelsen får ett sådant tillstånd förenas med villkor om rätt för enskilda att ta del av handlingar hos utbildningsanordnaren. Av 2 kap. 4 § offentlighets- och sekretesslagen (2009:400, OSL) och lagens bilaga framgår att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos bl.a. Chalmers tekniska högskola aktiebolag, som är en enskild utbildningsanordnare. Chalmers ska vid tilllämpningen av offentlighets- och sekretesslagen då jämställas med myndigheter.
Stöd för nödvändig behandling för att utföra uppgiften att anordna och bedriva högskoleutbildning är således inte begränsad till lagen om tillstånd att utfärda vissa examina, med dess hänvisningar till högskolelagen och högskoleförordningen, utan kan finnas även i andra författningar och beslut som meddelats i konstitutionell ordning.
Det kan dock konstateras att regleringen av de statliga högskolornas verksamhet är mer omfattande än den som finns för de enskilda utbildningsanordnarnas verksamhet. För enskilda utbildningsanordnare saknas preciserade bestämmelser om t.ex. antagningsförfarandet, studieadministration, tillgodoräknande av tidigare utbildning och verksamhet, disciplinära åtgärder och avskiljande. Detta utesluter enligt utredningens bedömning inte att artikel 6.1 e i dataskyddsförordningen kan tillämpas även på behandling för sådana uppgifter och ändamål. Enligt Dataskyddsutredningen behöver ändamålet inte framgå av den författning eller det beslut där själva uppgiften fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. För att illustrera detta förhållande har Dataskyddsutredningen ett exempel om bibliotekslagen enligt följande (SOU 2017:39, avsnitt 8.3.4).
Som exempel kan nämnas att det enligt 3 § bibliotekslagen (2013:801) fastställs att kommunerna ansvarar för folkbibliotek. I 9 § bibliotekslagen anges att allmänheten avgiftsfritt ska få låna eller på annat sätt få tillgång till litteratur under en viss tid oavsett publiceringsform. Man skulle förstås kunna tänka sig att biblioteken skulle låna ut böcker, utan att veta vilka låntagarna är. Det förefaller dock föga lämpligt, eftersom det kan antas att böcker då inte skulle lämnas tillbaka. Det bör därför kunna anses nödvändigt, i unionsrättslig mening, för biblioteken att samla in
personuppgifter från dem som lånar böcker, i syfte att föra ett register över låntagare och deras lån. Detta ändamål är därmed nödvändigt för att utföra uppgiften, att bedriva biblioteksverksamhet. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e, på den rättsliga grund som utgörs av bibliotekslagen.
Bibliotekslagen anger inte att folkbiblioteken ska föra ett register över låntagare och deras lån. Dataskyddsutredningen anser ändå att artikel 6.1 e i dataskyddsförordningen är tillämplig på behandlingar med sådant syfte, eftersom det får anses vara nödvändigt för att utföra uppgiften att bedriva biblioteksverksamhet.
I fråga om enskilda utbildningsanordnare saknas bestämmelser om bl.a. tillträde till utbildning, vilket för statliga högskolors del regleras i 7 kap. högskoleförordningen. För att kunna bedriva högskoleutbildning måste av naturliga skäl dock någon form av antagning av studenter ske. På motsvarande sätt som i Dataskyddsutredningens exempel om bibliotekslagen finns det därmed, enligt utredningens uppfattning, en så stark koppling mellan antagning och uppgiften att anordna och bedriva högskoleutbildning att nödvändig personuppgiftsbehandling i samband med antagning måste kunna ske med stöd av artikel 6.1 e.
Enligt utredningens uppfattning är antagning således att betrakta som ett ändamål som är nödvändigt för att utföra uppgiften att anordna och bedriva högskoleutbildning. På motsvarande sätt bör det förhålla sig med t.ex. studieadministration, tillgodoräknande av tidigare utbildning och verksamhet, disciplinära åtgärder och avskiljande.
När det är tveksamt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse i unionsrättslig mening är det, enligt Dataskyddsutredningens bedömning, i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f (se avsnitt 5.3.5) eller att inhämta den registrerades samtycke (SOU 2017:39, avsnitt 8.3.4).
Av artikel 5.2 i dataskyddsförordningen följer att det är den personuppgiftsansvarige, dvs. den enskilde utbildningsanordnaren, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på lärosätet att bedöma om behandlingen är nödvändig för att utföra en uppgift som har sin grund i relevanta beslut och författningar. Om behandlingen saknar koppling till uppgifter och åligganden som har sin grund i för lärosätena relevanta författ-
ningar och beslut, kan den inte anses nödvändig för att utföra uppgiften att anordna och bedriva högskoleutbildning. Lärosätena måste då i egenskap av personuppgiftsansvariga avgöra om artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen, t.ex. artikel 6.1 f.
Ändamålet med behandlingen måste vara nödvändigt
Det bör betonas att rättslig grund inte är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. I artikel 5.1 i dataskyddsförordningen anges bl.a. att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5.
Kopplingen mellan den rättsliga grunden i artikel 6.1 e och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom artikel 6.3 andra stycket. Där anges att syftet med behandlingen i fråga om behandling enligt artikel 6.1 e, dvs. bl.a. uppgift av allmänt intresse, ska vara nödvändigt för att utföra uppgiften.
Enligt Dataskyddsutredningen ställer förordningen inte något krav på att ändamålen ska vara fastställda i författning. Dataskyddsutredningen anser följaktligen att ändamålet med behandlingen inte behöver framgå av det sammanhang där uppgiften av allmänt intresse fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen i artikel 6.3 andra stycket uttrycker således det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige (SOU 2017:39, avsnitt 8.3.4).
I föregående avsnitt, i fråga om det för enskilda utbildningsanordnare finns en i svensk rätt fastställd uppgift av allmänt intresse, gavs några exempel på behandlingar av personuppgifter som enligt
utredningens uppfattning är nödvändiga för ändamål som i sin tur är nödvändiga för att utföra uppgiften att anordna och bedriva högskoleutbildning. Ytterligare exempel är följande.
Så långt det kan ske med hänsyn till kvalitetskravet i 1 kap. 4 § första stycket högskolelagen ska statliga högskolor som studenter ta emot de sökande som uppfyller behörighetskraven för studierna (4 kap. 1 § högskolelagen). Vid urval till tillträde till utbildning på grundnivå och avancerad nivå ska hänsyn tas till de sökandes meriter. Urvalsgrunder är bl.a. betyg och resultat från högskoleprovet (7 kap. 12 § högskoleförordningen). Mot bakgrund av nämnda bestämmelser måste det kunna anses nödvändigt, i unionsrättslig mening, för lärosätena att samla in och behandla personuppgifter i syfte att rangordna sökandena. Detta ändamål är därmed nödvändigt för att utföra uppgiften att anordna och bedriva högskoleutbildning.
Av 7 kap. 20 § högskoleförordningen framgår att de högskolor som ska använda högskoleprovet som urvalsgrund vid antagning av studenter också ska genomföra provet. Det måste därför kunna anses nödvändigt för lärosätena att samla in personuppgifter från de som vill skriva provet, i syfte att hålla reda på vilka och hur många dessa är. Detta ändamål är därmed nödvändigt för att genomföra högskoleprovet, vilket i sin tur uppenbarligen är en i svensk rätt fastställd uppgift av allmänt intresse.
Som framgått ovan bestäms, för statliga högskolors del, det närmare innehållet i en kurs, undervisningsformerna och examinationsformen av kursplanen. Av kursplanen kan framgå att det finns obligatoriska moment, t.ex. grupparbeten och självständiga arbeten, som studenten behöver delta i och göra för att få godkänt på kursen. Enligt 6 kap. 18 § högskoleförordningen ska betyg sättas på en genomgången kurs. För att nämnda obligatoriska moment ska kunna bedömas och betyg sättas krävs personuppgiftsbehandling i syfte att kontrollera att obligatoriska moment genomförts samt för att mäta eller värdera studentens prestation och kunskapsnivå. För statliga högskolors del krävs sådan behandling också i syfte att fullgöra dokumentationsskyldigheten enligt förordningen om redovisning av studier m.m. vid universitet och högskolor. Av 2 kap. 3 § framgår att det i ett studieregister för varje student ska dokumenteras uppgifter om bl.a. deltagande i utbildning och prov, studieresultat, betyg och examen. Att behandla personuppgifter för ovan nämnda ändamål är
därmed nödvändigt för att utföra uppgiften att anordna och bedriva högskoleutbildning.
Vidare ska en student som fått en kurs godkänd eller som uppfyller fordringarna för en examen få ett kursbevis respektive ett examensbevis (6 kap.9 och 20 §§högskoleförordningen). Det måste då kunna anses nödvändigt att behandla personuppgifter i syfte att undersöka om studenten uppfyller villkoren för respektive bevis. Detta ändamål är därmed nödvändigt för att uppfylla åliggandet att utfärda det aktuella beviset och för att utföra uppgiften att bedriva högskoleutbildning. Även här behöver behandling också ske i syfte att fullgöra dokumentationsskyldigheten enligt 2 kap. 3 § förordningen om redovisning av studier m.m. vid universitet och högskolor.
Utöver ovan nämnda exempel finns det förstås många fler behandlingar som är nödvändiga för ändamål som i sin tur är nödvändiga för att högskolorna ska kunna utföra de uppgifter och uppfylla de åligganden som ryms inom ramen för uppgiften av allmänt intresse, dvs. att anordna och bedriva högskoleutbildning. En uttömmande uppräkning är av naturliga skäl inte möjlig att presentera.
Avslutningsvis är det viktigt att betona att det är den personuppgiftsansvarige som ska ansvara för och kunna visa att uppgifter behandlas för berättigade och nödvändiga ändamål (artikel 5.2 i dataskyddsförordningen).
5.3.3. Myndighetsutövning
Bedömning: Statliga högskolor vidtar vissa åtgärder med stöd av
högskolelagen och anslutande föreskrifter som innefattar myndighetsutövning gentemot en student, t.ex. vid beslut om antagning, tillgodoräknande av utbildning eller yrkesverksamhet, examination och disciplinära åtgärder. Det är i dessa situationer möjligt för högskolorna att tillämpa den rättsliga grunden i andra ledet i artikel 6.1 e i dataskyddsförordningen för sådan behandling som är nödvändig som ett led i myndighetsutövningen. Något behov av ytterligare reglering föreligger inte.
För enskilda utbildningsanordnare saknas det i de allra flesta fall en offentligrättslig reglering för nämnda uppgifter. Deras möjligheter att tillämpa andra ledet i artikel 6.1 e för sin personuppgiftsbehandling är därmed mycket begränsade.
För uppgifter som är att betrakta som myndighetsutövning kan dock såväl statliga högskolor som enskilda utbildningsanordnare för nödvändig personuppgiftsbehandling tillämpa den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse. Något behov av ytterligare reglering föreligger därför inte med anledning av enskilda utbildningsanordnares begränsade möjligheter att tillämpa andra ledet i artikel 6.1 e.
Enligt andra ledet i artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 första stycket framgår att rätten att utöva myndighet ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Enligt artikel 6.3 andra stycket ska syftet med behandlingen vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befogenheten fastställs. Ändamålet med behandlingen måste dock vara nödvändigt som ett led i myndighetsutövningen. För tillämpningen av den rättsliga grunden myndighetsutövning gäller således motsvarande krav som för den rättsliga grunden uppgift av allmänt intresse.
Begreppet myndighetsutövning har en unionsrättslig innebörd. Enligt Dataskyddsutredningen bör man till dess annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller in under begreppet. Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde (SOU 2017:39, avsnitt 8.3.3).
Enligt 6 kap. 18 § högskoleförordningen ska betyg sättas på en genomgången kurs, om inte högskolan föreskriver något annat.
Betyget ska beslutas av en av högskolan särskilt utsedd lärare (examinator). En student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. En student som uppfyller fordringarna för en examen ska på begäran få examensbevis av högskolan (6 kap.9 och 20 §§högskoleförordningen). En högskolas beslut att avslå en students begäran att få examensbevis eller kursbevis är överklagbart (12 kap. 2 § 6 högskoleförordningen). Betygsättning och examination är således exempel på statliga högskolors myndighetsutövning som fastställts i svensk rätt. Även beslut om antagning, tillgodoräknande av utbildning eller yrkesverksamhet samt disciplinpåföljd är för statliga högskolors del myndighetsutövning som är fastställd i svensk rätt. Sådana beslut får överklagas enligt bestämmelserna i 12 kap. 2 § 2 och 3 samt 3 § högskoleförordningen. Statliga högskolor kan i dessa fall därmed använda sig av andra ledet i artikel 6.1 e i dataskyddsförordningen som rättslig grund för nödvändig personuppgiftsbehandling.
Genom regeringens beslut att lämna tillstånd att utfärda examina ingår av naturliga skäl beslut om t.ex. antagning, examination och disciplinära åtgärder också i enskilda utbildningsanordnares verksamhet. Det finns således inslag som är att likna vid myndighetsutövning även i deras verksamhet.
Av 12 kap. 4 § andra stycket regeringsformen framgår att förvaltningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Innefattar uppgiften myndighetsutövning får ett överlämnande dock endast göras med stöd av lag. Enligt Dataskyddsutredningens förslag till 2 kap. 4 § 2 dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led i myndighetsutövning enligt lag eller annan författning.
Enligt 1 kap. 17 § första stycket högskolelagen får en högskola som anges i bilaga till lagen utfärda en gemensam examen tillsammans med bl.a. en enskild utbildningsanordnare. Av andra stycket framgår att med gemensam examen avses examina som får utfärdas av de lärosäten som tillsammans har anordnat en utbildning som kan leda till dessa examina. Utbildningen ska ha anordnats inom ett utbildningssamarbete mellan sådana lärosäten som avses i första stycket. Motsvarande bestämmelse finns i 2 a § lagen om tillstånd att utfärda vissa examina. Av 1 kap. 18 § högskolelagen följer vidare att en högskola som avses i 1 kap. 17 § inom ramen för ett utbildnings-
samarbete får besluta att i viss utsträckning överlåta förvaltningsuppgifter i fråga om antagning till och tillgodoräknande av utbildning till bl.a. en enskild utbildningsanordnare. I övrigt saknas det offentligrättslig reglering avseende enskilda utbildningsanordnares rätt till myndighetsutövning.
Utöver examinationsrätten, som regeringen kan lämna tillstånd till med stöd av 6 § lagen om tillstånd att utfärda vissa examina, är sådana inslag i enskilda utbildningsanordnares verksamhet som är att likna vid myndighetsutövning således i ytterst liten omfattning offentligrättsligt reglerad. Enskilda utbildningsanordnares möjligheter att tillämpa andra ledet i artikel 6.1 e, dvs. myndighetsutövning, är därmed mycket mindre än de är för statliga högskolor.
Att enskilda utbildningsanordnare har begränsade möjligheter att tillämpa andra ledet i artikel 6.1 e är dock inget problem. I fråga om t.ex. antagning, tillgodoräknande och disciplinära åtgärder, som saknar offentligrättslig reglering, kan enskilda utbildningsanordnare för nödvändig personuppgiftsbehandling, enligt utredningens bedömning, i stället tillämpa första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse. Även statliga högskolor kan förstås tillämpa den rättsliga grunden uppgift av allmänt intresse i sådana frågor som för deras del utgör offentligrättsligt reglerad myndighetsutövning.
Avslutningsvis bör det betonas att det enligt artikel 5.2 i dataskyddsförordningen är den personuppgiftsansvarige som ska ansvara för och kunna visa bl.a. att behandlingen är laglig och att ändamålet är berättigat och nödvändigt.
5.3.4. Rättslig förpliktelse
Bedömning: För statliga högskolor finns det i svensk rätt fast-
ställda rättsliga förpliktelser som åvilar högskolorna och som gör det nödvändigt att behandla personuppgifter. Även för vissa enskilda utbildningsanordnare kan det finnas sådana fastställda rättsliga förpliktelser. Den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen kan då tillämpas. Något behov av ytterligare reglering finns inte.
I dessa fall kan även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.
Enligt artikel 6.1 c i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Av artikel 6.3 första stycket framgår att den rättsliga förpliktelsen ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Dataskyddsutredningen gör bedömningen att förpliktelsen inte nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser kan också framgå av exempelvis förelägganden, myndighetsbeslut och domar som har meddelats med stöd av gällande rätt. Dataskyddsutredningen har därför föreslagit en bestämmelse i 2 kap. 3 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller som följer av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.2). Inom aktuellt område skulle rättsliga förpliktelser därmed kunna föras in i regeringens beslut genom vilket tillstånd att utfärda examina lämnas.
Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen fastställas i den rättsliga grunden. Syftet med behandlingen ska alltså vara bestämd av den författning, beslut m.m. som anger eller ger stöd för förpliktelsen.
Dataskyddsutredningen anser att en förpliktelse som är alltför svepande och ger den personuppgiftsansvarige en alltför stor handlingsfrihet i fråga om hur den ska uppfyllas, inte utgör en rättslig grund för behandling av personuppgifter (SOU 2017:39, avsnitt 8.3.2). Den rättsliga förpliktelsen måste således i sig vara tillräckligt tydlig när det gäller den behandling av personuppgifter som krävs.
Ett exempel på en svepande rättslig förpliktelse finns enligt utredningens mening i 4 kap. 1 § högskolelagen. I lagrummet anges att så långt det kan ske med hänsyn till kvalitetskravet i 1 kap. 4 § första stycket ska högskolorna som studenter ta emot de sökande som uppfyller behörighetskraven för studierna. Stadgandet måste anses utgöra en rättslig förpliktelse men det är oklart vilken personuppgiftsbehandling som är nödvändig för att fullgöra den. Det är därmed inte
fråga om en sådan rättslig förpliktelse som enligt dataskyddsförordningen kan läggas till grund för personuppgiftsbehandling.
Ett exempel på en rättslig förpliktelse som enligt utredningens bedömning är tillräckligt tydlig för att ligga till grund för nödvändig personuppgiftsbehandling finns i 6 kap. 20 § första stycket högskoleförordningen. I nämnda bestämmelse anges att en student som har fått en kurs godkänd ska på begäran få kursbevis av högskolan. Ett annat, liknande exempel finns i 6 kap. 9 § högskoleförordningen. I bestämmelsen anges att en student som uppfyller fordringarna för en examen ska på begäran få examensbevis av högskolan. Båda dessa exempel förutsätter att i vart fall namn och personnummer behandlas för att kurs- och examensbeviset ska kunna utfärdas.
Det tydligaste exemplet på en rättslig förpliktelse finns annars i förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt 2 kap. 1 § ska varje högskola dokumentera uppgifter om studenter och föra ett studieregister där vissa uppgifter enligt 3 och 5 §§ ska dokumenteras.
Vidare anser Datainspektionen att skyldigheterna för myndigheter enligt offentlighetsprincipen är en sådan rättslig skyldighet som avses i den bestämmelse i personuppgiftslagen som motsvarar artikel 6.1 c i dataskyddsförordningen, dvs. 10 § b PUL.4 För att fullgöra de rättsliga skyldigheter som följer av offentlighetsprincipen skulle därmed såväl statliga högskolor som enskilda utbildningsanordnare kunna tillämpa artikel 6.1 c för nödvändig personuppgiftsbehandling. Genom bestämmelserna i 2 kap. 4 § OSL och lagens bilaga omfattas, som nämnts ovan i avsnitt 5.3.2, nämligen även vissa enskilda utbildningsanordnare av offentlighetsprincipen, bl.a. Chalmers tekniska högskola aktiebolag.
Personuppgiftsbehandlingen inom universitets- och högskolesektorns utbildningsverksamhet bör till största delen dock kunna ske med stöd av första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, eftersom den i stor utsträckning grundas på offentligrättsliga regler. Det torde därför vara i undantagsfall som artikel 6.1 c behöver tillämpas av lärosätena. Även i ovan nämnda situationer kan enligt utredningens mening artikel 6.1 e tillämpas för nödvändig personuppgiftsbehandling.
4 Datainspektionens rapport Övervakning i arbetslivet, Kontroll av de anställdas Internet- och e-postanvändning m.m. s. 15.
5.3.5. Intresseavvägning
Bedömning: Enskilda utbildningsanordnare kan för sin person-
uppgiftsbehandling använda sig av den rättsliga grunden i artikel 6.1 f i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.
Nämnda rättsliga grund skulle kunna vara tillämplig när det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämplig. Eftersom det för enskilda utbildningsanordnare finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva högskoleutbildning är det endast i undantagsfall som den rättsliga grunden i artikel 6.1 f behöver tillämpas.
Enligt artikel 6.1 f i dataskyddsförordningen är behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (intresseavvägning).
Av artikel 6.1 andra stycket framgår att denna grund inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom statliga högskolor är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt högskolelagen med anslutande föreskrifter, är det endast enskilda utbildningsanordnare som kan tillämpa denna grund till stöd för sin personuppgiftsbehandling.
Enligt Dataskyddsutredningen är det, vid tveksamhet om den privaträttsliga aktören kan tillämpa den rättsliga grunden uppgift av allmänt intresse, i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen (SOU 2017:39, avsnitt 8.3.4).
Enligt ovan är det utredningens bedömning att anordnande och bedrivande av högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse, både med staten och med en enskild fysisk eller juridisk person som huvudman. Dataskyddsutredningen bedömer att det inte spelar någon roll om verksamheten utförs på direkt
uppdrag av en myndighet eller på eget initiativ, om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten. Enligt Dataskyddsutredningen finns då en rättslig grund för nödvändig behandling enligt artikel 6.1 e (SOU 2017:39, avsnitt 8.3.4). Enligt utredningens uppfattning bör den rättsliga grunden i artikel 6.1 f därmed sällan bli aktuell att tillämpa av enskilda utbildningsanordnare i sådan verksamhet som omfattas av tillståndet att utfärda examina.
5.3.6. Samtycke
Bedömning: Enskilda utbildningsanordnare och statliga högsko-
lor kan i viss utsträckning använda sig av samtycke som rättslig grund för sin personuppgiftsbehandling.
Enligt artikel 6.1 a i dataskyddsförordningen är behandling laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
Med samtycke avses enligt artikel 4.11 varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Det kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till förordningen).
En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den
registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.
Enligt skäl 43 till dataskyddsförordningen bör samtycke inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Någon sådan skrivning finns inte i skälen till dataskyddsdirektivet, men mot bakgrund av att definitionen av samtycke i princip är densamma och de uttalanden som gjorts av bl.a. Artikel 29-gruppen får detta anses gälla enligt befintligt regelverk. Artikel 29-gruppen har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse snarare än samtycke.5
Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Om behandlingen grundar sig på samtycke ska den personuppgiftsansvarige, enligt artikel 7.1, kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Ett exempel på när såväl en statlig högskola som en enskild utbildningsanordnare kan använda samtycke som rättslig grund är, enligt utredningens bedömning, vid registrering av tidigare studenter i alumndatabaser (se avsnitt 5.2), eftersom det är fråga om en tjänst som är helt frivillig, utan direkt koppling till den lagstadgade rätten att studera för den som uppfyller behörighetskraven.
5 Yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 16–17.
5.3.7. Sammanfattning
Artikel 5 i dataskyddsförordningen innehåller bestämmelser om principerna för behandling av personuppgifter. Enligt 5.1 a ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att behandling av personuppgifter är laglig endast om och i den mån som åtminstone ett av de i bestämmelsen angivna villkoren är uppfyllt.
Utredningen har i de föregående avsnitten kommit fram till att statliga högskolor och enskilda utbildningsanordnare kan tillämpa flera olika rättsliga grunder i artikel 6.1 i dataskyddsförordningen till stöd för sin personuppgiftsbehandling. I vissa situationer kan dessutom flera rättsliga grunder vara tillämpliga samtidigt var för sig.
De rättsliga grunder som kan vara tillämpliga är samtycke (a), rättslig förpliktelse (c) eller uppgift av allmänt intresse eller myndighetsutövning (e). Statliga högskolors möjligheter att tillämpa de rättsliga grunderna rättslig förpliktelse och myndighetsutövning är större än för de enskilda utbildningsanordnarna. Enskilda utbildningsanordnare kan dock tillämpa den rättsliga grunden intresseavvägning (f), vilket inte är möjligt för statliga högskolor när de fullgör sina uppgifter enligt högskolelagen och anslutande föreskrifter. Den rättsliga grund som främst blir aktuell för såväl statliga högskolor som enskilda utbildningsanordnare att tillämpa är dock första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, eftersom uppgiften att anordna och bedriva högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse, både med staten eller med en enskild fysisk eller juridisk person som huvudman.
När dataskyddsförordningen ska börja tillämpas kan en ändamålsenlig och nödvändig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för lärosätenas del därmed ske med stöd av bestämmelserna i artikel 6 i dataskyddsförordningen. Något ytterligare regleringsbehov aktualiseras följaktligen inte för att lärosätena ska kunna tillämpa ovan nämnda rättsliga grunder.
5.4. Känsliga personuppgifter och uppgifter som rör lagöverträdelser
5.4.1. Utredningens uppdrag i denna del
I kommittédirektiven konstateras att det inom utbildningsområdet i vissa fall är nödvändigt att behandla känsliga personuppgifter. Uppdraget i denna del är därför att analysera om det, utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen föreslår, finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom universitets- och högskolesektorn samt att lämna de författningsförslag som behövs.
Utredningen har inte fått något specifikt uppdrag om behandling av personuppgifter som rör lagöverträdelser. Eftersom utredningen ska föreslå kompletterande regleringar som ska möjliggöra en ändamålsenlig behandling som samtidigt skyddar den enskildes fri- och rättigheter, ingår det dock i uppdraget att också analysera behovet av reglering i denna del.
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör bl.a. fällande domar i brottmål endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Det finns således ett förbud för enskilda att behandla uppgifter som rör fällande domar i brottmål, om inte behandlingen kan anses stå under en myndighets kontroll eller den nationella rätten medger sådan behandling.
Även om uppgifter som rör fällande domar i brottmål inte är en känslig uppgift, torde behandling av sådana uppgifter allmänt kunna anses som integritetskänslig. Utredningen anser därför att denna fråga lämpligen behandlas i samma avsnitt som behandling av känsliga personuppgifter.
5.4.2. Behov av att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål
Statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter i ett flertal olika sammanhang. Det är inte möjligt att ge en uttömmande beskrivning av samtliga
sådana behandlingar. Nedan lämnas därför en redogörelse för de behandlingar av känsliga personuppgifter som i huvudsak förekommer hos lärosätena. Även behovet av behandling av personuppgifter som rör fällande domar i brottmål redogörs för nedan.
Högskoleprovet
För alla högskolor i Sverige ska det finnas ett gemensamt högskoleprov (7 kap. 20 § högskoleförordningen). Provdeltagare som styrker lässvårigheter och provdeltagare med diagnosen specifik lässvårighet eller blandad inlärningsstörning har rätt till förlängd skrivtid. Provdeltagare med dokumenterad svag synskada har rätt till förlängd skrivtid och uppförstorat prov i formatet A3. Provdeltagare med dokumenterad grav synskada har rätt att skriva ett speciellt framtaget prov i punktskrift och Daisy-format och att ta med sig anteckningshjälp. Provdeltagare som behöver ta del av anpassning ska styrka behovet med utlåtande eller intyg i samband med anmälan. Utlåtandet eller intyget ska ges in till lärosätet som ska genomföra provet eller till UHR, i de fall det är UHR som ska genomföra provet. Högskolan eller UHR meddelar beslut om anpassning (4– 8 §§ Universitets- och högskolerådets föreskrifter [UHRFS 2015:3] om högskoleprovet).
För nämnda provdeltagare behandlas därmed uppgifter om hälsa, dvs. känsliga personuppgifter. Högskoleförordningen, där det anges att det ska finnas ett gemensamt högskoleprov, gäller för statliga högskolor. Även enskilda utbildningsanordnare kan dock genomföra högskoleprov, vilket Stiftelsen högskolan i Jönköping gör.
Studenter med funktionsnedsättning
Enligt 1 § förordningen (2001:526) om de statliga myndigheternas ansvar för genomförande av funktionshinderspolitiken ska myndigheter under regeringen utforma och bedriva sin verksamhet med beaktande av de funktionshinderspolitiska målen. Myndigheterna ska verka för att personer med funktionsnedsättning ges full delaktighet i samhällslivet och jämlikhet i levnadsvillkor. Myndigheterna ska särskilt verka för att deras lokaler, verksamhet och information är tillgängliga för personer med funktionsnedsättning.
Enligt 2 kap. 5 § diskrimineringslagen (2008:567) får den som bedriver verksamhet som avses i skollagen eller annan utbildningsverksamhet inte diskriminera något barn eller någon elev, student eller studerande som deltar i eller söker till verksamheten.
Annan utbildningsverksamhet syftar på flera olika former av utbildning, bl.a. högskoleutbildning enligt högskolelagen och utbildning som kan leda fram till en examen som en enskild utbildningsanordnare får utfärda enligt lagen om tillstånd att utfärda vissa examina (prop. 2013/14:198 s. 76 f.).
Med diskriminering avses enligt 1 kap. 4 § bl.a. bristande tillgänglighet. Med bristande tillgänglighet avses att en person med en funktionsnedsättning missgynnas genom att sådana åtgärder för tillgänglighet inte har vidtagits för att den personen ska komma i en jämförbar situation med personer utan denna funktionsnedsättning som är skäliga utifrån krav på tillgänglighet i lag och annan författning och med hänsyn till de ekonomiska och praktiska förutsättningarna, varaktigheten och omfattningen av förhållandet eller kontakten mellan verksamhetsutövaren och den enskilde, samt andra omständigheter av betydelse.
Förbudet mot diskriminering innebär att även åtgärder i fråga om annat än den fysiska miljön kan krävas. Sådana åtgärder bör kunna handla om stöd eller personlig service samt om information och kommunikation (prop. 2013/14:198 s. 78 f.).
I högskolelagen och högskoleförordningen finns bestämmelser som för statliga högskolors del kompletterar diskrimineringslagen i ovan nämnda delar.
Statliga högskolor ska, så långt det är möjligt, som studenter ta emot de sökande som uppfyller behörighetskraven för studierna. Kan inte alla behöriga sökande till en utbildning tas emot ska ett urval göras bland de sökande (4 kap.1 och 3 §§högskolelagen). Statliga högskolor kan i enstaka fall göra avsteg från de urvalsgrunder som enligt bestämmelserna i 7 kap. högskoleförordningen ska tillämpas. Detta framgår av 7 kap.16, 27 och 32 §§högskoleförordningen. Göteborgs universitet har en antagningsordning som anger att medicinska skäl och permanent eller mycket långvarig funktionsnedsättning kan vara skäl för avsteg under vissa förutsättningar. Stiftelsen högskolan i Jönköping, som är en enskild utbildningsanordnare, har en antagningsordning av vilken det framgår att lärosätet tillämpar en urvalsgrund där en dokumenterad funktionsnedsättning under vissa
förutsättningar kan beaktas. Såväl statliga högskolor som enskilda utbildningsanordnare kan därmed behöva behandla känsliga personuppgifter i antagningsförfarandet.
Mot bakgrund av ovan angivna bestämmelser i diskrimineringslagen, som gäller för såväl statliga högskolor som enskilda utbildningsanordnare, har studenter med en varaktig funktionsnedsättning vidare möjligheten att ansöka om särskilt pedagogiskt stöd. Exempel på sådant stöd kan vara anteckningsstöd, extra handledning, teckenspråkstolkning och anpassade examinationer. I samband med ansökningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas behandlas således också känsliga personuppgifter.
För handläggningen av ansökningar använder vissa lärosäten, både statliga högskolor och enskilda utbildningsanordnare, ett nationellt administrations- och informationssystem för samordnare, Nais. Systemet tillhandahålls av UHR men det är respektive lärosäte som är personuppgiftsansvarig. Studenten ska ange namn och kontaktuppgifter i form av telefonnummer och e-postadress. Därutöver ska studenten ladda upp läkarintyg eller annat professionellt utlåtande som intygar den varaktiga funktionsnedsättningen. Studenten ska även beskriva hur funktionsnedsättningen påverkar studierna. Innan några uppgifter lämnas ska studenten läsa igenom en text om personuppgiftsbehandling och lämna sitt samtycke.
Enligt 2 § andra stycket förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd får statsbidrag lämnas till universitet och högskolor för kostnader för särskilt utbildningsstöd som erbjuds studerande med svåra rörelsehinder eller psykiska och neuropsykiatriska funktionsnedsättningar. Av 5 § första stycket framgår att det är Specialpedagogiska skolmyndigheten som prövar frågor om bidraget. Enligt 6 § är den som har tagit emot statsbidrag skyldig att lämna sådan ekonomisk och annan redovisning till Specialpedagogiska skolmyndigheten som myndigheten begär. Av Specialpedagogiska skolmyndighetens förteckning över vilka lärosäten som fått statsbidrag under 2016 framgår att ett antal statliga högskolor och Chalmers tekniska högskola, som är en enskild utbildningsanordnare, fått sådant bidrag. Såväl statliga högskolor som enskilda utbildningsanordnare kan därmed behöva behandla känsliga personuppgifter i samband med en ansökan om statsbidrag för särskilt utbildningsstöd.
Disciplinära åtgärder och avskiljande
Statliga högskolor
I 2 kap. 7 § diskrimineringslagen anges att om en utbildningsanordnare får kännedom om att bl.a. en student som deltar i eller söker till utbildningsanordnarens verksamhet anser sig i samband med verksamheten ha blivit utsatt för trakasserier eller sexuella trakasserier, är utbildningsanordnaren skyldig att utreda omständigheterna kring de uppgivna trakasserierna och i förekommande fall vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden. Med utbildningsanordnare avses bl.a. statliga högskolor (prop. 2007/08:95 s. 506 och 509 samt prop. 2013/14:198 s. 76 f.).
Av 1 kap. 4 § diskrimineringslagen framgår att med trakasserier avses ett uppträdande som kränker någons värdighet och som har samband med någon av diskrimineringsgrunderna kön, könsöverskridande identitet eller uttryck, etnisk tillhörighet, religion eller annan trosuppfattning, funktionsnedsättning, sexuell läggning eller ålder. Av samma lagrum framgår att med sexuella trakasserier avses ett uppträdande av sexuell natur som kränker någons värdighet.
Vidare får, enligt 10 kap. 1 § första stycket och 2 §högskoleförordningen, disciplinära åtgärder i form av varning och avstängning vidtas mot studenter som
1. med otillåtna hjälpmedel eller på annat sätt försöker vilseleda vid
prov eller när en studieprestation annars ska bedömas,
2. stör eller hindrar undervisning, prov eller annan verksamhet
inom ramen för utbildningen vid högskolan,
3. stör verksamheten vid högskolans bibliotek eller annan särskild
inrättning inom högskolan, eller
4. utsätter en annan student eller en arbetstagare vid högskolan för
sådana trakasserier eller sexuella trakasserier som avses i 1 kap. 4 § diskrimineringslagen.
Enligt 10 kap. 9 § ska grundad misstanke om sådan förseelse som anges ovan skyndsamt anmälas till rektor. Rektor ska låta utreda ärendet och ge studenten tillfälle att yttra sig över anmälningen. Rektor ska därefter, i förekommande fall efter samråd med en lagfaren ledamot, avgöra om omständigheterna är sådana att ärendet ska läm-
nas utan vidare åtgärd, föranleda varning av rektor, eller hänskjutas till en disciplinnämnd för prövning.
Nu angivna bestämmelser i 10 kap. högskoleförordningen om disciplinära åtgärder gäller även för Sveriges lantbruksuniversitet och Försvarshögskolan (se 5 kap. 4 § förordningen för Sveriges lantbruksuniversitet och 4 kap. 7 § förordningen för Försvarshögskolan).
I utredningar och ärenden om disciplinära åtgärder kan statliga högskolor således behöva behandla känsliga personuppgifter, i vart fall i ärenden med anledning av trakasserier eller sexuella trakasserier. I fråga om trakasserier och sexuella trakasserier behöver det dock inte vara fråga om ett ärende om disciplinär åtgärd mot en student. I förarbetena till 2 kap. 7 § diskrimineringslagen uttalas att någon begränsning av utbildningsanordnarens skyldighet med avseende på vem som uppträder trakasserande inte bör ställas upp. Utbildningsanordnarens skyldighet att utreda och vidta åtgärder mot trakasserier kan exempelvis omfatta det fallet att en student trakasserar en annan student eller att en lärare eller annan anställd trakasserar en elev. Skyldigheten bör också ta sikte på konsulter och andra som utbildningsanordnaren anlitar i sin verksamhet (prop. 2007/08:95 s. 299).
Vidare får regeringen enligt 4 kap. 6 § högskolelagen meddela föreskrifter om att en student tills vidare ska avskiljas från utbildningen i fall då studenten lider av psykisk störning, missbrukar alkohol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet. Som ytterligare förutsättning för ett avskiljande gäller att det, till följd av något av sådant förhållande som angetts, bedöms föreligga en påtaglig risk att studenten kan komma att skada annan person eller värdefull egendom under utbildningen.
Regeringen har meddelat sådana föreskrifter i förordningen (2007:989) om avskiljande av studenter från högskoleutbildning. Enligt 1 § gäller förordningens bestämmelser för avskiljande av studenter från högskoleutbildning inom ett universitet eller en högskola som har staten som huvudman och som omfattas av högskolelagen. Av 6 och 7 §§ framgår att frågor om avskiljande prövas av Högskolans avskiljandenämnd och inleds endast efter skriftlig anmälan från rektor för ett universitet eller en högskola eller den som rektor har utsett.
Enligt 3 § ska ett beslut om avskiljande alltid innebära att studenten tills vidare inte får fortsätta den pågående utbildningen. Ett beslut om avskiljande ska också innebära att studenten tills vidare
inte får antas till eller fortsätta annan utbildning av samma slag, om inte avskiljandenämnden beslutar något annat. Om det anges i beslutet innebär ett beslut om avskiljande också att studenten tills vidare inte får antas till eller fortsätta någon annan högskoleutbildning.
Även i utredningar och ärenden i fråga om avskiljande kan således statliga högskolor behöva behandla känsliga personuppgifter. I sådana fall kan personuppgifter som rör fällande domar i brottmål också behöva behandlas, eftersom en av grunderna för avskiljande är att studenten har gjort sig skyldig till allvarlig brottslighet.
Enskilda utbildningsanordnare
Skyldigheten enligt 2 kap. 7 § diskrimineringslagen att utreda uppgivna trakasserier och, i förekommande fall, vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden gäller också för enskilda utbildningsanordnare (prop. 2007/08:95 s. 506 och 509 samt prop. 2013/14:198 s. 76 f.). Även enskilda utbildningsanordnare kan således ha behov av att behandla känsliga personuppgifter i utredningar och ärenden om disciplinära åtgärder med anledning av trakasserier eller sexuella trakasserier. Som konstaterats ovan gäller skyldigheten enligt 2 kap. 7 § också fall där t.ex. en lärare trakasserar en student. Ett ärende med anledning av trakasserier eller sexuella trakasserier behöver således inte avse frågan om det ska vidtas någon disciplinär åtgärd mot en student.
Vidare finns det inget som hindrar att enskilda utbildningsanordnare har motsvarande regler om disciplinära åtgärder och avskiljande som den offentligrättsliga reglering som gäller för statliga högskolor. Chalmers tekniska högskola aktiebolag, Handelshögskolan i Stockholm och Stiftelsen högskolan i Jönköping är exempel på enskilda utbildningsanordnare som har en disciplinstadga eller ett regelverk för disciplinära åtgärder.
I dessa disciplinstadgar eller regelverk finns det bestämmelser om varning, avstängning och avskiljande eller relegering. De förseelser och omständigheter som kan ligga till grund för en disciplinär åtgärd eller avskiljande är bl.a. sådana som nämns i 10 kap. 1 § högskoleförordningen, 4 kap. 6 § högskolelagen och förordningen om avskiljande av studenter från högskoleutbildning. Det är således fråga om
fall där studenten t.ex. använt otillåtna hjälpmedel, stört eller hindrat undervisning, utsatt någon för trakasserier, lider av psykisk störning, missbrukar alkohol eller narkotika eller gjort sig skyldig till allvarlig brottslighet.
Även enskilda utbildningsanordnare har således behov av att kunna behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål i utredningar och ärenden om disciplinära åtgärder och avskiljande.
Offentlighetsprincipen
Eftersom statliga högskolor är myndigheter omfattas de av offentlighetsprincipen och bestämmelserna i tryckfrihetsförordningen och offentlighets- och sekretesslagen om rätten att ta del av allmänna handlingar. För att kunna uppfylla detta åliggande kan det förstås bli nödvändigt att behandla känsliga personuppgifter.
För enskilda utbildningsanordnares del får ett tillstånd att utfärda examina förenas med villkor om rätt för enskilda att ta del av handlingar hos utbildningsanordnaren. Av 2 kap. 4 § OSL och lagens bilaga framgår att denna skyldighet gäller för bl.a. Chalmers tekniska högskola aktiebolag och Stiftelsen högskolan i Jönköping. Även enskilda utbildningsanordnare kan därmed ha behov av att behandla känsliga personuppgifter i samband med att de uppfyller sina åligganden enligt offentlighetsprincipen.
Hälsovård
Enligt 1 kap. 11 § högskoleförordningen ska statliga högskolor ansvara för att studenterna har tillgång till hälsovård, särskilt förebyggande hälsovård som har till ändamål att främja studenternas fysiska och psykiska hälsa. De som är verksamma inom studenthälsan registrerar personuppgifter i form av namn, personnummer och kontaktuppgifter. Det skapas också en patientjournal där det förstås behandlas känsliga personuppgifter.
Även om högskoleförordningen gäller för statliga högskolor kan även enskilda utbildningsanordnare erbjuda studenthälsovård, vilket bl.a. Handelshögskolan i Stockholm gör. Den personuppgiftsbehandling som sker inom studenthälsans medicinska verksamhet omfattas
dock och kommer även fortsättningsvis att omfattas av patientdatalagens bestämmelser. Det ingår inte i utredningens uppdrag att se över patientdatalagen utan det ingår i Socialdataskyddsutredningens uppdrag (S 2016:05, dir. 2016:52).
Sammanfattning
Statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter på ett flertal områden. Utöver vad som förekommer inom studenthälsans verksamhet, sker sådana behandlingar huvudsakligen – i samband med högskoleprovet, – i antagningsförfarandet, – vid handläggning av ansökningar om särskilt pedagogiskt stöd
och när beslutade stödåtgärder ska verkställas, – i samband med ansökan om statsbidrag för kostnader för sär-
skilt utbildningsstöd, – i utredningar och ärenden om trakasserier eller sexuella trakas-
serier, – i utredningar och ärenden om disciplinära åtgärder och avskil-
jande, och – vid uppfyllandet av de skyldigheter som följer av att omfattas av
offentlighetsprincipen.
I utredningar och ärenden om avskiljande kan dessutom personuppgifter som rör fällande domar i brottmål behöva behandlas.
5.4.3. Gällande bestämmelser
I fråga om statliga högskolors skyldigheter enligt offentlighetsprincipen kan konstateras att enligt 8 § första stycket PUL tillämpas inte bestämmelserna i personuppgiftslagen i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.
Vidare får såväl statliga högskolor som enskilda utbildningsanordnare i dagsläget behandla känsliga personuppgifter i s.k. ostrukturerat material, förutsatt att behandlingen inte innebär en kränkning av den registrerades personliga integritet (5 a § PUL). Därutöver kan statliga högskolor, med stöd av 8 § personuppgiftsförordningen (1998:1191, PUF) behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Om dessa bestämmelser inte är tillämpliga på behandlingen av känsliga personuppgifter måste samtycke inhämtas från den registrerade enligt 15 § PUL för att känsliga personuppgifter ska få behandlas.
I fråga om personuppgifter som rör fällande domar i brottmål är det, enligt 21 § första stycket PUL, förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar bl.a. brott och domar i brottmål. Förbudet gäller således inte för statliga högskolor utan endast enskilda utbildningsanordnare. Med stöd av 5 a § PUL kan dock även enskilda utbildningsanordnare behandla sådana uppgifter i ostrukturerat material.
Vidare får, enligt 21 § tredje stycket PUL, regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om undantag från förbudet i 21 § första stycket. I 9 § PUF har Datainspektionen bemyndigats att meddela föreskrifter om sådana undantag. Datainspektionen har meddelat sådana föreskrifter genom DIFS 1998:3 (Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.), som ändrats genom DIFS 2010:1. Enligt 1 § b i föreskrifterna får, utan hinder av förbudet i 21 § PUL, sådana personuppgifter behandlas om behandlingen avser uppgift i anteckningar som förs i fristående skolors elevvårdande verksamhet eller i motsvarande verksamhet hos enskilda anordnare av högskoleutbildning. Även Datainspektionens föreskrifter ger således en möjlighet för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål.
5.4.4. Dataskyddsförordningen och dataskyddslagen
Känsliga personuppgifter
Med särskilda kategorier av personuppgifter (känsliga personuppgifter) avses enligt artikel 9.1 i dataskyddsförordningen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Enligt artikel 9.1 är huvudregeln att det är förbjudet att behandla känsliga personuppgifter. Förbudet är dock förenat med en rad viktiga undantag. De som aktualiseras i detta sammanhang är artikel 9.2 a och g. Enligt 9.2 a ska förbudet i 9.1 inte tillämpas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa uppgifter för ett eller flera specifika ändamål. Enligt 9.2 g ska förbudet i 9.1 inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Utifrån denna möjlighet för medlemsstaterna att skapa förutsättningar för att möjliggöra behandling av känsliga personuppgifter har Dataskyddsutredningen i dataskyddslagen föreslagit tre generella undantag från förbudet att behandla känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2).
Det första gäller behandling av uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende (3 kap. 3 § 1 dataskyddslagen). Enligt Dataskyddsutredningen bör begränsningen till löpande text inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.
Det andra undantaget gäller om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § 2 dataskyddslagen). Bestämmelsen möjliggör behandling av känsliga personuppgifter som är oundviklig i myndigheternas verksamhet som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens
och förvaltningslagens (1986:223) bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post. Vid tillämpningen av nu nämnda undantag ska, enligt Dataskyddsutredningens förslag till bestämmelse i 1 kap. 5 § dataskyddslagen, andra organ än myndigheter jämställas med myndigheter i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet.
Utöver detta föreslås myndigheter få behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § 3 dataskyddslagen). Syftet med paragrafen är att möjliggöra behandling av känsliga personuppgifter i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet inom en myndighet i samband med utvärdering. Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Vid bedömningen av om behandlingen utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet och den inställning de registrerade kan antas ha till att uppgiften behandlas.
Som skyddsåtgärd, för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Dataskyddsutredningen avslutningsvis, i 3 kap. 4 § dataskyddslagen, ett förbud för myndigheter att vid behandling som sker enbart med stöd av 3 kap. 3 § använda sökbegrepp som avslöjar känsliga personuppgifter. Vid tillämpningen av bestämmelsen ska, enligt 1 kap. 5 § i den föreslagna dataskyddslagen, dock andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet.
Det bör även nämnas att artikel 9.2 i dataskyddsförordningen innehåller flera bestämmelser förutom samtycke som är direkt tilllämpliga. Vidare har Dataskyddsutredningen genom förslag till bestämmelser i 3 kap. dataskyddslagen möjliggjort behandling av känsliga personuppgifter rörande bl.a. hälso- och sjukvård, arkiv och statistik.
Personuppgifter som rör fällande domar i brottmål
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
Dataskyddsutredningen har lämnat förslag till bestämmelser om behandling av personuppgifter som rör lagöverträdelser i 3 kap. 9– 12 §§ dataskyddslagen.
I 9 § anges att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.
Enligt Dataskyddsutredningen är det av stor vikt att regleringen i artikel 10 i dataskyddsförordningen, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Dataskyddsutredningen anser att ett sådant införlivande behövs när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter om lagöverträdelser (SOU 2017:39, avsnitt 11.4).
Enligt 3 kap. 10 § får den myndighet som regeringen bestämmer i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Ytterligare ett bemyndigande finns i 12 §. Enligt nämnda bestämmelse får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana uppgifter som avses i 9 §.
I 3 kap. 11 § anges att behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.
I 4 och 5 §§ förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslår Dataskyddsutredningen kompletterande bestämmelser avseende behandling av personuppgifter som rör lagöverträdelser.
Enligt 4 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel behandlas av andra än myndigheter om
1. behandlingen är nödvändig för att rättsliga anspråk ska kunna
fastställas, göras gällande eller försvaras i ett enskilt fall,
2. behandlingen avser enstaka uppgifter och är nödvändig för att till
polisen anmäla misstanke om brott, eller
3. behandlingen avser enstaka uppgifter och är nödvändig för att en
rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Enligt Dataskyddsutredningens förslag till 5 § första stycket förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning får Datainspektionen meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. I andra stycket anges att Datainspektionen även i enskilda fall får besluta om att tillåta behandling av sådana personuppgifter som avses i första stycket.
5.4.5. Behov av särskild reglering
Förslag: I lagen om tillstånd att utfärda vissa examina ska det in-
föras en bestämmelse som medger att enskilda utbildningsanordnare får behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
Vidare ska det införas en bestämmelse som anger att enskilda utbildningsanordnare får behandla känsliga personuppgifter, om uppgifterna har lämnats till den enskilde utbildningsanordnaren och behandlingen krävs enligt lag.
Det ska även införas en bestämmelse som medger att enskilda utbildningsanordnare får behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Det ska även införas en bestämmelse som möjliggör för enskilda utbildningsanordnare att i löpande text behandla person-
uppgifter som rör fällande domar i brottmål i ett ärende om avskiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.
En bestämmelse som anger att en enskild utbildningsanordnare inte får använda sökbegrepp som avslöjar känsliga personuppgifter och uppgifter som rör fällande domar i brottmål ska också införas.
Slutligen ska det införas upplysningsbestämmelser som anger att nämnda bestämmelser kompletterar dataskyddsförordningen samt att bestämmelser om personuppgiftsbehandling också finns i dataskyddslagen.
Bedömning: Statliga högskolor kan finna stöd för nödvändig be-
handling av känsliga personuppgifter i Dataskyddsutredningens förslag till dataskyddslag.
Statliga högskolor kan med stöd av artikel 10 i dataskyddsförordningen även behandla personuppgifter som rör fällande domar i brottmål. Dataskyddslagen föreslås innehålla en upplysningsbestämmelse om att myndigheter får behandla sådana uppgifter.
Det finns inget behov av att införa någon ytterligare reglering för statliga högskolors behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Ovan har utredningen kommit fram till att statliga högskolor och enskilda utbildningsanordnare kan behöva behandla känsliga personuppgifter huvudsakligen i samband med högskoleprovet, i antagningsförfarandet, vid ansökningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas, i samband med ansökan om statsbidrag för särskilt utbildningsstöd, i utredningar och ärenden om trakasserier, sexuella trakasserier, disciplinära åtgärder och avskiljande samt för att uppfylla de skyldigheter som följer av offentlighetsprincipen. I fråga om avskiljande kan även personuppgifter som rör fällande domar i brottmål behöva behandlas.
Enligt utredningens bedömning utesluter inte dataskyddsförordningen att samtycke kan användas som rättslig grund för behandling av personuppgifter, även känsliga sådana, av både statliga högskolor och enskilda utbildningsanordnare. En bedömning måste dock göras
av vilken slags behandling som samtycket avser för att avgöra om det är lämpligt.
För den behandling av känsliga personuppgifter som behövs för att lärosätena ska kunna fullgöra uppdraget som ankommer på dem enligt bl.a. högskolelagen och lagen om tillstånd att utfärda vissa examina bör dock lärosätena inte vara beroende av om den registrerade lämnar sitt samtycke till sådan behandling. Detta eftersom det kan ifrågasättas om den registrerade i många fall har något verkligt val i frågan om behandlingen ska ske eller inte och därmed en reell möjlighet att motsätta sig behandlingen. Därtill är det av naturliga skäl uteslutet att samtycke kan användas som rättslig grund för behandlingar i samband med utredningar eller ärenden om t.ex. disciplinära åtgärder. Enligt utredningens bedömning bör det för den behandling av känsliga personuppgifter som är nödvändig därför finnas ytterligare rättsliga grunder som kan användas som stöd för sådan behandling.
I fråga om behandling av personuppgifter som rör fällande domar i brottmål i utredningar och ärenden om avskiljande omfattas inte statliga högskolor av förbudet i 21 § PUL. Enskilda utbildningsanordnare kan i dagsläget behandla sådana uppgifter med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer den bestämmelsen dock att upphävas. Det kan därför vara nödvändigt att införa en rättslig grund som möjliggör för enskilda utbildningsanordnare att behandla sådana uppgifter i motsvarande utredningar och ärenden som kan leda till att en student tvingas lämna utbildningen.
Behandling i löpande text
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 1 dataskyddslagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Enligt artikel 9.2 g får känsliga personuppgifter behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. En myndighet kan således inte tillämpa en sådan bestämmelse som Dataskyddsutredningen föreslår i vilken typ av ärende som helst.
Med stöd av nämnda förslag bedömer utredningen att statliga högskolor även fortsättningsvis kommer att kunna behandla känsliga personuppgifter i ärenden om anpassning vid högskoleprov, avsteg vid antagning, särskilt pedagogiskt stöd och statsbidrag för särskilt utbildningsstöd. Nämnda ärenden syftar till att personer med funktionsnedsättningar ska kunna söka högskoleutbildningar och studera på samma villkor som personer utan funktionsnedsättning.
Rätten till anpassning vid högskoleprovet framgår av 4–8 §§ i UHR:s föreskrifter om högskoleprovet, vilka utfärdats med stöd av bemyndigande i 7 kap. 22 § högskoleförordningen. Möjligheten till statsbidrag för kostnader för särskilt utbildningsstöd framgår av en förordning. Vad gäller möjligheten att få en funktionsnedsättning beaktad i antagningsförfarandet samt rätten till särskilt pedagogiskt stöd följer det av 2 kap. 5 § diskrimineringslagen att en statlig högskola inte får diskriminera någon student som deltar i eller söker till verksamheten (prop. 2013/14:198 s. 76 f.). I bl.a. artikel 2 i FN:s allmänna förklaring om de mänskliga rättigheterna finns ett förbud mot diskriminering. I artikel 26 anges att var och en har rätt till utbildning och att den högre utbildningen ska vara öppen för alla med hänsyn till deras förmåga. I Europeiska unionens stadga om de grundläggande rättigheterna finns ett förbud mot diskriminering i artikel 21. I artikel 14 anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Enligt 1 kap. 2 § femte stycket regeringsformen ska det allmänna motverka diskriminering av människor på grund av kön, hudfärg, nationellt eller etniskt ursprung, språklig eller religiös tillhörighet, funktionshinder, sexuell läggning, ålder eller andra omständigheter som gäller den enskilde som person. Sammantaget anser utredningen att möjligheterna till anpassning vid högskoleprovet, avsteg vid antagningsförfarandet, särskilt pedagogiskt stöd och statsbidrag för kostnader för särskilt utbildningsstöd är sådana viktiga allmänna intressen som avses i artikel 9.2 g i dataskyddsförordningen.
Vidare bedömer utredningen att statliga högskolor även kan tilllämpa Dataskyddsutredningens förslag i ärenden om trakasserier och sexuella trakasserier. Avseende dessa ärenden följer det av 2 kap. 7 § diskrimineringslagen att statliga högskolor ska utreda och, i förekommande fall, vidta skäliga åtgärder för att förhindra trakasserier i framtiden. Lagstiftaren anser således att det är så viktigt att enskilda
kan studera i en trygg och säker miljö att nämnda skyldighet att utreda trakasserier har införts. Vidare är trakasserier och sexuella trakasserier enligt 1 kap. 4 § diskrimineringslagen att betrakta som diskriminering, vilket enligt ovan är förbjudet enligt FN:s allmänna förklaring om de mänskliga rättigheterna och Europeiska unionens stadga om de grundläggande rättigheterna. Regeringsformen anger också att diskriminering ska motverkas. Sammantaget anser utredningen att skyldigheten att utreda och vidta åtgärder med anledning av trakasserier och sexuella trakasserier är ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen.
Utredningen bedömer vidare att statliga högskolor kan tillämpa Dataskyddsutredningens förslag även i ärenden om disciplinära åtgärder och avskiljande. Förutsättningar för sådana beslut har möjliggjorts genom olika författningar. Därtill tar disciplinära åtgärder och avskiljande sikte på bl.a. säkerheten och ordningen för övriga studenter och högskolornas arbetstagare samt den mänskliga rättigheten att skyddas mot diskriminering i form av bl.a. trakasserier. Enligt utredningens bedömning är det även avseende dessa ärenden därmed fråga om sådana viktiga allmänna intressen som avses i artikel 9.2 g i dataskyddsförordningen.
Sammanfattningsvis anser utredningen att statliga högskolor kan tillämpa Dataskyddsutredningens förslag för nödvändig behandling av känsliga personuppgifter i ärenden om anpassning vid högskoleprov, avsteg vid antagning, särskilt pedagogiskt stöd, statsbidrag för särskilt utbildningsstöd, trakasserier, sexuella trakasserier, disciplinära åtgärder och avskiljande. Någon ytterligare reglering krävs därmed inte för att statliga högskolor, i de fall det är nödvändigt, ska kunna behandla känsliga personuppgifter för nämnda ändamål när dataskyddsförordningen ska börja tillämpas. Vidare kan det inte uteslutas att det finns andra typer av ärenden där statliga högskolor behöver behandla känsliga personuppgifter. Sådan behandling kan då också ske med stöd av Dataskyddsutredningens förslag, förutsatt bl.a. att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.
Det förhåller sig dock annorlunda med de enskilda utbildningsanordnarna. Som framgår av avsnitt 5.4.2 kan motsvarande ärenden som nämnts ovan finnas hos enskilda utbildningsanordnare. I dessa fall har enskilda utbildningsanordnare, förutsatt att det är relevant och nödvändigt, således samma behov av att kunna behandla känsliga
personuppgifter som de statliga högskolorna. I dagsläget kan sådan behandling av känsliga personuppgifter ske i ostrukturerat material med stöd av 5 a § PUL, men den bestämmelsen kommer att upphävas när dataskyddsförordningen ska börja tillämpas. Dataskyddsutredningens förslag omfattar inte enskilda utbildningsanordnare. Utredningen anser därför att det finns behov av att införa en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla känsliga personuppgifter i ärenden på motsvarande sätt som för statliga högskolor. Eftersom de enskilda utbildningsanordnarna redan i dagsläget har möjlighet att utföra sådana behandlingar av känsliga personuppgifter, bedömer utredningen att integritetsintrånget för den enskilde varken blir större eller mindre genom att en sådan bestämmelse införs. Sammantaget anser utredningen att det ska införas en bestämmelse enligt vilken känsliga personuppgifter, med stöd av artikel 9.2 g i dataskyddsförordningen, får behandlas av enskilda utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Kopplingen till artikel 9.2 g innebär, liksom för statliga högskolor som utredningen konstaterar ovan, att känsliga personuppgifter inte kan behandlas i vilken typ av ärende som helst. Det krävs att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Av artikel 5.2 framgår att det är den personuppgiftsansvarige som ska ansvara för och kunna visa att man har stöd för de behandlingar man utför.
Behandling som krävs på grund av lag
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 2 dataskyddslagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Enligt Dataskyddsutredningens förslag till 1 kap. 5 § ska vid tillämpningen av 3 kap. 3 § 2 andra organ än myndigheter jämställas med myndigheter i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet.
Dataskyddsutredningens förslag i nämnda delar innebär, enligt utredningens bedömning, att både statliga högskolor och, i förekommande fall, enskilda utbildningsanordnare kommer att kunna
uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter och att lämna ut allmänna handlingar. Någon ytterligare reglering krävs därmed inte för att lärosätena ska kunna uppfylla sina åligganden enligt offentlighetsprincipen.
Absolut nödvändig behandling i andra fall
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Bestämmelsen ska enligt Dataskyddsutredningen möjliggöra behandling av känsliga personuppgifter hos myndigheter i enstaka fall, även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte krävs enligt annan lag. Som exempel på när bestämmelsen kan vara tillämplig anger Dataskyddsutredningen bl.a. inom en myndighet i samband med utvärdering (SOU 2017:39, avsnitt 10.6.2).
Bestämmelsen i dataskyddslagen är direkt tillämplig på statliga högskolor. När det gäller statliga högskolors behandling av känsliga personuppgifter kan exempel på när paragrafen kan vara tillämplig, enligt utredningens bedömning, vara när beslut att bevilja anpassning vid högskoleprovet eller särskilt pedagogiskt stöd ska verkställas.
Även för enskilda utbildningsanordnare kan behandling av känsliga personuppgifter vara berättigad i vissa fall när det saknas koppling till ett visst ärende och då behandlingen inte krävs enligt annan lag. Som framgått ovan förekommer det att enskilda utbildningsanordnare genomför högskoleprov. Hos enskilda utbildningsanordnare finns också möjligheten att ansöka om särskilt pedagogiskt stöd. Även för enskilda utbildningsanordnare kan det därmed finnas behov av att behandla känsliga personuppgifter i samband med att beslut att bevilja anpassning vid högskoleprovet eller särskilt pedagogiskt stöd ska verkställas. Sådan behandling kan i dagsläget ske i ostrukturerat material med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.
Om någon reglering som möjliggör fortsatt sådan behandling inte införs är enskilda utbildningsanordnare hänvisade till att använda sig av samtycke från den registrerade. Att enbart använda sig av samtycke kan vara problematiskt, särskilt i fråga om anpassning vid högskoleprovet, eftersom provdeltagaren då måste skicka in ett samtycke till personuppgiftsbehandling i anslutning till att intyg om lässvårigheten, inlärningsstörningen eller synskadan skickas in. Det kan vidare ifrågasättas om samtycke kan användas som rättslig grund för all behandling som krävs i fråga om särskilt pedagogiskt stöd, eftersom det kan vara svårt för den enskilde att överblicka omfattningen och arten av de behandlingar som krävs när beslutade stödåtgärder ska verkställas.
I övervägandena till förslaget till 3 kap. 3 § 3 dataskyddslagen anger Dataskyddsutredningen att sådan behandling som bestämmelsen tar sikte på måste regleras på ett sätt som beaktar dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. Bestämmelsen innehåller därför rekvisitet ”absolut nödvändigt” för att markera att behandling av känsliga personuppgifter i här aktuella fall bara ska ske efter en noggrann prövning i det enskilda fallet. Dataskyddsutredningen anser vidare att prövningen också bör ske med beaktande av vilket intrång behandlingen utgör för den registrerades integritet. Dataskyddsutredningen har därför formulerat bestämmelsen på sådant sätt att en avvägning ska göras av om en i och för sig absolut nödvändig behandling av känsliga personuppgifter innebär ett otillbörligt intrång i den registrerades integritet, vilket skulle kunna få till följd att behandlingen inte är tillåten (SOU 2017:39, avsnitt 10.6.2). Bestämmelsen i den föreslagna 3 kap. 3 § 3 dataskyddslagen innehåller således rekvisit som starkt markerar att bestämmelsen ska tillämpas restriktivt och först efter noggranna avvägningar mellan behovet av behandlingen och intrånget i den enskildes integritet.
Utredningen anser sammanfattningsvis att en bestämmelse motsvarande 3 kap. 3 § 3 dataskyddslagen ska införas även för enskilda utbildningsanordnare. Dessa aktörer har samma behov som statliga högskolor att i vissa fall kunna behandla känsliga personuppgifter även när det saknas koppling till ett visst ärende eller när behandlingen inte krävs enligt annan lag. En bestämmelse med sådana starkt begränsande rekvisit, tillgodoser, enligt utredningens bedömning,
dataskyddsförordningens krav på proportionalitet och skyddsåtgärder.
Behandling av personuppgifter som rör fällande domar i brottmål
Förbudet i artikel 10 för behandling av personuppgifter som rör fällande domar i brottmål gäller inte för myndigheter. Dataskyddsutredningen föreslår att en upplysningsbestämmelse om detta ska finnas i 3 kap. 9 § dataskyddslagen. Även när dataskyddsförordningen ska börja tillämpas kommer således statliga högskolor att kunna behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande enligt 4 kap. 6 § högskolelagen och förordningen om avskiljande av studenter från högskoleutbildning. Någon ytterligare reglering i denna del krävs därmed inte för de statliga högskolornas behandlingar.
För enskilda utbildningsanordnare är det dock annorlunda. Som framgår ovan har de enskilda utbildningsanordnarna egna regelverk om avskiljande som i stort sett motsvarar de som gäller för statliga högskolor. De har därmed samma behov som statliga högskolor att behandla personuppgifter som rör fällande domar i brottmål. Sådan behandling kan i dagsläget ske i ostrukturerat material med stöd av 5 a § PUL samt Datainspektionens föreskrifter, vilka meddelats med stöd av bemyndigande i 9 § PUF. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.
Enligt Dataskyddsutredningens förslag till 4 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning får personuppgifter som rör bl.a. fällande domar i brottmål behandlas av andra än myndigheter om
1. behandlingen är nödvändig för att rättsliga anspråk ska kunna fast-
ställas, göras gällande eller försvaras i ett enskilt fall,
2. behandlingen avser enstaka uppgifter och är nödvändig för att till
polisen anmäla misstanke om brott, eller
3. behandlingen avser enstaka uppgifter och är nödvändig för att en
rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Enligt utredningens bedömning är det inte möjligt för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ett ärende om avskiljande med stöd av Dataskyddsutredningens ovan nämnda förslag.
Enligt Dataskyddsutredningens förslag till 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning bemyndigas Datainspektionen att meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. I vilken mån Datainspektionen kommer att använda sig av det föreslagna bemyndigandet och i så fall på vilket sätt är i dagsläget oklart.
Dataskyddsförordningen och dataskyddslagen tillåter således inte att enskilda utbildningsanordnare behandlar personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande och det saknas förslag till undantag som möjliggör sådan behandling. Frågan är då om utredningen bör föreslå en sådan bestämmelse.
I förarbetena till den numera upphävda lagen (2001:1286) om likabehandling av studenter i högskolan uttalar regeringen bl.a. följande (prop. 2001/02:27 s. 75, se även prop. 2008/09:68 s. 47).
Regeringen har dock i andra sammanhang ansett att det inte är lämpligt att reglera förhållandet mellan en student eller en sökande och en enskild utbildningsanordnare i offentligrättslig ordning. Exempelvis regleras inte frågor om avskiljande och disciplinära åtgärder rörande studenter hos enskilda utbildningsanordnare. Vidare kan inte en enskild utbildningsanordnares beslut överklagas enligt bestämmelserna i högskoleförordningen och förordningen för Sveriges lantbruksuniversitet. I relationen mellan en enskild utbildningsanordnare och en student är parterna hänvisade till att föra en talan i civilrättslig ordning.
Att det saknas reglering för enskilda utbildningsanordnare om avskiljande synes således inte bero på att frågan är av underordnad betydelse för deras del, utan endast på att det inte ansetts lämpligt med en offentligrättslig reglering av dessa frågor. Vidare syftar ett avskiljande till att förhindra att en student skadar sin omgivning. Det måste därmed, enligt utredningens bedömning, anses vara lika angeläget att enskilda utbildningsanordnare har möjlighet att behandla personuppgifter som rör fällande domar i brottmål i deras motsvarighet till ärenden om avskiljande. En sådan bestämmelse bör således införas.
En bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som starkt betonar att det är fråga om en restriktiv tillämpning där en noggrann avvägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Enligt utredningens uppfattning kan utformningen av Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen tjäna som riktmärke.
Behandling av personuppgifter som rör fällande domar i brottmål skulle då kunna tillåtas om det är absolut nödvändigt, vilket innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling.
För att ytterligare begränsa bestämmelsens tillämpning bör den, enligt utredningens uppfattning, också innehålla en avvägningsnorm. Av 4 kap. 6 § andra stycket högskolelagen framgår att en förutsättning för avskiljande på grund av att studenten bl.a. har gjort sig skyldig till allvarlig brottslighet, är att det till följd av ett sådant förhållande bedöms föreligga en påtaglig risk att studenten kan komma att skada annan person eller värdefull egendom under utbildningen. Den bestämmelse som ska möjliggöra för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål kan då lämpligen innehålla en avvägningsnorm enligt vilken intresset för andras säkerhet och värdefull egendom ska ställas mot den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Det åligger därmed den enskilde utbildningsanordnaren att göra en noggrann avvägning i varje enskilt fall om den avsedda behandlingen kan göras.
Sammanfattningsvis anser utredningen att det ska införas en bestämmelse som anger att personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare i löpande text i ett ärende om avskiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Utredningens bedömning är avslutningsvis att en bestämmelse, med sådana starkt begränsande rekvisit, uppfyller kraven i artikel 10 i dataskyddsförordningen.
Skyddsåtgärder – sökförbud
Förslagen till bestämmelser i dataskyddslagen som Dataskyddsutredningen lämnar för att möjliggöra för myndigheter att i vissa fall behandla känsliga personuppgifter har sin grund i artikel 9.2 g. För att i denna del leva upp till förordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Dataskyddsutredningen även en skyddsåtgärd i form av en sökbegränsning i 3 kap. 4 § dataskyddslagen (SOU 2017:39, avsnitt 10.6.2).
Dataskyddsutredningen menar att sökningar som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Enligt Dataskyddsutredningen ligger företeelsen nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen anser att med ett sökförbud uppnås ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna.
Dataskyddsutredningen konstaterar vidare att ett sådant sökförbud innebär att offentlighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förvarad hos myndigheten. Dataskyddsutredningen anser att den omständigheten att sammanställningar av känsliga personuppgifter inte kommer att lämnas ut är en inte obetydlig integritetsvinst för de registrerade. Dataskyddsutredningen understryker dock att den s.k. begränsningsregeln inte hindrar att sökningar görs i färdiga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar, dvs. sökning får på begäran ske i upptagningar där myndigheten eller den som lämnat in handlingen till myndigheten har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.
Enligt Dataskyddsutredningen bör sökbegränsningar av detta slag omfatta alla typer av tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.
Dataskyddsutredningens förslag till sökförbud i 3 kap. 4 § dataskyddslagen gäller endast för myndigheter. Ett undantag finns dock. Vid tillämpningen av bestämmelsen ska, enligt 1 kap. 5 § dataskyddslagen, andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i organets verksamhet. Enskilda utbildningsanordnare omfattas som regel således inte av den föreslagna bestämmelsen, utan endast statliga högskolor. De skäl som finns för att sökbegränsningar ska gälla för statliga högskolors del gör sig enligt utredningens bedömning dock gällande även avseende enskilda utbildningsanordnare. En motsvarande bestämmelse som begränsar deras möjligheter till behandling av känsliga personuppgifter bör därför också införas.
För enskilda utbildningsanordnares behandling av personuppgifter som rör fällande domar i brottmål bör vidare ett motsvarande förbud också gälla för att använda sökbegrepp som avslöjar sådana uppgifter. På så sätt fastställs, i enlighet med artikel 10 i dataskyddsförordningen, ytterligare en skyddsåtgärd för de registrerades rättigheter och friheter.
Nya bestämmelser i lagen om tillstånd att utfärda vissa examina
Enligt ovan har utredningen kommit fram till att statliga högskolor i Dataskyddsutredningens förslag kan finna stöd för nödvändig behandling av känsliga personuppgifter i ärenden om anpassning vid högskoleprovet, avsteg vid antagning, ansökningar om särskilt pedagogiskt stöd, statsbidrag för särskilt utbildningsstöd, trakasserier, sexuella trakasserier, disciplinära åtgärder, avskiljande och eventuella ytterligare ärenden där det finns en koppling till ett viktigt allmänt intresse. Vidare kan både statliga högskolor och, i förekommande fall, enskilda utbildningsanordnare i Dataskyddsutredningens förslag finna stöd för nödvändig personuppgiftsbehandling vid uppfyllandet av åligganden enligt offentlighetsprincipen. Därtill kan statliga högskolor finna stöd i Dataskyddsutredningens förslag även för sådan behandling som i enstaka fall är absolut nödvändig. Något behov av ytterligare reglering för statliga högskolors del finns därmed inte.
För enskilda utbildningsanordnare finns det enligt utredningens bedömningar ovan dock ett behov av reglering. För deras del behö-
ver det införas bestämmelser som möjliggör nödvändig behandling av känsliga personuppgifter i samma typ av ärenden som finns hos de statliga högskolorna. Utredningen gör även bedömningen att det finns behov av en reglering som möjliggör för enskilda utbildningsanordnare att i enstaka fall behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Därtill anser utredningen att det finns behov av en reglering som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande av studenter. Vad utredningen har att ta ställning till är därefter var sådana bestämmelser lämpligast bör placeras.
I Dataskyddsutredningens förslag till 3 kap. 8 § dataskyddslagen ges ett bemyndigande till regeringen att meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. I förslaget till 3 kap. 10 och 12 §§ dataskyddslagen bemyndigas regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. Det är således ur ett dataskyddsperspektiv möjligt att föreskriva om dessa undantag i en förordning. De bestämmelser som myndigheter och, i fråga om offentlighetsprincipen, enskilda utbildningsanordnare har att tillämpa enligt dataskyddslagen är dock i lagform. Utredningens bedömning är därför att det är lämpligt att bestämmelserna som ger enskilda utbildningsanordnare stöd för att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål förs in på samma normhierarkiska nivå. Detta görs lämpligen i lagen om tillstånd att utfärda vissa examina, eftersom det för enskilda utbildningsanordnares del är genom den lagen som den rättsliga grunden uppgift av allmänt intresse fastställs.
I lagen om tillstånd att utfärda vissa examina ska det därför införas en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
När det gäller offentlighetsprincipen är det som framgår ovan inte nödvändigt att införa en bestämmelse som möjliggör nödvändig behandling vid uppfyllandet av de åligganden som följer av offentlighetsprincipen, eftersom Datasskyddsutredningens förslag i denna
del omfattar även enskilda utbildningsanordnare. För tydlighets skull anser utredningen dock att det är lämpligt att all reglering av enskilda utbildningsanordnares behandling av känsliga personuppgifter finns i samma författning. I lagen om tillstånd att utfärda vissa examina anser utredningen följaktligen att det ska införas en bestämmelse som anger att enskilda utbildningsanordnare får behandla känsliga personuppgifter, om uppgifterna har lämnats till lärosätet och behandlingen krävs enligt lag.
För behandling av känsliga personuppgifter ska det i lagen om tillstånd att utfärda vissa examina även införas en bestämmelse om att enskilda utbildningsanordnare får behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Det ska även införas en bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande.
Avslutningsvis ska det införas en bestämmelse om sökförbud samt upplysningsbestämmelser avseende förhållandet till dataskyddsförordningen och dataskyddslagen.
5.5. Behov av ytterligare reglering
Bedömning: Dataskyddsförordningen, dataskyddslagen, förord-
ningen om redovisning av studier m.m. vid universitet och högskolor samt utredningens förslag till författningsreglering av enskilda utbildningsanordnares behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål utgör en ändamålsenlig reglering för enskilda utbildningsanordnares och statliga högskolors nödvändiga personuppgiftsbehandling samt ett välavvägt skydd för enskildas personliga integritet.
Den personuppgiftsbehandling som statliga högskolor utför är inte sådan att det krävs en lagreglering enligt 2 kap. 6 § regeringsformen.
Någon ytterligare reglering, utöver förslagen till reglering av enskilda utbildningsanordnares behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål, behövs därmed inte.
När personuppgiftslagen upphävs kommer den personuppgiftsbehandling som utförs inom universitets- och högskolesektorn i huvudsak att omfattas av dataskyddsförordningens och dataskyddslagens bestämmelser. Undantagen är dels den behandling som sker med stöd av förordningen om redovisning av studier m.m. vid universitet och högskolor, dels den behandling som sker inom studenthälsans verksamhet vilken omfattas av patientdatalagen. Därtill lämnar utredningen i föregående avsnitt förslag till reglering av enskilda utbildningsanordnares behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Frågan är således om det, utöver nämnda regleringar och förslag, krävs eller om det av annat skäl är lämpligt med en ytterligare författning i form av en särskild lag för att reglera personuppgiftsbehandlingen inom universitets- och högskolesektorn.
Dataskyddsförordningen möjliggör genom artikel 6.2 och 6.3 för medlemsstaterna att införa särskilda registerförfattningar. Varken dessa bestämmelser eller förordningen i sig innebär dock något krav på att det införs sådana författningar.
Enligt utredningens bedömning i avsnitt 5.3 kan enskilda utbildningsanordnare och statliga högskolor som rättslig grund för sin nödvändiga behandling av personuppgifter tillämpa artikel 6.1 a, c eller e i dataskyddsförordningen. Enskilda utbildningsanordnare kan dessutom tillämpa artikel 6.1 f. Som framgår ovan är det utredningens bedömning att det inte behövs någon särskild reglering för att lärosätena ska kunna tillämpa dessa rättsliga grunder. Enligt ovan bedömer utredningen även att nämnda rättsliga grunder i dataskyddsförordningen är tillräckliga för sådan behandling som är nödvändig för att lärosätena ska kunna utföra och uppfylla de uppgifter och åligganden som framgår av bl.a. högskolelagen och lagen om tillstånd att utfärda vissa examina.
För nödvändig eller absolut nödvändig behandling av känsliga personuppgifter kan statliga högskolor tillämpa de bestämmelser i dataskyddslagen som Dataskyddsutredningen föreslagit med artikel 9.2 g som grund. Som framgår ovan är det utredningens bedömning att dessa bestämmelser, i förening med möjligheten att i viss utsträckning använda sig av samtycke, är tillräckliga för sådan behandling av känsliga personuppgifter som är nödvändig eller absolut
nödvändig i de statliga högskolornas verksamhet enligt bl.a. högskolelagen.
För enskilda utbildningsanordnares behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål föreslår utredningen att det införs bestämmelser som möjliggör sådan nödvändig eller absolut nödvändig behandling. Som framgår ovan bedömer utredningen att den föreslagna regleringen på dessa områden är tillräcklig för sådan behandling i enskilda utbildningsanordnares verksamhet enligt bl.a. lagen om tillstånd att utfärda vissa examina. Den föreslagna regleringen omfattas vidare av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter i enlighet med dataskyddsförordningens bestämmelser i artikel 9.2 g och artikel 10.
Utöver förordningen om redovisning av studier m.m. vid universitet och högskolor kommer det således att finnas rättslig grund för statliga högskolors och enskilda utbildningsanordnares behandlingar även när dataskyddsförordningen ska börja tillämpas den 25 maj 2018. Ur den synvinkeln saknas det anledning att införa en särskild registerförfattning för högskolornas personuppgiftsbehandlingar.
Regeringsformens krav
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet i bestämmelsen gäller bara mot åtgärder från det allmännas sida och träffar därmed inte åtgärder som en enskild vidtar i förhållande till en annan enskild (prop. 2009/10:80 s. 250). Skyddet mot betydande intrång i den personliga integriteten enligt regeringsformen gäller således endast åtgärder som statliga högskolor vidtar i förhållande till sina studenter. Av 2 kap. 20 § framgår att skyddet får begränsas genom lag.
Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen trädde i kraft den 1 januari 2011. Genom en särskild övergångsbestämmelse har äldre regleringar, som inte har lagform, dock varit gällande t.o.m. utgången av 2015. Någon särskild lag om högskolornas personuppgiftsbehandling har inte införts med anledning av grundlagsänd-
ringen. Någon utredning med uppgiften att analysera behovet av en särskild författningsreglering inom universitets- och högskolesektorn med anledning av grundlagsändringen har inte heller tillsatts. Det förefaller därmed som att regeringen och lagstiftaren bedömt att statliga högskolors behandling av personuppgifter inte är sådan att den kräver särskilt lagstöd enligt 2 kap. 20 § regeringsformen, utan att de möjligheter till behandling av personuppgifter som finns enligt personuppgiftslagen och förordningen om redovisning av studier m.m. vid universitet och högskolor är både tillräckliga och inte för långtgående för integritetsskyddet.
Vidare har det inte framkommit att högskolornas personuppgiftsbehandlingar sedan den 1 januari 2016 har ändrats eller avses ändras på ett sätt som medför att behovet av att införa en särskild registerlag har förändrats. Det är inte några ofullkomligheter i lagstiftningen eller ifrågasatta integritetskränkningar som har föranlett utredningsuppdraget, utan enbart den kommande nya EU-regleringen av behandling av personuppgifter, vilken medför att personuppgiftslagen kommer att upphävas.
Högskolornas behandling av personuppgifter består huvudsakligen av uppgifter i form av namn, personnummer, kontaktuppgifter och studieresultat. Dessa behandlas främst i samband med ansökan till högskoleutbildning, i olika administrativa system och i undervisningen. Vidare bör det beaktas att det är fråga om en frivillig studieform samt att en stor del av behandlingarna har särskilt författningsstöd genom bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor. I nämnda förordning regleras förutsättningarna för de två absolut största systemen inom universitets- och högskolesektorn, nämligen antagningssystemet NyA och systemet för studieadministration, Ladok.
Vidare förekommer det inte behandling av känsliga eller integritetskänsliga uppgifter i någon större utsträckning. Behandling av sådana uppgifter har i dagsläget stöd i personuppgiftslagen och kommer för statliga högskolors del senare att ha stöd i dataskyddslagen.
Den personuppgiftsansvarige ska dessutom enligt artikel 5 i dataskyddsförordningen se till att personuppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Vidare får personuppgifterna inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka
personuppgifterna behandlas (lagringsminimering). Dessa bestämmelser begränsar den personuppgiftsansvariges möjligheter att behandla fler personuppgifter än nödvändigt för längre tid än nödvändigt.
Sammantaget bedömer utredningen att statliga högskolors personuppgiftsbehandling inte är sådan att den utgör ett betydande intrång i regeringsformens mening. Någon lagreglering med anledning av bestämmelserna i regeringsformen behövs därmed inte.
Finns det andra skäl att införa en särskild lag?
I avsnitt 4.9 redovisar utredningen sin uppfattning att bestämmelserna i dataskyddsförordningen ger ett mycket starkt skydd för den enskildes integritet och rättigheter. I nämnda avsnitt gör utredningen bedömningen att en särskild författning som reglerar den skollagsreglerade utbildningsverksamhetens personuppgiftsbehandling inte skulle innebära att skyddet för enskildas integritet och rättigheter blev starkare. Utredningen bedömer vidare att en sådan reglering dessutom skulle kunna vara kontraproduktiv på så sätt att den skulle kunna komma att begränsa möjligheterna att behandla personuppgifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att, med utnyttjande av tillgängliga tekniska hjälpmedel, bedriva utbildning med ett gott resultat.
Enligt utredningens mening gör motsvarande överväganden sig gällande även i fråga om den personuppgiftsbehandling som utförs av statliga högskolor och enskilda utbildningsanordnare. Utredningen bedömer således att det saknas skäl till ytterligare reglering av personuppgiftsbehandlingen inom universitets- och högskolesektorn.
5.6. Förordningen om redovisning av studier m.m. vid universitet och högskolor
5.6.1. Utredningens uppdrag i denna del
Förordningen om redovisning av studier m.m. vid universitet och högskolor gäller utöver personuppgiftslagen vid helt eller delvis automatiserad behandling av personuppgifter. I förordningen finns det bestämmelser som hänvisar till personuppgiftslagen. När data-
skyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas. Utredningen har därför fått i uppdrag att se över vilka ändringar i förordningen om redovisning av studier m.m. vid universitet och högskolor som behöver göras med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna.
Utredningens uppdrag i denna del innebär således att anpassa bestämmelserna i förordningen till dataskyddsförordningens reglering, varvid utredningen ska beakta de förslag till ny generell reglering som Dataskyddsutredningen föreslår (dataskyddslagen). Andra behov av ändringar i förordningen om redovisning av studier m.m. vid universitet och högskolor ligger därmed utanför uppdraget. Enligt direktiven finns det dock möjlighet att belysa även andra frågeställningar som är relevanta för uppdraget samt komma med förslag i sådana delar.
Analysen av behovet av ändringar i förordningen inleds i följande avsnitt med vilken eller vilka rättsliga grunder som är tillämpliga på de behandlingar som förordningen reglerar. Därefter, i avsnitt 5.6.3, går utredningen genom förordningens bestämmelser och lyfter fram frågeställningar och lämnar förslag till ändringar utifrån att dataskyddsförordningen ska börja tillämpas. I det sista avsnittet (5.6.4) lyfter utredningen fram vilket behov av översyn av övriga bestämmelser i förordningen om redovisning av studier m.m. vid universitet och högskolor som kommit fram under utredningens gång. Det rör sig alltså om behov av överväganden som inte motiveras av de nya regelverk om personuppgiftsbehandling som ska börja tillämpas den 25 maj 2018.
5.6.2. Rättslig grund för personuppgiftsbehandling
Bedömning: Bestämmelserna i förordningen om redovisning av
studier m.m. vid universitet och högskolor utgör i enlighet med artikel 6.1 c i dataskyddsförordningen fastställda rättsliga förpliktelser för statliga högskolor och SCB att föra olika register. Förandet av registren är dessutom för statliga högskolor och SCB fastställda uppgifter av allmänt intresse i enlighet med första ledet i
artikel 6.1 e. För UHR:s del finns det en fastställd uppgift av allmänt intresse att föra ett antagningsregister.
Enligt artikel 6.2 och 6.3 andra stycket är det tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva 6.1 c och e. Förordningen om redovisning av studier m.m. vid universitet och högskolor är därmed i sig förenlig med dataskyddsförordningen.
Enligt artikel 6.1 i dataskyddsförordningen krävs att åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt för att behandling av personuppgifter ska vara laglig. Ett sådant villkor är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (6.1 c). Av artikel 6.3 första stycket framgår att den rättsliga förpliktelsen ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
I fråga om rättslig förpliktelse föreslår Dataskyddsutredningen en förtydligande bestämmelse i 2 kap. 3 § dataskyddslagen, enligt vilken personuppgifter får behandlas med stöd av artikel 6.1 c om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller följer av beslut som har meddelats med stöd av lag eller annan författning.
Av artikel 6.3 andra stycket första meningen framgår att, i fråga om den rättsliga grunden rättslig förpliktelse, syftet med behandlingen ska fastställas i den rättsliga grunden. Enligt Dataskyddsutredningen torde kravet innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår av den författning som förpliktelsen grundas på och inte heller, i förekommande fall, kan utläsas av det beslut som anger förpliktelsen. Hur bestämmelsen ska tolkas är dock oklart (SOU 2017:39, avsnitt 8.3.2).
I 2 kap. 1 § första stycket förordningen om redovisning av studier m.m. vid universitet och högskolor anges att högskolorna ska dokumentera uppgifter om studenter. I andra stycket anges att högskolorna ska föra ett studieregister och där ange uppgifterna individuellt för varje student samt att registret får föras med hjälp av automatiserad behandling. Enligt utredningens bedömning är nämnda bestämmelser ett utryck för en rättslig förpliktelse för högskolorna.
I 2 kap. 2 § anges för vilka ändamål registret ska föras, bl.a. för att säkra att uppgifter om sökande till utbildning, genomgångna studier, betyg över utbildningar och examina bevaras. Syftet med registret och behandlingarna framgår således av 2 §. Den rättsliga förpliktelsen för högskolorna att föra ett studieregister är därmed fastställd i svensk rätt.
I 3 kap. 1 § anges att SCB ska föra ett register och där ange uppgifterna individuellt för varje student samt att registret får föras med hjälp av automatiserad behandling. Även för SCB finns det i förordningen om redovisning av studier m.m. vid universitet och högskolor därmed en rättslig förpliktelse att föra ett register.
Enligt 3 kap. 2 § första stycket får registret användas av SCB för att ge underlag för att framställa sådan officiell statistik över utbildningen vid landets högskolor som behövs för uppföljning, utvärdering och information samt annan statistik, om ändamålet med behandlingen inte är oförenligt med nämnda ändamål. Enligt andra stycket får registret användas också för forskning. Syftet med registret och behandlingarna framgår således av 2 §. Den rättsliga förpliktelsen för SCB att föra registret är därmed fastställd i svensk rätt.
Av 3 kap. 10 § första stycket framgår att SCB, ur sådana register som finns inom SCB, även ska sammanställa ett antal uppgifter om de personer som är anställda vid en högskola. Enligt andra stycket ska uppgifterna sammanställas i ett register som förs med hjälp av automatiserad behandling. Av första stycket framgår vidare att ändamålet är att utgöra underlag för statistik över högskolornas personal. Enligt utredningens bedömning är det därmed även i denna del fråga om en för SCB fastställd rättslig förpliktelse att föra en viss typ av register.
En annan rättslig grund som aktualiseras med anledning av bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor är den som finns i första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse. Av artikel 6.3 första stycket framgår att även denna grund ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansarige omfattas av.
Dataskyddsutredningen föreslår att det i 2 kap. 4 § dataskyddslagen ska finnas en förtydligande bestämmelse på motsvarande sätt som i fråga om rättslig förpliktelse, dvs. att personuppgifter får be-
handlas med stöd av artikel 6.1 e om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4). Vidare konstaterar Dataskyddsutredningen att statliga och kommunala myndigheters verksamhet i allt väsentligt är av allmänt intresse och att det är den rättsliga grunden i artikel 6.1 e som vanligen bör tillämpas av myndigheter. Dataskyddsutredningen anför vidare följande.
Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.
Utredningen konstaterar att statliga högskolor och SCB är myndigheter och att deras uppgift att föra olika register regleras i förordning. Bedömningen är därför att förandet av de olika registren är en för statliga högskolor och SCB i svensk rätt fastställd uppgift av allmänt intresse.
Vidare har UHR, enligt 2 § förordningen med instruktion för Universitets- och högskolerådet, till uppgift att på uppdrag av universitet och högskolor som omfattas av högskolelagen eller av enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen om tillstånd att utfärda vissa examina biträda vid antagning av studenter och ansvara för ett samordnat antagningsförfarande.
Av 4 kap. 1 § första stycket förordningen om redovisning av studier m.m. vid universitet och högskolor framgår att UHR får föra ett antagningsregister och där ange uppgifterna individuellt för varje student. Vidare anges att registret får föras med hjälp av automatiserad behandling. Av andra stycket framgår att ändamålet med registret är att bl.a. vara till hjälp för högskolor vid antagning av studenter.
Mot bakgrund av angivna bestämmelser finns det, enligt utredningens mening, därmed en i svensk rätt fastställd uppgift av allmänt intresse för UHR:s del att föra ett antagningsregister.
Utredningen konstaterar sammanfattningsvis att det för statliga högskolor och SCB finns två i svensk rätt fastställda rättsliga grunder till stöd för behandling av personuppgifter i deras respektive register, artikel 6.1 c och första ledet i artikel 6.1 e, dvs. rättslig förpliktelse och uppgift av allmänt intresse. För UHR:s del är den rättsliga grunden uppgift av allmänt intresse tillämplig.
Vidare framgår det av artikel 6.2 att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva punkt 6.1 c och e. Enligt artikel 6.3 andra stycket andra meningen kan dessutom den rättsliga grunden, som fastställs i den nationella rätten, innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen i form av bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Dataskyddsförordningen medger således att det i nationell rätt finns sådana regleringar (registerförfattningar) som införts genom t.ex. förordningen om redovisning av studier m.m. vid universitet och högskolor.
Vidare ska, enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen, den rättsliga regleringen uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Utredningen konstaterar att förordningen om redovisning av studier m.m. vid universitet och högskolor tillkommit i den ordning som regeringsformen utpekar för föreskrifter av nu aktuellt slag. Bestämmelserna har bedömts relevanta och proportionerliga av regeringen. Inte heller har såvitt framkommit någon tillsynsmyndighet uttalat någon kritik eller tveksamhet i dessa avseenden. Det är därför rimligt att utgå från att de ändamål m.m. som fastställts i samband med författningsarbetet är relevanta och proportionerliga i förhållande till det integritetsintrång behandlingarna kan innebära. Denna bedömning är giltig även i de avseenden som avses i dataskyddsförordningen. Utredningen har inte heller vid genomgången av förordningen funnit några exempel på bestämmelser som kan sägas vara
irrelevanta eller oproportionerliga. Utredningen anser således att föreskrifterna uppfyller kraven i artikel 6.3 andra stycket i dataskyddsförordningen.
Med anledning av att dataskyddsförordningen och en ny generell lagstiftning som i vissa delar kompletterar förordningen ska börja tillämpas, påkallas dock ställningstaganden till och ändringar i vissa av bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor. En genomgång av befintliga bestämmelser görs i följande avsnitt.
5.6.3. Behov av ändringar med anledning av dataskyddsförordningen
Förslag: I 1 kap. 1 § andra stycket ska hänvisningen till person-
uppgiftslagen utgå.
Det ska införas en ny paragraf, 1 a §, i vilken det ska upplysas om att förordningen kompletterar dataskyddsförordningen. Vidare ska förhållandet till dataskyddslagen regleras.
Bestämmelserna i 1 kap. 4–6 §§ om information, rättelse och skadestånd samt överklagande ska upphävas. Rubrikerna närmast före nämnda paragrafer samt närmast före 1 § ska utgå.
Bestämmelsen i 2 kap. 1 § tredje stycket ska upphävas. Bestämmelserna i 2 kap. 5 a § och 4 kap. 3 §, vilka reglerar högskolornas respektive UHR:s möjligheter att behandla känsliga personuppgifter i antagningsärenden, ska ändras på så sätt att de ska hänvisa till artikel 9.1 i dataskyddsförordningen i stället för till 13 § PUL.
Förordningen om redovisning av studier m.m. vid universitet och högskolor består av fyra kapitel. Det första kapitlet innehåller allmänna bestämmelser. I det andra kapitlet finns bestämmelser om studieregister. Personuppgiftsbehandlingen i Ladok träffas av regleringen i detta kapitel. Det tredje kapitlet innehåller bestämmelser om rapportering och framställning av officiell statistik. Slutligen, i det fjärde kapitlet, finns bestämmelser om antagningsregister. Personuppgiftsbehandlingen i UHR:s antagningssystem NyA omfattas av regleringen i detta kapitel. Nedan redogörs för regleringen i respektive paragraf och vilka behov av ändringar som utredningen anser är
påkallade med anledning av att dataskyddsförordningen ska börja tillämpas.
1 kap. 1 §
Första stycket
I första stycket anges att det i förordningen finns bestämmelser om registrering av uppgifter om studier inom utbildning på grundnivå, avancerad nivå och forskarnivå vid statliga universitet och högskolor. Bestämmelserna i förordningen gäller således inte för enskilda utbildningsanordnare. I första stycket anges vidare att det i förordningen finns bestämmelser om rapportering av uppgifter till SCB om studenter för officiell statistik, framställning av personalstatistik vid SCB och registrering av uppgifter om studie- och yrkesmeriter vid UHR.
Upplysningsbestämmelserna i första stycket om förordningens tillämpningsområde saknas det skäl att ändra, eftersom de enligt utredningens bedömning är förenliga med dataskyddsförordningen.
Andra stycket
I andra stycket finns en upplysning om att förordningen gäller utöver personuppgiftslagen vid helt eller delvis automatiserad behandling av personuppgifter.
När dataskyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas. Hänvisningen till personuppgiftslagen ska således utgå. I övrigt saknas det enligt utredningens bedömning skäl till ändring av andra stycket. I sammanhanget aktualiseras dock frågan om behovet av att upplysa om och reglera förhållandet till bestämmelserna i dataskyddsförordningen och dataskyddslagen.
Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Förordningen om redovisning av studier m.m. vid universitet och högskolor innehåller endast sådana tillåtna bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör en bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i förordningen.
Dataskyddslagen kommer, på samma sätt som personuppgiftslagen, att vara subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter. Av tydlighetsskäl bör en hänvisning till dataskyddslagen införas, så som i dagsläget görs till personuppgiftslagen.
Utredningen föreslår därför att det i en ny paragraf, 1 a §, ska anges att förordningen kompletterar dataskyddsförordningen. I andra stycket ska förhållandet till dataskyddslagen regleras.
Tredje stycket
I det tredje stycket i 1 § anges att ett universitet, en högskola, SCB och UHR är personuppgiftsansvariga för behandling av personuppgifter i sin verksamhet.
Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Enligt utredningens bedömning är därmed bestämmelsen i 1 kap. 1 § tredje stycket förordningen om redovisning av studier m.m. vid universitet och högskolor förenlig med dataskyddsförordningen. Bestämmelsen om vilka som är personuppgiftsansvariga kan och bör därför behållas.
1 kap. 2 och 3 §§
I 2 § anges att med högskolor avses i förordningen både universitet och högskolor. I följande paragraf finns därefter definitioner av student och doktorand. Enligt utredningens bedömning är bestämmelserna förenliga med dataskyddsförordningens bestämmelser. Skäl att ändra dessa finns följaktligen inte.
1 kap. 4 §
I 4 § regleras vilken information som ska lämnas till den som ansöker om antagning till en utbildning. Enligt bestämmelsen ska högskolan informera den sökande om att uppgifter som har lämnats, liksom uppgifter om studier kommer att behandlas automatiserat i register. Informationen ska innehålla en upplysning om att bestämmelser om registren finns i förordningen och omfatta den information som ska lämnas enligt personuppgiftslagen.
Vilken information som enligt dataskyddsförordningen ska tillhandahållas den registrerade regleras i artikel 13 och 14. I artikel 13 regleras vilken information som ska tillhandahållas om personuppgifterna samlas in från den registrerade. I artikel 14 regleras vilken information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Enligt artikel 13.1 c och 14.1 c ska den registrerade förses med information om ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen. Enligt artikel 14.1 d ska den registrerade även informeras om de kategorier av personuppgifter som behandlingen gäller.
Utredningen bedömer därmed att dataskyddsförordningens bestämmelser om vilken information som ska lämnas till den registrerade omfattar sådan information som en högskola enligt 1 kap. 4 § förordningen om redovisning av studier m.m. vid universitet och högskolor ska lämna till sökanden. Dataskyddsförordningens bestämmelser är direkt tillämpliga. Något skäl för att, med stöd av artikel 23, begränsa den enskildes rättigheter och de personuppgiftsansvarigas skyldigheter enligt artikel 13 och 14 föreligger enligt utredningens bedömning inte. Mot denna bakgrund anser utredningen att bestämmelsen i 1 kap. 4 § förordningen om redovisning av studier m.m. vid universitet och högskolor ska upphävas.
1 kap. 5 §
I 5 § finns en upplysning om att bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt förordningen.
I personuppgiftslagen finns bestämmelser om rättelse i 28 §. Enligt lagrummet är den personuppgiftsansvarige skyldig att på begäran
av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Eftersom 28 § PUL endast avser sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som utfärdats med stöd av lagen, har det i förordningen om redovisning av studier m.m. vid universitet och högskolor varit nödvändigt att hänvisa till personuppgiftslagens bestämmelser.
Enligt artikel 16 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande.
Eftersom personuppgiftslagen kommer att upphävas behöver 5 § i förordningen om redovisning av studier m.m. vid universitet och högskolor ändras. Mot bakgrund av att dataskyddsförordningen är direkt tillämplig såvitt gäller rättelse, till skillnad mot vad som gäller enligt personuppgiftslagen, ska någon materiell bestämmelse i nationell rätt inte införas. Enligt utredningens mening saknas vidare anledning att införa en upplysningsbestämmelse om att det i förordningen finns bestämmelser om rättelse. Med hänsyn till detta föreslår utredningen att 1 kap. 5 §, i den del som avser rättelse, ska upphävas.
Som nämnts ovan anger 5 § att även bestämmelserna i personuppgiftslagen om skadestånd gäller vid behandling av personuppgifter enligt förordningen.
Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Även avseende rätten till skadestånd har det därmed varit nödvändigt att i förordningen om redovisning av studier m.m. vid universitet och högskolor hänvisa till personuppgiftslagens bestämmelser.
I dataskyddsförordningen regleras rätten till skadestånd i artikel 82. Av artikel 82.1 följer att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Av skäl 146 framgår att behandling som strider mot dataskyddsför-
ordningen även omfattar behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med dataskyddsförordningen och medlemsstaternas nationella rätt med närmare specifikation av dataskyddsförordningens bestämmelser.
Dataskyddsutredningen föreslår att 8 kap. 1 § dataskyddslagen ska innehålla en bestämmelse som upplyser om att rätten till ersättning som regleras i artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Förordningen om redovisning av studier m.m. vid universitet och högskolor är en författning som kompletterar dataskyddsförordningen.
Eftersom artikel 82 i dataskyddsförordningen är direkt tillämplig bör 1 kap. 5 § förordningen om redovisning av studier m.m. vid universitet och högskolor även upphävas i den del som avser skadestånd. Utredningen gör samma bedömning som i det föregående i fråga om behovet av att i stället göra om bestämmelsen till en upplysningsparagraf. 5 § bör följaktligen upphävas i sin helhet.
1 kap. 6 §
I 6 § anges att beslut om rättelse och avslag på ansökan om information enligt 26 § PUL får överklagas hos allmän förvaltningsdomstol följer av 22 a § förvaltningslagen.
Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad som anser att hans eller hennes rättigheter har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ha rätt till ett effektivt rättsmedel, utöver rätten att lämna in ett klagomål till en tillsynsmyndighet. Av artikel 79.2 framgår att talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. Talan får även väckas vid domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet som agerar inom ramen för sin myndighetsutövning.
Enligt Dataskyddsutredningens förslag till 8 kap. 2 § första stycket dataskyddslagen får beslut enligt artiklarna 12.5, 15–19 eller 21 i dataskyddsförordningen som har meddelats av en myndighet i
egenskap av personuppgiftsansvarig överklagas till allmän förvaltningsdomstol. De rättigheter som kan föranleda överklagbara beslut enligt Dataskyddsutredningens förslag rör således bl.a. registerutdrag (artikel 15) och rättelse (artikel 16). Dataskyddsutredningens förslag omfattar därmed vad 1 kap. 6 § förordningen om redovisning av studier m.m. vid universitet och högskolor upplyser om. Frågan utredningen har att ta ställning till är därmed om 6 § ska ändras på så sätt att den hänvisar till dataskyddslagen i stället för som i dagsläget till personuppgiftslagen.
I förarbetena i samband med att överklagandebestämmelserna i personuppgiftslagen infördes uttalas bl.a. följande (prop. 2005/06:173 s. 53).
Genom införandet av en bestämmelse om överklagande i personuppgiftslagen är det inte längre nödvändigt att i särskilda registerförfattningar, som hänvisar till personuppgiftslagen, ta in överklagandebestämmelser. Så länge sådana särskilda bestämmelser inte upphävts gäller de dock i första hand eftersom särbestämmelser i annan författning gäller framför personuppgiftslagen (2 §). Det kan finnas anledning att vid översyn av registerförfattningar särskilt uppmärksamma frågan om överklagande.
Eftersom utredningen föreslår en bestämmelse i 1 a § andra stycket som hänvisar till dataskyddslagen där det finns en bestämmelse om överklagande, anser utredningen följaktligen att upplysningsbestämmelsen om överklagande i 1 kap. 6 § ska upphävas.
2 kap. 1 §
Första och andra stycket
Enligt 1 § första stycket ska varje högskola dokumentera uppgifter om studenter. I andra stycket anges att varje högskola ska föra ett studieregister och där ange uppgifterna individuellt för varje student. Vidare anges att registret får föras med hjälp av automatiserad behandling.
Utredningen bedömer i avsnitt 5.6.2 att det genom nu nämnda bestämmelser finns en för statliga högskolor fastställd rättslig förpliktelse och uppgift av allmänt intresse att föra ett studieregister. Vidare anser utredningen att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskydds-
förordningen. Bestämmelserna i 2 kap. 1 § första och andra stycket förordningen om redovisning av studier m.m. vid universitet och högskolor är således förenliga med dataskyddsförordningen och kan och bör behållas.
Tredje stycket
Enligt 2 kap. 1 § tredje stycket ska en högskola upprätthålla en god intern kontroll över studieregistret och det ska finnas en beskrivning av hur registret förs.
I dataskyddsförordningen finns det bestämmelser om register över behandling och säkerhet i samband med behandling i artikel 30 respektive artikel 32. Dessa bestämmelser är mer preciserade och långtgående än vad 2 kap. 1 § tredje stycket förordningen om redovisning av studier m.m. vid universitet och högskolor anger. Bestämmelsen i tredje stycket kan och bör därför upphävas, eftersom bestämmelserna i dataskyddsförordningen är direkt tillämpliga.
Fjärde stycket
Av 2 kap. 1 § fjärde stycket framgår att om en högskola avser att införa ett nytt system för att föra registret eller göra väsentliga förändringar i ett befintligt system, ska högskolan samråda dels med Ekonomistyrningsverket i syfte att säkerställa att de uppgifter i registret som ligger till grund för resurstilldelningen blir tillförlitliga, dels med UKÄ och UHR i syfte att säkerställa att uppgifterna i registret uppfyller krav på kvalitet och jämförbarhet mellan olika högskolor.
Skyldigheten att i vissa fall samråda med Ekonomistyrningsverket, UKÄ och UHR tar inte direkt sikte på personuppgiftsbehandling. Någon ändring av fjärde stycket är därmed inte påkallad med anledning av att dataskyddsförordningen ska börja tillämpas.
2 kap. 2 §
I 2 § första stycket anges att ändamålet med studieregistret är att säkra att uppgifter om sökande till utbildning, genomgångna studier,
betyg över utbildningar och examina bevaras. Härutöver ska uppgifterna kunna läggas till grund för uppföljning och utvärdering, för antagning av studenter, för beslut om anmälningsavgift och studieavgift, för avstängning av studieavgiftsskyldiga studenter, för administration inom respektive högskola, för ändamål som anges i 6 och 6 a §§ (i dessa paragrafer regleras utlämnande av uppgifter), för sådan officiell statistik som avses i 3 kap. samt för resurstilldelning. Enligt andra stycket får registret användas även för forskning.
I avsnitt 5.6.2 redovisas utredningens uppfattning att tillämpliga rättsliga grunder för behandling av personuppgifter enligt 2 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor är artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. rättslig förpliktelse och uppgift av allmänt intresse. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. ändamålsbegränsningar. Utredningen anser följaktligen att 2 kap. 2 § förordningen om redovisning av studier m.m. vid universitet och högskolor är förenlig med dataskyddsförordningen och att bestämmelsen kan och bör behållas.
2 kap. 3 §
Av 3 § första stycket framgår att det i studieregistret ska dokumenteras uppgifter om behörighet, urvalsgrund, skyldighet att betala och betalning av anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet samt examen. Enligt andra stycket ska studieregistret därutöver innehålla sådana uppgifter som krävs för att högskolan ska kunna lämna uppgifter till SCB enligt 3 kap. och UHR enligt 4 kap. Av tredje stycket framgår att studieregistret också får innehålla de uppgifter om studenter som behövs för resultatredovisning.
I fråga om vilka uppgifter som ska och får behandlas i studieregistret gör utredningen motsvarande bedömning som den i 2 kap. 2 § om ändamålsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en registerförfattning behålla specifika bestämmelser även i form av vilken typ av uppgifter som ska behandlas. Utredningen bedömer därför att
3 § är förenlig med dataskyddsförordningen och att den kan och bör behållas.
2 kap. 4 §
Enligt 4 § ska uppgifterna i studieregistret om dels deltagande i utbildning, dels studieresultat föras i kronologisk och systematisk ordning. Underlaget för uppgifterna ska behandlas i enlighet med föreskrifterna om verifikationer i förordningen (2000:606) om myndigheters bokföring.
Även i denna del gör utredningen motsvarande bedömning som den i 2 kap. 2 § om ändamålsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en registerförfattning behålla specifika bestämmelser även i form av förfaranden för behandling. Utredningen bedömer således att bestämmelserna i 4 § är förenliga med dataskyddsförordningen och att de kan och bör behållas.
2 kap. 5 §
Av 5 § framgår att i studieregistret ska varje students identitet anges med hjälp av namn och personnummer. Om ett svenskt personnummer saknas, anges ett för denna student vid högskolan unikt nummer.
I fråga om att namn ska anges i studieregistret gör utredningen motsvarande bedömning som enligt ovan görs avseende 2 kap. 3 § och de uppgifter som enligt den bestämmelsen ska anges i studieregistret. Bestämmelsen i 5 § är i denna del således förenlig med dataskyddsförordningen.
I fråga om personnummer får, enligt 22 § PUL, uppgifter om personnummer eller samordningsnummer utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Av 50 § c PUL följer att regeringen får meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten.
Enligt artikel 87 första meningen i dataskyddsförordningen får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt
för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen.
Dataskyddsutredningen föreslår att det i 3 kap. 13 § dataskyddslagen ska införas en bestämmelse med samma ordalydelse som 22 § PUL. Vidare föreslår Dataskyddsutredningen en bestämmelse i 3 kap. 14 § dataskyddslagen som anger att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Bestämmelsen motsvarar således delvis 50 § c PUL.
Utredningen anser att det i aktuellt sammanhang är klart motiverat med hänsyn till ändamålet med behandlingen och vikten av en säker identifiering att personnummer eller annat för studenten vid högskolan unikt nummer används för identifiering. Därtill finns det ett bemyndigande för regeringen i dataskyddslagen att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Sammantaget anser utredningen att 2 kap. 5 § förordningen om redovisning av studier m.m. vid universitet och högskolor även i den del som avser behandling av personnummer eller annat unikt nummer är förenlig med dataskyddsförordningen och dataskyddslagen. Paragrafen kan och bör därför behållas oförändrad.
2 kap. 5 a §
Bestämmelsen reglerar behandling av känsliga personuppgifter. I bestämmelsen anges att en högskola får behandla känsliga personuppgifter som avses i 13 § PUL i antagningsärenden, om den enskilde har lämnat samtycke till detta.
Enligt 13 § första stycket PUL är det förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Av andra stycket framgår att det också är förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. I tredje stycket anges att uppgifter av den art som anges i första och andra styckena betecknas som känsliga personuppgifter.
Från förbudet i 13 § PUL finns ett antal undantag, bl.a. om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen (15 § PUL).
Personuppgiftslagen kommer att upphävas när dataskyddsförordningen ska börja tillämpas. Bestämmelsen i 2 kap. 5 a § förordningen om redovisning av studier m.m. vid universitet och högskolor behöver därför ändras.
Enligt artikel 9.1 i dataskyddsförordningen ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden.
Det är således i artikel 9.1 i dataskyddsförordningen som motsvarande reglering som den i 13 § PUL finns. Utredningen konstaterar att artikel 9.1 skiljer sig från 13 § PUL på så sätt att genetiska och biometriska uppgifter samt uppgifter om sexuell läggning ingår i uppräkningen av vilka kategorier som det enligt huvudregeln är förbjudet att behandla.
Eftersom 2 kap. 5 a § förordningen om redovisning av studier m.m. vid universitet och högskolor anger att känsliga personuppgifter får behandlas om den enskilde har lämnat samtycke till detta, är det utredningens uppfattning att den personuppgiftsansvarige inte kan åberopa några andra grunder för sådan behandling (jfr 1 kap. 1 § andra stycket förordningen och 2 § PUL). Genom bestämmelsen har således möjligheten att behandla känsliga personuppgifter begränsats till de situationer då den registrerade har lämnat sitt samtycke. Utredningen anser därför att motsvarande begränsning av tillämpliga rättsliga grunder ska gälla för behandling av de kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen, dvs. även de som inte anges i 13 § PUL. Utredningen anser därför att 2 kap. 5 a § ska ändras på så sätt att en hänvisning görs till artikel 9.1 i dataskyddsförordningen i stället. Med hänsyn till att den generella reglering som Dataskyddsutredningen föreslår inte gäller om något annat framgår av lag eller förordning kommer inte heller den regleringen i vad den avser känsliga personuppgifter att vara tillämplig på behandling av personuppgifter som faller inom tillämpningsområdet för
2 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor.
2 kap. 6 och 6 a §§
I 6 § regleras under vilka förutsättningar uppgifter från en högskolas studieregister får lämnas ut på medium för automatiserad behandling till andra högskolor, ett lärosäte eller en myndighet i en annan stat inom EES eller i Schweiz, en studentkår eller en nation, en student, CSN, UHR, SCB, Vetenskapsrådet, Verket för innovationssystem, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Forskningsrådet för hälsa, arbetsliv och välfärd, Svenska Institutet, UKÄ och andra myndigheter.
Enligt 6 a § första stycket ska högskolorna utan dröjsmål till Migrationsverket lämna ut uppgift om att en studieavgiftsskyldig student har antagits till en utbildning och om en sådan student inte har registrerat sig på utbildningen. I andra stycket anges att om det, utifrån de uppgifter som finns registrerade om en studieavgiftsskyldig student, finns anledning att anta att studenten har avbrutit sina studier, ska högskolan meddela Migrationsverket detta. Enligt tredje stycket får de uppgifter som avses i första och andra styckena lämnas ut på medium för automatiserad behandling.
I fråga om utlämnande av uppgifter på medium för automatiserad behandling gör utredningen motsvarande bedömning som den i 2 kap. 2 § om ändamålsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en registerförfattning behålla specifika bestämmelser om de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, typer av behandling och förfaranden för behandling. Utredningen bedömer därför att bestämmelserna i 6 och 6 a §§ är förenliga med dataskyddsförordningen och att de kan och bör behållas.
2 kap. 7 och 8 §§
I 7 § första stycket anges att för gallring av studieregistret gäller 10 § första och andra styckena arkivlagen (1990:782), om inte något annat föreskrivs i förordningen. Av nämnda bestämmelser i arkivlagen framgår att allmänna handlingar får gallras. Vid gallring ska dock all-
tid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose de ändamål som anges i 3 § tredje stycket arkivlagen, dvs. rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.
Enligt 2 kap. 7 § andra stycket förordningen om redovisning av studier m.m. vid universitet och högskolor får dock vissa uppgifter inte gallras. Detta gäller för uppgifter om den utbildning som en student har genomgått med godkänt resultat eller fått tillgodoräkna sig vid högskolan, studentens betyg i godkända prov och den eller de examina som studenten har avlagt.
Av tredje stycket framgår att uppgifter om en sökande som inte har antagits till utbildning vid högskolan eller om en sökande som har antagits men inte påbörjat sina studier ska gallras så snart det kan göras med hänsyn till högskolans eget behov av material för uppföljningar och statistiska bearbetningar, kraven på resultatredovisning och kraven på rapportering för den officiella statistiken.
Enligt 8 § ska en uppgift om medborgarskap som högskolan behöver för beslut om skyldighet att betala anmälningsavgift eller studieavgift gallras så snart studieregistret har uppdaterats med uppgift om huruvida studenten tillhör den personkrets som ska betala anmälningsavgift eller studieavgift.
Utredningen gör även i fråga om gallringsbestämmelserna i 7 och 8 §§ motsvarande bedömning som den i 2 kap. 2 § om ändamålsbegränsningar, eftersom det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att i en registerförfattning behålla specifika bestämmelser även i form av lagringstid. Utredningen bedömer därför att bestämmelserna i 7 och 8 §§ är förenliga med dataskyddsförordningen och att de kan och bör behållas.
3 kap. 1 §
Enligt den inledande bestämmelsen i tredje kapitlet ska SCB föra ett universitets- och högskoleregister och där ange uppgifterna individuellt för varje student. Vidare anges att registret får föras med hjälp av automatiserad behandling.
Utredningen bedömer, vilket redovisas i avsnitt 5.6.2, att det genom bestämmelserna i första stycket finns en för SCB fastställd rättslig förpliktelse och uppgift av allmänt intresse att föra ett universitets- och högskoleregister. Utredningen anger också att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen. Bestämmelserna i 3 kap. 1 § är således förenliga med dataskyddsförordningen. Paragrafen kan och bör därmed behållas.
3 kap. 2 §
Ändamålet med SCB:s universitets- och högskoleregister anges i 2 §. Av bestämmelsen framgår att registret får användas av SCB för att ge underlag för att framställa sådan officiell statistik över utbildningen vid landets högskolor som behövs för uppföljning, utvärdering och information samt annan statistik, om ändamålet med behandlingen inte är oförenligt med nämnda ändamål. Vidare anges att registret också får användas för forskning.
I avsnitt 5.6.2 redovisas utredningens uppfattning att tillämpliga rättsliga grunder för behandling av personuppgifter enligt 3 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor är artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. rättslig förpliktelse och uppgift av allmänt intresse. Utredningen gör därför motsvarande bedömning som i fråga om ändamålsbegränsningarna i 2 kap. 2 §. Utredningen anser följaktligen att ändamålsbestämmelserna i 3 kap. 2 § förordningen om redovisning av studier m.m. vid universitet och högskolor är förenliga med dataskyddsförordningen. Paragrafen kan och bör därför behållas.
3 kap. 3–7 §§
Bestämmelsernas innehåll
Enligt 3 § ska SCB:s universitets- och högskoleregister innehålla uppgifter om samtliga studenter i utbildning på grundnivå och avancerad nivå. Uppgifterna får hämtas från högskolornas studieregister, dvs. Ladok, och ska omfatta identitetsuppgifter, uppgifter om högskola, registrering på kurser per termin eller kalenderhalvår, skyl-
dighet att betala och betalning av anmälningsavgift och studieavgift, eventuellt utbildningsprogram som studenten har antagits till, avklarade högskolepoäng på kurser för varje termin eller kalenderhalvår. För avlagd examen ska uppgifterna i SCB:s register omfatta examens namn och nivå, inriktning, omfattning i högskolepoäng, datum för utfärdande av examensbevis och det huvudsakliga området för utbildningen för en kandidat-, magister- eller masterexamen. För varje kurs ska uppgifterna i registret omfatta om kursen är på grundnivå eller avancerad nivå, kursens ämnesgrupp enligt den definition som SCB använder, utbildningsområde, fördjupning enligt högskolans bedömning och kursens omfattning i högskolepoäng, kurstakt, kurstid och distributionsform, den kommun eller det land där kursen huvudsakligen ges samt termin då kursen ges. För studenter som har avlagt en generell eller konstnärlig examen på avancerad nivå ska uppgifterna i registret omfatta tidigare avlagd examen enligt examenskraven för den aktuella examen på avancerad nivå.
Av 3 kap. 4 § följer att vissa uppgifter från andra register inom SCB får påföras SCB:s universitets- och högskoleregister. Uppgifter som får påföras är genomgången linje, program eller kurs i gymnasieskolan, annan utbildningsbakgrund samt betyg. Även uppgifter om boendekommun före och efter högskolestudierna får tillföras registret, liksom uppgift om det land där studenten har genomgått utbildning som gett behörighet till den sökta utbildningen på grundnivå eller avancerad nivå.
Enligt 3 kap. 5 § får uppgifter från systemen för antagning av studenter vid högskolorna och UHR, dvs. från antagningssystemet NyA, föras in i SCB:s universitets- och högskoleregister. Uppgifter som får föras in är identitetsuppgifter och uppgifter om kurs, utbildningsprogram och högskola som studenten sökt respektive antagits till, studentens prioritering av de sökta utbildningarna, behörighet, skyldighet att betala och betalning av anmälningsavgift och studieavgift.
I 3 kap. 6 § regleras vilka uppgifter från CSN:s register (STIS) som får påföras SCB:s universitets- och högskoleregister. Uppgifter som får påföras är identitetsuppgifter och uppgifter om utbetalade studiemedel fördelade på bidrag och lån per kalenderhalvår samt uppgifter om utlandsstudier.
Av 3 kap. 7 § framgår att registret även ska innehålla uppgifter om samtliga doktorander. Uppgifterna får hämtas från högskolornas
studieregister, dvs. Ladok, och ska omfatta identitetsuppgifter, datum för antagning och termin för studiernas påbörjande, ämne och högskola samt sådan forskarskola som regeringen bestämt, terminsvis registrering och aktivitet, typ av studiefinansiering, tidigare utbildning som gett behörighet till utbildningen på forskarnivå, tillgodoräknad utbildning eller annan tillgodoräknad verksamhet i högskolepoäng och om tillgodoräknandet avser utbildning på grundnivå eller avancerad nivå, högskola i Sverige eller det land där doktoranden har genomgått utbildning, och för avlagd examen: examens namn och ämne samt datum för utfärdande av examensbevis.
Utredningens överväganden
I fråga om vilka uppgifter som ska eller får behandlas i SCB:s universitets- och högskoleregister, med undantag för personnummer, gör utredningen motsvarande bedömning som den i 2 kap. 3 §, där det regleras vilka uppgifter som ska eller får finnas i högskolornas studieregister. Utredningen bedömer därför att 3 kap. 3–7 §§ i dessa delar är förenliga med dataskyddsförordningen och att de kan och bör behållas.
Vad gäller personnummer anges det inte uttryckligen i 3 kap. 3–7 §§ att personnummer ska eller får behandlas i registret. I bestämmelserna anges endast identitetsuppgifter. I gallringsbestämmelserna i 3 kap. 8 § anges dock i andra stycket att uppgift om bl.a. personnummer får gallras efter 30 år. Enligt bestämmelserna i 3 kap. ska eller får således uppgift om personnummer behandlas i SCB:s universitets- och högskoleregister.
I fråga om regleringen av användning av personnummer i SCB:s universitets- och högskoleregister är förenlig med dataskyddsförordningen gör utredningen motsvarande bedömning som den i 2 kap. 5 §. Utredningen bedömer därför att 3 kap. 3–7 §§ i dessa delar är förenliga med dataskyddsförordningen och dataskyddslagen och att de kan och bör behållas.
Sammanfattningsvis anser utredningen att bestämmelserna i 3 kap. 3–7 §§ i sin helhet är förenliga med dataskyddsförordningen och dataskyddslagen. De kan och bör därför behållas.
3 kap. 8 §
Bestämmelser om gallring av uppgifterna i SCB:s universitets- och högskoleregister finns i 8 §. För gallring gäller, enligt första stycket, 10 § första och andra styckena arkivlagen, om inte något annat föreskrivs i förordningen. I första stycket görs således samma hänvisning till arkivlagens bestämmelser som i 2 kap. 7 § första stycket. Som angetts ovan anger aktuella bestämmelser i arkivlagen att allmänna handlingar under vissa förutsättningar får gallras.
Enligt andra stycket i 3 kap. 8 § får uppgifter om personnummer och högskola gallras efter 30 år. Uppgifter om en sökande som inte har antagits till utbildning vid en högskola eller om en sökande som har antagits men inte påbörjat sina studier ska, enligt tredje stycket, gallras efter tio år.
Utredningen gör i fråga om gallringsbestämmelserna i 8 § motsvarande bedömning som den om gallringsbestämmelserna i 2 kap. 7–8 §§. Utredningen bedömer således att bestämmelserna i 3 kap. 8 § är förenliga med dataskyddsförordningen. Paragrafen kan och bör därmed behållas.
3 kap. 9 §
Som framgått ovan ska eller får SCB:s universitets- och högskoleregister, enligt 3 kap. 3–7 §§, innehålla ett stort antal uppgifter. Hur dessa uppgifter ska rapporteras till SCB får SCB, efter samråd med UKÄ och högskolorna, meddela närmare föreskrifter om. Detta framgår av 3 kap. 9 §. Några sådana myndighetsföreskrifter har dock inte meddelats.
Enligt 8 kap. 11 § regeringsformen får regeringen bemyndiga en myndighet under regeringen att meddela föreskrifter enligt 7 §. Dataskyddsförordningen hindrar inte att regeringen i här aktuellt avseende överlåter den normgivningskompetens regeringen har enligt 8 kap. 7 § regeringsformen. Utredningens bedömning är således att 3 kap. 9 § förordningen om redovisning av studier m.m. vid universitet och högskolor är förenlig med dataskyddsförordningen. Paragrafen kan och bör därför behållas.
3 kap. 10 §
Bestämmelserna i 3 kap. reglerar inte bara SCB:s universitets- och högskoleregister. Enligt 10 § första stycket ska SCB även framställa statistik över högskolornas personal. Som underlag för statistiken ska SCB, ur sådana register som finns inom SCB, sammanställa ett antal uppgifter om de personer som är anställda vid en högskola. Uppgifterna avser identitet, högskola, anställningskategori, grupper av ämnen som en lärare och övrig personal huvudsakligen är verksam inom, arbetets omfattning och om personen har en anställning tills vidare eller en tidsbegränsad anställning, utbildningsbakgrund och högskola där examen avlagts. Enligt andra stycket ska uppgifterna sammanställas i ett register som förs med hjälp av automatiserad behandling.
Utredningen redovisar i avsnitt 5.6.2 ställningstagandet att det genom bestämmelserna i 10 § finns en för SCB fastställd rättslig förpliktelse och uppgift av allmänt intresse att föra ett register av här aktuellt slag. Vidare bedömer utredningen att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen.
I fråga om vilka uppgifter som ska behandlas i registret gör utredningen, med undantag för personnummer, motsvarande bedömning som de i 2 kap. 3 § och 3 kap. 3–7 §§, i vilka det regleras vilka uppgifter som ska eller får behandlas i högskolornas studieregister respektive SCB:s universitets- och högskoleregister. Uppräkningen i 3 kap 10 § av vilka uppgifter som ska finnas i SCB:s register över högskolornas personal är således förenlig med dataskyddsförordningen.
I fråga om personnummer anges det inte uttryckligen i 10 § att personnummer ska anges, utan endast identitetsuppgifter. Liksom fallet är med begreppet identitetsuppgifter i 3–7 §§ torde detta även i 10 § omfatta personnummer. Utredningen gör i denna del motsvarande bedömning som i 3–7 §§, dvs. att regleringen om användning av identitetsuppgifter (personnummer) är förenlig med dataskyddsförordningen och dataskyddslagen.
Sammanfattningsvis anser utredningen således att bestämmelserna i 3 kap. 10 § är förenliga med dataskyddsförordningen och att de kan och bör behållas.
4 kap. 1 §
4 kap. förordningen om redovisning av studier m.m. vid universitet och högskolor har getts rubriken ”Antagningsregister”. Personuppgiftsbehandlingen i UHR:s antagningssystem NyA omfattas av regleringen i detta kapitel.
Av 1 § första stycket framgår att UHR får föra ett antagningsregister och där ange uppgifterna individuellt för varje student. Vidare anges att registret får föras med hjälp av automatiserad behandling. Enligt andra stycket är ändamålet med registret att vara till hjälp för högskolor vid antagning av studenter. Uppgifterna får också användas för ändamål som anges i 4 § (där utlämnande av uppgifter regleras), för sådan officiell statistik som avses i 3 kap. och för forskning.
Utredningen redovisar i avsnitt 5.6.2 bedömningen att det genom nu nämnda bestämmelser finns en för UHR fastställd uppgift av allmänt intresse att föra ett antagningsregister. Vidare har utredningen kommit fram till att sådana bestämmelser är möjliga att införa och behålla med stöd av artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen. Enligt nämnda artiklar är det vidare, när den rättsliga grunden är uppgift av allmänt intresse, även tillåtet med särskilda bestämmelser om ändamålsbegränsningar.
Sammanfattningsvis är bestämmelserna i 4 kap. 1 § förordningen om redovisning av studier m.m. vid universitet och högskolor förenliga med dataskyddsförordningens bestämmelser. Paragrafen kan och bör därför behållas.
4 kap. 2 §
Enligt 2 § första stycket får uppgifterna i antagningsregistret hämtas in från högskolornas studieregister, och får då omfatta de uppgifter som anges i 2 kap. 3 § första stycket (se ovan). Vidare får det i antagningsregistret finnas uppgifter om behörighetsgrundande meriter, urvalsgrundande meriter och uppgifter samt de uppgifter i övrigt som en student åberopar i samband med antagning till en utbildning, med undantag för sådana uppgifter som en student lämnar in som underlag för beslut om anmälningsavgift eller studieavgift. Av andra stycket framgår att varje students identitet ska anges på det sätt som föreskrivs i 2 kap. 5 §, dvs. med namn och personnummer eller, om
ett svenskt personnummer saknas, ett för denna student vid högskolan unikt nummer.
Av artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen framgår att det är tillåtet med särskilda bestämmelser om vilken typ av uppgifter som får behandlas när den rättsliga grunden är uppgift av allmänt intresse.
I fråga om regleringen av användning av personnummer eller ett för studenten vid högskolan unikt nummer gör utredningen motsvarande bedömning som den i 2 kap. 5 §, dvs. att bestämmelserna är förenliga med dataskyddsförordningen och dataskyddslagen.
Sammanfattningsvis anser utredningen att 4 kap. 2 § i sin helhet är förenlig med dataskyddsförordningen och att paragrafen kan och bör behållas.
4 kap. 3 §
Enligt 3 § får UHR behandla känsliga personuppgifter som avses i 13 § PUL i antagningsärenden, om den enskilde har lämnat samtycke till det.
Utredningen gör här motsvarande bedömning som i fråga om 2 kap. 5 a §, dvs. att bestämmelsen ska ändras på så sätt den hänvisar till artikel 9.1 i dataskyddsförordningen i stället.
4 kap. 4 §
I 4 § finns bestämmelser om utlämnande av uppgifter. Under vissa där angivna förutsättningar får uppgifter på medium för automatiserad behandling lämnas ut från antagningsregistret till en högskola, CSN, SCB, en student, Svenska institutet och Säkerhetspolisen.
När den rättsliga grunden är uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tilllåtet med särskilda bestämmelser om de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, typer av behandling och förfaranden för behandling. Bestämmelserna i 4 § är enligt utredningens bedömning således förenliga med dataskyddsförordningen. Paragrafen kan och bör därför behållas.
4 kap. 5 §
Enligt 5 § får den registrerade ha direktåtkomst till sådana personuppgifter om sig själv i antagningsregistret som får lämnas ut till henne eller honom. Vid sådan direktåtkomst ska den registrerades identitet kontrolleras genom en säker metod för identifiering.
I dataskyddsförordningen finns inga särskilda bestämmelser om direktåtkomst, utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behandlingen uppfyller de krav som dataskyddsförordningen ställer, bl.a. de grundläggande krav som finns i artikel 5. Utredningen gör i denna del därför motsvarande bedömning som i fråga om föregående paragraf. Bestämmelserna i 4 kap. 5 § kan och bör således behållas.
4 kap. 6 §
Fjärde kapitlet i förordningen avslutas med bestämmelser om gallring i 6 §. I första stycket anges, på motsvarande sätt som i gallringsbestämmelserna i 2 kap. 7 § och 3 kap. 8 §, att för gallring av antagningsregistret gäller 10 § första och andra styckena arkivlagen, om inte något annat föreskrivs i förordningen. Enligt andra stycket i 6 § ska uppgifter om en student gallras tio år efter det att uppgifterna senast har påförts. En uppgift om medborgarskap som UHR behöver som underlag för beslut om anmälningsavgift eller studieavgift ska, enligt tredje stycket, gallras så snart antagningsregistret har uppdaterats med uppgift om huruvida studenten tillhör den personkrets som ska betala anmälningsavgift eller studieavgift.
När den rättsliga grunden är uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tillåtet med särskilda bestämmelser om lagringstid. Bestämmelserna i 4 kap. 6 § är enligt utredningens mening således förenliga med dataskyddsförordningen. Paragrafen kan och bör därför behållas.
Sammanfattning
Enligt ovan har utredningen kommit fram till att hänvisningen till personuppgiftslagen i 1 kap. 1 § andra stycket ska utgå och att den i en ny paragraf, 1 a §, ska ersättas med en upplysningsbestämmelse
om dataskyddsförordningen samt en reglering om förhållandet till dataskyddslagen.
Utredningen anser vidare att bestämmelserna i 1 kap. 4–6 §§ om information, rättelse och skadestånd samt överklagande ska upphävas. Skälet är att det i fråga om information, rättelse och skadestånd finns direkt tillämpliga bestämmelser i dataskyddsförordningen. I fråga om överklagande är det tillräckligt med den reglering som Dataskyddsutredningen föreslår i dataskyddslagen.
Rubrikerna närmast före 1 kap. 4–6 ska av naturliga skäl därmed också utgå. Även rubriken närmast före 1 kap. 1 §, ”Inledning”, bör då utgå. Under denna rubrik har samtliga de bestämmelser som utredningen anser ska vara kvar, inklusive hänvisningen till personuppgiftslagen, funnits. Enligt utredningens bedömning är det därmed tillräckligt med kapitlets övergripande rubrik, ”Allmänna bestämmelser”.
I fråga om bestämmelserna i 2 kap. bedömer utredningen att bestämmelsen i 1 § tredje stycket ska upphävas, eftersom den omfattas av mer preciserad och långtgående reglering som finns i direkt tillämpliga bestämmelser i dataskyddsförordningen. Vidare bedöms att 5 a § ska ändras på så sätt att den hänvisar till artikel 9.1 i dataskyddsförordningen i stället för som i dagsläget till 13 § PUL, eftersom personuppgiftslagen kommer att upphävas när dataskyddsförordningen ska börja tillämpas.
Slutligen, i fråga om 4 kap., anser utredningen att 3 § ska ändras på motsvarande sätt som 2 kap. 5 a §, dvs. att en hänvisning ska göras till artikel 9.1 i dataskyddsförordningen i stället för som i dagsläget till 13 § PUL.
Ovan nämnda förslag till ändringar är, enligt utredningens bedömning, påkallade med anledning av att dataskyddsförordningen ska börja tillämpas. I övrigt anser utredningen att bestämmelserna är förenliga med dataskyddsförordningen och att de kan och bör behållas. Under utredningens arbete har dock kommit fram att det finns behov av ändringar som inte är motiverade utifrån att dataskyddsförordningen ska börja tillämpas. I följande avsnitt lämnas en redogörelse för vad som kommit fram i nämnda avseende.
5.6.4. Behov av översyn utifrån andra skäl än dataskyddsförordningen
Bedömning: Den tekniska utvecklingen och den praktiska han-
teringen av personuppgifter när det gäller redovisning m.m. vid universitet och högskolor har gjort att det finns ett behov av en omfattande översyn av förordningen. En sådan översyn bör innefatta analyser av bl.a. hur moderna och teknikneutrala registerförfattningar är utformade, hur detaljerat det ska anges vilka uppgifter som får eller ska behandlas, hur utlämnande av uppgifter ska regleras och om och i så fall hur direktåtkomst ska regleras.
En sådan översyn som utredningen bedömer är påkallad krävs dock inte för att anpassa förordningen till dataskyddsförordningen och den reglering som Dataskyddsutredningen har föreslagit.
Att utredningen i föregående avsnitt kommit till slutsatsen att endast ett fåtal bestämmelser i förordningen om redovisning av studier m.m. vid universitet och högskolor behöver ändras med anledning av dataskyddsförordningen innebär inte att det inte finns behov av ytterligare ändringar. Tvärtom har det under utredningens arbete blivit tydligt att det i många avseenden finns ett behov av en omfattande översyn av förordningen.
Vid genomgången av 2 och 4 kap. i förordningen har utredningen kunnat konstatera att bestämmelserna i många fall inte motsvarar de verkliga förhållandena. Exempelvis konstaterar utredningen att de statliga lärosätena för sin studieadministration använder sig av Ladok. Ladok är ett system som består av flera gemensamt tillgängliggjorda uppgiftssamlingar. Förordningens 2 kap. bygger dock på förutsättningen att varje lärosäte för ett eget, i förhållande till övriga separat, studieregister.
I 4 kap. regleras ett särskilt antagningsregister som får föras av UHR. NyA, som UHR använder sig av vid antagningsförfarandet, innehåller de uppgifter som anges i 4 kap. 2 § men systemet används inte enbart som ett register. Systemet används mest som ett handläggningssystem och uppgifterna i systemet har gjorts gemensamt tillgängliga för högskolorna som använder NyA i lika stor utsträckning som UHR.
Vidare följer bestämmelserna i 2 och 4 kap. i förordningen inte heller den lagstiftningsteknik och systematik som tillämpats i motsvarande författningar inom andra sektorer under senare år (jfr exempelvis prop. 2014/15:63 s. 60 f. och s. 78 f. samt prop. 2015/16:65 s. 35 f.). Detta är ägnat att skapa oklarheter och tillämpningssvårigheter. Det kan med fog ifrågasättas om det utifrån ett dataskyddsperspektiv är relevant att med så hög detaljeringsnivå ange exakt vilka uppgifter som lärosätena och UHR får behandla och hur behandlingen ska ske (se 2 kap. 3–5 §§ och 4 kap. 2 §) så länge ändamålen med behandlingen är noga angivet.
En översyn av bestämmelserna om utlämnande av uppgifter i 2 kap. 6 och 6 a §§ kan också vara värdefullt. I dagsläget finns det en osäkerhet om uppräkningen i 2 kap 6 § är uttömmande eller om utlämnande kan ske även till andra aktörer. Även i 4 kap. finns det anledning att se över bestämmelserna om utlämnande av uppgifter (se 4 §), bl.a. med anledning av att uppgifterna i NyA gjorts gemensamt tillgängliga för högskolorna.
Vidare kan konstateras att 4 kap. 5 § innehåller bestämmelser om direktåtkomst medan det i 2 kap. inte finns några motsvarande bestämmelser. I dagsläget har dock studenterna direktåtkomst till uppgifter i Ladok. En analys av behovet av att reglera direktåtkomst och i så fall på vilket sätt är därmed önskvärt.
Det är därför påkallat med en allmän översyn av bestämmelserna i förordningen i syfte att skapa ett tydligare och därmed rättssäkrare stöd för behandling av personuppgifter för lärosätena och UHR. Genom en modernisering av förordningens bestämmelser ökar också möjligheterna för lärosätena och UHR att ha en ändamålsenlig och effektiv personuppgiftshantering. En sådan översyn som utredningen anser är angelägen ligger dock utanför uppdraget i och med att den inte krävs med anledning av dataskyddsförordningen, den generella reglering Dataskyddsutredningen föreslår och utredningens förslag i övrigt. En sådan översyn ryms inte heller inom den tidsram som utredningen har till förfogande för att fullgöra uppdraget. Utredningen lämnar därför inga förslag i dessa delar.
6. Yrkeshögskolan och andra eftergymnasiala utbildningar
6.1. Allmänt
Yrkeshögskolan består av hundratals olika eftergymnasiala utbildningar som enligt 1 § lagen (2009:128) om yrkeshögskolan ska svara mot arbetslivets behov. Enligt 4 § får utbildning inom yrkeshögskolan anordnas av statliga universitet och högskolor, andra statliga myndigheter, kommuner, landsting och enskilda fysiska eller juridiska personer. Utbildning genom yrkeshögskolan bedrivs således av ett flertal olika aktörer på ett stort antal platser. Av Myndigheten för yrkeshögskolans (MYH) statistiska årsrapport 2017 (s. 12) framgår att det 2016 fanns 227 anordnare som bedrev utbildning inom yrkeshögskolan. Drygt hälften av dessa anordnare var privata anordnare. Av rapporten framgår vidare att det 2016 startades 739 utbildningsomgångar och att det var 1 900 omgångar som pågick under hela eller delar av kalenderåret.
Av 2 och 7 §§ lagen om yrkeshögskolan och 1 kap. 2 § förordningen (2009:130) om yrkeshögskolan framgår att yrkeshögskolan består av de utbildningar som MYH prövar och beslutar om genom ett ansökningsförfarande och som inte är utbildningar enligt högskolelagen (1992:1434) eller utbildningar som kan leda fram till en examen enligt lagen (1993:792) om tillstånd att utfärda vissa examina.
I förordningen om yrkeshögskolan finns mer detaljerade bestämmelser om bl.a. vilka krav som ställs för att en utbildning ska få ingå i yrkeshögskolan, utbildnings- och kursplaner, betyg, tillgodoräknande av utbildning och annan verksamhet, examen, tillträde till utbildning, organisation, studerandeinflytande, utvärdering och uppföljning, statlig finansiering, försäkringar och avskiljande från utbildning.
Det finns ytterligare förordningar som kompletterar lagen om yrkeshögskolan, förordningen (2017:13) om behörighetsgivande för-
utbildning inom yrkeshögskolan och förordningen (2009:131) om utbildning inom yrkeshögskolan som uppdragsutbildning. Av 1 § i först nämnda förordning framgår att behörighetsgivande förutbildning inom yrkeshögskolan syftar till att ge den studerande kunskaper som motsvarar de krav på behörighet som är uppställda för den ordinarie yrkeshögskoleutbildningen. Med uppdragsutbildning avses utbildningsverksamhet som anordnas mot ersättning från uppdragsgivare som inte är en fysisk person och där uppdragsgivaren utser den som ska få delta i utbildningen (2 § lagen om yrkeshögskolan). Till skillnad från de flesta andra utbildningar inom yrkeshögskolan saknar uppdragsutbildningar möjligheten till statlig finansiering (3 § förordningen om utbildning inom yrkeshögskolan som uppdragsutbildning).
Som nämnts ovan är det MYH som prövar och beslutar vilka utbildningar som ska ingå i yrkeshögskolan. MYH:s övriga uppgifter framgår av bl.a. förordningen (2011:1162) med instruktion för Myndigheten för yrkeshögskolan. MYH ska bl.a. svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar inom yrkeshögskolan som bedrivs som uppdragsutbildningar samt de studerandes studieresultat, betyg, examina och utbildningsbevis (2 § 5).
MYH ska också pröva frågor om stöd enligt förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar. MYH ska även svara för ett register över uppgifter om de studerande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis (2 § 6).
Konst- och kulturutbildningar är en eftergymnasial utbildningsform som tidigare omfattades av bestämmelserna i den numera upphävda förordningen (2000:521) om statligt stöd till kompletterande utbildningar. Utbildningarna finns inom exempelvis dans, musik, teater, film, konst och mode. De bedrivs av enskilda fysiska eller juridiska personer men står under statlig tillsyn som, enligt 4 § första stycket 1 förordningen med instruktion för Myndigheten för yrkeshögskolan, utövas av MYH.
Utbildningarna får stöd genom att ställas under statlig tillsyn, förklaras berättiga de studerande till studiestöd eller berättiga till statsbidrag (1 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar). Många av utbildningarna förbereder för fortsatta studier i högskolan, t.ex. på konst-, musik- eller
teaterhögskolor. Andra leder direkt till ett yrke, såsom dansare, designer eller musikalartist. Förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar omfattar även kortare kurser som har som syfte att bevara eller utveckla kulturarvet, t.ex. stickning, smide eller folkdans.
Under 2015 överfördes 120 utbildningar från regelverket för kompletterande utbildningar till det nya regelverket för konst- och kulturutbildningar. Utbildningarna bedrevs av 42 olika organisationer fördelade på 56 skolor. Detta framgår av MYH:s statistiska årsrapport 2017 (s. 36) och MYH:s faktablad med kortfattad statistik om konst- och kulturutbildningar 2016.
6.2. Utbildningsanordnarnas behandling av personuppgifter
Av föregående avsnitt framgår att utbildningarna inom yrkeshögskolan anordnas av ett flertal olika huvudmän, både offentliga och enskilda. 2016 fanns totalt 227 anordnare. Utbildningarna som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har endast enskilda fysiska eller juridiska personer som huvudmän. Av föregående avsnitt framgår att det 2016 fanns totalt 42 organisationer, fördelade på 56 skolor, som anordnade sådana utbildningar.
Det är inte möjligt att här ange samtliga behandlingar av personuppgifter som sker hos de olika utbildningsanordnarna. Utifrån utredningens uppdrag, att det när dataskyddsförordningen ska börja tillämpas ska finnas en reglering som möjliggör en ändamålsenlig behandling inom utbildningsområdet, ges nedan en översiktlig beskrivning endast av utbildningsanordnarnas huvudsakliga behandlingar. Utbildningsanordnarnas behandlingar av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål redogörs för i avsnitt 6.4.2.
6.2.1. Yrkeshögskolan
Enligt 15 § lagen om yrkeshögskolan ska en utbildning inom yrkeshögskolan vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Bestämmelser om behörighet finns i 3 kap. 1–4 §§ förordningen om yrkeshögskolan. Av 17 § lagen om yrkeshögskolan framgår att om inte alla behöriga sökande till en utbildning kan tas emot, ska ett urval göras bland de sökande. I 3 kap. 5–7 §§ förordningen om yrkeshögskolan finns mer specificerade bestämmelser om urval. Av dessa framgår bl.a. att tillämpliga urvalsgrunder är betyg, särskilt prov, tidigare utbildning och yrkeserfarenhet. I samband med antagning till utbildning inom yrkeshögskolan behandlas därmed personuppgifter i form av namn, personnummer, kontaktuppgifter och den sökandes olika utbildningar och meriter.
Av 2 kap. 4 § förordningen om yrkeshögskolan framgår att utbildningen ska bedrivas i form av en eller flera kurser. Enligt 2 kap. 10 och 11 §§ ska betyg sättas på en genomförd kurs med något av uttrycken Icke godkänt, Godkänt och Väl godkänt. Av 2 kap. 9 § framgår att det i den obligatoriska kursplanen ska anges vilka principer för betygssättning och former för kunskapskontroll som ska tillämpas. I bedrivandet av själva utbildningen behandlas således personuppgifter i form av i vart fall namn, personnummer och genomförda moment i undervisningen och den studerandes då erhållna resultat.
Enligt 2 kap. 12 § förordningen om yrkeshögskolan ska en studerande, under vissa förutsättningar, för en del av utbildningen kunna få tillgodoräkna sig annan genomgången utbildning eller motsvarande kunskaper, färdigheter och kompetenser som har förvärvats i yrkesverksamhet eller på annat sätt. I fråga om prövning av tillgodoräknande behandlas därmed personuppgifter i form av namn, personnummer och sökandens tidigare meriter.
Enligt 14 § lagen om yrkeshögskolan får utbildningsanordnaren utfärda utbildningsbevis och examensbevis. Av 2 kap. 13 och 14 §§ framgår vilka krav en studerande ska uppfylla för att få avsluta utbildningen med en yrkeshögskoleexamen respektive en kvalificerad yrkeshögskoleexamen. Enligt 2 kap. 15 § ska en studerande som uppfyller kraven för en examen på begäran få ett examensbevis av den ansvariga utbildningsanordnaren. En studerande som inte har fullgjort vad som krävs för en examen eller som inte begär att få ett
examensbevis ska, enligt 2 kap. 16 §, på begäran få ett utbildningsbevis. För att nämnda bevis ska kunna utfärdas behöver det behandlas personuppgifter i form av namn, personnummer, genomförda kurser och betyg.
Av 9 § första stycket lagen om yrkeshögskolan framgår att utbildning inom yrkeshögskolan, för vilken utbildningsanordnaren får statsbidrag eller särskilda medel enligt 8 §, ska vara avgiftsfri för de studerande. Enstaka inslag som de studerande får betala ett obetydligt belopp för får dock förekomma. Av tredje stycket följer att anordnare av utbildningar som inte får statsbidrag eller särskilda medel får ta ut skäliga studerandeavgifter. Behandling av personuppgifter kan därmed förekomma för att fastställa skyldighet att betala vissa avgifter och att betalning har skett.
Vidare finns det i 2 kap. 17 § förordningen om yrkeshögskolan ett bemyndigande för MYH att meddela föreskrifter om att den ansvariga utbildningsanordnaren ska lämna uppgifter till MYH om de studerande och deras studieresultat, betyg och examina. MYH får även meddela föreskrifter om på vilket sätt och när uppgifterna ska lämnas. Med stöd av bemyndigandet har MYH meddelat föreskrifter om studiedokumentation (MYHFS 2016:8).
Av 3 § framgår att utbildningsanordnarna för varje utbildning ska lämna uppgifter om de studerandes fullständiga personnummer, förnamn och efternamn. Enligt 4 § ska uppgifterna rapporteras till myndigheten genom en av myndigheten tillhandahållen digital plattform eller tjänst. För detta ändamål använder MYH sig av ett studiedokumentationssystem. Vidare ska, enligt 5 § i MYH:s föreskrifter, uppgifter om de studerandes resultat rapporteras till MYH löpande och utan dröjsmål. Om betyg inte kan sättas ska detta rapporteras. Om en kurs har tillgodoräknats ska det framgå av rapporteringen (6 §). Enligt 7 § ska kopior på examensbevis och utbildningsbevis skickas in till MYH. Av 8 § framgår att ett examensbevis ska innehålla uppgifter i form av bl.a. den studerandes fullständiga personnummer, förnamn och efternamn, examensarbete, betyg och eventuella tillgodoräknanden. Samma uppgifter, med undantag för uppgift om examensarbete, ska också finnas i ett utbildningsbevis (9 §).
6.2.2. Konst- och kulturutbildningar och vissa andra utbildningar
Enligt 24 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är den behörig att antas till utbildningen som har genomgått gymnasieskolan eller gymnasiesärskolan eller motsvarande utbildning. Behörig att antas är också den som annars bedöms kunna tillgodogöra sig utbildningen. Enligt 13 § ska det för varje utbildning finnas en utbildningsplan. Av denna ska framgå bl.a. de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen. Av planen ska även framgå hur bl.a. behörighetsbedömningar, urval och antagning ska dokumenteras. I samband med antagning till utbildning behandlas därmed personuppgifter i form av namn, personnummer, kontaktuppgifter och den sökandes olika utbildningar och meriter.
Enligt 12 § ska utbildningen bedrivas i form av en eller flera kurser. Av 14 § framgår att det för varje kurs ska finnas en kursplan. Av kursplanen ska framgå bl.a. de former för kunskapskontroll som ska tillämpas. Det ska även framgå om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas. Enligt 15 och 16 §§ ska det efter en genomförd kurs sättas betyg eller utfärdas ett intyg. En studerande som avslutat en utbildning ska på begäran få ett utbildningsbevis av den ansvariga utbildningsanordnaren där utbildningens innehåll och den studerandes resultat anges. I bedrivandet av själva utbildningen och för utfärdandet av intyg och utbildningsbevis behandlas således personuppgifter i form av i vart fall namn, personnummer och genomförda moment i undervisningen och den studerandes då erhållna resultat.
I 24 a § anges att om det finns särskilda skäl får utbildningsanordnaren i enskilda fall besluta att den som är antagen till utbildningen får anstånd med att påbörja studierna eller fortsätta sina studier efter studieuppehåll. I samband med sådana beslut kan därmed personuppgifter behöva behandlas.
Av 10 § följer att utbildningsanordnarna får ta ut studerandeavgifter. Dessa ska dock vara skäliga i förhållande till utbildningens karaktär och de kostnader som utbildningsanordnaren har för utbildningen. Behandling av personuppgifter kan därmed förekomma för att fastställa skyldighet att betala vissa avgifter och att betalning har skett.
Av 2 § 6 förordningen med instruktion för Myndigheten för yrkeshögskolan framgår att MYH ska svara för ett register över uppgifter om de studerande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis. Behandling av personuppgifter behöver därmed ske när utbildningsanordnarna lämnar nyss nämnda uppgifter till MYH.
6.3. Rättslig grund för personuppgiftsbehandling
6.3.1. Utredningens uppdrag i denna del
Kommittédirektiven
För att personuppgifter ska få behandlas helt eller delvis automatiskt, eller för att annan behandling ska få ske av personuppgifter som ingår i eller kommer att ingå i ett register, krävs att en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 första stycket ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av. Enligt kommittédirektiven behöver det analyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.
När det gäller behandling av personuppgifter som utförs av myndigheter, kommuner, landsting och enskilda inom utbildningsområdet, förutom forskningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen ska därför, i fråga om de som anordnar utbildning inom yrkeshögskolan och enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, undersöka vilken reglering på nationell nivå av personuppgiftsbehandling som är möjlig och kan behövas, utöver dataskyddsförordningen och den
generella reglering som Dataskyddsutredningen kommer att föreslå, samt lämna de författningsförslag som behövs.
Utredningens närmare utgångspunkter
I dagsläget regleras utbildningsanordnarnas personuppgiftsbehandling av personuppgiftslagen (1998:204, PUL). Den 25 maj 2018 kommer personuppgiftslagen att upphävas och dataskyddsförordningen och den av Dataskyddsutredningen föreslagna lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) ska börja tillämpas.
För utbildningsanordnarna innebär detta att de måste ha stöd för sin behandling i en rättslig grund enligt artikel 6.1 i dataskyddsförordningen, om behandlingen helt eller delvis företas på automatisk väg eller om behandlingen avser personuppgifter som ingår i eller kommer att ingå i ett register. Möjliga grunder för behandling av personuppgifter kommer huvudsakligen att vara att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a), att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (6.1 c) eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (6.1 e).
För enskilda utbildningsanordnare finns möjligheten att använda sig av ytterligare en grund i dataskyddsförordningen, nämligen för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (6.1 f).
Beträffande de rättsliga grunderna i artikel 6.1 c och e i dataskyddsförordningen krävs, enligt artikel 6.3 första stycket, att de är fastställda i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av för att de ska vara tillämpliga. Detta är nytt i jämförelse med personuppgiftslagen. Såsom redogjorts för i avsnitt 3.4.1 bedömer Dataskyddsutredningen att det med grunden för behandlingen i artikel 6.3 första stycket avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Enligt Dataskyddsutredningens bedömning
innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av att dataskyddsförordningen ska börja tillämpas. Förekomsten av reglering avgör dock i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i artikel 6.1 c och e (SOU 2017:39, avsnitt 8.3.1).
Av artikel 6.3 andra stycket framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Vidare anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
De första frågor som utredningen har att ta ställning till är om det finns en eller flera rättsliga grunder som är tillämpliga för utbildningsanordnarnas behandling av personuppgifter. Om utredningen kommer fram till att utbildningsanordnarna fullgör en rättslig förpliktelse eller utför en uppgift av allmänt intresse eller att det i deras verksamhet finns inslag av myndighetsutövning, måste det även undersökas vilket rättsligt stöd det finns för verksamheterna att utföra dessa uppgifter, dvs. om grunderna är fastställda i svensk rätt. Eftersom utredningen bedömer att uppgift av allmänt intresse är den rättsliga grund som utbildningsanordnarna oftast kan tillämpa vid behandling av personuppgifter, är det utbildningsanordnarnas möjligheter att tillämpa den grunden som först kommer att analyseras.
6.3.2. Uppgift av allmänt intresse
Bedömning: Genom bestämmelser i lagen om yrkeshögskolan
med anslutande föreskrifter och beslut fattade med stöd av dessa är det i svensk rätt fastställt att anordnande och bedrivande av eftergymnasiala yrkesutbildningar är en uppgift av allmänt intresse.
Genom bestämmelser i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande myndighetsföreskrifter och beslut meddelade med stöd av dessa
är det i svensk rätt fastställt att anordnande och bedrivande av sådana utbildningar också är en uppgift av allmänt intresse.
Artikel 6.1 e i dataskyddsförordningen kan därmed utgöra rättslig grund för nödvändig personuppgiftsbehandling för att utöva verksamhet som har sin grund i nämnda föreskrifter när personuppgiftslagen upphävs. Det finns således inget behov av en särskild reglering för att utbildningsanordnarna ska kunna tillämpa den rättsliga grunden uppgift av allmänt intresse.
Är anordnande och bedrivande av eftergymnasiala yrkesutbildningar m.fl. en fastställd uppgift av allmänt intresse?
Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Av första ledet i artikel 6.1 e framgår att en behandling är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse. Artikel 6.1 e är inte begränsad till offentliga aktörer, utan även privaträttsliga organ kan utföra en uppgift av allmänt intresse.
För att nämnda grund ska kunna tillämpas vid personuppgiftsbehandling krävs dock att uppgiften av allmänt intresse är fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket). Dataskyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig bl.a. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning. Det är således inte tillräckligt att konstatera att det generellt föreligger en uppgift av allmänt intresse för att den aktuella grunden ska kunna tillämpas som stöd för behandling av personuppgifter. Av skäl 41 framgår vidare att den rättsliga grunden bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den.
Vad utredningen har att analysera är följaktligen om det för anordnarna av utbildning enligt lagen om yrkeshögskolan med anslutande föreskrifter samt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns en i svensk rätt fast-
ställd uppgift av allmänt intresse. Utredningen ska i så fall även analysera om den reglering där uppgiften fastställs är tydlig och precis och om dess tillämpning är förutsägbar för de personer som omfattas av den.
Yrkeshögskolan
Begreppet allmänt intresse är ett unionsrättsligt begrepp som ännu inte har definierats. I artikel 14.1 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) anges att var och en har rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Att yrkesutbildning och fortbildning är en grundläggande rättighet talar för att i vart fall anordnande och bedrivande av eftergymnasiala yrkesutbildningar, på EU-nivå, bedöms vara en uppgift av allmänt intresse.
Av regeringsformen framgår att det allmänna ska trygga rätten till utbildning och svara för att högre utbildning finns (1 kap. 2 § andra stycket och 2 kap. 18 § första stycket). Även av svensk grundlag kan det därmed utläsas att anordnande och bedrivande av eftergymnasiala yrkesutbildningar är en uppgift av allmänt intresse.
Därtill finns lagen om yrkeshögskolan med anslutande föreskrifter som innehåller närmare bestämmelser om utbildning inom yrkeshögskolan. I förarbetena till lagen om yrkeshögskolan uttalas bl.a. följande (prop. 2008/09:68 s. 14 f., 17 f. och 20).
Utbyggnaden av högre utbildning i Sverige har under de senaste åren varit stor och är en viktig del av utbildningspolitiken. Andelen personer med eftergymnasial utbildning som är tre år lång eller längre har sedan 1990 ökat från 11 till 21 procent. Trots detta finns det från arbetslivet en efterfrågan på kvalificerad yrkeskompetens som inte tillgodoses av högskolans nuvarande utbildningsutbud. Denna efterfrågan finns inom samhällets alla sektorer och den har stadigt ökat under de senaste åren. För att möta denna efterfrågan har det inom andra statliga utbildningsformer och utanför det offentliga utbildningsväsendet utvecklats utbildningar som kombinerar teori med praktik och aktivt lärande i arbetslivet. De kunskaper och färdigheter som en studerande förvärvar i sådan utbildning bidrar till utveckling av produktionen av varor och tjänster och därmed till ekonomisk tillväxt. Kunskaperna och färdigheterna ökar även den enskildes möjligheter till ett mera aktivt samhällsliv.
[…] Det är regeringens uppfattning att utbildningssektorn behöver en utbildningsform på eftergymnasial nivå där arbetslivsgenererad kunskap är en huvudkomponent.
[…] En utbildning inom yrkeshögskolan bör normalt ge en specialiserad utbildning med inriktning mot ett definierat yrkesområde och vara grundad på faktiskt definierade behov på kort sikt. Högskoleutbildning har i jämförelse en större bredd och ett större djup, och därmed ett betydligt längre perspektiv i förhållande till arbetsmarknadens behov. Båda utbildningsformerna fyller viktiga funktioner, men på olika nivåer och med olika långa perspektiv.
Utredningen bedömer således att anordnande och bedrivande av eftergymnasiala yrkesutbildningar är en uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e i dataskyddsförordningen. Frågan är då om denna uppgift är fastställd i svensk rätt.
Vad anordnande och bedrivande av eftergymnasiala yrkesutbildningar innebär preciseras i lagen och förordningen om yrkeshögskolan. Med ett fåtal undantag gäller bestämmelserna i nämnda författningar för såväl offentliga som enskilda utbildningsanordnare.
Av 1 § lagen om yrkeshögskolan framgår att dess bestämmelser syftar till att inom yrkeshögskolan bl.a. säkerställa att eftergymnasiala yrkesutbildningar som svarar mot arbetslivets behov kommer till stånd.
Enligt 5 § ska en utbildning inom yrkeshögskolan väsentligen bygga på de kunskaper som eleverna får på nationella program i gymnasieskolan eller motsvarande kunskaper. Av 15 och 17 §§ framgår att en utbildning inom yrkeshögskolan ska vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Om inte alla behöriga sökande kan tas emot ska ett urval göras. I förordningen om yrkeshögskolan finns det i 3 kap. mer preciserade bestämmelser om behörighet och urval.
I 6 § lagen om yrkeshögskolan anges de allmänna målen för utbildningen. Enligt lagrummet ska utbildningen ha sin grund i kunskap som genererats dels i produktionen av varor och tjänster, dels i vetenskap och utformas så att en hög kvalitet och yrkesrelevans nås. Utbildningen ska ge sådana teoretiska, praktiska och erfarenhetsbaserade kunskaper som krävs för att självständigt och i arbetslag
kunna utföra kvalificerade uppgifter i arbetslivet. Utbildningen ska präglas av såväl stark arbetslivsanknytning som teoretisk förankring. Utbildningen ska utvecklas och bedrivas i samverkan mellan arbetsliv och utbildningsanordnare. Slutligen ska utbildningen bidra till att bryta traditioner i fråga om könsbundna utbildnings- och yrkesval.
I 2 kap. förordningen om yrkeshögskolan finns mer preciserade bestämmelser om utbildningen. I kapitlet finns reglering om bl.a. utbildningens omfattning och kurser, utbildningsplan, kursplan, betyg, tillgodoräknande, examen, examens- och utbildningsbevis. MYH får utfärda föreskrifter om utbildningsplan och kursplan. MYH har i MYHFS 2009:1 fastställt vad som ska gälla för utbildningsanordnarnas kursplaner.
Genom lagen och förordningen om yrkeshögskolan, anslutande myndighetsföreskrifter samt bl.a. MYH:s beslut att en utbildning ska ingå i yrkeshögskolan, till vilket det ska bifogas bl.a. en utbildningsplan (1 kap. 4 och 5 §§ förordningen om yrkeshögskolan), finns det således tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva eftergymnasiala yrkesutbildningar innebär. Utredningen bedömer därför att det för utbildningsanordnarna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva eftergymnasiala yrkesutbildningar. Detta innebär att samtliga åtgärder som utbildningsanordnarna företar i syfte att bedriva utbildningsverksamhet som har sin grund i nu nämnda författningar och beslut är att anse som utförande av en uppgift av allmänt intresse enligt dataskyddsförordningen. Någon ytterligare reglering behöver följaktligen inte införas för att utbildningsanordnarna ska kunna tillämpa första ledet i artikel 6.1 e för sådan personuppgiftsbehandling som är nödvändig för att utföra uppgifter och utöva verksamhet enligt lagen och förordningen om yrkeshögskolan med anslutande föreskrifter, t.ex. förordningen om behörighetsgivande förutbildning inom yrkeshögskolan, förordningen om utbildning inom yrkeshögskolan som uppdragsutbildning och Myndigheten för yrkeshögskolans föreskrifter (MYHFS 2016:8) om studiedokumentation.
Av artikel 5.2 i dataskyddsförordningen följer att det är den personuppgiftsansvarige, dvs. utbildningsanordnaren, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på utbildningsanordnaren att bedöma om behandlingen är
nödvändig för att utföra en uppgift som har sin grund i relevanta författningar, t.ex. för att utfärda examens- eller utbildningsbevis (2 kap. 15 och 16 §§ förordningen om yrkeshögskolan), och beslut meddelade med stöd av sådana författningar. Om behandlingen saknar koppling till uppgifter och verksamhet som har sin grund i för utbildningsanordnarna relevanta författningar och beslut, kan den inte anses nödvändig för att utföra uppgiften att anordna och bedriva eftergymnasiala yrkesutbildningar. Utbildningsanordnarna måste då i egenskap av personuppgiftsansvariga avgöra om första ledet i artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen.
Konst- och kulturutbildningar och vissa andra utbildningar
I föregående avsnitt redovisas utredningens bedömning att anordnande och bedrivande av eftergymnasiala yrkesutbildningar enligt lagen om yrkeshögskolan med anslutande föreskrifter och beslut meddelade med stöd av dessa är en i svensk rätt fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e och artikel 6.3 första stycket i dataskyddsförordningen. Utredningen anser att nämnda reglering är tydlig och precis samt att dess tillämpning är förutsägbar för de personer som omfattas av den. Frågan utredningen har att ta ställning till är om motsvarande gäller för de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Av 1 § framgår att det endast är enskilda fysiska och juridiska personer som omfattas av förordningens bestämmelser. Artikel 6.1 e i dataskyddsförordningen är dock inte begränsad till offentliga aktörer, även privaträttsliga organ kan utföra en uppgift av allmänt intresse.
Som konstateras i föregående avsnitt har var och en, enligt artikel 14.1 i Europeiska unionens stadga om de grundläggande rättigheterna, rätt till utbildning och till tillträde till yrkesutbildning och fortbildning. Enligt 1 kap. 2 § andra stycket och 2 kap. 18 § första stycketregeringsformen ska det allmänna trygga rätten till utbildning och svara för att högre utbildning finns.
Av 5 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar framgår bl.a. att utbildningen ska bedrivas på en eftergymnasial nivå. Om det behövs får det dock före-
komma inslag av gymnasial karaktär. Det är således fråga om huvudsakligen eftergymnasiala studier. Av 3 och 4 §§ framgår vidare att en av förutsättningarna för att få stöd enligt förordningen är att utbildningen är en av tre olika typer.
Den första avser utbildningar som förbereder för högskoleutbildningar som kan leda fram till konstnärliga examina. Av avsnitt 5.3.2 framgår att utredningen anser att anordnande och bedrivande av högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse. Av 1 kap. 13 § högskolelagen framgår att ett tillstånd att utfärda examina får lämnas bara om bl.a. det i ett rikstäckande perspektiv finns ett allmänt intresse av att examina får utfärdas. Utbildningar enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska således bl.a. förbereda för högskoleutbildning som kan leda fram till en konstnärlig examina som det enligt svensk rätt finns ett allmänt intresse av att sådana examina utfärdas. I MYH:s statistiska årsrapport 2016 anges bl.a. att konkurrensen om platserna på konstnärliga utbildningar inom högskolan är så hög att de sökande i praktiken måste ha genomgått någon slags förberedande utbildning för att klara antagningsproven som ofta består av arbetsprover eller auditions (s. 90). Enligt utredningens bedömning är anordnande och bedrivande av sådana utbildningar som förbereder för högskoleutbildningar som kan leda fram till konstnärliga examina därmed en uppgift av allmänt intresse.
En annan typ av utbildning som omfattas av förordningens bestämmelser är, enligt 4 §, sådan utbildning som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området. Det är således en form av eftergymnasial yrkesutbildning som, liksom övriga utbildningar enligt förordningen, står under statlig tillsyn och som kan berättiga till statsbidrag och de studerande till studiestöd. Enligt utredningens bedömning är även anordnande och bedrivande av sådana utbildningar som medverkar till att utveckla ett kvalificerat yrkeskunnande inom det konstnärliga eller kulturella området därmed en uppgift av allmänt intresse.
Den tredje och sista typen av utbildningar som omfattas av bestämmelserna i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är, enligt 4 §, sådana som har ett innehåll som syftar till att bevara eller utveckla kulturarvet. I fråga om kulturarvet uttalar regeringen i förarbetena till förslag till museilag bl.a. följande (prop. 2016/17:116 s. 63 f.).
Utöver dess kollektiva funktioner är kulturarvet också en outtömlig resurs i enskilda människors strävan efter att förstå sig själva i större sammanhang och i tiden. Kulturarvet kan användas för att utveckla kunskaper och förmågor som berikar livet och gör det möjligt att förhålla sig till den egna samtiden på nya sätt. Ett aktivt utbildnings- och bildningsarbete behövs också för att ge enskilda möjlighet att skapa reflekterande förhållningssätt till samhällets kollektiva minnen och till de berättelser om ursprung och tillhörighet vi alla är omgivna av. I kulturarvsarbetet skapas kontinuerligt ny kunskap om det förflutna, om samtiden och om vart vi som samhälle är på väg.
[…] På ett personligt plan framträder kulturarvets värden egentligen först genom försök att tillägna sig det. För att alla ska få förutsättningar att möta kulturarvet på detta sätt är det centralt att barn och unga, oavsett föräldrarnas bakgrund, får en god grund att stå på redan under utbildningstiden. I vuxen ålder är det viktigt att ha förvärvat vissa kunskaper och färdigheter för att det inte ska finnas höga trösklar att ta sig över för att få tillgång till den gemensamma historien. Vidare är det centralt att studenter fortsätter att söka sig till ämnesområden som i särskilt hög grad bidrar till en förståelse av kulturarvets betydelse – typiskt sett de traditionella humanistiska ämnena – vid landets universitet och högskolor.
[…] Ett aktivt förhållningssätt till kulturarvet kan dock bidra till bildning i kvalificerad bemärkelse just genom att det – utöver sakkunskaper om äldre tid – öppnar upp nya perspektiv, vidgar horisonter och sätter det invanda i fråga. På så vis övar det förmågor som för den enskilde är till nytta i många sammanhang och som bidrar till samhällets utveckling.
[…] Det har ofta påpekats att kulturarvet i Sverige inte enbart ligger i svenska medborgares intresse, utan att dessa kulturuttryck snarare måste ses som en del av den samlade kulturella mångfalden och rikedomen i världen.
Av uttalandena framgår det enligt utredningens uppfattning att kulturarvets bevarande och utvecklande är av mycket stort värde och att det är mycket viktigt att studerande söker sig till sådana utbildningar. Även i fråga om anordnande och bedrivande av sådana utbildningar är det därmed fråga om en uppgift av allmänt intresse.
Sammantaget anser utredningen således att anordnande och bedrivande av de tre olika typer av utbildningar som kan få stöd genom
bestämmelserna i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en uppgift av allmänt intresse. Frågan härefter är om denna uppgift är fastställd i svensk rätt i enlighet med artikel 6.3 första stycket i dataskyddsförordningen.
I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar preciseras vad det innebär att anordna och bedriva utbildningarna.
Av 5 § framgår att utbildningen bl.a. ska ge en teoretisk förankring inom det konstnärliga eller kulturella området och vila på vetenskaplig eller konstnärlig grund eller på beprövad erfarenhet. Behörig att antas till utbildningen är, enligt 24 §, den som har genomgått gymnasieskolan eller gymnasiesärskolan eller motsvarande utbildning. Behörig att antas är också den som annars bedöms kunna tillgodogöra sig utbildningen. Därutöver får utbildningsanordnaren ställa krav på särskilda förkunskaper.
Vidare ska utbildningen, enligt 12 §, bedrivas i form av en eller flera kurser. För varje utbildning ska det, enligt 13 §, finnas en utbildningsplan. Av planen ska framgå bl.a. utbildningens mål och inriktning samt de kurser som ingår i utbildningen, antalet timmar lärar- eller handledarledd verksamhet som utbildningen omfattar, i förekommande fall de krav på särskilda förkunskaper som ställs upp, de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen, hur behörighetsbedömningar, urval, antagning, kunskapskontroll och studieresultat samt arkivering av studieresultat ska dokumenteras. För varje kurs ska det, enligt 14 §, vidare finnas en kursplan. Av kursplanen ska framgå kursens benämning, målen för kursen, kursens huvudsakliga innehåll, om kursen helt eller delvis ges på engelska, de former för kunskapskontroll som ska tillämpas, och om betyg ska sättas på kursen och i så fall de principer för betygssättning som ska tillämpas. I 15–17 §§ finns bestämmelser om betyg, intyg och utbildningsbevis. Avslutningsvis får MYH, enligt 40 §, meddela föreskrifter om utbildningsplaner och kursplaner, betyg, intyg och utbildningsbevis samt verkställigheten av förordningen. Föreskrifter om kurs- och utbildningsplaner har MYH meddelat i MYH 2015:2 och MYH 2016:16.
I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande föreskrifter finns det således tydliga och förutsägbara bestämmelser som preciserar vad uppgiften att anordna och bedriva sådana utbildningar innebär. Utredningens
bedömning är därför att det för utbildningsanordnarna finns en i svensk rätt fastställd uppgift av allmänt intresse i form av att anordna och bedriva dessa utbildningar. Samtliga åtgärder som utbildningsanordnarna företar i syfte att bedriva utbildningsverksamhet som har sin grund i den nämnda författningen, anslutande myndighetsföreskrifter och beslut meddelade med stöd av dessa är därmed att anse som utförande av en uppgift av allmänt intresse enligt första ledet i artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering behöver följaktligen inte införas för att utbildningsanordnarna ska kunna tillämpa nämnda grund för sådan personuppgiftsbehandling som är nödvändig för att utföra uppgifter eller utöva verksamhet som har sin grund i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande myndighetsföreskrifter.
Avslutningsvis bör det åter betonas att det av artikel 5.2 i dataskyddsförordningen följer att det är den personuppgiftsansvarige, dvs. utbildningsanordnaren, som ska ansvara för och kunna visa att behandlingen är laglig, dvs. att det finns en rättslig grund som kan tillämpas på behandlingen. Det ankommer således på utbildningsanordnaren att bedöma om behandlingen är nödvändig för att utföra en uppgift eller utöva verksamhet som har sin grund i den aktuella författningen och anslutande föreskrifter. Om behandlingen saknar sådan koppling kan den inte anses nödvändig för att utföra uppgiften att anordna och bedriva den aktuella utbildningen. Utbildningsanordnaren måste då i egenskap av personuppgiftsansvarig avgöra om första ledet i artikel 6.1 e av annat skäl kan vara tillämplig, eller om någon annan av de rättsliga grunderna i artikel 6.1 kan tillämpas på den avsedda behandlingen.
Ändamålet med behandlingen måste vara nödvändigt
Det bör betonas att rättslig grund inte är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. I artikel 5.1 b i dataskyddsförordningen anges bl.a. att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga
grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5.1 b.
Kopplingen mellan den rättsliga grunden i artikel 6.1 e och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom artikel 6.3 andra stycket. Där anges att syftet med behandlingen i fråga om behandling enligt punkt 6.1 e, dvs. bl.a. uppgift av allmänt intresse, ska vara nödvändigt för att utföra uppgiften.
Enligt Dataskyddsutredningen ställer förordningen inte något krav på att ändamålen ska vara fastställda i författning. Dataskyddsutredningen anser följaktligen att ändamålet med behandlingen inte behöver framgå av det sammanhang där uppgiften av allmänt intresse fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen i artikel 6.3 andra stycket uttrycker således det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige (SOU 2017:39, avsnitt 8.3.4).
Även om nödvändiga ändamål för utförandet av uppgiften att anordna och bedriva en utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte behöver framgå av författning, är det genom bestämmelser i för utbildningarna relevanta författningar nödvändigt att behandla personuppgifter för vissa ändamål. Dessa ändamål är därmed nödvändiga för utförandet av uppgiften att anordna och bedriva aktuella utbildningar.
Som exempel kan nämnas att en utbildning inom yrkeshögskolan ska vara öppen för alla som uppfyller behörighetsvillkoren för utbildningen. Om inte alla behöriga sökande till en utbildning kan tas emot ska ett urval göras. Detta framgår av 15 och 17 §§ lagen om yrkeshögskolan. Vid urval till tillträde till utbildning får, enligt 3 kap. 6 § förordningen om yrkeshögskolan, en eller flera av urvalsgrunderna betyg, särskilt prov, tidigare utbildning och yrkeserfarenhet användas. Mot bakgrund av nämnda bestämmelser måste det därmed kunna anses nödvändigt, i unionsrättslig mening, för utbildningsanordnarna inom yrkeshögskolan att samla in och behandla personuppgifter i syfte att rangordna sökandena. Detta ändamål är där-
med nödvändigt för att utföra uppgiften att anordna och bedriva eftergymnasial yrkesutbildning.
Motsvarande ändamål för de som anordnar och bedriver utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan utläsas av 13 § i nämnda författning. Enligt bestämmelserna där ska det för varje utbildning finnas en utbildningsplan. Av utbildningsplanen ska det framgå bl.a. de grunder och metoder som ska användas vid urval bland behöriga sökande till utbildningen. Även för dessa utbildningsanordnare är det således nödvändigt att samla in och behandla personuppgifter för det nödvändiga syftet att rangordna sökandena.
Vidare ska, enligt 2 kap. 10 § förordningen om yrkeshögskolan, betyg sättas på en genomförd kurs. Enligt 5 § i MYH:s föreskrifter om studiedokumentation ska uppgifter om de studerandes resultat rapporteras till myndigheten genom en av myndigheten tillhandahållen digital plattform eller tjänst. Det måste därmed anses nödvändigt att behandla personuppgifter i syfte att kontrollera att de studerande har genomfört obligatoriska moment, för att mäta och värdera de studerandes prestationer och kunskapsnivå samt för att fullgöra uppgiftsskyldigheten. Dessa ändamål är därmed också nödvändiga för fullgörandet av uppgiften att anordna och bedriva utbildningar inom yrkeshögskolan.
Av 15 och 16 §§ förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar framgår att det efter en genomförd kurs ska sättas ett betyg eller utfärdas ett intyg. Även för dessa utbildningsanordnare är det därmed nödvändigt att behandla personuppgifter för det nödvändiga syftet att kontrollera att de studerande har genomfört obligatoriska moment och för att mäta och värdera de studerandes prestationer och kunskapsnivå.
Ovan beskrivs endast några exempel på sådana behandlingar som kan vara nödvändiga för ändamål som i sin tur är nödvändiga för att utbildningsanordnarna ska kunna utföra de uppgifter och utöva sådan verksamhet som ryms inom ramen för uppgiften av allmänt intresse, dvs. att anordna och bedriva utbildningar inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. En uttömmande uppräkning är av naturliga skäl inte möjlig att presentera. Det är därför viktigt att betona att det, enligt artikel 5.2 i dataskyddsförordningen,
är den personuppgiftsansvarige som ska ansvara för och kunna visa att uppgifter behandlas för berättigade och nödvändiga ändamål.
6.3.3. Myndighetsutövning
Bedömning: Utbildningsanordnarna inom yrkeshögskolan vidtar
vissa åtgärder med stöd av lagen om yrkeshögskolan och anslutande föreskrifter som innefattar myndighetsutövning gentemot en studerande, t.ex. examination. Det är i dessa situationer möjligt för utbildningsanordnarna att tillämpa den rättsliga grunden i andra ledet i artikel 6.1 e i dataskyddsförordningen för sådan behandling som är nödvändig som ett led i myndighetsutövningen. Även första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, kan tillämpas vid sådan behandling. Något behov av ytterligare reglering finns inte.
De som anordnar och bedriver sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har i sin verksamhet inslag som liknar myndighetsutövning. Eftersom bestämmelserna inte finns i lagform utan i en förordning, är det dock inte enligt svensk rätt fastställt att de har myndighetsutövande befogenheter. Dessa utbildningsanordnare kan för sin personuppgiftsbehandling därmed inte tillämpa andra ledet i artikel 6.1 e i dataskyddsförordningen. Anordnarna av utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan i stället tillämpa första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, för sådan behandling. Något behov av ytterligare reglering finns inte.
Enligt andra ledet i artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 första stycket framgår att rätten att utöva myndighet ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskyddsutredningen föreslår en bestämmelse i 2 kap. 4 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led
i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Enligt artikel 6.3 andra stycket i dataskyddsförordningen ska syftet med behandlingen vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befogenheten fastställs. Ändamålet med behandlingen måste dock vara nödvändigt som ett led i myndighetsutövningen. För tillämpningen av den rättsliga grunden myndighetsutövning gäller således motsvarande krav som för den rättsliga grunden uppgift av allmänt intresse.
Begreppet myndighetsutövning har en unionsrättslig innebörd. Enligt Dataskyddsutredningen bör man till dess annat framkommer kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller in under begreppet. Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Utanför begreppet myndighetsutövning faller råd, upplysningar och faktiskt handlande som inte innebär tvång mot den enskilde (SOU 2017:39, avsnitt 8.3.3).
Enligt 14 § andra stycket lagen om yrkeshögskolan får utbildningsanordnaren utfärda utbildningsbevis och examensbevis. I samma stycke bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om utbildningsbevis och examensbevis. Av 2 kap. 15 och 16 §§ förordningen om yrkeshögskolan framgår att den studerande under vissa förutsättningar ska få ett examensbevis eller ett utbildningsbevis. Av 4 kap. 2 § framgår att det är ledningsgruppen som ska utfärda dessa bevis. Enligt 8 kap. 2 § första stycket får ett beslut av ansvarig utbildningsanordnare om avslag på en studerandes begäran att få examensbevis eller utbildningsbevis överklagas till Överklagandenämnden för högskolan. Ytterligare exempel på myndighetsutövning är statliga universitets och högskolors prövning av behörighet och tillgodoräknande. Dessa beslut är överklagbara enligt 8 kap. 2 § andra stycket.
Verksamheten hos de som anordnar och bedriver utbildning inom yrkeshögskolan omfattar därmed i vissa delar myndighetsutövning som är fastställd i svensk rätt. Nödvändig personuppgiftsbehandling i samband med dessa moment kan därmed grunda sig på andra ledet i
artikel 6.1 e i dataskyddsförordningen. Det bör åter betonas att en ytterligare förutsättning för att kunna tillämpa myndighetsutövning som rättslig grund för behandlingen är att också syftet med behandlingen är nödvändigt. Det är den personuppgiftsansvarige som ska ansvara för och kunna visa att behandlingen är laglig och att ändamålet är berättigat och nödvändigt (artikel 5.2 i dataskyddsförordningen). Om inte andra ledet i artikel 6.1 e är tillämpligt bedömer utredningen att första ledet i nämnda artikel, dvs. uppgift av allmänt intresse, kan vara tillämpligt eftersom t.ex. examination enligt tilllämpliga författningar omfattas av uppgiften att anordna och bedriva utbildning inom yrkeshögskolan.
De som anordnar och bedriver sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska sätta betyg eller utfärda intyg. De ska vidare utfärda utbildningsbevis om en studerande begär det. Detta framgår av förordningens bestämmelser i 15–17 §§. Även i deras verksamhet finns således inslag som är att likna vid myndighetsutövning.
Av 12 kap. 4 § andra stycket regeringsformen framgår att förvaltningsuppgifter kan överlämnas åt juridiska personer och enskilda individer. Innefattar uppgiften myndighetsutövning får ett överlämnande dock endast göras med stöd av lag. Bestämmelserna om konst- och kulturutbildningar och vissa andra utbildningar finns inte i lagform utan i en förordning. Enligt utredningens uppfattning är det därmed inte i svensk rätt fastställt att anordnarna av sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har getts myndighetsutövande befogenheter. Dessa utbildningsanordnare kan därmed inte tillämpa andra ledet i artikel 6.1 e i dataskyddsförordningen för sin personuppgiftsbehandling. Enligt utredningens mening utgör detta dock inte något problem. Liksom utbildningsanordnarna inom yrkeshögskolan har de som anordnar konst- och kulturutbildningar och vissa andra utbildningar i stället möjlighet att tillämpa första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, även för sådan verksamhet som liknar myndighetsutövning.
6.3.4. Rättslig förpliktelse
Bedömning: I svensk rätt finns det fastställda rättsliga förplik-
telser som åvilar de som anordnar och bedriver utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar och som gör det nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen kan då tillämpas. Något behov av ytterligare reglering finns inte.
I dessa fall kan även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, vara tillämplig.
Enligt artikel 6.1 c i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Av artikel 6.3 första stycket framgår att den rättsliga förpliktelsen ska vara fastställd i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Dataskyddsutredningen bedömer att förpliktelsen inte nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser kan också framgå av exempelvis förelägganden, myndighetsbeslut och domar som har meddelats med stöd av gällande rätt. Dataskyddsutredningen har därför föreslagit en bestämmelse i 2 kap. 3 § dataskyddslagen som anger att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller som följer av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.2).
Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen fastställas i den rättsliga grunden. Syftet med behandlingen ska alltså vara bestämd av den författning, beslut m.m. som anger eller ger stöd för förpliktelsen.
Dataskyddsutredningen anser att en förpliktelse som är alltför svepande och ger den personuppgiftsansvarige en alltför stor handlingsfrihet i fråga om hur den ska uppfyllas, inte utgör en rättslig grund för behandling av personuppgifter. Den rättsliga förpliktelsen måste således i sig vara tillräckligt tydlig när det gäller den behandling av personuppgifter som krävs (SOU 2017:39, avsnitt 8.3.2).
Enligt 2 kap. 15 och 16 §§ förordningen om yrkeshögskolan ska den studerande på begäran under vissa förutsättningar få ett examensbevis eller ett utbildningsbevis. Av 17 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar framgår att en studerande som avslutat en utbildning på begäran ska få ett utbildningsbevis av den ansvariga utbildningsanordnaren. Nämnda förpliktelser för utbildningsanordnarna förutsätter att i vart fall namn och personnummer behandlas för att respektive bevis ska kunna utfärdas. Detta är enligt utredningens bedömning därmed exempel på rättsliga förpliktelser som är tillräckligt tydliga för att nödvändig personuppgiftsbehandling ska kunna ske med stöd av artikel 6.1 c i dataskyddsförordningen.
Ytterligare exempel på rättsliga förpliktelser finns i MYH:s föreskrifter om studiedokumentation, som MYH föreskrivit med stöd av 2 kap. 17 § andra stycket förordningen om yrkeshögskolan. Av bestämmelserna i föreskrifterna framgår att utbildningsanordnarna inom yrkeshögskolan ska dokumentera ett flertal uppgifter om de studerande och deras studieresultat samt rapportera dessa uppgifter till MYH.
På utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar åvilar det därmed vissa rättsliga förpliktelser. Förpliktelserna är fastställda genom bestämmelser i svensk rätt och av dessa framgår det för vilka ändamål det är nödvändigt att behandla personuppgifter. Den rättsliga grunden i artikel 6.1 c är därmed tillämplig på sådana behandlingar.
Även i dessa fall kan, enligt utredningens uppfattning, första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, tillämpas för den nödvändiga personuppgiftsbehandlingen, eftersom fullgörandet av förpliktelserna också ingår i uppgiften att anordna och bedriva utbildningar inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Det torde därför vara i undantagsfall som artikel 6.1 c behöver tillämpas av utbildningsanordnarna.
6.3.5. Intresseavvägning
Bedömning: Enskilda utbildningsanordnare inom yrkeshögsko-
lan och de som anordnar utbildningar som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan för sin personuppgiftsbehandling använda sig av den rättsliga grunden i artikel 6.1 f i dataskyddsförordningen, dvs. för sådan behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.
Nämnda rättsliga grund skulle kunna vara tillämplig när det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, är tillämplig. Eftersom det för ovan nämnda utbildningsanordnare finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva aktuella utbildningar är det endast i undantagsfall som den rättsliga grunden i artikel 6.1 f behöver tillämpas.
Enligt artikel 6.1 f i dataskyddsförordningen är behandling laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.
Av artikel 6.1 andra stycket framgår att denna grund inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Eftersom offentliga utbildningsanordnare inom yrkeshögskolan är myndigheter som fullgör sina uppgifter när de anordnar och bedriver utbildning enligt lagen om yrkeshögskolan med anslutande föreskrifter, kan de inte tillämpa den rättsliga grunden i artikel 6.1 f för sin personuppgiftsbehandling. Det är således endast de enskilda utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar som kan använda sig av artikel 6.1 f som grund för sin personuppgiftsbehandling.
Dataskyddsutredningen bedömer att den rättsliga grunden i artikel 6.1 f, intresseavvägning, ofta är möjlig att tillämpa när det är tvek-
samt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse (SOU 2017:39, avsnitt 8.3.4).
I avsnitt 6.3.2 bedömer utredningen att anordnande och bedrivande av utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en i svensk rätt fastställd uppgift av allmänt intresse. Artikel 6.1 e är inte begränsad till offentliga aktörer, även privaträttsliga organ kan utföra en uppgift av allmänt intresse. Enligt utredningens uppfattning bör den rättsliga grunden i artikel 6.1 f därmed sällan bli aktuell att tillämpa av utbildningsanordnarna i sådan verksamhet som omfattas av lagen om yrkeshögskolan med anslutande föreskrifter och förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med anslutande myndighetsföreskrifter.
6.3.6. Samtycke
Bedömning: De som anordnar och bedriver utbildning inom
yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan i viss utsträckning använda sig av samtycke som rättslig grund för sin personuppgiftsbehandling.
Enligt artikel 6.1 a i dataskyddsförordningen är behandling laglig om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
Med samtycke avses enligt artikel 4.11 varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Det kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till förordningen).
En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.
Enligt skäl 43 till dataskyddsförordningen bör samtycke inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Någon sådan skrivning finns inte i skälen till dataskyddsdirektivet, men mot bakgrund av att definitionen av samtycke i princip är densamma och de uttalanden som gjorts av bl.a. Artikel 29-gruppen får detta anses gälla enligt befintligt regelverk. Artikel 29-gruppen har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en arbetsuppgift av allmänt intresse snarare än samtycke.1
Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Det finns dock en omfattande reglering för verksamheten inom yrkeshögskolan. Även för utbildningar som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns det en tydlig reglering. Behovet av att använda samtycke som rättslig grund torde, enligt utredningens bedömning, därmed vara ytterst begränsat för utbildningsanordnarna. Om behandlingen grundar sig på samtycke ska den personupp-
1 Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet samtycke s. 16–17.
giftsansvarige, enligt artikel 7.1, kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.
6.3.7. Sammanfattning
Artikel 5 i dataskyddsförordningen innehåller bestämmelser om principerna för behandling av personuppgifter. Enligt 5.1 a ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 6.1 anges att behandling av personuppgifter är laglig endast om och i den mån som åtminstone ett av de i bestämmelsen angivna villkoren är uppfyllt.
Utredningen har i de föregående avsnitten kommit fram till att de som anordnar och bedriver utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan tillämpa flera olika rättsliga grunder i artikel 6.1 i dataskyddsförordningen till stöd för sin personuppgiftsbehandling. I vissa situationer kan dessutom flera rättsliga grunder vara tillämpliga samtidigt var för sig.
De rättsliga grunder som kan vara tillämpliga är samtycke (a), rättslig förpliktelse (c) eller uppgift av allmänt intresse eller myndighetsutövning (e). De som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan dock inte tillämpa den rättsliga grunden myndighetsutövning. Vidare kan enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådan utbildning som omfattas av förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar tillämpa den rättsliga grunden intresseavvägning (f).
Den rättsliga grund som främst blir aktuell för samtliga utbildningsanordnare att tillämpa är dock första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, eftersom uppgiften att anordna och bedriva utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är en i svensk rätt fastställd uppgift av allmänt intresse.
När dataskyddsförordningen ska börja tillämpas kan ändamålsenlig och nödvändig personuppgiftsbehandling, som samtidigt skyddar den enskildes fri- och rättigheter, för utbildningsanordnarnas del därmed ske med stöd av bestämmelserna i artikel 6 i dataskyddsförordningen. Något regleringsbehov aktualiseras följaktligen inte för
att utbildningsanordnarna ska kunna tillämpa ovan nämnda rättsliga grunder.
6.4. Känsliga personuppgifter och uppgifter som rör lagöverträdelser
6.4.1. Utredningens uppdrag i denna del
I utredningens direktiv konstateras att det inom utbildningsområdet i vissa fall är nödvändigt att behandla känsliga personuppgifter. Uppdraget i denna del är därför att analysera om det, utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen föreslagit, finns ett behov av kompletterande regleringar för den behandling av känsliga personuppgifter som utförs av utbildningsanordnarna inom yrkeshögskolan eller av de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Utredningen ska även lämna de författningsförslag som behövs.
Något specifikt uppdrag i fråga om behandling av uppgifter om lagöverträdelser har inte getts utredningen. Eftersom utredningen ska föreslå kompletterande regleringar som ska möjliggöra en ändamålsenlig behandling som samtidigt skyddar den enskildes fri- och rättigheter, ingår det dock i uppdraget att också analysera behovet av reglering i denna del.
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör bl.a. fällande domar i brottmål endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Det finns således ett förbud för enskilda att behandla personuppgifter som rör fällande domar i brottmål, om inte behandlingen kan anses stå under en myndighets kontroll eller den nationella rätten medger sådan behandling.
Även om personuppgifter som rör fällande domar i brottmål inte är en känslig uppgift, torde behandling av sådana uppgifter allmänt kunna anses som integritetskänslig. Utredningen anser därför att behovet av reglering i denna del lämpligen bör behandlas i samma avsnitt som behandling av känsliga personuppgifter.
6.4.2. Behov av att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål
Utbildningsanordnarna inom yrkeshögskolan och de som anordnar utbildning enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behöva behandla känsliga personuppgifter i ett flertal olika sammanhang. Med hänsyn till att det är ett stort antal utbildningsanordnare är det inte möjligt att ge en uttömmande beskrivning av samtliga sådana behandlingar. Nedan lämnas därför en redogörelse för de behandlingar av känsliga personuppgifter som i huvudsak förekommer hos utbildningsanordnarna. Även behandling av personuppgifter som rör fällande domar i brottmål redogörs för nedan.
Studerande med funktionsnedsättning
Enligt 2 kap. 5 § diskrimineringslagen (2008:567) får den som bedriver verksamhet som avses i skollagen eller annan utbildningsverksamhet inte diskriminera något barn eller någon elev, student eller studerande som deltar i eller söker till verksamheten.
Annan utbildningsverksamhet syftar på flera olika former av utbildning, bl.a. eftergymnasiala yrkesutbildningar inom yrkeshögskolan och utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar (prop. 2013/14:198 s. 77).
Med diskriminering avses enligt 1 kap. 4 § bl.a. bristande tillgänglighet. Med bristande tillgänglighet avses att en person med en funktionsnedsättning missgynnas genom att sådana åtgärder för tillgänglighet inte har vidtagits för att den personen ska komma i en jämförbar situation med personer utan denna funktionsnedsättning som är skäliga utifrån krav på tillgänglighet i lag och annan författning och med hänsyn till de ekonomiska och praktiska förutsättningarna, varaktigheten och omfattningen av förhållandet eller kontakten mellan verksamhetsutövaren och den enskilde samt andra omständigheter av betydelse.
Förbudet mot diskriminering innebär att även åtgärder i fråga om annat än den fysiska miljön kan krävas. Sådana åtgärder bör kunna handla om stöd eller personlig service samt om information och kommunikation (prop. 2013/14:198 s. 78 f.).
För utbildningsanordnare inom yrkeshögskolan finns det en bestämmelse i förordningen om yrkeshögskolan som kompletterar bestämmelserna i diskrimineringslagen. Av 2 kap. 3 § framgår att den ansvariga utbildningsanordnaren ska se till att de studerande som behöver särskilt pedagogiskt stöd i utbildningen får sådant stöd. Av 5 § förordningen om utbildning inom yrkeshögskolan som uppdragsutbildning följer att detta även gäller för anordnare av uppdragsutbildningar. Skyldigheten gäller samtliga huvudmän, dvs. även för enskilda utbildningsanordnare. För utbildningar inom yrkeshögskolan får vidare, enligt 5 kap. 2 § förordningen om yrkeshögskolan, statsbidrag lämnas till kommuner, landsting eller enskilda fysiska eller juridiska personer för kostnader för särskilt pedagogiskt stöd till studerande med funktionsnedsättning. För sådana kostnader får enligt samma paragraf särskilda medel lämnas till universitet eller högskolor som har staten som huvudman och som omfattas av högskolelagen. Enligt 5 kap. 4 § är det MYH som beslutar om statsbidrag eller särskilda medel. Av 5 § förordningen om utbildning inom yrkeshögskolan som uppdragsutbildning följer att denna möjlighet att få statsbidrag respektive särskilda medel inte gäller för anordnare av uppdragsutbildningar.
För anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är 30 § i nämnda förordning av intresse. Av bestämmelsen framgår att MYH får lämna extra statsbidrag för nödvändiga stödinsatser för studerande med funktionsnedsättning.
För de som anordnar utbildning inom yrkeshögskolan eller sådan utbildning som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns således en skyldighet att vidta skäliga åtgärder för att se till så att personer med en funktionsnedsättning också kan delta i undervisningen. Ett sätt att uppfylla denna skyldighet är att erbjuda särskilt pedagogiskt stöd. Exempel på sådant stöd kan vara anteckningsstöd, extra handledning, teckenspråkstolkning och anpassade examinationer. I samband med ansökningar om särskilt pedagogiskt stöd och när beslutade stödåtgärder ska verkställas behandlar utbildningsanordnarna därmed känsliga personuppgifter i form av uppgifter om hälsa. Känsliga personuppgifter kan även behöva behandlas i samband med att utbildningsanordnarna hos MYH ansöker om statsbidrag eller särskilda medel för kostnader för stöd till studerande med funktionsnedsättning.
Anstånd och studieuppehåll
I 24 a § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar anges att om det finns särskilda skäl, får utbildningsanordnaren i enskilda fall besluta att den som är antagen till utbildningen får anstånd med att påbörja studierna eller fortsätta sina studier efter studieuppehåll. Med stöd av bestämmelsen kan en utbildningsanordnare således besluta om t.ex. anstånd med hänsyn till hälsoskäl. Känsliga personuppgifter kan därmed behöva behandlas i samband med ärenden om anstånd och studieuppehåll.
För utbildningsanordnare inom yrkeshögskolan saknas det en motsvarande reglering om anstånd och studieuppehåll. Det finns dock inget som hindrar att dessa anordnare har egna regelverk i sådana frågor som innebär att känsliga personuppgifter behöver behandlas.
Trakasserier och sexuella trakasserier
Av 2 kap. 7 § diskrimineringslagen framgår att om en utbildningsanordnare får kännedom om att bl.a. en studerande som deltar i eller söker till utbildningsanordnarens verksamhet anser sig i samband med verksamheten ha blivit utsatt för trakasserier eller sexuella trakasserier, är utbildningsanordnaren skyldig att utreda omständigheterna kring de uppgivna trakasserierna och i förekommande fall vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden.
Med utbildningsanordnare avses bl.a. den som bedriver eftergymnasiala yrkesutbildningar enligt lagen om yrkeshögskolan och utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar (jfr prop. 2007/08:95 s. 506 och 509 samt prop. 2013/14:198 s. 77).
Vad som avses med trakasserier framgår av 1 kap. 4 § diskrimineringslagen. Enligt lagens definition är trakasserier ett uppträdande som kränker någons värdighet och som har samband med någon av diskrimineringsgrunderna kön, könsöverskridande identitet eller uttryck, etnisk tillhörighet, religion eller annan trosuppfattning, funktionsnedsättning, sexuell läggning eller ålder. Av samma lagrum framgår att med sexuella trakasserier avses ett uppträdande av sexuell natur som kränker någons värdighet.
Enligt 2 kap. 7 § diskrimineringslagen finns det således en skyldighet för utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar att utreda trakasserier och vidta de åtgärder som skäligen kan krävas för att förhindra trakasserier i framtiden. Mot bakgrund av hur trakasserier och sexuella trakasserier definieras i 1 kap. 4 § kan känsliga personuppgifter behöva behandlas i samband med sådana utredningar och ärenden.
Avskiljande av studerande från utbildning
Enligt 19 § lagen om yrkeshögskolan får en studerande tills vidare avskiljas från en utbildning som anordnas av staten, en kommun eller ett landsting om han eller hon lider av psykisk störning, missbrukar alkohol eller narkotika eller har gjort sig skyldig till allvarlig brottslighet. Som ytterligare förutsättning för ett avskiljande gäller att det, till följd av något av nämnda förhållanden, bedöms finnas en påtaglig risk att den studerande kan komma att skada någon annan person eller värdefull egendom under utbildningen.
I 7 kap. förordningen om yrkeshögskolan finns kompletterande bestämmelser om avskiljande av studerande. Av 1 § framgår bl.a. att frågor om avskiljande prövas av Högskolans avskiljandenämnd enligt 8–20 §§ förordningen (2007:989) om avskiljande av studenter från högskoleutbildning och 8 § förordningen (2007:990) med instruktion för Högskolans avskiljandenämnd. Vidare framgår att avskiljandenämnden tar upp frågor om avskiljande endast efter skriftlig anmälan från ledningsgruppen för utbildningen.
Som framgår ovan gäller bestämmelserna om avskiljande inte för enskilda utbildningsanordnare inom yrkeshögskolan. I förarbetena till lagen om yrkeshögskolan uttalar regeringen att motsvarande frågor, när det handlar om utbildning med enskild huvudman, bör regleras i civilrättsliga former. Enligt regeringen kan det inom yrkeshögskolan handla om att enskilda utbildningsanordnare tecknar ett skriftligt avtal med motsvarande innebörd med de studerande som antas till en utbildning (prop. 2008/09:68 s. 47). Även enskilda utbildningsanordnare inom yrkeshögskolan kan således ha bestämmelser som till viss del motsvarar ett avskiljande enligt den reglering som gäller för offentliga utbildningsanordnare.
Både offentliga och enskilda utbildningsanordnare kan därmed behöva behandla känsliga personuppgifter i form av hälsa i samband med utredningar och ärenden om avskiljande av studerande från utbildning. I sådana ärenden kan följaktligen också personuppgifter som rör fällande domar i brottmål behöva behandlas.
Anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar är endast enskilda fysiska eller juridiska personer. För deras del, i likhet med enskilda utbildningsanordnare inom universitets- och högskolesektorn (se avsnitt 5.4.2) och yrkeshögskolan, saknas det offentligrättslig reglering om avskiljande. Det går dock inte att utesluta att även anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har egna regelverk om avskiljande som kan göra det nödvändigt att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Offentlighetsprincipen
Utbildning inom yrkeshögskolan kan anordnas av bl.a. statliga universitet och högskolor, andra statliga myndigheter, kommuner och landsting. Eftersom dessa utbildningsanordnare är myndigheter omfattas de av tryckfrihetsförordningens, offentlighets- och sekretesslagens (2009:400) och förvaltningslagens (1986:223) bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot epost. För att kunna uppfylla de åligganden som följer av att omfattas av offentlighetsprincipen kan det för dessa utbildningsanordnare bli nödvändigt att behandla känsliga personuppgifter.
Sammanfattning
Utbildningsanordnare inom yrkeshögskolan och de som anordnar sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behöva behandla känsliga personuppgifter vid handläggning av ansökningar om särskilt pedagogiskt stöd, när beslutade stödåtgärder ska verkställas och i samband med ansökningar om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd. Behandling av känsliga per-
sonuppgifter kan även förekomma i ärenden om anstånd, studieuppehåll, trakasserier, sexuella trakasserier och avskiljande. I ärenden om avskiljande kan dessutom personuppgifter som rör fällande domar i brottmål behöva behandlas. Vidare kan offentliga utbildningsanordnare inom yrkeshögskolan behöva behandla känsliga personuppgifter med anledning av de åligganden som följer av att de omfattas av offentlighetsprincipen.
6.4.3. Gällande bestämmelser
I fråga om de skyldigheter som offentliga utbildningsanordnare inom yrkeshögskolan har enligt offentlighetsprincipen kan konstateras att enligt 8 § första stycket PUL tillämpas inte bestämmelserna i personuppgiftslagen i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.
Vidare får såväl offentliga som enskilda utbildningsanordnare inom yrkeshögskolan samt anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar i dagsläget behandla känsliga personuppgifter i s.k. ostrukturerat material, förutsatt att behandlingen inte innebär en kränkning av den registrerades personliga integritet (5 a § PUL). Därutöver kan offentliga utbildningsanordnare inom yrkeshögskolan, med stöd av 8 § personuppgiftsförordningen (1998:1191, PUF) behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Om dessa bestämmelser inte är tillämpliga på behandlingen av känsliga personuppgifter måste samtycke inhämtas från den registrerade enligt 15 § PUL för att känsliga personuppgifter ska få behandlas.
I fråga om personuppgifter som rör fällande domar i brottmål är det, enligt 21 § första stycket PUL, förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar bl.a. brott och domar i brottmål. Förbudet gäller således inte för offentliga utbildningsanordnare inom yrkeshögskolan. Med stöd av 5 a § PUL kan dock även enskilda utbildningsanordnare behandla sådana uppgifter i ostrukturerat material.
6.4.4. Dataskyddsförordningen och dataskyddslagen
Känsliga personuppgifter
Med särskilda kategorier av personuppgifter (känsliga personuppgifter) avses enligt artikel 9.1 i dataskyddsförordningen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Enligt artikel 9.1 är huvudregeln att det är förbjudet att behandla känsliga personuppgifter. Förbudet är dock förenat med en rad viktiga undantag. De som aktualiseras i detta sammanhang är artikel 9.2 a och g.
Enligt 9.2 a ska förbudet i 9.1 inte tillämpas om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa uppgifter för ett eller flera specifika ändamål.
Av 9.2 g framgår att förbudet i 9.1 inte ska tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Utifrån denna möjlighet för medlemsstaterna att skapa förutsättningar för att möjliggöra behandling av känsliga personuppgifter har Dataskyddsutredningen i dataskyddslagen föreslagit tre generella undantag från förbudet att behandla känsliga personuppgifter för myndigheter (SOU 2017:39, avsnitt 10.6.2).
Det första gäller behandling av uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende (3 kap. 3 § 1 dataskyddslagen). Enligt Dataskyddsutredningen bör begränsningen till löpande text inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.
Det andra undantaget gäller om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § 2 dataskyddslagen). Bestämmelsen möjliggör behandling av känsliga personuppgifter som är oundviklig i myndigheternas verksamhet som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens
och förvaltningslagens bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post.
Utöver detta föreslås myndigheter få behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § 3 dataskyddslagen). Syftet med paragrafen är att möjliggöra behandling av känsliga personuppgifter i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Det kan vara fallet t.ex. inom en myndighet i samband med utvärdering. Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Vid bedömningen av om behandlingen utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet och den inställning de registrerade kan antas ha till att uppgiften behandlas.
Som skyddsåtgärd, för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Dataskyddsutredningen avslutningsvis, i 3 kap. 4 § dataskyddslagen, ett förbud för myndigheter att vid behandling som sker enbart med stöd av 3 kap. 3 § använda sökbegrepp som avslöjar känsliga personuppgifter.
Personuppgifter som rör fällande domar i brottmål
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
Dataskyddsutredningen föreslår bestämmelser om behandling av personuppgifter som rör lagöverträdelser i 3 kap. 9–12 §§ dataskyddslagen.
I 9 § anges att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångs-
medel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.
Enligt Dataskyddsutredningen är det av stor vikt att regleringen i artikel 10 i dataskyddsförordningen, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Dataskyddsutredningen anser att ett sådant införlivande behövs när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bl.a. för att tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter om lagöverträdelser (SOU 2017:39, avsnitt 11.4).
I 3 kap. 10 § anges att den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §. Ytterligare ett bemyndigande finns i 12 §. Enligt nämnda bestämmelse får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana uppgifter som avses i 9 §.
I 3 kap. 11 § anges att behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.
I 4 och 5 §§ förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning föreslår Dataskyddsutredningen kompletterande bestämmelser avseende behandling av personuppgifter som rör lagöverträdelser.
Enligt 4 § får personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel behandlas av andra än myndigheter om
1. behandlingen är nödvändig för att rättsliga anspråk ska kunna
fastställas, göras gällande eller försvaras i ett enskilt fall,
2. behandlingen avser enstaka uppgifter och är nödvändig för att till
polisen anmäla misstanke om brott, eller
3. behandlingen avser enstaka uppgifter och är nödvändig för att en
rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Enligt Dataskyddsutredningens förslag till 5 § första stycket förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning får Datainspektionen meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som
rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. I andra stycket anges att Datainspektionen även i enskilda fall får besluta om att tillåta behandling av sådana personuppgifter som avses i första stycket.
6.4.5. Behov av särskild reglering
Förslag: I lagen om yrkeshögskolan ska det införas nya bestäm-
melser om personuppgiftsbehandling. Dessa ska upplysa om dataskyddsförordningen och reglera förhållandet till dataskyddslagen. Vidare ska utbildningsanordnare få behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Utbildningsanordnare ska också få behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Offentliga utbildningsanordnare ska få behandla känsliga personuppgifter om uppgifterna har lämnats till denne och behandlingen krävs enligt lag. Enskilda utbildningsanordnare ska få behandla personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av studerande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Utbildningsanordnare ska inte få använda sökbegrepp som avslöjar känsliga personuppgifter och motsvarande förbud ska även gälla för enskilda utbildningsanordnare i fråga om personuppgifter som rör fällande domar i brottmål. Slutligen ska regeringen få meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen.
I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska det, med undantag för bestämmelser om behandling som krävs enligt lag och bemyndigande för regeringen, införas bestämmelser med motsvarande innehåll.
Bedömning: Offentliga utbildningsanordnare inom yrkeshög-
skolan kan med stöd av artikel 10 i dataskyddsförordningen behandla personuppgifter som rör fällande domar i brottmål. Dataskyddslagen föreslås innehålla en upplysningsbestämmelse om att myndigheter får behandla sådana uppgifter. Det finns inget behov av att införa någon ytterligare reglering för nämnda utbildningsanordnares behandling av personuppgifter som rör fällande domar i brottmål.
Ovan redovisar utredningen att offentliga utbildningsanordnare inom yrkeshögskolan kan behöva behandla känsliga personuppgifter i samband med att de fullgör sina skyldigheter enligt offentlighetsprincipen. I övrigt kan såväl offentliga som enskilda utbildningsanordnare inom yrkeshögskolan samt anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar behöva behandla känsliga personuppgifter vid handläggning av ansökningar om särskilt pedagogiskt stöd, när beslutade stödåtgärder ska verkställas, i samband med ansökningar om statsbidrag eller särskilda medel för kostnader för stöd till studerande med funktionsnedsättning samt i ärenden om anstånd, studieuppehåll, trakasserier, sexuella trakasserier och avskiljande av studerande från utbildning. I ärenden om avskiljande kan även personuppgifter som rör fällande domar i brottmål behöva behandlas.
Utredningen bedömer att dataskyddsförordningen inte utesluter att samtycke kan användas som rättslig grund för behandling av personuppgifter, även känsliga sådana, av utbildningsanordnarna. En bedömning måste dock göras av vilken slags behandling som samtycket avser för att avgöra om det är lämpligt.
För den behandling av känsliga personuppgifter som behövs för att utbildningsanordnarna ska kunna utföra uppgiften att anordna och bedriva utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar bör dock utbildningsanordnarna inte vara beroende av om den registrerade lämnar sitt samtycke till sådan behandling. Detta eftersom det kan ifrågasättas om den registrerade i många fall har något verkligt val i frågan om behandlingen ska ske eller inte och därmed en reell möjlighet att motsätta sig behandlingen. Därtill är det av naturliga skäl uteslutet att samtycke kan användas som rättslig grund för behandlingar i samband med utredningar eller ärenden om
bl.a. trakasserier. Enligt utredningens bedömning bör det för den behandling av känsliga personuppgifter som är nödvändig därför finnas ytterligare rättsliga grunder som kan användas som stöd för sådan behandling.
I fråga om behandling av personuppgifter som rör fällande domar i brottmål i utredningar och ärenden om avskiljande omfattas inte offentliga utbildningsanordnare inom yrkeshögskolan av förbudet i 21 § PUL. Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan i dagsläget behandla sådana uppgifter i ostrukturerat material med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer den bestämmelsen dock att upphävas. Det kan därför vara nödvändigt att införa en rättslig grund som möjliggör för dessa utbildningsanordnare att behandla sådana uppgifter i motsvarande utredningar och ärenden som kan leda till att en studerande tvingas lämna utbildningen.
Behandling i löpande text
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 1 dataskyddslagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Dataskyddsutredningen anser att begränsningen till löpande text inte utesluter att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande (SOU 2017:39, avsnitt 10.6.2).
Enligt artikel 9.2 g får känsliga personuppgifter behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. En myndighet kan således inte tillämpa en sådan bestämmelse som Dataskyddsutredningen föreslår i vilken typ av ärende som helst.
Utredningen bedömer att Dataskyddsutredningens förslag möjliggör för offentliga utbildningsanordnare inom yrkeshögskolan att, i den mån det är nödvändigt, även fortsättningsvis kunna behandla känsliga personuppgifter i ärenden om t.ex. särskilt pedagogiskt stöd, i ärenden om statsbidrag eller särskilda medel för kostnader för särskilt pedagogiskt stöd samt i ärenden om trakasserier, sexuella
trakasserier och avskiljande (se motsvarande avsnitt i Universitets- och högskolesektorn, avsnitt 5.4.5). Någon ytterligare reglering krävs därmed inte för att offentliga utbildningsanordnare inom yrkeshögskolan, i de fall det är nödvändigt, ska kunna behandla känsliga personuppgifter för nämnda ändamål när dataskyddsförordningen ska börja tillämpas. Vidare kan det inte uteslutas att det finns andra typer av ärenden där offentliga utbildningsanordnare behöver behandla känsliga personuppgifter. Sådan behandling kan då också ske med stöd av Dataskyddsutredningens förslag, förutsatt bl.a. att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.
Det förhåller sig dock annorlunda för de enskilda utbildningsanordnarna inom yrkeshögskolan och anordnarna av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, vilka också är enskilda fysiska eller juridiska personer. Som framgår av avsnitt 6.4.2 kan motsvarande ärenden som nämnts ovan finnas hos dessa utbildningsanordnare. De har därmed, förutsatt att det är relevant och nödvändigt, samma behov av att kunna behandla känsliga personuppgifter som de offentliga utbildningsanordnarna inom yrkeshögskolan. I dagsläget kan sådan behandling ske i ostrukturerat material med stöd av 5 a § PUL, men den bestämmelsen kommer att upphävas när dataskyddsförordningen ska börja tillämpas. Dataskyddsutredningens förslag omfattar inte enskilda utbildningsanordnare. Utredningen anser därför att det finns behov av att införa bestämmelser som möjliggör för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar att behandla känsliga personuppgifter i vissa ärenden på motsvarande sätt som för offentliga utbildninganordnare inom yrkeshögskolan. Eftersom de redan i dagsläget har möjlighet att utföra sådana behandlingar, bedömer utredningen att integritetsintrånget för den enskilde varken blir större eller mindre genom att sådana bestämmelser införs.
Sammanfattningsvis anser utredningen att det ska införas en bestämmelse enligt vilken känsliga personuppgifter, med stöd av artikel 9.2 g i dataskyddsförordningen, får behandlas av enskilda utbildningsanordnare inom yrkeshögskolan i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende. Motsvarande bestämmelse ska införas även för de som anordnar utbildningar som avses i förordningen om stöd för konst-
och kulturutbildningar och vissa andra utbildningar. Som utredningen konstaterar ovan i fråga om offentliga utbildningsanordnare inom yrkeshögskolan innebär kopplingen till artikel 9.2 g att känsliga personuppgifter inte kan behandlas i vilken typ av ärende som helst. Det krävs att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Av artikel 5.2 framgår att det är den personuppgiftsansvarige som ska ansvara för och kunna visa att man har stöd för de behandlingar man utför.
Behandling som krävs på grund av lag
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 2 dataskyddslagen får myndigheter behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag.
Enligt utredningens bedömning innebär det att offentliga utbildningsanordnare inom yrkeshögskolan även fortsättningsvis kommer att kunna uppfylla de åligganden enligt bl.a. offentlighetsprincipen som ankommer på dem, t.ex. att diarieföra handlingar som innehåller känsliga personuppgifter. Dataskyddsutredningens förslag till bestämmelse i dataskyddslagen är i detta avseende därmed tillräcklig för de offentliga utbildningsanordnarnas nödvändiga behandling av känsliga personuppgifter.
Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, vilka också är enskilda fysiska eller juridiska personer, omfattas inte av offentlighetsprincipen. För deras del behöver det således inte införas en motsvarande bestämmelse.
Absolut nödvändig behandling i andra fall
Enligt Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen får känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Enligt Dataskyddsutredningen ska bestämmelsen möj-
liggöra behandling av känsliga personuppgifter hos myndigheter i enstaka fall, även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte krävs enligt annan lag. Som exempel på när bestämmelsen kan vara tillämplig anger Dataskyddsutredningen inom en myndighet i samband med utvärdering (SOU 2017:39, avsnitt 10.6.2).
Bestämmelsen i dataskyddslagen är direkt tillämplig på offentliga utbildningsanordnare inom yrkeshögskolan. När det gäller deras behandling av känsliga personuppgifter kan, enligt utredningens bedömning, paragrafen vara tillämplig t.ex. när beslut att bevilja särskilt pedagogiskt stöd ska verkställas.
Även för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan behandling av känsliga personuppgifter vara nödvändig i vissa fall när det saknas koppling till ett visst ärende. T.ex. tillhandahåller även nu nämnda utbildningsanordnare särskilt pedagogiskt stöd. De har därmed samma behov som offentliga utbildningsanordnare inom yrkeshögskolan att behandla känsliga personuppgifter i samband med att t.ex. beslut att bevilja stödåtgärder ska verkställas. Sådan behandling kan i dagsläget ske i ostrukturerat material med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.
Om någon reglering som möjliggör fortsatt sådan behandling inte införs är enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar hänvisade till att använda sig av samtycke från den registrerade. Att enbart använda sig av samtycke för all behandling som kan krävas i fråga om t.ex. särskilt pedagogiskt stöd kan vara problematiskt, eftersom det kan vara svårt för den enskilde att överblicka omfattningen och arten av de behandlingar som krävs när beslutade stödåtgärder ska verkställas.
I övervägandena till förslaget till 3 kap. 3 § 3 dataskyddslagen anger Dataskyddsutredningen att sådan behandling som bestämmelsen tar sikte på måste regleras på ett sätt som beaktar dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. Bestämmelsen innehåller därför rekvisitet ”absolut nödvändigt” för att markera att behandling av känsliga personuppgifter i här aktuella fall bara ska
ske efter en noggrann prövning i det enskilda fallet (SOU 2017:39, avsnitt 10.6.2).
Dataskyddsutredningen anser vidare att prövningen också bör ske med beaktande av vilket intrång behandlingen utgör för den registrerades integritet. Dataskyddsutredningen har därför formulerat bestämmelsen på sådant sätt att en avvägning ska göras av om en i och för sig absolut nödvändig behandling av känsliga personuppgifter innebär ett otillbörligt intrång i den registrerades integritet, vilket skulle kunna få till följd att behandlingen inte är tillåten.
Bestämmelsen i den föreslagna 3 kap. 3 § 3 dataskyddslagen innehåller således rekvisit som starkt markerar att bestämmelsen ska tilllämpas restriktivt och först efter noggranna avvägningar mellan behovet av behandlingen och intrånget i den enskildes integritet.
Utredningen anser sammanfattningsvis att bestämmelser motsvarande 3 kap. 3 § 3 dataskyddslagen ska införas för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Dessa aktörer har samma behov som offentliga utbildningsanordnare inom yrkeshögskolan att i vissa fall kunna behandla känsliga personuppgifter även när det saknas koppling till ett visst ärende. En bestämmelse med sådana starkt begränsande rekvisit, tillgodoser, enligt utredningens bedömning, dataskyddsförordningens krav på proportionalitet och skyddsåtgärder.
Behandling av personuppgifter som rör fällande domar i brottmål
Förbudet i artikel 10 för behandling av personuppgifter som rör fällande domar i brottmål gäller inte för myndigheter. Dataskyddsutredningen föreslår att det ska finnas en upplysningsbestämmelse om nämnda förhållande i 3 kap. 9 § dataskyddslagen. Även när dataskyddsförordningen ska börja tillämpas kommer således offentliga utbildningsanordnare inom yrkeshögskolan att kunna behandla personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande enligt 19 § lagen om yrkeshögskolan och 7 kap. förordningen om yrkeshögskolan. Någon ytterligare reglering i denna del krävs därmed inte för de offentliga utbildningsanordnarnas behandlingar.
För enskilda utbildningsanordnare inom yrkeshögskolan är det dock annorlunda. Som framgår ovan kan de ha egna regelverk om avskiljande som i stort sett motsvarar de som gäller för offentliga utbildningsanordnare. De har därmed samma behov som offentliga utbildningsanordnare inom yrkeshögskolan att behandla personuppgifter som rör fällande domar i brottmål. Sådant behov kan även anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ha. I dagsläget kan enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar behandla personuppgifter som rör fällande domar i brottmål i ostrukturerat material med stöd av 5 a § PUL. När dataskyddsförordningen ska börja tillämpas kommer dock personuppgiftslagen att upphävas.
Enligt Dataskyddsutredningens förslag till 4 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning får personuppgifter som rör bl.a. fällande domar i brottmål behandlas av andra än myndigheter om
1. behandlingen är nödvändig för att rättsliga anspråk ska kunna fast-
ställas, göras gällande eller försvaras i ett enskilt fall,
2. behandlingen avser enstaka uppgifter och är nödvändig för att till
polisen anmäla misstanke om brott, eller
3. behandlingen avser enstaka uppgifter och är nödvändig för att en
rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Enligt utredningens bedömning är det inte möjligt för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar att behandla personuppgifter som rör fällande domar i brottmål i ett ärende om avskiljande med stöd av Dataskyddsutredningens förslag i nyss nämnda delar.
Enligt Dataskyddsutredningens förslag till 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning bemyndigas Datainspektionen att meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. I vilken mån Datainspektionen kommer att använda sig av det föreslagna bemyndigandet och i så fall på vilket sätt är i dagsläget oklart.
Dataskyddsförordningen och dataskyddslagen tillåter således inte att enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar behandlar personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande och det saknas förslag till undantag som möjliggör sådan behandling. Frågan är då om utredningen bör föreslå sådana bestämmelser.
I förarbetena till lagen om yrkeshögskolan uttalas bl.a. att regeringen i andra sammanhang inte har ansett det lämpligt att reglera förhållandet mellan en student eller en sökande och en enskild utbildningsanordnare i offentligrättslig ordning (prop. 2008/09:68 s. 46). Frånvaron av offentligrättslig reglering om avskiljande av studerande för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, som också är enskilda fysiska och juridiska personer, beror således inte på att frågan är av underordnad betydelse för deras del. Vidare tar bestämmelser om avskiljande sikte på bl.a. övriga studerandes och utbildningsanordnarnas arbetstagares säkerhet. Det måste därmed, enligt utredningens bedömning, anses vara lika angeläget att enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har möjlighet att behandla personuppgifter som rör fällande domar i brottmål i deras motsvarighet till ärenden om avskiljande. Med beaktande av att dessa utbildningsanordnare i dagsläget kan behandla sådana uppgifter i ostrukturerat material med stöd av 5 a § PUL anser utredningen därför att sådana bestämmelser bör införas.
En bestämmelse som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål måste, enligt artikel 10 i dataskyddsförordningen, omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. En sådan bestämmelse bör därför bestå av rekvisit som starkt betonar att det är fråga om en restriktiv tillämpning där en noggrann avvägning behöver göras mellan behovet av behandling och intrånget i den enskildes integritet. Enligt utredningens uppfattning kan utformningen av Dataskyddsutredningens förslag till 3 kap. 3 § 3 dataskyddslagen tjäna som riktmärke.
Behandling av personuppgifter som rör fällande domar i brottmål skulle då kunna tillåtas om det är absolut nödvändigt, vilket innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling.
För att ytterligare begränsa bestämmelsens tillämpning bör den enligt utredningens uppfattning också innehålla en avvägningsnorm. Av 19 § andra stycket lagen om yrkeshögskolan framgår att en förutsättning för avskiljande på grund av att den studerande bl.a. har gjort sig skyldig till allvarlig brottslighet, är att det till följd av ett sådant förhållande bedöms föreligga en påtaglig risk att den studerande kan komma att skada någon annan person eller värdefull egendom under utbildningen. Den bestämmelse som ska möjliggöra för enskilda utbildningsanordnare inom yrkehögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar att behandla personuppgifter som rör fällande domar i brottmål kan då lämpligen innehålla en avvägningsnorm enligt vilken intresset för andras säkerhet och värdefull egendom ska ställas mot den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Det åligger därmed dessa utbildningsanordnare att göra en noggrann avvägning i varje enskilt fall om den avsedda behandlingen kan göras.
Sammanfattningsvis anser utredningen att det ska införas en bestämmelse som anger att personuppgifter som rör fällande domar i brottmål får behandlas av en enskild utbildningsanordnare inom yrkeshögskolan i löpande text i ett ärende om avskiljande, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära. Motsvarande bestämmelse ska även införas för anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Utredningen bedömer avslutningsvis att bestämmelser med sådana starkt begränsande rekvisit uppfyller kraven i artikel 10 i dataskyddsförordningen.
Skyddsåtgärder – sökförbud
De förslag till bestämmelser i dataskyddslagen som Dataskyddsutredningen lämnar för att möjliggöra för myndigheter att i vissa fall behandla känsliga personuppgifter har sin grund i artikel 9.2 g. För att i denna del leva upp till förordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, föreslår Dataskyddsutredningen även en skyddsåtgärd i form av en sökbegränsning i 3 kap. 4 § dataskyddslagen. Vid behandling som sker enbart med stöd av 3 kap. 3 § dataskyddslagen får en myndighet inte använda sökbegrepp som avslöjar känsliga personuppgifter (SOU 2017:39, avsnitt 10.6.2).
Dataskyddsutredningen menar att sökningar som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Enligt Dataskyddsutredningen ligger företeelsen nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Dataskyddsutredningen anser att med ett sökförbud uppnås ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna.
Sökbegränsningar av detta slag måste enligt Dataskyddsutredningen anses omfatta alla typer av tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.
Dataskyddsutredningens förslag till sökförbud i 3 kap. 4 § dataskyddslagen gäller endast för myndigheter. Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar omfattas således inte av den föreslagna bestämmelsen, utan endast offentliga utbildningsanordnare inom yrkeshögskolan. De skäl som finns för att sökbegränsningar ska gälla för de utbildningsanordnare inom yrkeshögskolan som är offentliga gör sig, enligt utredningens bedömning, dock gällande även för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Motsvarande bestämmelser som begränsar deras möjligheter till behandling av känsliga personuppgifter bör därför också införas.
För de enskilda utbildningsanordnarna inom yrkeshögskolan och anordnarna av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar bör vidare ett motsvarande förbud också gälla vid deras behandling av personuppgifter som rör fällande domar i brottmål. På så sätt fastställs, i enlighet med artikel 10 i dataskyddsförordningen, ytterligare en skyddsåtgärd för de registrerades rättigheter och friheter.
De nya bestämmelsernas placering
Yrkeshögskolan
Enligt ovan har utredningen kommit fram till att offentliga utbildningsanordnare i Dataskyddsutredningens förslag kan finna stöd för sådan behandling av känsliga personuppgifter som är nödvändig vid handläggning av vissa ärenden och för att uppfylla de åligganden som följer av att omfattas av offentlighetsprincipen. Genom Dataskyddsutredningens förslag kan offentliga utbildningsanordnare även i vissa andra fall finna stöd för sådan behandling av känsliga personuppgifter som är absolut nödvändig.
Vidare bedömer utredningen att bestämmelser som möjliggör sådan nödvändig eller absolut nödvändig behandling av känsliga personuppgifter bör införas även för enskilda utbildningsanordnare, eftersom de har samma behov av att kunna behandla känsliga personuppgifter. Ett undantag finns dock för behandling som krävs enligt lag. Eftersom enskilda utbildningsanordnare inte omfattas av offentlighetsprincipen, saknas behov av en bestämmelse som möjliggör behandling av känsliga personuppgifter i detta avseende. Utredningen bedömer även att det finns behov av en reglering som möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i deras motsvarighet till ärenden om avskiljande av studerande. Vad utredningen därefter har att ta ställning till är var sådana bestämmelser lämpligast bör placeras.
I Dataskyddsutredningens förslag till 3 kap. 8 § dataskyddslagen ges ett bemyndigande till regeringen att meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen att behandla känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse. I förslaget till 3 kap. 10 och 12 §§ dataskyddslagen bemyndigas regeringen, eller den myndighet
som regeringen bestämmer, att meddela föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör bl.a. fällande domar i brottmål. Det är således ur ett dataskyddsperspektiv möjligt att föreskriva om dessa undantag i en förordning. De bestämmelser som myndigheter har att tillämpa enligt dataskyddslagen är dock i lagform. Utredningens bedömning är därför att det är lämpligt att bestämmelserna som ger enskilda utbildningsanordnare stöd för att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål förs in på samma normhierarkiska nivå. Detta görs lämpligen i lagen om yrkeshögskolan eftersom det är genom den lagen som den rättsliga grunden uppgift av allmänt intresse fastställs.
Lagen om yrkeshögskolan gäller för samtliga utbildningsanordnare inom yrkeshögskolan, såväl enskilda som offentliga. Även om offentliga utbildningsanordnare kan finna stöd för nödvändig eller absolut nödvändig behandling av känsliga personuppgifter i Dataskyddsutredningens förslag till bestämmelser i dataskyddslagen, är det för tydlighets skull lämpligt att bestämmelserna om behandling av känsliga personuppgifter, som enligt utredningens bedömning bör införas i lagen om yrkeshögskolan, även omfattar de offentliga utbildningsanordnarna.
I lagen om yrkeshögskolan ska det därför införas en bestämmelse som anger att utbildningsanordnarna får behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
Det ska även införas en bestämmelse som anger att utbildningsanordnarna inom yrkeshögskolan får behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
För de offentliga utbildningsanordnarna inom yrkeshögskolan ska det införas en bestämmelse som anger att de får behandla känsliga personuppgifter om uppgifterna har lämnats till utbildningsanordnaren och behandlingen krävs enligt lag.
För de enskilda utbildningsanordnarna inom yrkeshögskolan ska det införas en bestämmelse som möjliggör behandling av personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande.
Avslutningsvis ska det införas bestämmelser om förbud att använda sökbegrepp som avslöjar känsliga personuppgifter och uppgif-
ter som rör fällande domar i brottmål, upplysningsbestämmelser avseende förhållandet till dataskyddsförordningen och dataskyddslagen samt ett bemyndigande för regeringen att föreskriva om ytterligare undantag från förbudet i artikel 9.1. Sistnämnda bestämmelse behöver införas eftersom utredningen föreslår en särreglering för offentliga utbildningsanordnare, vilka annars kunnat tillämpa bestämmelserna om känsliga personuppgifter i dataskyddslagen där det finns ett motsvarande bemyndigande för regeringen i 3 kap. 8 §. En förutsättning när nya undantag övervägs med stöd av bemyndigandet är att en noggrann bedömning görs för att säkerställa att dataskyddsförordningens krav i övrigt, bl.a. skyddsåtgärder, är uppfyllda.
Konst- och kulturutbildningar och vissa andra utbildningar
I fråga om anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar bedömer utredningen enligt ovan att de har samma behov av att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål som enskilda utbildningsanordnare inom yrkeshögskolan. I föregående avsnitt bedömer utredningen att sådana bestämmelser, för utbildningsanordnarna inom yrkeshögskolan, lämpligen ska finnas i lagform. För de som anordnar och bedriver konst- och kulturutbildningar och vissa andra utbildningar regleras verksamheten dock i en förordning. Det är också i den förordningen som den rättsliga grunden uppgift av allmänt intresse fastställs. I föregående avsnitt konstateras att bestämmelser om undantag från förbudet i artikel 9.1 och bestämmelser om behandling av personuppgifter som rör fällande domar i brottmål, mot bakgrund av de bemyndiganden som Dataskyddsutredningen föreslår ska finnas för regeringen i dataskyddslagen, är möjliga att införa i en förordning. Det är således möjligt att komplettera förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar med bestämmelser om behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Utredningen anser därför att det i förordningen ska införas en bestämmelse som möjliggör för utbildningsanordnarna att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
Det ska även införas en bestämmelse som anger att utbildningsanordnarna får behandla känsliga personuppgifter i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vidare ska det införas en bestämmelse som möjliggör behandling av personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande.
Avslutningsvis ska det införas en bestämmelse om förbud att använda sökbegrepp som avslöjar känsliga personuppgifter och uppgifter som rör fällande domar i brottmål samt upplysningsbestämmelser avseende förhållandet till dataskyddsförordningen och dataskyddslagen.
6.5. Behov av ytterligare reglering
Bedömning: Dataskyddsförordningen, dataskyddslagen och ut-
redningens förslag till författningsreglering av behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål utgör en ändamålsenlig reglering för personuppgiftsbehandlingen för de som anordnar och bedriver utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Bestämmelserna utgör samtidigt ett välavvägt skydd för de studerandes personliga integritet.
Den personuppgiftsbehandling som de offentliga utbildningsanordnarna inom yrkeshögskolan utför och som inte omfattas av utredningens förslag till lagreglering är inte sådan att det krävs ytterligare lagreglering enligt 2 kap. 6 § regeringsformen.
Någon ytterligare reglering, utöver förslagen till reglering av behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål, behövs därmed inte.
När personuppgiftslagen upphävs kommer den personuppgiftsbehandling som utförs inom yrkeshögskolan och av de anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar i huvudsak att omfattas av dataskyddsförordningens och den föreslagna dataskyddslagens
bestämmelser. I föregående avsnitt lämnar utredningen dock förslag till reglering av behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
Frågan är således om det, utöver nämnda regleringar och förslag, krävs eller om det av annat skäl är lämpligt med en ytterligare författning i form av en särskild lag för att ytterligare reglera utbildningsanordnarnas personuppgiftsbehandling i andra fall än då det gäller behandling av känsliga personuppgifter och lagöverträdelser.
Dataskyddsförordningen möjliggör genom artikel 6.2 och 6.3 för medlemsstaterna att införa särskilda registerförfattningar men varken dessa bestämmelser eller förordningen i sig innebär något krav på att det införs sådana författningar.
Enligt utredningens bedömning i avsnitt 6.3 kan utbildningsanordnarna som rättslig grund för sin nödvändiga behandling av personuppgifter tillämpa artikel 6.1 a, c eller e i dataskyddsförordningen. Enskilda utbildningsanordnare kan dessutom tillämpa artikel 6.1 f som rättslig grund för nödvändig behandling. Som framgår i avsnitt 6.3 bedömer utredningen att det inte behövs någon särskild reglering för att utbildningsanordnarna ska kunna tillämpa dessa rättsliga grunder. Utredningen gör där även bedömningen att nämnda rättsliga grunder i dataskyddsförordningen är tillräckliga för sådan behandling som är nödvändig för att utbildningsanordnarna ska kunna utföra de uppgifter och utöva sådan verksamhet som framgår av för utbildningsanordnarna relevanta författningar och beslut grundade i dessa.
För utbildningsanordnarnas behandling av känsliga personuppgifter föreslår utredningen bestämmelser som möjliggör sådan nödvändig eller absolut nödvändig behandling. Som framgår av avsnitt 6.4.5 är det utredningens bedömning att föreslagna bestämmelser är tillräckliga för utbildningsanordnarnas behov av behandling av känsliga personuppgifter enligt relevanta författningar. Därtill finns det i viss utsträckning möjlighet att använda sig av samtycke som rättslig grund.
I fråga om enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar föreslår utredningen bestämmelser som möjliggör behandling av personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande.
Dessa anser utredningen är tillräckliga för att tillgodose nämnda utbildningsanordnares behov i denna del.
Utredningens förslag till bestämmelser om behandling av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter i enlighet med dataskyddsförordningens bestämmelser i artikel 9.2 g och artikel 10.
Om utredningens förslag genomförs kommer det därmed att finnas rättsliga grunder som anordnarna av utbildning inom yrkeshögskolan och anordnarna av sådan utbildning som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar kan tillämpa för nödvändig personuppgiftsbehandling även efter det att personuppgiftslagen upphävs den 25 maj 2018. Ur den synvinkeln saknas det anledning att införa en särskild registerförfattning.
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet i bestämmelsen gäller bara mot åtgärder från det allmännas sida och träffar därmed inte åtgärder som en enskild vidtar i förhållande till en annan enskild (prop. 2009/10:80 s. 250). Skyddet mot betydande intrång i den personliga integriteten enligt regeringsformen gäller således endast åtgärder som offentliga utbildningsanordnare inom yrkeshögskolan vidtar i förhållande till sina studerande. Av 2 kap. 20 § framgår att skyddet får begränsas genom lag.
I avsnitt 5.5 bedömer utredningen att statliga högskolors personuppgiftsbehandling inte är sådan att den utgör ett betydande intrång i regeringsformens mening. Enligt utredningens mening gör, i tilllämpliga delar, motsvarande överväganden till den bedömningen sig gällande även beträffande den personuppgiftsbehandling som utförs av offentliga utbildningsanordnare inom yrkeshögskolan. Utredningen bedömer således att den behandling som utförs av nämnda utbildningsanordnare, i de delar som inte omfattas av något förslag till lagreglering, inte är sådan att den utgör ett betydande intrång i regeringsformens mening. Något regleringsbehov aktualiseras därmed inte med anledning av regeringsformens bestämmelser.
Vidare redovisar utredningen i avsnitt 4.9 sin uppfattning att bestämmelserna i dataskyddsförordningen ger ett mycket starkt skydd
för den enskildes integritet och rättigheter. I nämnda avsnitt gör utredningen bedömningen att en särskild författning som reglerar den skollagsreglerade utbildningsverksamhetens personuppgiftsbehandling inte skulle innebära att skyddet för enskildas integritet och rättigheter blev starkare. Utredningen bedömer vidare att en sådan reglering dessutom skulle kunna vara kontraproduktiv på så sätt att den skulle kunna komma att begränsa möjligheterna att behandla personuppgifter på ett sätt som bidrar till ett effektivt och tidsenligt sätt att, med utnyttjande av tillgängliga tekniska hjälpmedel, bedriva utbildning med ett gott resultat.
Enligt utredningens mening gör motsvarande överväganden sig gällande även i fråga om den personuppgiftsbehandling som utförs av utbildningsanordnarna inom yrkeshögskolan och anordnarna av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
Sammanfattningsvis är utredningen således av uppfattningen att det saknas skäl att lämna ytterligare förslag till reglering av den behandling av personuppgifter som utförs av de som anordnar utbildning inom yrkeshögskolan eller enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
6.6. MYH:s register
6.6.1. Utredningens uppdrag i denna del
Som nämnts ovan i avsnitt 6.1 ska MYH enligt sin instruktion svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar som bedrivs som uppdragsutbildningar samt de studerandes studieresultat, betyg, examina och utbildningsbevis (2 § 5).
MYH ska också pröva frågor om stöd enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar samt svara för ett register över uppgifter om de studerande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis (2 § 6).
Någon särskild författning som reglerar behandlingen av personuppgifter i de register som MYH ska svara för finns inte. Behandlingen av personuppgifter regleras således av personuppgiftslagen. När dataskyddsförordningen ska börja tillämpas kommer person-
uppgiftslagen att upphävas. Utredningen har därför fått i uppdrag att analysera om det behövs något författningsstöd utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna för att personuppgifter ska kunna behandlas även fortsättningsvis i de register som MYH svarar för. Utredningen ska även lämna de eventuella författningsförslag som behövs.
6.6.2. MYH:s register över studerande i yrkeshögskolan
Bedömning: För nödvändig behandling vid förandet av det regis-
ter som MYH ska svara för enligt 2 § 5 förordningen med instruktion för Myndigheten för yrkeshögskolan kan MYH tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. rättslig förpliktelse och uppgift av allmänt intresse. Skäl att ändå införa en särskild reglering för MYH:s behandlingar finns inte.
Utbildningsanordnarna kan tillämpa samma rättsliga grunder för nödvändig behandling när de fullgör den uppgiftsskyldighet de har enligt MYH:s föreskrifter om studiedokumentation, som MYH har meddelat med stöd av bemyndigande i 2 kap. 17 § förordningen om yrkeshögskolan. Något ytterligare regleringsbehov aktualiseras därmed inte heller för utbildningsanordnarnas del.
Behov av reglering av MYH:s behandlingar
MYH ska som nämnts ovan svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar inom yrkeshögskolan som bedrivs som uppdragsutbildningar samt de studerandes studieresultat, betyg, examina och utbildningsbevis (2 § 5 förordningen med instruktion för Myndigheten för yrkeshögskolan).
För nödvändig behandling av personuppgifter vid förandet av registret är det enligt utredningens bedömning två rättsliga grunder i dataskyddsförordningen som aktualiseras, rättslig förpliktelse (artikel 6.1 c) och uppgift av allmänt intresse (första ledet i artikel 6.1 e). För att nämnda grunder ska kunna tillämpas krävs, enligt artikel 6.3
första stycket, att dessa är fastställda i enlighet med svensk rätt. Ett ytterligare krav för att kunna tillämpa rättslig förpliktelse och uppgift av allmänt intresse som grund för nödvändig personuppgiftsbehandling framgår av artikel 6.3 andra stycket. Syftet med behandlingen ska vara fastställd i den rättsliga grunden eller, i fråga om uppgift av allmänt intresse, ska vara nödvändigt för att utföra uppgiften.
I fråga om uppgift av allmänt intresse konstaterar Dataskyddsutredningen att myndigheternas uppdrag och åligganden framgår av bl.a. författningar antagna i enlighet med grundlagens bestämmelser om normgivningskompetens. Enligt Dataskyddsutredningen har de åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsägbara regler. Dataskyddsutredningen anser därför att nödvändig behandling av personuppgifter kan ske med stöd av första ledet i artikel 6.1 e i dataskyddsförordningen (SOU 2017:39, avsnitt 8.3.4).
Genom bestämmelsen i MYH:s instruktion som anger att myndigheten ska föra det aktuella registret, bedömer utredningen att förutsättningarna i artikel 6.3 första stycket i dataskyddsförordningen är uppfyllda, dvs. att det finns en för MYH i svensk rätt fastställd rättslig förpliktelse och uppgift av allmänt intresse att föra registret. Vidare är syftet med behandlingen, att föra ett register över de studerande och deras resultat m.m., fastställd i den rättsliga grunden. När dataskyddsförordningen ska börja tillämpas kan MYH följaktligen tillämpa artikel 6.1 c och första ledet i artikel 6.1 e för sådan behandling som är nödvändig vid förandet av registret.
Frågan utredningen därefter har att ta ställning till är om det ändå finns skäl att särskilt reglera behandlingarna i MYH:s register.
I 2 kap. 17 § andra stycket förordningen om yrkeshögskolan har MYH bemyndigats att meddela föreskrifter om att den ansvariga utbildningsanordnaren ska lämna uppgifter till myndigheten om de studerande och deras studieresultat, betyg och examina. MYH får meddela föreskrifter om på vilket sätt och när uppgifterna ska lämnas. Med stöd av bemyndigandet har MYH utfärdat föreskrifter om studiedokumentation (MYHFS 2016:8). Av bestämmelserna i MYH:s föreskrifter framgår att det inte är några känsliga eller integritetskänsliga uppgifter som ska rapporteras till MYH, utan endast uppgifter i form av bl.a. namn, personnummer och studieresultat. Enligt utredningen talar detta emot att det skulle finnas ett behov av att
reglera behandlingarna i registret särskilt. Därtill ska det enligt utredningens uppfattning beaktas att det är fråga om frivilliga studier och att det ligger i de studerandes egna intresse att säkerställa att uppgifter om deras studieresultat finns bevarade någonstans.
Sammanfattningsvis finns det stöd i dataskyddsförordningen som MYH kan tillämpa för sådan behandling av personuppgifter som är nödvändig för att föra registret. Skäl att ändå införa en särskild reglering för behandlingarna finns inte.
Behov av reglering av utbildningsanordnarnas behandlingar
Som nämnts i föregående avsnitt får MYH, enligt 2 kap. 17 § förordningen om yrkeshögskolan, meddela föreskrifter om att den ansvariga utbildningsanordnaren ska lämna uppgifter till MYH om de studerande och deras studieresultat, betyg och examina. MYH får meddela föreskrifter om på vilket sätt och när uppgifterna ska lämnas.
Med stöd av bemyndigandet har MYH utfärdat föreskrifter om studiedokumentation. Föreskrifterna innehåller bestämmelser om på vilket sätt och när anordnare av utbildningar som får stöd enligt förordningen om yrkeshögskolan ska lämna uppgifter till MYH om de studerande och deras studieresultat, betyg och examina (1 §).
Föreskrifterna gäller även för anordnarna av uppdragsutbildningar, eftersom dessa ges stöd enligt förordningen om yrkeshögskolan i form av tillsyn (se 4 § första stycket 1 förordningen med instruktion för Myndigheten för yrkeshögskolan, 5 § förordningen om utbildning inom yrkeshögskolan som uppdragsutbildning samt 4 kap. 8 § förordningen om yrkeshögskolan). Att tillsyn kan utgöra en form av stöd framgår av 1 § förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.
MYH:s föreskrifter innehåller också bestämmelser om utformningen av examensbevis och utbildningsbevis, vilka ska innehålla uppgifter i form av bl.a. den studerandes fullständiga personnummer, förnamn och efternamn (2, 8 och 9 §§). För varje utbildning ska utbildningsanordnaren lämna uppgifter om de studerandes fullständiga personnummer, förnamn och efternamn (3 §). Uppgifterna om vilka som studerar vid en yrkeshögskoleutbildning och deras studieresultat ska rapporteras till MYH genom en av MYH tillhandahållen digital plattform eller tjänst (4 och 5 §§).
Genom bestämmelserna i MYH:s föreskrifter åvilar det således utbildningsanordnarna som får stöd enligt förordningen om yrkeshögskolan en i svensk rätt fastställd rättslig förpliktelse att rapportera vissa uppgifter till MYH:s register. Syftet med behandlingen, att fullgöra en uppgiftsskyldighet, är fastställd i den rättsliga grunden.
Vidare har utredningen i avsnitt 6.3.2 kommit fram till att det för utbildningsanordnarna inom yrkeshögskolan finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva eftergymnasiala yrkesutbildningar. Nödvändig behandling för att fullgöra uppgiftsskyldigheten enligt MYH:s föreskrifter, vilka meddelats med stöd av bemyndigande i förordningen om yrkeshögskolan, kan därmed även ske med stöd av första ledet i artikel 6.1 e i dataskyddsförordningen. Inte heller för utbildningsanordnarnas del aktualiseras följaktligen något regleringsbehov.
6.6.3. MYH:s register över studerande i konst- och kulturutbildningar och vissa andra utbildningar
Bedömning och förslag: För nödvändig behandling vid förandet
av det register som MYH ska svara för enligt 2 § 6 förordningen med instruktion för Myndigheten för yrkeshögskolan kan MYH tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen, dvs. rättslig förpliktelse och uppgift av allmänt intresse. Skäl att ändå införa en särskild reglering för MYH:s behandlingar finns inte.
För att säkerställa att utbildningsanordnarna har en rättslig grund att tillämpa när de lämnar uppgifter till MYH om de studerande och deras studieresultat m.m. ska det införas en bestämmelse som bemyndigar MYH att meddela föreskrifter om uppgiftslämnandet.
Behov av reglering av MYH:s behandlingar
MYH ska som redan nämnts pröva frågor om stöd enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar samt svara för ett register över uppgifter om de studerande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis (2 § 6 förordningen med instruktion för Myndigheten för yrkeshögskolan).
Enligt utredningens bedömning finns det därmed en för MYH i svensk rätt fastställd rättslig förpliktelse och uppgift av allmänt intresse att även föra ett register över de som studerar på konst- och kulturutbildningar och vissa andra utbildningar. Syftet med behandlingen, att föra ett register över de studerande och deras resultat m.m., är fastställd i den rättsliga grunden. När dataskyddsförordningen ska börja tillämpas kan MYH följaktligen tillämpa artikel 6.1 c och första ledet i artikel 6.1 e för sådan behandling som är nödvändig vid förandet av registret.
Frågan utredningen därefter har att ta ställning till är om det ändå finns skäl att särskilt reglera behandlingarna i MYH:s register.
Utredningen konstaterar att det inte heller avseende detta register framkommit att det är några känsliga eller integritetskänsliga uppgifter som utbildningsanordnarna rapporterar till MYH. Att det är fråga om frivilliga studier och att det ligger i de studerandes egna intresse att säkerställa att uppgifter om deras studieresultat finns bevarade någonstans är omständigheter som enligt utredningens uppfattning ska beaktas också beträffande detta register.
Sammanfattningsvis finns det stöd i dataskyddsförordningen som MYH kan tillämpa för sådan behandling av personuppgifter som är nödvändig för att föra registret. Skäl att ändå införa en särskild reglering för behandlingarna finns inte.
Behov av reglering av utbildningsanordnarnas behandlingar
I fråga om utbildningsanordnarnas grund för att lämna uppgifter till MYH konstateras att utbildningsanordnarna, enligt 39 § andra meningen förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar, ska lämna de uppgifter som MYH begär. Det åvilar därmed utbildningsanordnarna en rättslig förpliktelse att lämna uppgifter till MYH. Några myndighetsföreskrifter om vilka
uppgifter som ska lämnas finns dock inte. Vidare är det oklart vilken typ av uppgifter som bestämmelsen i 39 § tar sikte på. Enligt utredningens bedömning är det därmed tveksamt om den rättsliga förpliktelsen enligt nämnda bestämmelse är tillräckligt tydlig för att den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen ska kunna tillämpas. Med hänsyn till den ur dataskyddsperspektiv oklara innebörden av 39 § bedömer utredningen även att det är tveksamt om den rättsliga grunden i första ledet i artikel 6.1 e är tillämplig. För att säkerställa att det finns en rättslig grund för utbildningsanordnarna att tilllämpa när de ska lämna uppgifter om de studerande och deras studieresultat m.m. till MYH finns det därmed ett behov av en reglering.
Utredningen anser att en sådan reglering bör utformas på motsvarande sätt som för utbildningsanordnarna inom yrkeshögskolan, dvs. genom ett bemyndigande till MYH att meddela föreskrifter om att utbildningsanordnarna ska lämna vissa uppgifter till MYH om de studerande och deras studieresultat m.m. I förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns det bestämmelser om bemyndigande i 40 §. En bestämmelse som den i 2 kap. 17 § förordningen om yrkeshögskolan placeras därför lämpligast i 40 §. Om en sådan bestämmelse införs, och om MYH använder sig av bemyndigandet på motsvarande sätt som MYH gjort med 2 kap. 17 § förordningen om yrkeshögskolan, kan de som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar också tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen när de lämnar uppgifter till MYH om de studerande.
7. Folkbildning
Folkbildningen har traditionellt ansetts innefatta fyra grenar: folkbibliotek, folkhögskolor, föreläsningsföreningar och studieförbund. I utredningens uppdrag ingår att undersöka vilken reglering som behövs för att folkhögskolor och studieförbund ska kunna behandla personuppgifter om deltagare när dataskyddsförordningen ska börja tillämpas och den generella reglering som Dataskyddsutredningen föreslår träder i kraft.
7.1. Folkhögskolorna
7.1.1. Allmänt
I Sverige finns 154 folkhögskolor. Majoriteten (112 stycken) av dem drivs av folkrörelser eller andra organisationer. Övriga drivs av regioner/landsting (41 stycken) eller kommuner (1)1. Folkhögskolan är en studieform för vuxna. Utbildningsformen har av tradition beskrivits med orden fri och frivillig, ett möjligt val för myndiga personer.
Folkhögskolorna är inte bundna till centralt fastställda läroplaner utan arbetar efter egna verksamhetsplaner. Varje folkhögskola bestämmer självständigt vilka kurser som ska anordnas och vilken profil skolan ska ha. Vissa ramar för folkhögskolan anges dock i förordningen (2015:218) om statsbidrag till folkbildningen och i de villkor och riktlinjer som Folkbildningsrådet har fastställt för verksamheten, t.ex. beträffande studieomdömen.
För att en folkhögskola ska kunna erhålla statsbidrag för anordnandet av vissa slags kurser krävs att kurserna har ett visst innehåll. Detta gäller t.ex. för teckenspråksutbildning för föräldrar till barn
1 www.folkbildningsradet.se/Folkhogskolor/Vad-ar-en-folkhogskola/ (senast uppdaterad 2017-02-08).
som för kommunikation är beroende av teckenspråk. Bestämmelser om detta finns i förordningen (1997:1158) om statsbidrag för teckenspråksutbildning för vissa föräldrar.
Folkhögskolor kan även välja att anordna utbildning som motsvarar kommunal vuxenutbildning i svenska för invandrare. För denna utbildning gäller bestämmelserna i 24 kap.11–15 §§skollagen (2010:800). Förutom dessa bestämmelser i skollagen lyder folkhögskolorna inte under skollagen. Det finns inte heller någon annan offentligrättslig reglering än den som ovan angetts som reglerar folkhögskolan.
Folkhögskolorna har olika typer av kurser med en mängd olika inriktningar och ämnesområden, t.ex. allmän kurs som är ett alternativ till gymnasieskolan eller kommunal vuxenutbildning på olika nivåer, särskilda kurser, yrkesutbildningar och kortkurser. De allmänna kurserna har en nedre åldersgräns på 18 år. Sökande med en kort tidigare skolutbildning har normalt företräde till de allmänna kurserna. Allmän kurs kan ge behörighet till högskolestudier och yrkeshögskolestudier. Till högskola och universitet ansöker studerande från folkhögskola i en egen urvalsgrupp. Myndigheten för yrkeshögskolan (MYH) har utfärdat föreskrifter om vilka slags utbildningar vid folkhögskola som ger behörighet till utbildning inom yrkeshögskolan.
Folkhögskolorna finansieras genom statsbidrag och landstingsbidrag. Det är Folkbildningsrådet som fördelar statsbidrag till folkhögskolor. Statsbidrag för bedrivande av tolkutbildning fördelas av MYH enligt förordningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk. Statsbidrag enligt förordningen om statsbidrag för teckenspråksutbildning för vissa föräldrar fördelas av Specialpedagogiska skolmyndigheten.
Av studiestödsförordningen (2000:655) framgår att studerande på folkhögskola kan få studiestöd genom Centrala studiestödsnämnden.
7.1.2. Behandling av personuppgifter inom folkhögskolorna
Det finns ingen särskild reglering för folkhögskolornas personuppgiftsbehandling. I dagsläget är det således bestämmelserna i personuppgiftslagen (1998:204) som folkhögskolorna har att tillämpa vid behandling av personuppgifter.
Folkhögskolorna inhämtar normalt ett samtycke till behandlingen från den enskilde. Det är därmed den rättsliga grunden samtycke som folkhögskolorna tillämpar som stöd för sin behandling av personuppgifter.
Nästan samtliga 154 folkhögskolor använder administrationsprogrammet SchoolSoft anpassat för folkhögskolan för sin behandling av deltagarnas personuppgifter. Respektive folkhögskola väljer vilka personuppgifter den vill registrera men för- och efternamn är obligatoriska uppgifter. I de fall myndighetsrapporter kräver det registreras även personnummer. Folkhögskolorna behandlar personuppgifter för att kunna t.ex. handlägga ansökningar, utfärda intyg och i vissa utbildningar utöver folkbildningsverksamhet betyg samt för att ta fram underlag till rapporter och statistik.
Folkhögskolorna använder olika lärplattformar, t.ex. Ping Pong och itslearning, men även Google drive och SharePoint. Som rättslig grund för behandlingen av personuppgifter inom lärplattformarna används samtycke. De personuppgifter som behandlas är bl.a. personnummer, adress och telefonnummer.
De folkhögskolor som bedriver internat registrerar på gruppnivå uppgifter om allergi.
Det förekommer att vissa folkhögskolor som anordnar kontakttolkutbildning antecknar tolkspråk i sitt register.
7.1.3. Utredningens uppdrag i denna del
Rättslig grund
För att personuppgifter ska få ingå i eller komma att ingå i ett register eller behandlas helt eller delvis automatiskt krävs att åtminstone en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig. Enligt artikel 6.3 ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c (rättslig förpliktelse) och e (uppgift av allmänt intresse eller myndighetsutövning) fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av. Enligt kommittédirektiven behöver det analyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser
som ger ett generellt stöd för myndigheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.
När det gäller behandling av personuppgifter som utförs av myndigheter, kommuner, landsting och enskilda inom utbildningsområdet, förutom forskningsverksamhet, uppdras det åt utredningen att analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom folkbildningsområdet, däribland folkhögskolorna, som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå samt lämna de författningsförslag som behövs.
Känsliga personuppgifter
Av kommittédirektiven framgår att det inom utbildningsområdet i vissa fall är nödvändigt att behandla känsliga personuppgifter. Utredningen ska i denna del därför analysera om det, utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå, finns behov av kompletterande bestämmelser som reglerar behandling av känsliga personuppgifter inom folkhögskolorna.
7.1.4. Rättslig grund för personuppgiftsbehandling
Bedömning: Folkhögskolorna tillämpar i dagsläget den rättsliga
grunden samtycke som stöd för sin personuppgiftsbehandling. De kan när dataskyddsförordningen ska börja tillämpas fortsätta att använda samtycke, dvs. artikel 6.1 a, som rättslig grund för sin personuppgiftsbehandling.
I praktiken är utrymmet för att inom ramen för de icke offentligt drivna folkhögskolornas fria och frivilliga verksamhet tillämpa den rättsliga grunden intresseavvägning (artikel 6.1 f) synnerligen begränsat.
Folkhögskolor som anordnar utbildning motsvarande kommunal vuxenutbildning i svenska för invandrare, vilken regleras av skollagen med anslutande föreskrifter, kan behandla personuppgifter om studerande i den verksamheten även med stöd av den rättsliga grunden uppgift av allmänt intresse (artikel 6.1 e).
Allmänt
För att personuppgifter ska kunna behandlas helt eller delvis automatiskt eller annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register ska få ske när dataskyddsförordningen ska börja tillämpas den 25 maj 2018 krävs att åtminstone en av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen är tillämplig.
En rättslig grund är att den enskilde har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a). En annan grund som enligt utredningens bedömning aktualiseras för folkhögskolornas del är uppgift av allmänt intresse (6.1 e). Sistnämnda rättsliga grund kan tillämpas av både offentliga och privata aktörer. Det krävs dock att uppgiften av allmänt intresse är fastställd i svensk rätt. I sammanhanget ska skäl 41 till dataskyddsförordningen beaktas. Där anges att en rättslig grund eller lagstiftningsåtgärd, som dataskyddsförordningen hänvisar till, bör vara tydlig och precis och dess tillämpning förutsägbar för personer som omfattas av den.
Behandling av personuppgifter får vidare även ske om behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (artikel 6.1 f). Denna senare rättsliga grund, intresseavvägningen, gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter (artikel 6.1 andra stycket).
Skäl för bedömning
Folkhögskolorna tillämpar i dagsläget samtycke från den registrerade som rättslig grund för sin personuppgiftsbehandling. Av skäl 43 till dataskyddsförordningen framgår att samtycke inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Detta skäl är nytt jämfört med dataskyddsdirektivet. Någon motsvarande skrivning finns inte i skälen till dataskyddsdirektivet. Mot bakgrund av att definitionen av samtycke i princip är densamma i dataskyddsförordningen och dataskyddsdirektivet samt de uttalanden som gjorts av bl.a. Artikel 29-gruppen2 får det som skäl 43 uttrycker trots det även anses gälla enligt befintligt regelverk. En bedömning bör dock göras om folkhögskolorna kan fortsätta använda samtycke som rättslig grund för sin personuppgiftsbehandling.
Studier vid folkhögskola är frivilliga. Folkhögskolan har ett eget bedömningssystem. Betyg förekommer inte i ordinarie folkbildningsverksamhet. Den som studerar på allmän kurs kan uppnå behörighet till högskole- eller yrkeshögskolestudier och få ett studieomdöme som är en sammanfattande bedömning av den studerandes studieförmåga. De studerande som söker till högskolan söker i en egen urvalsgrupp bara för folkhögskolestuderande. Folkhögskolornas verksamhet är i stort sett oreglerad. Själva grundtanken med studieformen folkhögskola är att den ska vara fri och frivillig.
Enligt utredningens bedömning råder det inte en sådan betydande ojämlikhet mellan den studerande och folkhögskolan att ett samtycke till personuppgiftsbehandling inte kan anses ha lämnats frivilligt. Detta oavsett om folkhögskolans huvudman är en offentlig eller privat aktör. Utredningens bedömning är därför att folkhögskolorna även när dataskyddsförordningen ska börja tillämpas kan använda samtycke som rättslig grund för sin personuppgiftsbehandling.
2 Yttrande 15/2011 om definitionen av begreppet samtycke artikel 29-gruppen s. 13–14 och 16–17.
Som konstaterats ovan är folkhögskolornas verksamhet i stort sett oreglerad. Av 2 § förordningen om statsbidrag till folkbildningen framgår dock att folkhögskolorna bedriver utbildnings-, bildnings- och kulturverksamhet. Vidare framgår av förordningen att statsbidrag lämnas till folkhögskolor under vissa förutsättningar, bl.a. att verksamheten har en viss inriktning, att det finns en studeranderättslig organisation som tar till vara de studerandes intressen och att undervisningen är avgiftsfri (7, 8, 10 och 11 §§).
Syftet med statens stöd till folkbildningen är enligt 1 § att stödja verksamhet som bidrar till att stärka och utveckla demokratin samt att bidra till att göra det möjligt för en ökad mångfald människor att påverka sin livssituation och skapa engagemang att delta i samhällsutvecklingen. Syftet med statsbidraget är även att bidra till att utjämna utbildningsklyftor och höja bildnings- och utbildningsnivån i samhället samt att bidra till att bredda intresset för och öka delaktigheten i kulturlivet. Folkbildningsrådet ger genom dokument anvisningar för folkhögskolornas studieomdömen och intyg om behörighet för gymnasiestudier och högskole- eller yrkeshögskolestudier (4 §).
Enligt utredningens uppfattning skulle den reglering av folkhögskolorna som finns i nämnda föreskrifter och andra styrande dokument, beslutade med stöd av dessa föreskrifter, vid en närmare prövning i och för sig anses kunna utgöra en i nationell rätt fastställd uppgift av allmänt intresse. Om så skulle anses vara fallet skulle personuppgifter kunna behandlas av folkhögskolorna med stöd av den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen.
Utredningen konstaterar att redan i dagsläget är personuppgiftsbehandling tillåten om den är nödvändig för att kunna utföra en arbetsuppgift av allmänt intresse (jfr 10 § d PUL). Det rättsliga stödet tillämpas dock enligt de uppgifter utredningen hämtat in inte av folkhögskolorna. Det framstår vidare som tveksamt hur behandling av personuppgifter inom folkhögskolorna utan samtycke skulle kunna förenas med ledorden ”fri och frivillig”. Mot denna bakgrund avstår utredningen från att närmare utreda om behandling av personuppgifter skulle kunna ske med stöd av första ledet i artikel 6.1 e i den hos folkhögskolorna oreglerade verksamheten. Behandling av personuppgifter inom den verksamheten ska således baseras på den enskildes samtycke i enlighet med de krav på samtycke som gäller enligt dataskyddsförordningen (se bl.a. artiklarna 4.11 och 7).
Av samma skäl som gör att utredningen avstår från att närmare utreda möjligheterna för folkhögskolorna att tillämpa den rättsliga grunden uppgift av allmänt intresse, anser utredningen att det så gott som aldrig bör vara aktuellt för de folkhögskolor som inte drivs av myndigheter, landsting eller kommuner att tillämpa den rättsliga grunden intresseavvägning även om de teoretiskt har möjlighet att tillämpa den grunden (artikel 6.1 f). Denna begränsning följer dock inte av dataskyddsförordningen utan av syftet med den verksamhet som folkhögskolorna ska bedriva, nämligen att erbjuda fri och frivillig utbildning. Det kan noteras att offentligt drivna folkhögskolor enligt dataskyddsförordningen inte får tillämpa bestämmelsen om intresseavvägning för behandling av personuppgifter som utförs när de fullgör sina uppgifter (artikel 6.1 andra stycket).
Som redogörs för i avsnitt 4.6.2 är utredningens bedömning att en folkhögskola som anordnar motsvarande utbildning till kommunal vuxenutbildning i svenska för invandrare enligt 24 kap. 11 § skollagen utför en uppgift av allmänt intresse, dvs. tillhandahåller utbildning (artikel 6.1 e i dataskyddsförordningen). Genom bestämmelserna i skollagen är den rättsliga grunden fastställd. Folkhögskolan kan tillämpa den rättsliga grunden uppgift av allmänt intresse för den personuppgiftsbehandling som är nödvändig för att den ska kunna bedriva utbildningen i svenska för invandrare. Det är alltså endast personuppgifter beträffande studerande i svenska för invandrare som kan behandlas med stöd av den grunden.
Även om det finns en rättslig grund enligt artikel 6.1 i dataskyddsförordningen åligger det den personuppgiftsansvarige att bestämma för vilka särskilda, uttryckligt angivna och berättigade ändamål som personuppgifterna ska behandlas (artikel 5.1 b i dataskyddsförordningen). Den personuppgiftsansvarige får bara behandla adekvata, relevanta och inte för omfattande personuppgifter i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c). Av artikel 5.2 framgår att den personuppgiftsansvarige ska ansvara för och kunna visa att nämnda och övriga punkter i 5.1 efterlevs.
7.1.5. Känsliga personuppgifter
Bedömning: Folkhögskolorna har endast undantagsvis behov av
att behandla känsliga personuppgifter. Sådan behandling kan då ske med stöd av samtycke enligt artikel 9.2 a i dataskyddsförordningen.
Enligt artikel 9.1 i dataskyddsförordningen ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. Känsliga personuppgifter får dock behandlas enligt artikel 9.2 om vissa förutsättningar är uppfyllda, t.ex. att den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av hans eller hennes känsliga personuppgifter för ett eller flera specifika ändamål (a). Förutom artikel 9 finns det bestämmelser om behandling av känsliga personuppgifter i 3 kap. i Dataskyddsutredningens förslag till lag (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
Det förekommer att vissa folkhögskolor som anordnar kontakttolkutbildning antecknar tolkspråket i sitt register. Uppgifter om namn och språkkunskaper har i vissa utredningar ansetts utgöra indirekta upplysningar om en persons etniska ursprung (t.ex. SOU 2001:32 s. 124 och SOU 2003:40 s. 180). I Datainspektionens rapport 2002:2 anges att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung (s. 8). Regeringen har dock bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325).
I linje med regeringens bedömning anser utredningen att en uppgift om tolkspråk i sig inte utgör en känslig personuppgift, men att den tillsammans med andra uppgifter kan bli en uppgift om etniskt ursprung, alltså en känslig personuppgift. Det är svårt att uttala sig om gränsdragningen för när sådana uppgifter utgör känsliga personuppgifter och i tveksamma fall kan det därför vara lämpligt om
folkhögskolan inhämtar samtycke från den enskilde innan uppgifterna registreras.
Vidare kan folkhögskolorna, enligt förordningen (2011:1163) om statsbidrag för särskilt utbildningsstöd, ansöka om statsbidrag för kostnader för särskilt utbildningsstöd som erbjuds studerande med funktionsnedsättningar. Ansökan görs till Specialpedagogiska skolmyndigheten. Enligt vad utredningen erfarit lämnas inga direkta personuppgifter in i samband med ansökan. I ansökan framgår endast uppgift om kön och funktionsnedsättning per skola och kurs. Då själva ansökan till Specialpedagogiska skolmyndigheten inte innehåller några personuppgifter behöver folkhögskolorna inte något rättsligt stöd för att behandla dessa uppgifter i ansökan. Även om en ansökan om statsbidrag för särskilt utbildningsstöd inte innehåller några känsliga personuppgifter kan folkhögskolorna i sin verksamhet behöva behandla sådana uppgifter beträffande studerande med funktionsnedsättning. I dagsläget hämtar folkhögskolorna in en form av samtycke från de studerande. Utredningen bedömer att den behandling av känsliga personuppgifter som krävs även fortsättningsvis kan ske med stöd av samtycke när dataskyddsförordningen ska börja tillämpas.
Utredningen om ökad insyn i välfärden har i betänkandet Ökad insyn i välfärden (SOU 2016:62 s. 168 ff.) föreslagit att privata folkhögskolor som anordnar utbildning som motsvarar kommunal vuxenutbildning i svenska för invandrare enligt 24 kap. 11−15 §§skollagen ska omfattas av offentlighetsprincipen. Offentlighetsprincipen föreslås dock begränsas till de handlingar som hör till den offentligt finansierade verksamheten. Stöd för behandling av känsliga personuppgifter som eventuellt förekommer i dessa handlingar berörs i avsnitt 4.7.5.
Sammanfattningsvis har det inte framkommit att det hos folkhögskolorna finns ett behov av att annat än undantagsvis behandla känsliga personuppgifter. Om det i enskilda fall uppstår ett behov av att behandla känsliga personuppgifter är det utredningens uppfattning att detta är tillåtet efter att den enskildes samtycke hämtats in (artikel 9.2 a). Mot denna bakgrund finns det inte skäl att möjliggöra behandling av känsliga personuppgifter genom att reglera detta särskilt.
7.1.6. Behov av reglering i övrigt
Bedömning: De rättsliga grunderna samtycke enligt artikel 6.1 a
och, beträffande utbildning motsvarande kommunal vuxenutbildning i svenska för invandrare, uppgift av allmänt intresse enligt första ledet i artikel 6.1 e i dataskyddsförordningen är tillräckliga för att nödvändig behandling av personuppgifter inom folkhögskolorna ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.
Enligt ovan bedömer utredningen att folkhögskolorna för sin behandling av personuppgifter, även känsliga uppgifter, som rättslig grund kan tillämpa samtycke (artikel 6.1 a och 9.2 a i dataskyddsförordningen) och att denna grund är tillräcklig för utövandet av folkhögskolornas verksamhet. Folkhögskolor som anordnar utbildning motsvarande kommunal vuxenutbildning i svenska för invandrare kan även tillämpa första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, som rättslig grund för behandling av dessa studerandes personuppgifter.
Utredningen anser att det inte heller i övrigt har framkommit något behov att särskilt reglera folkhögskolornas personuppgiftsbehandling. Tvärtom talar folkhögskolornas fristående från staten med en inte obetydlig styrka för att en sådan reglering – utöver dataskyddsförordningen och den föreslagna dataskyddslagen – är direkt olämplig. En sådan reglering skulle nämligen enligt utredningens bedömning leda till att det statliga inflytandet över verksamheten ökar och att folkhögskolornas oberoende därigenom minskar. Det saknas därför anledning att föreslå någon sådan reglering. Folkhögskolorna kommer då att endast tillämpa dataskyddsförordningen och tillämpliga bestämmelser i dataskyddslagen för sin personuppgiftsbehandling.
7.2. Studieförbunden
7.2.1. Allmänt
Studieförbunden har vuxit fram under 1900-talet och tillhandahåller ett brett utbud av studiecirklar för sina deltagare som på sin fritid väljer att förkovra och utbilda sig för att utvecklas. Folkbildningsrådet fördelar statsbidrag enligt förordningen om statsbidrag till folkbildningen till följande tio studieförbund: – Arbetarnas bildningsförbund, ABF – Studieförbundet Bilda – Folkuniversitetet – Ibn Rushd Studieförbund – Kulturens Bildningsverksamhet – Medborgarskolan – Nykterhetsrörelsens Bildningsverksamhet, NBV – Sensus Studieförbund – Studiefrämjandet – Studieförbundet Vuxenskolan.
Studieförbunden bedriver verksamhet i landets samtliga kommuner och finns representerade runt om i landet genom sammanlagt 180 lokalavdelningar (prop. 2013/14:172 s. 11). Studiecirkeln utgör den vanligast förekommande verksamhetsformen inom studieförbunden. Årligen arrangeras cirka 276 000 studiecirklar3 i Sverige med nästan 1,7 miljoner deltagare4. Andelen unika deltagare i studiecirklar uppgick år 2015 till cirka 628 000 personer,5 vilket visar att många deltar i flera studiecirklar. En studiecirkel är en grupp människor som söker kunskap tillsammans. Syftet är att varje individ ska utvecklas. Folkbildningsrådet beslutar genom villkor och fördelningskriterier för statsbidrag till studieförbund vissa kriterier för att en studiecirkel
3 www.studieforbunden.se/studieforbund/ 4 Folkbildningsrådets rapport till regeringen 2016: Folkbildningens betydelse för samhället 2015 – Folkbildningsrådets samlade bedömning, s. 6. 5 a.a.
ska berättiga till statsbidrag.6 Vidare fördelar MYH statsbidrag till bl.a. studieförbund för den tolkutbildning som bedrivs.
Förutom studiecirkelverksamheten är studieförbunden aktiva med att anordna kulturprogram, exempelvis föreläsningar och musikprogram. En mindre reglerad och mer flexibel studieverksamhet bedrivs under formen annan folkbildningsverksamhet. Denna verksamhetsform ska ge studieförbundet möjlighet att pröva nya former och utveckla nyskapande folkbildningsverksamhet. Arrangemangen i annan folkbildningsverksamhet kan vara längre och genomföras tätare än i studiecirklar. Antalet sammankomster kan vara en eller flera (a. prop.). Antalet kulturprogram har ökat kraftigt under senare år i jämförelse med 1990-talet, men samtidigt har antalet deltagare per program minskat, vilket innebär att antalet deltagare inte har ökat i samma takt som antalet arrangemang. Från och med år 2009 har studieförbunden genomfört mer än 300 000 kulturprogram varje år. Antalet deltagare uppgick år 2015 till cirka 19,9 miljoner7.
Studieförbunden arbetar främst med folkbildningsverksamhet för sina deltagare, men har också – i likhet med folkhögskolorna – genomfört uppdragsutbildningar, exempelvis Kunskapslyftet (en tillfällig statlig satsning på vuxenutbildning i slutet av 1990-talet).
Utöver de tio ovan nämnda studieförbunden finns även studieförbundet SISU Idrottsutbildarna som arbetar med studie-, bildnings- och utbildningsverksamhet inom idrotten och verkar för att stimulera människors lärande. SISU Idrottsutbildarna fördelar statsbidrag enligt förordningen om statsbidrag till folkbildningen till idrottens studie-, bildnings- och utbildningsverksamhet (6 §). Under folkbildningsanslaget i statsbudgeten finns en särskild anslagspost för verksamhetsstöd till SISU Idrottsutbildarna med medel som används för detta ändamål.
6 Folkbildningsrådet, Statsbidrag till studieförbund 2017, Villkor och fördelningskriterier. 7 Folkbildningsrådets rapport till regeringen 2016: Folkbildningens betydelse för samhället 2015 – Folkbildningsrådets samlade bedömning, s. 44.
7.2.2. Behandling av personuppgifter inom studieförbunden
Det finns ingen särskild reglering för studieförbundens personuppgiftsbehandling. I dagsläget är det således bestämmelserna i personuppgiftslagen som studieförbunden har att tillämpa vid behandling av personuppgifter.
Studieförbunden inhämtar samtycke från deltagaren och tillämpar samtycke som rättslig grund för sin personuppgiftsbehandling. Ändamålen med behandlingen av personuppgifterna är bl.a. administration av studieverksamhet och återrapportering till Folkbildningsrådet via Statistiska centralbyrån.
Nio av de tio studieförbunden som Folkbildningsrådet fördelar statsbidrag till använder sig av ett administrativt system som Gustavgruppen utvecklat. Gustav är en akronym för gemensam utveckling av studieförbundens administrativa verksamhetssystem. Gustav är ett samarbete mellan nio studieförbund och sker inom Studieförbunden i samverkans (Studieförbunden) ram. Syftet är att utveckla och förvalta det gemensamma systemet. Organisationen Studieförbunden är studieförbundens bransch- och intresseorganisation.
I det administrativa systemet behandlas uppgift om ålder, kön, adress, telefonnummer och personnummer. På individnivå behandlas inte några känsliga personuppgifter. I ett noteringsfält kan uppgifter om allergier eller funktionsnedsättning förekomma som en information för att nödvändiga förberedelser och val av lokal m.m. ska kunna göras.
Det förekommer att vissa studieförbund som anordnar kontakttolkutbildning antecknar tolkspråk i sitt register.
Inom studieförbundet SISU Idrottsutbildarna anordnas utbildning på både nationell nivå och på distriktsnivå. Oavsett på vilken nivå utbildningen anordnas inhämtas samtycke från deltagarna till stöd för behandlingen av deras personuppgifter.
7.2.3. Utredningens uppdrag i denna del
Rättslig grund
För att personuppgifter ska få ingå i eller komma att ingå i ett register eller behandlas helt eller delvis automatiskt krävs att åtminstone en rättslig grund i artikel 6.1 i dataskyddsförordningen är tillämplig.
Enligt artikel 6.3 ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c (rättslig förpliktelse) och e (uppgift av allmänt intresse eller myndighetsutövning) fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av. Enligt kommittédirektiven behöver det analyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag.
När det gäller behandling av personuppgifter som utförs av myndigheter, kommuner, landsting och enskilda inom utbildningsområdet, förutom forskningsverksamhet, ska utredningen analysera om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen ska därför undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom folkbildningsområdet, däribland studieförbunden, som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå samt lämna de författningsförslag som behövs.
Känsliga personuppgifter
Av kommittédirektiven framgår att det inom utbildningsområdet i vissa fall är nödvändigt att behandla känsliga personuppgifter. Utredningen ska i denna del därför analysera om det, utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå, finns behov av kompletterande bestämmelser som reglerar behandling av känsliga personuppgifter inom studieförbunden.
7.2.4. Rättslig grund för personuppgiftsbehandling
Bedömning: Studieförbunden tillämpar i dagsläget den rättsliga
grunden samtycke som stöd för sin personuppgiftsbehandling. De kan när dataskyddsförordningen ska börja tillämpas fortsätta att använda samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin personuppgiftsbehandling.
I praktiken är utrymmet för studieförbunden att tillämpa den rättsliga grunden intresseavvägning (artikel 6.1 f) synnerligen begränsat.
Allmänt
För att personuppgifter ska kunna behandlas helt eller delvis automatiskt eller annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register ska få ske när dataskyddsförordningen ska börja tillämpas den 25 maj 2018 krävs att åtminstone en av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen är tillämplig.
En rättslig grund är att den enskilde har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (6.1 a). En annan grund som enligt utredningens bedömning aktualiseras för studieförbundens del är uppgift av allmänt intresse (6.1 e). Sistnämnda rättsliga grund kan tillämpas av både offentliga och privata aktörer. Det krävs dock att uppgiften av allmänt intresse är fastställd i svensk rätt. I sammanhanget ska skäl 41 till dataskyddsförordningen beaktas. Där anges att en rättslig grund eller lagstiftningsåtgärd, som dataskyddsförordningen hänvisar till, bör vara tydlig och precis och dess tillämpning förutsägbar för personer som omfattas av den.
Behandling av personuppgifter får vidare även ske om behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (artikel 6.1 f).
Skäl för bedömning
Studieförbunden tillämpar i dagsläget samtycke från den registrerade som rättslig grund för sin personuppgiftsbehandling. Studieförbunden är privata aktörer och det är helt frivilligt att delta i deras verksamhet. Enligt utredningens bedömning kan det inte anses råda betydande ojämlikhet mellan ett studieförbund och deltagarna i dess verksamhet (jfr skäl 43 till dataskyddsförordningen). Studieförbunden kan således fortsätta tillämpa samtycke som rättslig grund för sin personuppgiftsbehandling när dataskyddsförordningen ska börja tillämpas.
Studieförbundens verksamhet är i stort sett oreglerad. Av 2 § förordningen om statsbidrag till folkbildningen framgår dock att studieförbunden bedriver utbildnings-, bildnings- och kulturverksamhet. I 3 § anges att studieförbundet SISU Idrottsutbildarna bedriver utbildnings- och bildningsverksamhet. Vidare framgår av förordningen om statsbidrag till folkbildningen att sådant lämnas till studieförbunden under vissa förutsättningar. Statsbidrag får även lämnas till idrottens studie-, bildnings- och utbildningsverksamhet. Studieförbundet SISU Idrottsutbildarna beslutar vilka som ska få statsbidrag och fördelar tillgängliga medel mellan dem (6 §).
Syftet med statens stöd till folkbildningen är enligt 1 § att stödja verksamhet som bidrar till att stärka och utveckla demokratin samt att bidra till att göra det möjligt för en ökad mångfald människor att påverka sin livssituation och skapa engagemang att delta i samhällsutvecklingen. Syftet är även att bidra till att utjämna utbildningsklyftor och höja bildnings- och utbildningsnivån i samhället samt att bidra till att bredda intresset för och öka delaktigheten i kulturlivet.
Enligt utredningens uppfattning skulle den reglering av studieförbunden som finns i nämnda föreskrifter och andra styrande dokument, beslutade med stöd av dessa föreskrifter, vid en närmare prövning i och för sig anses kunna utgöra en i nationell rätt fastställd uppgift av allmänt intresse. Om så skulle anses vara fallet skulle personuppgifter kunna behandlas av studieförbunden med stöd av den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen.
Utredningen konstaterar att redan i dagsläget är personuppgiftsbehandling tillåten om den är nödvändig för att kunna utföra en arbetsuppgift av allmänt intresse (jfr 10 § d PUL). Det rättsliga stö-
det tillämpas dock enligt de uppgifter utredningen hämtat in inte av studieförbunden. Det framstår vidare som tveksamt hur behandling av personuppgifter inom studieförbunden utan samtycke skulle kunna förenas med ledorden ”fri och frivillig”, som gäller för folkbildningen. Mot denna bakgrund avstår utredningen från att närmare utreda om behandling av personuppgifter skulle kunna ske med stöd av första ledet i artikel 6.1 e hos studieförbunden.
Av samma skäl som gör att utredningen avstår från att närmare utreda möjligheterna för studieförbunden att tillämpa den rättsliga grunden uppgift av allmänt intresse, anser utredningen att det så gott som aldrig bör vara aktuellt för studieförbunden att tillämpa den rättsliga grunden intresseavvägning även om de teoretiskt har möjlighet att tillämpa den grunden (artikel 6.1 f). Denna begränsning följer inte av dataskyddsförordningen utan av syftet med den verksamhet som studieförbunden ska bedriva, nämligen att erbjuda fri och frivillig utbildning.
Behandling av personuppgifter inom studieförbundens verksamhet ska således baseras på den enskildes samtycke i enlighet med de krav på samtycke som gäller enligt dataskyddsförordningen (se bl.a. artiklarna 4.11 och 7).
Även om det finns en rättslig grund enligt artikel 6.1 i dataskyddsförordningen åligger det den personuppgiftsansvarige att bestämma för vilka särskilda, uttryckligt angivna och berättigade ändamål som personuppgifterna ska behandlas (5.1 b i dataskyddsförordningen). Den personuppgiftsansvarige får bara behandla adekvata, relevanta och inte för omfattande personuppgifter i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c). Av artikel 5.2 framgår att den personuppgiftsansvarige ska ansvara för och kunna visa att nämnda och övriga punkter i 5.1 efterlevs.
7.2.5. Känsliga personuppgifter
Bedömning: Studieförbunden har endast undantagsvis behov av
att behandla känsliga personuppgifter. Sådan behandling kan då ske med stöd av samtycke enligt artikel 9.2 a i dataskyddsförordningen.
Enligt artikel 9.1 i dataskyddsförordningen ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. Känsliga personuppgifter får dock behandlas enligt artikel 9.2 om vissa förutsättningar är uppfyllda, t.ex. att den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av hans eller hennes känsliga personuppgifter för ett eller flera specifika ändamål (a). Förutom artikel 9 finns det bestämmelser om behandling av känsliga personuppgifter i 3 kap. i Dataskyddsutredningens förslag till dataskyddslag.
Det förekommer att studieförbund som anordnar kontakttolkutbildning antecknar tolkspråket i sina register. Uppgifter om namn och språkkunskaper har i vissa utredningar ansetts utgöra indirekta upplysningar om en persons etniska ursprung (t.ex. SOU 2001:32 s. 124 och SOU 2003:40 s. 180). I Datainspektionens rapport 2002:2 anges att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung (s. 8). Regeringen har dock bedömt att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar vare sig ras eller etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325).
I linje med regeringens bedömning anser utredningen att en uppgift om tolkspråk i sig inte utgör en känslig personuppgift, men att den tillsammans med andra uppgifter kan bli en uppgift om etniskt ursprung, alltså en känslig personuppgift. Det är svårt att uttala sig om gränsdragningen för när sådana uppgifter utgör känsliga personuppgifter och i tveksamma fall kan det därför vara lämpligt om studieförbunden inhämtar samtycke från den enskilde innan uppgifterna registreras.
Det har således inte framkommit att det hos studieförbunden finns ett behov av att annat än undantagsvis behandla känsliga personuppgifter. Om det i enskilda fall, t.ex. beträffande en studerande med funktionsnedsättning, uppstår ett behov av att behandla känsliga personuppgifter är det utredningens uppfattning att detta är tillåtet efter att den enskildes samtycke hämtats in (artikel 9.2 a). Mot denna bakgrund finns det inte skäl att möjliggöra behandling av känsliga personuppgifter genom att reglera detta särskilt.
7.2.6. Behov av reglering i övrigt
Bedömning: Den rättsliga grunden samtycke enligt artikel 6.1 a i
dataskyddsförordningen är tillräcklig för att nödvändig behandling av personuppgifter inom studieförbunden ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte.
Enligt ovan bedömer utredningen att studieförbunden för sin behandling av personuppgifter, även känsliga uppgifter, som rättslig grund kan tillämpa samtycke (artikel 6.1 a och 9.2 a i dataskyddsförordningen) och att denna grund är tillräcklig för utövandet av studieförbundens verksamhet. Utredningen anser att det inte heller i övrigt har framkommit något behov att särskilt reglera studieförbundens personuppgiftsbehandling. Tvärtom talar studieförbundens fristående från staten med en inte obetydlig styrka för att en sådan reglering – utöver dataskyddsförordningen och föreslagna dataskyddslagen – är direkt olämplig. En sådan reglering skulle nämligen enligt utredningens bedömning leda till att det statliga inflytandet över verksamheten ökade och att studieförbundens oberoende därigenom minskade. Det saknas därför anledning att föreslå någon sådan reglering. Studieförbunden kommer då endast att tillämpa dataskyddsförordningen och tillämpliga bestämmelser i dataskyddslagen för sin personuppgiftsbehandling.
7.3. Register över deltagare i studieförbundens verksamhet
7.3.1. Allmänt
Folkbildningsrådet (FBR) är en ideell organisation med tre medlemmar som tillsammans representerar svensk folkbildning. Medlemmarna är Studieförbunden i samverkan som representerar de tio studieförbunden, Rörelsefolkhögskolornas intresseorganisation som representerar de folkhögskolor som har folkrörelser och andra organisationer som huvudmän, och Sveriges Kommuner och Landsting i egenskap av företrädare för offentligägda folkhögskolor.
FBR har fått vissa myndighetsuppdrag av riksdagen och regeringen. Genom 7 b § lagen (1976:1046) om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde har FBR anförtrotts förvaltningsuppgiften att pröva frågor om fördelning av statsbidrag mellan folkhögskolor, studieförbund och studerandeorganisationer inom folkhögskolan. Fördelningen av statsbidrag till folkbildningen regleras i förordningen om statsbidrag till folkbildningen. Regeringen beslutar varje år om riktlinjer för FBR när det gäller uppgiften att fördela statsbidrag och den redovisning av den verksamheten som FBR ska lämna till regeringen.
Enligt 15 § förordningen om statsbidrag till folkbildningen ska FBR kontinuerligt följa upp och utvärdera verksamheten i förhållande till de syften med folkbildningen som anges i förordningen och de villkor som föreskrivits för att statsbidrag ska lämnas. FBR ska också i enlighet med de riktlinjer som regeringen meddelar lämna regeringen sådana sakuppgifter om verksamheten och sådan verksamhetsredovisning som behövs för uppföljning och utvärdering8. FBR ska därvid redovisa hur statsbidraget har använts för studieförbundens verksamhet.
FBR:s samlade uppföljningsverksamhet består av flera delar med olika syften och inriktning, bl.a. uppföljning av statsbidragsvillkor, förebyggande av felaktig bidragsanvändning, underlag för fördelning av statsbidrag och återrapportering till regeringen.
Av FBR:s villkor och fördelningskriterier för statsbidrag till studieförbund9 framgår att bidragsmottagaren är skyldig att regelbundet eller på begäran tillställa FBR dokument, handlingar och uppgifter som FBR bedömer vara nödvändiga för att kunna fullfölja sina myndighetsuppgifter. Vidare anges att statsbidragsvillkorade handlingar utgörs av bl.a. STUV (studieförbundens verksamhetsredovisning med gruppuppgifter), dokumentation och statistik samt deltagarrapport med personuppgifter. Av de särskilda anvisningarna framgår att studieförbund årligen ska avrapportera den bidragsberättigade verksamheten i två delar, varav deltagarrapport med personnummer är den ena. För studiecirkel eller annan folkbildningsverksamhet krävs rapportering av uppgifter om deltagare. Samtycke till registre-
8 Regeringens beslut 2016-12-20, U2016/01099/UF, U2016/05429/UF (delvis), U2016/05629/UF, Riktlinjer för 2017 för Folkbildningsrådet i fråga om användningen av anslagen 14:1 och 14:3 utgiftsområde 17 Kultur, medier trossamfund och fritid. 9 FBR, Statsbidrag till studieförbund 2017, villkor och fördelningskriterier, s. 18 och 23.
ring ska inhämtas i samband med information om registreringen vid deltagarens anmälan. Vissa uppräknade undantag från personnummerrapportering accepteras.
FBR har genom årliga avtal med Statistiska centralbyrån (SCB) gett SCB i uppdrag att hantera insamlingen och framställa deltagarstatistiken. Insamlingen av uppgifter till deltagarstatistiken görs vid två tillfällen per år från de tio studieförbunden. Studieförbunden rapporterar således två gånger per år in deltagarnas personuppgifter till SCB. SCB bearbetar sedan dessa uppgifter genom att matcha personnummer mot Registret över totalbefolkningen och hämtar därigenom uppgifter om bl.a. folkbokföring (på län- och kommunnivå), kön, ålder, utländsk/svensk bakgrund och född i Sverige/utomlands. Vidare hämtas uppgift om deltagarnas högsta utbildning från Utbildningsregistret.
SCB sammanställer en gång per år aggregerade, sekretessgranskade och avidentifierade data till FBR. FBR har inte tillgång till personuppgifterna utan personuppgifter och kod för att knyta uppgift till en enskild individ finns hos SCB. Det är SCB som förvaltar registret.
I utredningens kommittédirektiv anges att FBR är personuppgiftsansvarig för ett centralt register som innehåller uppgifter om deltagare i studiecirklar och annan folkbildningsverksamhet. Av den beskrivning som getts av FBR framgår dock att det inte är ett centralt register utan flera register/personuppgiftssamlingar. Vid två tillfällen varje år skapas utifrån studieförbundens rapportering ett nytt register över de som deltar i studiecirklar och annan folkbildningsverksamhet. Tre månader efter att SCB levererat aggregerad statistik i exceltabeller till FBR gallras, dvs. raderas, det insamlade materialet. Kodnyckeln för insamlingen som skett under vårterminen sparas dock i tre år för att möjliggöra uppföljning av nya och återkommande deltagare. Därefter gallras även kodnyckeln löpande årsvis. För halvårsinsamlingen gallras materialet utan sparande av kodnyckel tre månader efter att bearbetningen gjorts. FBR är personuppgiftsansvarig för registren och SCB är personuppgiftsbiträde och förvaltar registren.
Syftena med dessa centrala register är dels att kunna ta fram den statistik som krävs för återrapportering till Regeringskansliet i form av årsredovisning och budgetunderlag som FBR är skyldigt att göra, dels att skapa underlag för fördelningen av statsbidrag och att med
detta som underlag göra det möjligt att tillföra folkbildningsverksamheten i övrigt offentlig utbildnings- och kulturstatistik.
Cirka 2,4 miljoner deltagare per år rapporteras till registren. År 2013 var det fråga om 914 763 unika individer.
Någon särskild registerförfattning som reglerar behandlingen av personuppgifter i registren finns inte.
7.3.2. Utredningens uppdrag i denna del
Som nämnts i föregående avsnitt omfattas FBR:s register över deltagare i studiecirklar och annan folkbildningsverksamhet hos studieförbunden inte av någon särskild registerförfattning. Datainspektionen har en i skrivelse till Regeringskansliet (Utbildningsdepartementet) konstaterat att det är ett mycket omfattande register och har påtalat att myndigheten anser att ett centralt register av denna omfattning och detta slag behöver regleras i en särskild registerförfattning10.
Av utredningens kommittédirektiv framgår att en bedömning av om registret behöver regleras i en särskild registerförfattning behöver göras mot bakgrund av att personuppgiftslagen kommer att upphävas när dataskyddsförordningen ska börja tillämpas. Vidare anges att bestämmelserna i en eventuell registerförfattning behöver vara anpassade till bestämmelserna i dataskyddsförordningen och till den generella reglering som Dataskyddsutredningen kommer att föreslå och de regleringar på utbildningsområdet som utredningen kan komma att föreslå.
Mot den bakgrunden ska utredningen analysera om det behövs något författningsstöd utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna för att personuppgifter ska kunna behandlas i registret över deltagare i studiecirklar och annan folkbildningsverksamhet hos studieförbunden. Utredningen ska även lämna de författningsförslag som behövs.
10 Datainspektionens skrivelse 2008-10-10, dnr 1382-2008, U2008/6677/SV.
7.3.3. Behov av reglering
Bedömning: FBR och studieförbunden tillämpar samtycke från
deltagarna i studiecirklar och annan folkbildningsverksamhet som rättslig grund för behandlingen av deras personuppgifter i FBR:s centrala uppgiftssamlingar över deltagare i studiecirkel och annan folkbildningsverksamhet som förvaltas av SCB. FBR och studieförbunden kan även efter det att dataskyddsförordningen ska börja tillämpas använda samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, till stöd för denna personuppgiftsbehandling.
Varken 2 kap. 6 § regeringsformen eller några andra skäl fordrar att det införs någon särskild reglering av behandlingen av personuppgifter hos FBR i fråga om uppgiftssamlingarna.
Rättslig grund för behandling av personuppgifter
Enligt artikel 6.1 i dataskyddsförordningen krävs att åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt för att behandling av personuppgifter ska vara laglig. Ett sådant villkor är samtycke från den registrerade (a). Ett annat villkor är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (c). Ett ytterligare villkor är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (e).
Enligt artikel 6.3 första stycket krävs att den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Dataskyddsutredningen har uttalat att grunden för behandlingen inte kan vara behandlingen i sig (SOU 2017:39 avsnitt 8.3.1). Med grunden för behandlingen avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Beträffande rättsliga förpliktelser (artikel 6.1 c) har Dataskyddsutredningen ansett att dessa kan vara fastställda genom att framgå av författning, men även av myndighetsbeslut och domar som har meddelats med stöd av gällande rätt (SOU 2017:39 avsnitt 8.3.2). Även angående uppgifter av allmänt intresse har ansetts att dessa kan vara fastställda genom författning
eller beslut som följer av lag eller annan författning (SOU 2017:39 avsnitt 8.3.4).
Enligt artikel 6.3 andra stycket ska dessutom avseende 6.1 c syftet med behandlingen vara fastställt i den rättsliga grunden. Beträffande behandling enligt 6.1 e ska syftet med behandlingen vara nödvändigt för att utföra en uppgift av allmänt intresse. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Den första frågan som utredningen behöver ta ställning till är vilken eller vilka rättsliga grunder som personuppgiftsbehandling i nämnda register kan grundas på.
FBR är en ideell organisation som genom 7 b § lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde har anförtrotts förvaltningsuppgiften att pröva frågor om fördelning av statsbidrag mellan folkhögskolor, studieförbund och studerandeorganisationer inom folkhögskolan. I 5 § andra stycket förordningen om statsbidrag till folkbildningen anges att FBR beslutar om vilka som ska få statsbidrag och fördelar tillgängliga medel mellan dem. Vidare anges i 15 § andra stycket att FBR ska, i enlighet med de riktlinjer som regeringen meddelar, lämna regeringen sådana sakuppgifter om verksamheten och sådan verksamhetsredovisning som behövs för uppföljning och utvärdering.
Regeringen meddelar årligen riktlinjer för FBR. I riktlinjerna för 2017 anges att FBR ska redovisa hur statsbidraget har använts för studieförbundens verksamhet. Detta ska ske genom att antalet studiecirklar, antalet studietimmar och ämnesinriktning på cirklarna anges. Det totala deltagarantalet ska redovisas. Även bl.a. antalet deltagare som är utrikes födda och deltagarnas utbildningsbakgrund ska redovisas.11
Av nämnda bestämmelser framgår att förvaltningsuppgifter som innefattar myndighetsutövning anförtrotts åt FBR. Uppgifterna består i att FBR i den mån det finns tillgång till medel ska besluta bl.a. vilka studieförbund som ska få statsbidrag och fördela tillgängliga medel mellan dem. Nödvändig behandling av personuppgifter
11 Regeringens beslut 2016-12-20 dnr U2016/01099/UF, U2016/05429/UF (delvis), U2016/05629/UF, Riktlinjer för 2017 för Folkbildningsrådet i fråga om användningen av anslagen 14:1 och 14:3 inom utgiftsområde 17 Kultur, medier trossamfund och fritid, s. 4.
för att utföra myndighetsutövningen kan därför ske med stöd av 6.1 e i dataskyddsförordningen.
FBR är genom de riktlinjer regeringen beslutat om förpliktad att redovisa hur statsbidraget har fördelats och bl.a. redogöra för antalet studiecirklar och antalet studietimmar. Vidare ska det totala antalet deltagare redovisas. Antalet deltagare som är utrikes födda och antalet deltagare med funktionsnedsättning liksom deltagarnas utbildningsbakgrund ska anges. Enligt utredningens uppfattning är det fråga om sådana rättsliga förpliktelser som avses i 6.1 c i dataskyddsförordningen. FBR redovisar i deltagarregistret uppgifter om utrikes- och inrikesfödda, utbildningsbakgrund, ålder och kön. Uppgifter om antalet deltagare med funktionsnedsättning samlas inte in på individnivå utan redovisas i ett annat sammanhang.
Av den rättsliga förpliktelsen kan utläsas att antalet deltagare måste redovisas men enligt utredningens bedömning kan dock inte syftet med behandlingen av enskilda deltagares i studieförbunden personuppgifter hos FBR utläsas. Enligt utredningens bedömning kan därför inte den rättsliga grunden rättslig förpliktelse användas som grund för behandlingen.
Frågan är då om den rättsliga grunden uppgift av allmänt intresse är tillämplig. Att tillhandahålla utbildning är enligt utredningens bedömning en uppgift av allmänt intresse. FBR tillhandahåller ingen utbildning men har genom författningar getts i uppdrag att besluta vilka utbildningsanordnare, i form av folkhögskolor och studieförbund som uppfyller vissa villkor, som ska få statsbidrag samt fördela tillgängliga medel mellan dem. Dataskyddsutredningen anser att uppgifter som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande bör anses vara av allmänt intresse oavsett om de faktiskt utförs i myndighetens egen regi eller t.ex. genom utkontraktering utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten bör entreprenören anses utföra en uppgift av allmänt intresse (SOU 2017:39 avsnitt 8.3.4). Genom lagen om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde har FBR anförtrotts förvaltningsuppgiften att pröva frågor om fördelning av statsbidrag mellan folkhögskolor, studieförbund och studerandeorganisationer inom folkhögskolan. Enligt utredningens bedömning utgör detta en uppgift av allmänt intresse som är
fastställd genom den författningen. Regleringen är tydlig och precis och dess tillämpning är förutsägbar för de som omfattas av den.
FBR skulle således kunna behandla nödvändiga personuppgifter för att utföra uppgiften av allmänt intresse, dvs. i detta fall samla in och föra ett register över deltagarna i studieförbundens studiecirklar och annan folkbildningsverksamhet för att kunna återrapportera till Regeringskansliet, förutsatt att syftet med behandlingen är nödvändigt för att utföra uppgiften av allmänt intresse (artikel 6.3 andra stycket i dataskyddsförordningen).
Utredningen konstaterar att redan i dagsläget är personuppgiftsbehandling tillåten om den är nödvändig för att kunna utföra en arbetsuppgift av allmänt intresse (jfr 10 § d PUL). Det rättsliga stödet tillämpas dock enligt de uppgifter utredningen hämtat in inte av FBR för nu aktuell personuppgiftsbehandling. Av FBR:s villkor och fördelningskriterier för statsbidrag till studieförbund 2017 framgår i stället att studieförbunden ska inhämta samtycke i samband med information om registreringen vid deltagarens anmälan.
Ett studieförbund formulerar själv målen för sin verksamhet utifrån samhällets stöd till en fri och frivillig folkbildningsverksamhet och utifrån sin profil.12 Att delta i en studiecirkel eller annan folkbildningsverksamhet som anordnas av ett studieförbund är fritt och frivilligt. Det är därmed enligt utredningens mening tydligt att det inte råder betydande ojämlikhet mellan de enskilda vars personuppgifter behandlas och studieförbunden eller FBR (jfr skäl 43 till dataskyddsförordningen). Både FBR och studieförbunden kan således som i dagsläget använda sig av samtycke som rättslig grund för behandling av personuppgifterna när dataskyddsförordningen ska börja tillämpas. Enligt utredningens uppfattning finns det alltså ingen anledning att hos FBR behandla personuppgifterna med stöd av någon annan rättslig grund än vad som sker i dagsläget enbart på grund av att dataskyddsförordningen ska börja tillämpas.
Det bör dock betonas att en förutsättning för att ett samtycke ska kunna utgöra rättslig grund för personuppgiftsbehandlingen är att de krav som uppställs i förordningen på ett giltigt samtycke är uppfyllda (artikel 4.11, 7 och 8, se även skäl 32, 42 och 43). Utredningen är vidare av uppfattningen att det inte heller finns några praktiska hinder för studieförbunden att inhämta sådana giltiga sam-
12 FBR, Statsbidrag till studieförbund 2017, villkor och fördelningskriterier, s. 6.
tycken. Studieförbunden och FBR måste dock innan dataskyddsförordningen ska börja tillämpas se över sina rutiner och formulär så att giltiga samtycken kan hämtas in och dokumenteras.
Mot denna bakgrund bedömer utredningen att dataskyddsförordningen inte medför att det behöver införas någon särskild reglering för att möjliggöra att FBR kan behandla deltagarnas i studiecirklar och annan folkbildningsverksamhet hos studieförbunden personuppgifter med stöd av dataskyddsförordningen. Utredningen noterar vidare att FBR och de eventuella biträden som anlitas utöver att ha rättslig grund i dataskyddsförordningen även måste uppfylla övriga krav i förordningen såsom exempelvis artiklarna 5 och 89.1.
Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling
Enligt regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 §). Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § första stycket under vissa förutsättningar göras genom lag.
Datainspektionen har i sitt beslut den 10 oktober 2008 ansett att det centrala register som FBR då påbörjat att skapa över deltagare i studieförbundens studiecirklar och annan folkbildningsverksamhet behövde regleras i en särskild registerförfattning. Registret beräknades innehålla uppgifter om över en miljon individer. De uppgifter som registreras är bl.a. namn, personnummer, kön och vilken kurs man deltagit i. Datainspektionens uppfattning var att ett centralt register av denna omfattning och detta slag behövde regleras i en särskild registerförfattning, under förutsättning att det fanns ett behov av ett sådant centralt register och behandlingen av personuppgifter var proportionell i förhållande till intrånget i den enskildes personliga integritet.13
Av de uppgifter som FBR lämnat till utredningen framgår att studieförbunden tillämpar den rättsliga grunden samtycke från deltagarna i studiecirklarna och annan folkbildningsverksamhet för att
13 Datainspektionens beslut 2008-10-10, dnr 204-2008.
bl.a. kunna lämna ut uppgifterna till FBR och för att FBR i sin tur ska kunna behandla uppgifterna för bl.a. statistikändamål. En förutsättning för att samtycket ska vara giltigt är som ovan angetts att de krav som uppställs i dataskyddsförordningen på ett giltigt samtycke är uppfyllda. Det är alltså av avgörande betydelse att studieförbunden lämnar klar och tydlig information om de personuppgiftsbehandlingar som kommer att ske och i övrigt säkerställer att rättsligt giltiga samtycken kan lämnas. Det ankommer inte på utredningen att bedöma om de samtycken som studieförbunden i dagsläget inhämtar uppfyller dessa krav eller inte. Det är en tillsynsfråga.
Då utredningens bedömning som framgått ovan är att samtycke till behandlingen kan fortsätta att utgöra den rättsliga grunden för personuppgiftsbehandlingen är det vidare utredningens uppfattning att regeringsformen inte ställer upp ett krav på en särskild registerlag för FBR:s behandling av deltagarnas i studiecirklar och annan folkbildningsverksamhet personuppgifter. Det har som framgår av det föregående inte framkommit att det finns skäl för att ändra det rättsliga stödet för personuppgiftsbehandlingen.
Frågan är då om det ändå är lämpligt att införa någon särskild reglering av de uppgiftssamlingar om deltagarna i studiecirklar och annan folkbildningsverksamhet som lagras hos SCB för FBR:s räkning. Utredningen gör i denna fråga följande bedömning.
Det kan konstateras att även om de aktuella registren/uppgiftssamlingarna innehåller uppgifter om ett stort antal individer kan uppgifterna som registreras inte bedömas som särskilt integritetskänsliga. De variabler som ingår i studieförbundens rapportering till SCB om deltagarna i förbundens kurser och arrangemang är:
1. År för deltagande
2. Förbundskod
3. Distriktskod
4. Avdelningskod
5. Län/kommun
6. Arrangemangsnummer
7. Personnummer
8. Förnamn
9. Efternamn 10. Kön 11. Funktion (övrig eller ledare) 12. Notering (skyddad ID, person med samordningsnummer, deltagare med ofullständigt personnummer, medborgare i EU/EES inkl. Schweiz utan svenskt personnummer) 13. Arrangemangstyp (folkbildning med statsbidrag, uppdrag via FBR:s avtal ”Svenska från dag ett” eller ”Vardagssvenska”) 14. LMA-nummer (dossiernummer).
SCB kompletterar dessa uppgifter med uppgifter om utländsk/ svensk bakgrund, världsdelskod och utbildningsnivå genom att hämta dem från Registret över totalbefolkningen och Utbildningsregistret. Uppgifterna om utländsk bakgrund och världsdelskod skulle eventuellt i något fall kunna säga något om en individs etnicitet. Regeringen har dock funnit att en isolerad uppgift om medborgarskap eller uppgifter om nationalitet eller ursprungsland inte avslöjar etniskt ursprung (prop. 2001/02:144 s. 41 och prop. 2009/10:85 s. 325). Registren innehåller enligt utredningens bedömning inte några känsliga personuppgifter. Dessutom omfattas uppgifterna hos SCB av statistiksekretess (24 kap. 8 § offentlighets- och sekretesslagen [2009:400]).
FBR får endast tillgång till aggregerade, sekretessgranskade och avidentifierade data. Tre månader efter leverans till FBR förstörs det insamlade materialet med de av SCB tillagda uppgifterna. De uppgifter som finns i SCB:s register i tre år är kodnyckeln bestående av id, år för deltagande, förbundskod, distriktskod, avdelningskod, län/kommun och verksamhetsform (dvs. studiecirkel eller annan folkbildningsverksamhet).
Vidare innebär den enskildes samtycke inte i något avseende att fältet är fritt för FBR att behandla personuppgifterna. Kraven i dataskyddsförordningen – inte minst de som framgår av artikel 5 – ska ändå vara uppfyllda. Utredningen konstaterar vidare att införandet av dataskyddsförordningen i väsentliga delar kommer innebära ett utökat skydd för enskildas integritet. Med hänsyn till dessa omständigheter anser utredningen att en särskild reglering av nu aktuella
uppgiftssamlingar inte skulle innebära något väsentligt ökat integritetsskydd.
Mot den bakgrunden är utredningens bedömning att det inte behövs något ytterligare författningsstöd för den behandling av personuppgifter FBR utför i nu aktuella avseenden.
Det bör även noteras att SCB tillsammans med Myndigheten för kulturanalys i mars 2017 gett in en hemställan till Finansdepartementet om bl.a. en ändring i förordningen (2001:100) om den officiella statistiken så att ansvaret för statistikområdet Studieförbund överförs från Myndigheten för kulturanalys till SCB.14 Om den begärda ändringen i förordningen om den officiella statistiken genomförs kommer SCB att med stöd av lagen (2001:99) om den officiella statistiken kunna samla in uppgifter motsvarande dem som samlas in i dag och leverera t.ex. aggregerade tabeller till FBR som motsvarar dess behov.
14 SCB:s och Myndigheten för kulturanalys hemställan till Finansdepartementet om ändring i förordningen (2001:100) om den officiella statistiken, 2017-03-28, SCB:s dnr 2017/418, Myndigheten för kulturanalys dnr 2017-32.
8. CSN:s studiestödsverksamhet
8.1. Utredningens uppdrag i denna del
Enligt 1 § andra stycket förordningen (2007:1071) med instruktion för Centrala studiestödsnämnden fullgör Centrala studiestödsnämnden (CSN) uppgifter enligt bl.a. studiestödslagen (1999:1395) och studiestödsförordningen (2000:655). För behandling av personuppgifter i studiestödsverksamheten tillämpar CSN studiestödsdatalagen (2009:287). Den innehåller bl.a. bestämmelser om förhållandet till personuppgiftslagen (1998:204, PUL). I studiestödsdataförordningen (2009:321) finns bestämmelser som kompletterar studiestödsdatalagens bestämmelser.
När dataskyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas. Utredningen har därför fått i uppdrag att se över vilka anpassningar av studiestödsdatalagen och studiestödsdataförordningen som behövs med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna. Utredningen ska även lämna de författningsförslag som behövs.
8.2. Rättslig grund för personuppgiftsbehandling
Bedömning: Studiestödsverksamhet är en för CSN i svensk rätt
fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskyddsförordningen.
Enligt artikel 6.2 och 6.3 andra stycket är det tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 e. Studiestödsdatalagen
och studiestödsdataförordningen är därmed i sig förenliga med dataskyddsförordningen.
Enligt artikel 6.1 i dataskyddsförordningen krävs att åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt för att behandling av personuppgifter ska vara laglig. Ett sådant villkor är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (6.1 e). Enligt artikel 6.3 första stycket ska den grund för behandlingen som avses i punkt 1 e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Dataskyddsutredningen föreslår att det i 2 kap. 4 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) ska finnas en bestämmelse som anger att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig bl.a. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning. Vidare konstaterar Dataskyddsutredningen att statliga och kommunala myndigheters verksamhet i allt väsentligt är av allmänt intresse och att det är den rättsliga grunden i artikel 6.1 e som vanligen bör tillämpas av myndigheter (SOU 2017:39, avsnitt 8.3.4). Vidare anför Dataskyddsutredningen följande.
Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.
Vid införandet av studiestödslagen uttalade regeringen följande i propositionen Ett reformerat studiestödssystem (prop. 1999/2000:10 s. 65).
Det övergripande utbildningspolitiska målet är att varje medborgare ska ha möjlighet till god utbildning oavsett kön, social eller ekonomisk bakgrund, bostadsort m.m.
[…] Ekonomisk tillväxt ger möjligheter att trygga välfärden. Det är därför ett samhälleligt intresse att kunskapsbasen hos befolkningen upprätthålls och stärks på alla nivåer och att inga grupper lämnas utanför. Situationen med arbetslöshet har ytterligare accentuerat detta faktum. Men ekonomisk tillväxt och landets konkurrenskraft är också beroende av medborgarnas beredskap att möta förändringar. Kostnaderna för utbildning och studiestöd kan ses som en samhällelig investering som ger avkastning i ett senare skede i form av ökad ekonomisk tillväxt och social och kulturell utveckling.
Regeringen synes ha varit av uppfattningen att studiestödsverksamheten är en uppgift av allmänt intresse. Uppgiften att administrera studiestödet ligger dessutom på en statlig myndighet och regleras i lag.
Det rättsliga stödet för behandlingen av personuppgifter i CSN:s studiestödsverksamhet förefaller ha varit artikel 7 e i dataskyddsdirektivet, på den grunden att den anses nödvändig för att utföra en arbetsuppgift av allmänt intresse. I förarbetena till studiestödsdatalagen konstateras nämligen att den registrerade enligt artikel 14 a, om inte den nationella lagstiftningen föreskriver något annat, har rätt att motsätta sig behandling som sker med stöd av bl.a. artikel 7 e, dvs. för att utföra en arbetsuppgift av allmänt intresse. Regeringen ansåg därför att det skulle införas en bestämmelse om att behandling av personuppgifter som får ske oberoende av den registrerades samtycke, ska få ske även om den registrerade motsätter sig behandlingen (prop. 2008/09:96 s. 36). En sådan bestämmelse, som nu finns i 5 § studiestödsdatalagen, hade inte varit nödvändigt att införa om regeringen inte ansett att artikel 7 e i dataskyddsdirektivet hade varit tilllämplig på behandlingarna.
Enligt utredningens uppfattning finns det inget som tyder på att begreppet allmänt intresse ska uppfattas snävare enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Med hänsyn härtill får en behandling av personuppgifter som tillåtits i en registerförfattning med stöd av den rättsliga grunden i artikel 7 e i dataskydds-
direktivet, dvs. utföra en arbetsuppgift av allmänt intresse, också anses nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Utredningen bedömer således att CSN:s studiestödsverksamhet är en i svensk rätt fastställd uppgift av allmänt intresse.
Det framgår av artikel 6.2 att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva punkt 1 e. Enligt artikel 6.3 andra stycket andra meningen kan den rättsliga grunden för behandling, som fastställs i den nationella rätten, innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen i form av bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Dataskyddsförordningen medger således att det i nationell rätt finns sådana regleringar (registerförfattningar) som införts genom t.ex. studiestödsdatalagen och studiestödsdataförordningen.
Avslutningsvis ska, enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen, den rättsliga regleringen uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Utredningen konstaterar att studiestödsdatalagen och studiestödsdataförordningen tillkommit i den ordning som regeringsformen utpekar för föreskrifter av nu aktuellt slag. Bestämmelserna har bedömts relevanta och proportionerliga av regeringen och, såvitt avser studiestödsdatalagen, även av Lagrådet och riksdagen. Antagandet av bestämmelserna har dessutom föregåtts av arbete inom ramen för utredningsväsendet och därpå följande remissbehandling. Såvitt framkommit har någon tillsynsmyndighet inte heller uttalat någon kritik eller tveksamhet i dessa avseenden. Det är därför rimligt att utgå från att de ändamål m.m. som fastställts i samband med författningsarbetet är relevanta och proportionerliga i förhållande till det integritetsintrång behandlingarna kan innebära. Denna bedömning är giltig även i de avseenden som avses i dataskyddsförordningen. Utredningen har vid genomgången av aktuella författningar inte funnit
några bestämmelser som kan sägas vara irrelevanta eller oproportionerliga. Utredningen anser således att föreskrifterna uppfyller kraven i artikel 6.3 andra stycket i dataskyddsförordningen.
Med anledning av att dataskyddsförordningen och en ny generell lagstiftning som i vissa delar kompletterar förordningen ska börja tillämpas, påkallas dock ställningstaganden till och ändringar i vissa av bestämmelserna i studiestödsdatalagen och studiestödsdataförordningen. Det är därför nödvändigt med en genomgång av befintliga bestämmelser, vilket görs i följande avsnitt.
8.3. Behov av ändringar i studiestödsdatalagen
Förslag: Hänvisningen till personuppgiftslagen i 2 § första stycket
ska ersättas med en upplysningsbestämmelse om dataskyddsförordningen samt, i andra stycket, en reglering om förhållandet till dataskyddslagen. Det nuvarande andra stycket, som reglerar studiestödsdatalagens förhållande till lagen om den officiella statistiken, ska flyttas till ett nytt tredje stycke. Vidare ska rubriken till 2 § ha lydelsen Förhållandet till annan dataskyddsreglering.
Bestämmelserna i 6 och 8 §§, vilka reglerar begränsningar i rätten att behandla personuppgifter respektive användningen av sökbegrepp, ska ändras på så sätt att de ska omfatta samtliga kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen.
Bestämmelsen i 7 § tredje stycket om återkallande av samtycke ska upphävas.
Även 15 § som reglerar rättelse och skadestånd ska upphävas. Rubriken närmast före 15 § ska följaktligen utgå.
Bestämmelsen i 16 § tredje stycket ska ändras på så sätt att formuleringen ”historiska, statistiska eller vetenskapliga ändamål” ändras till ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
Studiestödsdatalagen består av 16 paragrafer som finns under rubrikerna Lagens tillämpningsområde, Förhållandet till personuppgiftslagen och lagen om den officiella statistiken, Personuppgiftsansvar, Ändamål, Begränsningar i rätten att behandla personuppgifter, Samtycke av den registrerade, Sökbegrepp, Intern elektronisk tillgång till
personuppgifter, Direktåtkomst och annat elektroniskt utlämnande av personuppgifter, Rättelse och skadestånd samt Gallring. Nedan redogörs för regleringen i respektive paragraf och vilka behov av ändringar som utredningen anser är påkallade med anledning av att dataskyddsförordningen ska börja tillämpas.
Lagens tillämpningsområde
I 1 § första stycket anges att studiestödsdatalagen tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. Enligt andra stycket gäller lagen bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Det saknas skäl att ändra upplysningsbestämmelserna i 1 § om studiestödsdatalagens tillämpningsområde, eftersom de enligt utredningens bedömning är förenliga med dataskyddsförordningen.
Förhållandet till personuppgiftslagen och lagen om den officiella statistiken
I 2 § första stycket anges att i den mån personuppgiftslagen innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i studiestödsdatalagen, ska personuppgiftslagen tilllämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. Av andra stycket framgår att lagen (2001:99) om den officiella statistiken och anslutande författningar ska tillämpas vid CSN:s behandling av personuppgifter för att framställa statistik i stället för studiestödsdatalagen.
När dataskyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas och dataskyddslagen träda i kraft. Med anledning av detta behöver den nu aktuella hänvisningen i första stycket ändras.
Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Studiestödsdatalagen innehåller endast sådana tillåtna bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör en
bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i förordningen.
Den föreslagna dataskyddslagen kommer, på samma sätt som personuppgiftslagen, att vara subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter. Av tydlighetsskäl bör en hänvisning till dataskyddslagen införas, såsom i dagsläget görs till personuppgiftslagen.
Utredningen föreslår därför att det i 2 § första stycket ska anges att lagen kompletterar dataskyddsförordningen. I andra stycket ska förhållandet till dataskyddslagen regleras. Bestämmelsen i nuvarande andra stycket, om studiestödsdatalagens förhållande till lagen om den officiella statistiken, ska därmed flyttas till ett nytt tredje stycke. Avslutningsvis föreslår utredningen att rubriken ska ha lydelsen Förhållandet till annan dataskyddsreglering.
Personuppgiftsansvar
I 3 § finns en upplysning om att CSN är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Enligt utredningens bedömning är därmed bestämmelsen i 3 § studiestödsdatalagen förenlig med dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.
Ändamål
4 §
Enligt 4 § första stycket får personuppgifter behandlas i CSN:s studiestödsverksamhet bara om det behövs för att
1. handlägga ärenden i den verksamheten,
2. administrera handläggningen,
3. förbereda handläggningen,
4. informera studiestödsberättigade om studiestödsförmåner och
studiesociala förmåner,
5. ta fram och distribuera bevis om studiestöd för studier till stude-
rande, eller
6. anmäla oegentligheter inom studiestödsverksamheten till ett
offentligt organ som har att utreda eller beivra oegentligheterna.
Enligt 4 § andra stycket får personuppgifter som behandlas enligt första stycket även behandlas genom att lämnas ut till den registrerade själv, riksdagen och regeringen samt, i den utsträckning skyldighet för CSN att lämna uppgifter följer av lag eller förordning, till andra. Personuppgifter som behandlas enligt första stycket och som inte direkt pekar ut den registrerade får också behandlas för att ge tillgång till vägledande avgöranden.
I 4 § tredje stycket anges att regeringen får meddela föreskrifter om begränsningar av ändamålen i första stycket och om i vilka fall behandling får göras för att förbereda handläggningen. I 2–4 §§studiestödsdataförordningen finns de bestämmelser som regeringen meddelat i detta avseende.
Av tredje stycket i 4 § studiestödsdatalagen framgår att regeringen också meddelar föreskrifter om begränsningar av vilka personuppgifter som får behandlas för ett visst ändamål. I 5–6 §§studiestödsdataförordningen har regeringen meddelat bestämmelser som begränsar vilka uppgifter som får behandlas för ändamålen i 4 § första stycket 4 och 5.
Utredningen har i avsnitt 8.2 kommit fram till att det för CSN, i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskyddsförordningen, finns en i svensk rätt fastställd uppgift av
allmänt intresse att bedriva studiestödsverksamhet. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. ändamålsbegränsningar. Utredningen anser följaktligen att 4 § studiestödsdatalagen är förenlig med dataskyddsförordningen och att lagrummet kan och bör behållas.
5 §
Enligt 5 § får behandling av personuppgifter som enligt studiestödsdatalagen är tillåten utan den registrerades samtycke utföras även om den registrerade motsätter sig behandlingen. I förarbetena till bestämmelsen uttalas bl.a. följande (prop. 2008/09:96 s. 36).
Det finns behov av att i viss utsträckning kunna behandla personuppgifter inom CSN:s studiestödsverksamhet oberoende av den registrerades inställning. Därför ska sådan behandling av personuppgifter som enligt den föreslagna lagen får ske oberoende av den registrerades samtycke få ske även om den registrerade motsätter sig behandlingen. Med hänsyn till utformningen av bestämmelsen i artikel 14 dataskyddsdirektivet bör det i studiestödsdatalagen tas in en uttrycklig bestämmelse som föreskriver detta.
I artikel 14 i dataskyddsdirektivet regleras den registrerades rätt att göra invändningar. Enligt 14 a ska den registrerade, om den nationella lagstiftningen inte föreskriver något annat, ha rätt att av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandlingen, åtminstone i de fall då uppgifterna behandlas med stöd av en intresseavvägning av det slag som framgår av 10 § f PUL eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. I 12 § andra stycket PUL finns en bestämmelse som anger att en registrerad med ett par undantag inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen.
I dataskyddsförordningen regleras rätten att göra invändningar i artikel 21. Enligt 21.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (uppgift av allmänt intresse eller myndighetsutövning) eller f (intresseavvägning). Den personuppgiftsansvarige får inte längre behandla personuppgifterna
såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Enligt artikel 23.1 e ska det dock vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt, som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av, införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. artikel 21. En sådan begränsning ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet.
Enligt artikel 23.2 ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så är relevant, avseende
a) ändamålen med behandlingen eller kategorierna av behandling,
b) kategorierna av personuppgifter,
c) omfattningen av de införda begränsningarna,
d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång
eller överföring,
e) specificeringen av den personuppgiftsansvarige eller kategorier-
na av personuppgiftsansvariga,
f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av
behandlingens art, omfattning och ändamål eller kategorierna av behandling,
g) riskerna för de registrerades rättigheter och friheter, och
h) de registrerades rätt att bli informerade om begränsningen, såvida
detta inte kan inverka menligt på begränsningen.
Dataskyddsförordningen ställer därmed högre krav på den nationella begränsande regleringen än dataskyddsdirektivet, eftersom det i
dataskyddsdirektivet inte anges några särskilda villkor för en sådan reglering.
Som angetts ovan är det utredningens uppfattning att det är den rättsliga grunden enligt första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse, som är tillämplig på CSN:s behandling av personuppgifter inom studiestödsverksamheten. Enligt artikel 21.1 ska den registrerade då ha rätt att göra invändningar mot behandlingar. En prövning bör därför göras om förutsättningarna enligt artikel 23 för att begränsa den registrerades rätt att göra invändningar är uppfyllda.
I förarbetena till studiestödslagen anges, utöver vad som redogjorts för ovan, följande (prop. 1999/2000:10 s. 76).
Studiestödet i form av bidrag och lån är en del av utbildningspolitiken och ska bidra till att förverkliga målen för detta område. Studiestödet ska verka rekryterande och därmed bidra till ett högt deltagande i utbildningen. Det ska vidare ha en utjämnande verkan mellan individer och grupper i befolkningen och därmed bidra till ökad social rättvisa. Studiestödet ska ha en god effekt på samhällets ekonomiska hushållning över tiden.
Utredningens uppfattning är därför att studiestödsdatalagen reglerar behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e. Lagen med tillhörande förordning innehåller även sådana relevanta begränsningar som räknas upp i artikel 23.2, dvs. ändamålen med behandlingen (4 § studiestödsdatalagen), kategorierna av personuppgifter (bl.a. 3–6 §§studiestödsdataförordningen), omfattningen av de införda begränsningarna (5 § studiestödsdatalagen), skyddsåtgärder (bl.a. 8 och 9 §§studiestödsdatalagen), specificering av den personuppgiftsansvarige (3 § studiestödsdatalagen) och lagringstiden (16 § studiestödsdatalagen och 16 § studiestödsdataförordningen).
Enligt utredningens bedömning har studiestödsdatalagen och studiestödsdataförordningen införts efter noggranna överväganden av vilka bestämmelser, utöver de som finns i personuppgiftslagen, som är relevanta i sammanhanget. Förutsättningarna för att behålla begränsningen av den registrerades rätt att göra invändningar i 5 § studiestödsdatalagen är enligt utredningens bedömning därmed uppfyllda. Bestämmelsen kan och bör därför behållas.
Begränsningar i rätten att behandla personuppgifter
I 6 § första stycket anges att särskilda begränsningar gäller för behandling av personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Särskilda begränsningar gäller även för behandling av uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Slutligen anges att särskilda begränsningar också gäller för behandling av uppgifter som rör hälsa eller sexualliv.
Av 6 § andra stycket framgår att uppgifter enligt första stycket bara får behandlas för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.
I fråga om bestämmelserna i 6 § behöver ändras med anledning av att dataskyddsförordningen ska börja tillämpas gör utredningen följande överväganden.
Känsliga personuppgifter
Enligt artikel 8.1 i dataskyddsdirektivet ska medlemsstaterna förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Bestämmelsen har införlivats i svensk rätt genom 13 § PUL där nämnda uppgifter betecknas som känsliga personuppgifter.
Enligt artikel 8.4 i dataskyddsdirektivet får medlemsstaterna, under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse, i sin nationella lagstiftning besluta om undantag från förbudet i artikel 8.1.
Enligt 6 § studiestödsdatalagen gäller, som framgår ovan, särskilda begränsningar för behandling av bl.a. sådana personuppgifter som enligt 13 § PUL betecknas som känsliga och som det enligt huvudregeln är förbjudet att behandla. Genom bestämmelsen i 6 § studiestödsdatalagen finns det därmed ett undantag från förbudet att behandla känsliga personuppgifter. Sådana undantag är möjliga att införa genom bestämmelsen i artikel 8.4 i dataskyddsdirektivet.
Motsvarande bestämmelse som den i 13 § PUL finns i artikel 9.1 i dataskyddsförordningen. Enligt artikel 9.1 ska dock även behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning vara förbjuden.
Med genetiska uppgifter avses enligt artikel 4.13 alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.
Avseende genetisk information uttalar regeringen i förarbetena till lagen (2006:351) om genetisk integritet att sådan information kan avslöja såväl hälsotillstånd som etnisk tillhörighet och är därför att betrakta som känsliga personuppgifter (prop. 2005/06:64 s. 63). Även genetiska uppgifter omfattas därmed av förbudet i 13 § PUL, trots att denna kategori till skillnad från artikel 9.1 i dataskyddsförordningen inte uttryckligen anges.
Med biometriska uppgifter avses enligt artikel 4.14 i dataskyddsförordningen personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.
Förbudet i artikel 9.1 mot att behandla där angivna kategorier av uppgifter ska enligt artikel 9.2 g dock inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Genom artikel 9.2 g i dataskyddsförordningen finns det således en motsvarande möjlighet som i artikel 8.4 i dataskyddsdirektivet att av hänsyn till ett viktigt allmänt intresse införa undantag från förbudet att behandla känsliga personuppgifter. Undantaget i 6 § studiestödsdatalagen är därmed förenligt med bestämmelserna i dataskyddsförordningen.
Vad utredningen har att ta ställning till är således om det i 6 § studiestödsdatalagen ska göras någon ändring med anledning av att
artikel 9.1 i dataskyddsförordningen även har genetiska och biometriska uppgifter samt uppgifter om sexuell läggning i uppräkningen av vilka kategorier av uppgifter som det ska vara förbjudet att behandla.
Enligt CSN behandlar man uppgifter om hälsa. I studiestödsverksamheten behöver CSN dock inte behandla uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör sexualliv. CSN behandlar dock uppgifter om namn och medborgarskap, vilka tillsammans kan avslöja etniskt ursprung. Enligt CSN kan den registrerade därtill komma in med vilka uppgifter som helst i en skrivelse till myndigheten. Eftersom dessa skrivelser bevaras elektroniskt behandlas i så fall även de personuppgifter som framgår av skrivelserna.
I förarbetena till studiestödsdatalagen konstaterar regeringen att vissa av de angivna uppgifterna i 13 § PUL normalt inte torde förekomma i CSN:s studiestödsverksamhet. Regeringen uttalar vidare att det dock inte kan uteslutas att även uppgifter som avslöjar t.ex. ras eller filosofisk övertygelse kan förekomma i verksamheten. Även om CSN inte efterfrågar sådana uppgifter kan de ändå förekomma som information i t.ex. ansökningshandlingar eller intyg som lämnas in till myndigheten. Enligt regeringen skulle därför samtliga uppgifter som avses i 13 § PUL omfattas av bestämmelsen i studiestödsdatalagen (prop. 2008/09:96 s. 48 f.).
Dataskyddsutredningen konstaterar att viss behandling av känsliga personuppgifter är oundviklig i myndigheternas verksamhet som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens (2009:400) och förvaltningslagens (1986:223) bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post. Enligt Dataskyddsutredningen bör sådan behandling uttryckligen tillåtas så att det inte råder någon tveksamhet kring lagligheten av behandlingen. Dataskyddsutredningen lämnar också ett förslag som är i linje med detta (SOU 2017:39, avsnitt 10.6.2).
Även om CSN för sin studiestödsverksamhet inte har behov av att behandla samtliga kategorier av känsliga personuppgifter finns det sammanfattningsvis således starka skäl som talar för att det i 6 § studiestödsdatalagen ska finnas samma uppräkning av kategorier av känsliga personuppgifter som i artikel 9.1 i dataskyddsförordningen. Utredningen föreslår därför att en sådan ändring ska göras.
Uppgifter om lagöverträdelser m.m.
Enligt 6 § första stycket studiestödsdatalagen gäller särskilda begränsningar för behandling av personuppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, dvs. sådana uppgifter som det enligt 21 § första stycket PUL är förbjudet för andra än myndigheter att behandla.
Motsvarande bestämmelse som den i 21 § första stycket PUL finns i artikel 10 i dataskyddsförordningen. I artikel 10 anges att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
Bestämmelserna om behandling av uppgifter om lagöverträdelser i 21 § PUL och i artikel 10 i dataskyddsförordningen är således inte enhetliga. Begränsningarna i artikel 10 gäller fällande domar, medan begränsningarna i 21 § första stycket PUL omfattar även uppgifter om friande domar. Bestämmelsen i 6 § första stycket studiestödsdatalagen är i denna del därmed mer restriktiv än vad artikel 10 i dataskyddsförordningen är. Dataskyddsförordningen medger att medlemsstaterna inför mer restriktiva bestämmelser än de som finns i förordningen. Utredningen anser därför att 6 § första stycket inte ska ändras i den del som avser uppgifter om lagöverträdelser m.m.
Samtycke av den registrerade
Enligt 7 § första stycket får personuppgifter, trots 4 § första stycket, behandlas i CSN:s studiestödsverksamhet med den registrerades samtycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke.
Av 7 § andra stycket följer att uppgifter som behandlas med samtycke enligt första stycket också får behandlas enligt 4 § andra stycket, dvs. för utlämnande i vissa fall och för att ge tillgång till vägledande avgöranden.
I 7 § tredje stycket anges att i de fall då behandling av personuppgifter i CSN:s studiestödsverksamhet bara är tillåten när den registrerade har lämnat sitt samtycke, har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.
I fråga om bestämmelserna i första och andra stycket bedömer utredningen att dessa kan behållas, eftersom de har stöd i artikel 6.1 a och 9.2 a i dataskyddsförordningen.
När det gäller 7 § tredje stycket framgår det av förarbetena att bestämmelsen motsvarar och avser att ha samma innebörd som 12 § första stycket PUL. Efter en återkallelse får behandling av dessförinnan inhämtade personuppgifter fortsätta i enlighet med det ursprungligen lämnade samtycket. Några ytterligare uppgifter får dock inte samlas in eller behandlas. Befintliga uppgifter får alltså inte uppdateras eller kompletteras för det aktuella ändamålet (prop. 2008/09:96 s. 82 f.).
Enligt artikel 7.3 i dataskyddsförordningen ska de registrerade ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas.
Artikel 7.3 motsvarar således innehållet i 7 § tredje stycket studiestödsdatalagen. Eftersom förordningen och dess bestämmelser är direkt tillämpliga föreslår utredningen att bestämmelsen i studiestödsdatalagen ska upphävas.
Sökbegrepp
Bestämmelserna i 8 § begränsar vilka sökbegrepp som får användas. Enligt första stycket får som sökbegrepp inte användas sådana känsliga uppgifter som det enligt huvudregeln i 13 § PUL är förbjudet att behandla, dvs. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.
Enligt 8 § första stycket studiestödsdatalagen får inte heller uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden användas som sökbegrepp, dvs. sådana uppgifter som det
enligt huvudregeln i 21 § första stycket PUL är förbjudet för andra än myndigheter att behandla.
Därutöver får enligt 8 § första stycket studiestödsdatalagen som sökbegrepp inte användas uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, inte heller uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle. Sådana uppgifter har av regeringen ansetts vara av ömtålig eller integritetskänslig natur (prop. 2008/09:96 s. 52).
I 8 § andra stycket finns undantag från förbudet mot att använda ovan angivna uppgifter som sökbegrepp. Dessa får användas vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen (vägledande avgöranden). För att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse får också uppgifter som rör hälsa användas som sökbegrepp. För att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende får slutligen som sökbegrepp även användas uppgifter som rör inkomst och förmögenhet.
Bestämmelserna i 8 § aktualiserar samma frågeställningar som i 6 §, dvs. om den utvidgade definitionen av känsliga personuppgifter i artikel 9.1 i dataskyddsförordningen och om bestämmelserna om behandling av uppgifter om lagöverträdelser enligt artikel 10 påkallar en ändring av aktuell paragraf i studiestödsdatalagen.
Mot bakgrund av den ändring i 6 § som utredningen föreslår avseende känsliga personuppgifter bör motsvarande ändring göras även i 8 §. I övriga delar anser utredningen att det faktum att dataskyddsförordningen ska börja tillämpas inte föranleder något behov av ändring av lagrummet.
Intern elektronisk tillgång till personuppgifter
I 9 § första stycket anges att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som arbetar i CSN:s studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten.
Av 9 § andra stycket framgår att CSN ska se till att elektronisk tillgång till personuppgifter dokumenteras. CSN ska också systematiskt och återkommande kontrollera om någon obehörig åtkomst till uppgifterna har förekommit. Enligt tredje stycket meddelar regeringen eller den myndighet som regeringen bestämmer ytterligare föreskrifter även i dessa delar.
I avsnitt 8.2 anges utredningens ställningstagande att det för CSN, i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskyddsförordningen, finns en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandlingar. Utredningen anser följaktligen att 9 § studiestödsdatalagen är förenlig med dataskyddsförordningen och att lagrummet kan och bör behållas.
Direktåtkomst och annat elektroniskt utlämnande av personuppgifter
I studiestödsdatalagen finns fem paragrafer som reglerar utlämnande av uppgifter, 10–14 §§.
Enligt 10 § är utan den registrerades samtycke direktåtkomst till och annat elektroniskt utlämnande av personuppgifter som behandlas i CSN:s studiestödsverksamhet tillåtet bara i den utsträckning som anges i lag eller förordning och under förutsättning att 4 och 6–8 §§ följs. Som framgått ovan reglerar 4 § för vilka ändamål personuppgifter får behandlas och i 6–8 §§ regleras begränsningar i rätten att behandla personuppgifter, samtycke av den registrerade och sökbegrepp.
Enligt 11 § får Försäkringskassan och arbetslöshetskassorna, i den utsträckning CSN har uppgiftsskyldighet enligt lag eller förordning, ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet. Regeringen meddelar föreskrifter om vilka personuppgifter som får omfattas av sådan direktåtkomst.
Av 12 § framgår att även den registrerade får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet, om uppgifterna avser honom eller henne själv eller om uppgifterna finns i ett ärende om studiestöd där den registrerade är part eller där den registrerade har rätt att få utbetalning av studiestöd för någon annan.
Sådan direktåtkomst får även förekomma om uppgifterna avser dokumentation av den elektroniska tillgång som har förekommit till den registrerades personuppgifter, dock inte sådan information som avslöjar vilken enskild handläggare som haft tillgång till uppgifterna.
I 13 § anges att när personuppgifter får lämnas ut till någon genom direktåtkomst, får personuppgifterna också på något annat sätt lämnas ut elektroniskt till mottagaren. Vidare anges att enstaka personuppgifter även i andra fall får lämnas ut på medium för automatiserad behandling eller via elektronisk kommunikation i enskilda fall.
En sista bestämmelse om utlämnande finns i 14 § som anger att på begäran enligt 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. får personuppgifter lämnas ut till Riksrevisionen på medium för automatiserad behandling.
I dataskyddsförordningen finns inga särskilda bestämmelser om direktåtkomst, utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behandlingen uppfyller de krav som dataskyddsförordningen ställer, bl.a. de grundläggande krav som finns i artikel 5.
Vidare anser utredningen, som redovisas i avsnitt 8.2, att det för CSN, i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskyddsförordningen, finns en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål. Utredningen anser följaktligen att bestämmelserna i 10–14 §§studiestödsdatalagen är förenliga med dataskyddsförordningen och att de kan och bör behållas.
Rättelse och skadestånd
I 15 § upplyses om att bestämmelserna i 28 och 48 §§ PUL om rättelse och skadestånd gäller vid behandling av personuppgifter enligt studiestödsdatalagen eller föreskrifter som har meddelats i anslutning till denna lag.
Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna så-
dana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Eftersom 28 § PUL endast avser sådana personuppgifter som har behandlats i strid med personuppgiftslagen eller föreskrifter som utfärdats med stöd av lagen, har det i studiestödsdatalagen varit nödvändigt att hänvisa till personuppgiftslagens bestämmelser.
Enligt artikel 16 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande.
Eftersom personuppgiftslagen kommer att upphävas behöver även den nu aktuella bestämmelsen i studiestödsdatalagen ändras. Mot bakgrund av att dataskyddsförordningen är direkt tillämplig såvitt gäller rättelse, till skillnad mot vad som gäller enligt personuppgiftslagen, ska någon materiell bestämmelse i nationell rätt inte införas. Enligt utredningens mening saknas vidare anledning att införa en upplysningsbestämmelse om att det i förordningen finns bestämmelser om rättelse. Med hänsyn till detta föreslår utredningen att 15 §, i den del som avser rättelse, ska upphävas.
Som nämnts ovan anger 15 § att även bestämmelserna i personuppgiftslagen om skadestånd gäller vid behandling av personuppgifter enligt studiestödsdatalagen.
Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Även avseende rätten till skadestånd har det därmed varit nödvändigt att i studiestödsdatalagen hänvisa till personuppgiftslagens bestämmelser.
I dataskyddsförordningen regleras rätten till skadestånd i artikel 82. Av artikel 82.1 följer att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Av skäl 146 framgår att behandling som strider mot dataskyddsförordningen även omfattar behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med dataskydds-
förordningen och medlemsstaternas nationella rätt med närmare specifikation av dataskyddsförordningens bestämmelser.
Dataskyddsutredningen föreslår att 8 kap. 1 § dataskyddslagen ska innehålla en bestämmelse som upplyser om att rätten till ersättning som regleras i artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Studiestödsdatalagen är en författning som kompletterar dataskyddsförordningen.
Eftersom artikel 82 i dataskyddsförordningen är direkt tillämplig bör 15 § studiestödsdatalagen även upphävas i den del som avser skadestånd. Utredningen gör samma bedömning som gjorts i det föregående i fråga om behovet av att i stället göra om bestämmelsen till en upplysningsparagraf. Nämnda paragraf bör följaktligen upphävas i sin helhet.
Gallring
I 16 § första stycket anges att om återbetalning eller återkrav av studiestöd inte är aktuellt i ett ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personuppgifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.
Enligt 16 § andra stycket ska personuppgifter som behandlas enligt 4 § första stycket 3, dvs. i syfte att förbereda handläggningen, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.
I 16 § tredje stycket anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Enligt tredje stycket får CSN också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett
ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
Utredningen bedömer att det för CSN, i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskyddsförordningen, finns en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet (se avsnitt 8.2). Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av lagringstid. Gallringsbestämmelserna i 16 § kan och bör följaktligen behållas.
I sammanhanget ska dock formuleringen ”historiska, statistiska eller vetenskapliga ändamål”, som finns i 16 § tredje stycket, lyftas fram. Med denna formulering avses samma sak som i 9 § tredje stycket PUL (prop. 2008/09:96 s. 88). Av bestämmelserna i 9 § första och tredje styckena PUL framgår bl.a. att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter får dock bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid men inte längre tid än vad som behövs för dessa ändamål. Regleringen i detta avseende har sin grund i artikel 6.1 e i dataskyddsdirektivet.
I dataskyddsförordningen finns motsvarande bestämmelser i artikel 5.1 e. Av nämnda artikel framgår bl.a. att personuppgifter, under vissa förutsättningar, får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1.
Den nuvarande formuleringen i dataskyddsdirektivet och personuppgiftslagen om historiska, statistiska eller vetenskapliga ändamål har i dataskyddsförordningen således ändrats till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Enligt utredningens bedömning innebär omformuleringen dock inte någon skillnad i sak. Utredningen föreslår emellertid att bestämmelsen i 16 § tredje stycket studiestödsdatalagen ändras så att den anpassas till den formulering som används i dataskyddsförordningen.
Sammanfattning
Utredningen föreslår att hänvisningen till personuppgiftslagen i 2 § första stycket ska ersättas med en upplysningsbestämmelse om dataskyddsförordningen samt, i andra stycket, en reglering om förhållandet till dataskyddslagen. Det nuvarande andra stycket, som reglerar studiestödsdatalagens förhållande till lagen om den officiella statistiken, flyttas till ett nytt tredje stycke. Vidare föreslår utredningen att rubriken till 2 § ska ha lydelsen Förhållandet till annan dataskyddsreglering.
Utredningen föreslår att bestämmelserna i 6 och 8 §§, vilka reglerar begränsningar i rätten att behandla personuppgifter respektive användningen av sökbegrepp, ändras så att dessa omfattar samtliga kategorier av personuppgifter som räknas upp i artikel 9.1 i dataskyddsförordningen.
Vidare anser utredningen att bestämmelsen i 7 § tredje stycket om återkallande av samtycke ska upphävas eftersom den motsvarar artikel 7.3 i dataskyddsförordningen som är direkt tillämplig.
Utredningen har även kommit fram till att bestämmelserna om rättelse och skadestånd i 15 § ska upphävas. Även i fråga om rättelse och skadestånd finns det direkt tillämpliga bestämmelser i dataskyddsförordningen.
Avslutningsvis anser utredningen att 16 § tredje stycket ska ändras på så sätt att formuleringen ”historiska, statistiska eller vetenskapliga ändamål” ändras till den formulering som används i dataskyddsförordningen, dvs. ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
8.4. Behov av ändringar i studiestödsdataförordningen
Förslag: Bestämmelsen i 16 § studiestödsdataförordningen ska
ändras på så sätt att formuleringen ”historiska, statistiska och vetenskapliga ändamål” byts ut mot ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
Studiestödsdataförordningen består också av 16 paragrafer som finns under rubrikerna Inledande bestämmelse, Förberedande handläggning, Ärenden om studiehjälp, Ärenden om studiemedel, Information om studiestödsförmåner och studiesociala förmåner, Framtagande och distribution av bevis om studiestöd för studier, Intern elektronisk tillgång till personuppgifter, Direktåtkomst, Annat elektroniskt utlämnande och Gallring. Nedan redogörs för regleringen i respektive paragraf och vilka behov av ändringar som utredningen anser är påkallade med anledning av att dataskyddsförordningen ska börja tillämpas.
Inledande bestämmelse
I 1 § anges att i förordningen finns kompletterande bestämmelser om sådan behandling av personuppgifter som omfattas av studiestödsdatalagen.
Utredningen bedömer att denna upplysningsbestämmelse är förenlig med dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.
Förberedande handläggning
Bestämmelserna i 2 § kompletterar 4 § studiestödsdatalagen i den del som avser behandling av personuppgifter i syfte att förbereda handläggningen.
Av 2 § 1 framgår att personuppgifter får behandlas i CSN:s studiestödsverksamhet för att förbereda handläggningen av ärenden om studiehjälp för personer som fyller 16 år och som för första gången skulle kunna få studiehjälp.
Enligt 2 § 2 får personuppgifter även behandlas för att förbereda handläggningen av ärenden om studiemedel för personer som har antagits till en utbildning som berättigar till studiemedel.
Utredningen bedömer att det för CSN, i enlighet med första ledet i artikel 6.1 e samt artikel 6.3 första stycket i dataskyddsförordningen, finns en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet (se avsnitt 8.2). Enligt artikel 6.2 och 6.3 andra stycket är det då tillåtet att i en registerförfattning behålla specifika bestämmelser i form av bl.a. ändamåls-
begränsningar. Utredningen anser följaktligen att 2 § studiestödsdataförordningen är förenlig med dataskyddsförordningen och att paragrafen kan och bör behållas.
Ärenden om studiehjälp
Enligt 3 § första stycket 1 får behandlingen av personuppgifter enligt 2 § 1, i fråga om den person som fyller 16 år, endast avse uppgifter om namn, adress, folkbokföringsort, personnummer, samordningsnummer, födelsetid, särskilt identifikationsnummer som getts av CSN, sekretessmarkering, medborgarskap och invandrings- och utvandringsdatum.
Enligt 3 § första stycket 2 och andra stycket gäller samma begränsning i fråga om den eller de som senast mottog allmänt eller förlängt barnbidrag eller som i annat fall kan få studiehjälp utbetalad för den person som fyller 16 år, med undantag för att även uppgift om bankkonto får behandlas.
Enligt 3 § tredje stycket får uppgifter om andra personer inte utan den registrerades samtycke behandlas enligt 2 § 1.
När den rättsliga grunden är uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tillåtet att i en registerförfattning behålla särskilda bestämmelser om vilken typ av uppgifter som ska behandlas.
I fråga om personnummer och samordningsnummer får, enligt 22 § PUL, uppgifter om personnummer eller samordningsnummer utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Av 50 § c PUL följer att regeringen får meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten.
Enligt artikel 87 första meningen i dataskyddsförordningen får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen.
Dataskyddsutredningen föreslår att det i 3 kap. 13 § dataskyddslagen ska införas en bestämmelse med samma ordalydelse som 22 § PUL. Vidare föreslår Dataskyddsutredningen en bestämmelse i 3 kap. 14 § dataskyddslagen som anger att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Bestämmelsen motsvarar således delvis 50 § c PUL.
Utredningen anser att det i aktuellt sammanhang är klart motiverat med hänsyn till ändamålet med behandlingen och vikten av en säker identifiering att personnummer eller samordningsnummer får behandlas. Därtill finns det ett bemyndigande för regeringen i dataskyddslagen att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.
Sammanfattningsvis bedömer utredningen att bestämmelserna i 3 § studiestödsdataförordningen är förenliga med dataskyddsförordningens bestämmelser. De kan och bör därför behållas.
Ärenden om studiemedel
Enligt 4 § första stycket 1 får behandlingen av personuppgifter enligt 2 § 2, i fråga om den person som har antagits till en utbildning, endast avse uppgifter om namn, adress, folkbokföringsort, personnummer, samordningsnummer, födelsetid, särskilt identifikationsnummer som getts av CSN, sekretessmarkering, medborgarskap, invandrings- och utvandringsdatum, studieresultat och den utbildning som antagningen avser.
Enligt 4 § första stycket 2 får behandling av personuppgifter i fråga om barn som den person som har antagits till en utbildning är vårdnadshavare för, endast avse personnummer, samordningsnummer eller födelsetid.
Enligt 4 § andra stycket får uppgifter om andra personer inte utan den registrerades samtycke behandlas enligt 2 § 2.
Utredningen gör i denna del motsvarande bedömning som i fråga om bestämmelserna i 3 §. Bestämmelserna i 4 § kan och bör således behållas.
Information om studiestödsförmåner och studiesociala förmåner
I 5 § finns kompletterande bestämmelser till 4 § studiestödsdatalagen i den del som avser behandling av personuppgifter för att informera studiestödsberättigade om studiestödsförmåner och studiesociala förmåner. Av 5 § i studiestödsdataförordningen framgår att för sådana ändamål får utan den registrerades samtycke endast uppgifter om namn, adress, folkbokföringsort, personnummer, samordningsnummer, födelsetid, särskilt identifikationsnummer som getts av CSN, medborgarskap, bankkonto och typ av studiestöd behandlas.
Utredningen gör även i denna del motsvarande bedömning som i fråga om bestämmelserna i 3 §. Bestämmelserna i 5 § kan och bör således behållas.
Framtagande och distribution av bevis om studiestöd för studier
I 6 § finns kompletterande bestämmelser till 4 § studiestödsdatalagen i den del som avser behandling av personuppgifter för att ta fram och distribuera bevis om studiestöd för studier till studerande. Av 6 § i förordningen framgår att för sådana ändamål får utan den registrerades samtycke endast uppgifter om namn, adress, personnummer, samordningsnummer, födelsetid, särskilt identifikationsnummer som getts av CSN, studietakt, typ av studiestöd och studietid behandlas.
Utredningen gör också i denna del motsvarande bedömning som i fråga om bestämmelserna i 3 §. Bestämmelserna i 6 § kan och bör således behållas.
Intern elektronisk tillgång till personuppgifter
I 7–9 §§ finns bestämmelser om intern elektronisk tillgång till personuppgifter. Dessa kompletterar bestämmelserna i 9 § studiestödsdatalagen.
Enligt 7 § första stycket studiestödsdataförordningen ska direkt elektronisk tillgång till personuppgifter i ett ärende om studiestöd, som inte behövs för återbetalning eller återkrav av studiestöd, begränsas senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. Det innebär att bara ett begränsat antal personer som arbetar i myndighetens
studiestödsverksamhet får ha sådan tillgång till personuppgifterna i ärendet. Behövs personuppgifterna för ett nytt ärende om studiestöd får begränsningen upphävas. Genom 7 § andra stycket bemyndigas CSN att meddela närmare föreskrifter om begränsning av intern elektronisk tillgång.
Enligt 8 § får CSN, i fråga om personuppgifter som inte omfattas av 7 §, meddela föreskrifter om villkoren för elektronisk tillgång till personuppgifterna för den som arbetar i myndighetens studiestödsverksamhet. Sådan tillgång ska begränsas till vad som behövs för att han eller hon ska kunna fullgöra sina arbetsuppgifter inom studiestödsverksamheten.
Inför beslut om att meddela föreskrifter enligt 7 och 8 §§ ska CSN samråda med Datainspektionen. Detta framgår av 9 §.
När den rättsliga grunden är uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tillåtet att i en registerförfattning behålla särskilda bestämmelser i form av bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandlingar. Utredningen anser följaktligen att 7–9 §§ är förenliga med dataskyddsförordningen och att de kan och bör behållas.
Direktåtkomst
Bestämmelserna i 10–14 §§studiestödsdataförordningen reglerar direktåtkomst.
Enligt 10 § får Försäkringskassans direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet endast avse uppgifter om personnummer, samordningsnummer, särskilt identifikationsnummer som getts av CSN, utbetalat studiestödsbelopp för en viss tidsperiod, beviljat studiestöd för en viss tidsperiod och typ av studiestöd.
I 11 § anges att arbetslöshetskassornas direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet får endast avse uppgifter enligt 23 § förordningen (1997:835) om arbetslöshetsförsäkring och särskilt identifikationsnummer som getts av CSN.
Enligt 12 § får en läroanstalt ha direktåtkomst till de personuppgifter som behandlas i CSN:s studiestödsverksamhet som läroan-
stalten själv har lämnat till CSN och till anknytande uppgifter om särskilt identifikationsnummer som getts av CSN, namn och sekretessmarkering. Läroanstalten får också ha direktåtkomst till uppgifter om att CSN har beslutat eller sänt meddelande till parten i ett ärende om studiestöd.
I 13 § första stycket anges att en socialnämnd får ha direktåtkomst till personuppgifter som behandlas i CSN:s studiestödsverksamhet i den utsträckning som anges i 2 § förordningen (2008:975) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453). Enligt andra stycket får en socialnämnd dock ha direktåtkomst först sedan CSN har försäkrat sig om att handläggare hos socialnämnden bara kan ta del av uppgifter om personer som är aktuella i ärenden hos socialnämnden.
Slutligen, i 14 §, finns en bestämmelse som anger att direktåtkomst enligt 10–13 §§ inte får avse personuppgifter till vilka den direkta elektroniska tillgången har begränsats enligt 7 §.
I dataskyddsförordningen finns inga särskilda bestämmelser om direktåtkomst, utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behandlingen uppfyller de krav som dataskyddsförordningen ställer, bl.a. de grundläggande krav som finns i artikel 5. När den rättsliga grunden är uppgift av allmänt intresse är det vidare, enligt artikel 6.2 och 6.3 andra stycket, tillåtet att i en registerförfattning behålla särskilda bestämmelser i form av bl.a. de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål. Utredningen anser följaktligen att bestämmelserna i 10–14 §§studiestödsdataförordningen är förenliga med dataskyddsförordningen och att de kan och bör behållas.
Annat elektroniskt utlämnande
I 15 § första stycket regleras vilka uppgifter CSN utan den registrerades samtycke får lämna ut elektroniskt på annat sätt än genom direktåtkomst till Kronofogdemyndigheten, Skatteverket, bank eller annan betalningsförmedlare, inkassoföretag, myndighet som begär det eller sådant organ som anges i bilagan till offentlighets- och sekretesslagen som begär det, kommun, företag som tar fram och till studerande distribuerar bevis om studiestöd för studier samt Örebro kommun.
Enligt 15 § andra stycket får CSN utan den registrerades samtycke också lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst i den utsträckning det behövs för att någon annan ska kunna lämna ut personuppgifter elektroniskt till myndigheten.
Som konstaterats i det föregående är det tillåtet med särskilda bestämmelser i en registerförfattning som reglerar till vilka enheter personuppgifterna får lämnas ut och för vilka ändamål. Bestämmelserna i 15 § är följaktligen förenliga med dataskyddsförordningen och bör därför behållas.
Gallring
Av 16 § framgår att Riksarkivet bemyndigas att meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål samt för redovisningsändamål, även om föreskrifterna kommer att avvika från bestämmelserna om gallring i 16 § första stycket studiestödsdatalagen. Inför beslut om att meddela förskrifter ska Riksarkivet samråda med Datainspektionen.
Utredningen gör avseende nu nämnda bestämmelser motsvarande bedömning som i fråga om gallringsbestämmelserna i 16 § studiestödsdatalagen. Bestämmelserna i 16 § studiestödsdataförordningen är således förenliga med dataskyddsförordningen och bör behållas. Formuleringen ”historiska, statistiska och vetenskapliga ändamål” ska dock ändras till den formulering som används i dataskyddsförordningen, dvs. ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”.
Sammanfattning
Utredningen anser att i 16 § ska formuleringen ”historiska, statistiska och vetenskapliga ändamål” ändras till den formulering som används i dataskyddsförordningen, dvs. ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. Utredningen bedömer att övriga bestämmelser i studiestödsdataförordningen är förenliga med dataskyddsförordningen.
9. Betygsdatabasen BEDA
9.1. Allmänt
För att underlätta samordnad och lokal antagning fick dåvarande Verket för högskoleservice (VHS) i regleringsbrev för budgetåret 1997 i uppdrag av regeringen att utveckla ett centralt system för antagning av studenter till högskoleutbildning. Inom ramen för uppdraget skulle VHS utveckla och sedermera vara huvudman för en nationell databas för gymnasiebetyg. Uppdraget resulterade i den nationella betygsdatabasen BEDA. På frivillig basis slöt sedan VHS avtal med gymnasieskolor om att skicka in samtliga slutbetyg som utfärdats under avtalsperioden.
Eftersom Statens skolverk (Skolverket) såsom ansvarig för den nationella statistiken om skolväsendet också samlade in slutbetyg från gymnasieskolan, beslöt VHS, Skolverket och Statistiska centralbyrån (SCB), som administrerade uppgiftsinsamlingen för Skolverkets räkning, att samordna insamlingen av betygsuppgifterna. De skolor som rapporterade slutbetygen till VHS behövde då inte längre skicka in slutbetygen även till SCB, utan det ombesörjdes av VHS.
I beslut i mars 2002 avslog VHS en begäran om att från BEDA få ut slutbetyg från gymnasieskolan. Enligt VHS omfattades begärda uppgifter av absolut sekretess enligt dåvarande 9 kap. 4 § sekretesslagen (1980:100) som reglerade sekretess avseende statistik. Motsvarande bestämmelse finns nu i 24 kap. 8 § offentlighets- och sekretesslagen (2009:400, OSL). Kammarrätten gick på VHS:s linje och avslog överklagandet (se Kammarrätten i Stockholms dom den 10 oktober 2002, mål nr 3300-2002). Domen överklagades inte. I praxis har således BEDA ansetts vara ett statistikregister vars uppgifter omfattas av absolut sekretess. När Universitets- och högskolerådet (UHR), som tog över ansvaret för BEDA när VHS lades ner den 31 december 2012, får en begäran om att få ut uppgifter från BEDA avslås denna
begäran därför med hänvisning till att absolut sekretess gäller för uppgifterna.
Sedan den 15 augusti 2015 finns det dock en skyldighet för UHR att från BEDA till kommuner lämna ut uppgift om en person har examens- eller studiebevis eller motsvarande från gymnasieskolan. Detta framgår av 10 § förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar.
Genom BEDA och den samordning som skett av insamlingen av betygsuppgifter från gymnasieskolan (slutbetyg och numera examensbevis) har således skapats ett enkelt sätt att föra över slutbetygen till universitetens och högskolornas antagningssystem samt till Skolverket genom SCB. Sedan hösten 2012 förs även examensbevis från den kommunala vuxenutbildningen på gymnasial nivå över till BEDA.
Att ansluta sig till BEDA är fortfarande frivilligt men är ett sätt för huvudmännen för gymnasieskolor och kommunal vuxenutbildning på gymnasial nivå att uppfylla den uppgiftsskyldighet som föreligger enligt 26 kap. 25 § skollagen (2010:800). Enligt uppgift från UHR har nästan alla gymnasieskolor och drygt 60 procent av de som bedriver kommunal vuxenutbildning på gymnasial nivå anslutit sig till BEDA som i dagsläget är ett omfattande register med betygsuppgifter för över 1,8 miljoner individer.
9.2. Utredningens uppdrag i denna del
Behandlingen av personuppgifter i BEDA regleras av personuppgiftslagen (1998:204, PUL). När dataskyddsförordningen träder i kraft kommer personuppgiftslagen att upphävas. Utredningen har därför fått i uppdrag att analysera om det behövs något författningsstöd, utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna, för att personuppgifter ska kunna behandlas i betygsdatabasen BEDA även fortsättningsvis. Utredningen ska även lämna de eventuella författningsförslag som behövs.
9.3. Behov av särskild reglering
9.3.1. Behandlingar av personuppgifter i BEDA
Betygsdatabasen BEDA aktualiserar sex olika behandlingar av personuppgifter.
- Huvudmän för gymnasieskolor och kommunal vuxenutbildning på gymnasial nivå lämnar in betygsuppgifter till UHR.
- Huvudmännens betygsuppgifter, tillsammans med uppgifter om namn och personnummer, registreras i BEDA.
- Uppgifterna lämnas ut till SCB för statistikändamål.
- Uppgifterna lagras för att kunna användas när en person anmäler sig till en utbildning vid ett universitet eller en högskola.
- När en person anmäler sig till en utbildning vid ett universitet eller en högskola överförs uppgifterna till antagningssystemet NyA, under förutsättning att den enskilde lämnar sitt samtycke till att bryta sekretessen som gäller för uppgifterna i BEDA.
- Uppgifter avseende personer som kan omfattas av kommuners aktivitetsansvar för ungdomar lämnas på begäran ut till kommuner.
För analysen av behovet av särskilt författningsstöd för personuppgiftsbehandlingen i BEDA har utredningen därmed att undersöka om bestämmelserna i dataskyddsförordningen eller den generella reglering som Dataskyddsutredningen föreslår ger tillräckligt stöd för ovan nämnda behandlingar.
9.3.2. Skolhuvudmännens utlämnande av uppgifter
Bedömning: När dataskyddsförordningen ska börja tillämpas
kan skolhuvudmännen tillämpa artikel 6.1 c och första ledet i artikel 6.1 e som rättslig grund när de fullgör sin skyldighet att lämna betygsuppgifter om elever i gymnasieskolan genom att skicka betygsuppgifterna till UHR. För att huvudmännen som bedriver kommunal vuxenutbildning på gymnasial nivå ska kunna tillämpa dessa rättsliga grunder när de fullgör sin skyldighet att lämna uppgifter om gymnasieexamen genom att lämna uppgifterna till
UHR krävs det att Skolverket kompletterar sina föreskrifter om uppgiftsinsamling från huvudmännen inom skolväsendet m.m. Något regleringsbehov i övrigt aktualiseras inte.
Skolverket är statistikansvarig myndighet för skolväsendet enligt lagen (2001:99) och förordningen (2001:100) om den officiella statistiken. Enligt 26 kap. 24 § skollagen ska Skolverket på nationell nivå följa upp och utvärdera bl.a. skolväsendet, vilket enligt 1 kap. 1 § skollagen omfattar bl.a. gymnasieskolan och den kommunala vuxenutbildningen.
Av 26 kap. 25 § skollagen följer att en huvudman för utbildning eller annan verksamhet som är föremål för nationell uppföljning och utvärdering till Skolverket ska lämna sådana uppgifter om verksamheten och sådan verksamhetsredovisning som behövs för uppföljningen och utvärderingen. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om vilka uppgifter och vilken verksamhetsredovisning som ska lämnas.
I 1 § första stycket förordningen (1992:1083) om viss uppgiftsskyldighet för huvudmännen inom skolväsendet m.m. har Skolverket bemyndigats att meddela sådana föreskrifter som avses i 26 kap. 25 § skollagen. Av 1 § andra stycket Skolverkets föreskrifter (SKOLFS 2011:142) om uppgiftsinsamling från huvudmännen inom skolväsendet m.m. framgår att uppgifterna ska lämnas till SCB, såvida inte Skolverket anger annat för viss uppgiftsinsamling. Av bilaga 9 till Skolverkets föreskrifter, som reglerar gymnasieskolors uppgiftslämnande, framgår att uppgiftsinlämningen kan fullgöras genom godkänd rapportering till UHR. UHR ser då till att uppgifterna lämnas till SCB som genom en överenskommelse med Skolverket är den myndighet som sammanställer statistiken för Skolverkets räkning.
På huvudmännen som bedriver utbildning inom gymnasieskolan åvilar därmed en i svensk rätt fastställd rättslig förpliktelse att till Skolverket lämna ut vissa uppgifter, vilka närmare anges i Skolverkets föreskrifter. Denna uppgiftsskyldighet kan fullgöras genom att uppgifterna lämnas till SCB eller UHR. Syftet med behandlingen, att fullgöra en uppgiftsskyldighet, är fastställd i den rättsliga grunden. När dataskyddsförordningen ska börja tillämpas kan nödvändig personuppgiftsbehandling för fullgörandet av förpliktelsen därmed ske med stöd av artikel 6.1 c. Enligt utredningen är även första ledet i
artikel 6.1 e, dvs. uppgift av allmänt intresse, tillämplig. I avsnitt 4.6.2 redovisas utredningens uppfattning att tillhandahållande och anordnande av utbildning som regleras i skollagen med anslutande föreskrifter är en i svensk rätt fastställd uppgift av allmänt intresse. Att fullgöra uppgiftsskyldigheten genom att lämna ut uppgifterna till SCB eller UHR måste därmed anses vara nödvändigt för att utföra en uppgift av allmänt intresse.
På huvudmännen som bedriver kommunal vuxenutbildning på gymnasial nivå åvilar enligt ovan också en i svensk rätt fastställd rättslig förpliktelse att lämna ut vissa uppgifter till Skolverket. Enligt bilaga 12 till Skolverkets föreskrifter, som reglerar den kommunala vuxenutbildningens uppgiftslämnande, ska bl.a. uppgifter om gymnasieexamen lämnas. Uppgiftsskyldigheten fullgörs i dagsläget genom att uppgifterna lämnas till SCB. Drygt 60 procent av de som bedriver kommunal vuxenutbildning på gymnasial nivå har dock valt att fullgöra uppgiftsskyldigheten genom att lämna uppgifterna till UHR. Enligt nuvarande utformning av Skolverkets föreskrifter finns dock inte motsvarande möjlighet som gymnasieskolorna har att fullgöra förpliktelsen genom att lämna uppgifterna till UHR. I bilaga 12 till föreskrifterna anges nämligen inte att uppgiftsinlämningen kan fullgöras genom godkänd rapportering till UHR. Därmed gäller 1 § andra stycket i föreskrifterna, dvs. att uppgifterna ska lämnas till SCB.
För huvudmännen som bedriver kommunal vuxenutbildning på gymnasial nivå finns det därför ett behov av reglering för att de ska kunna lämna sina betygsuppgifter till UHR. Nämnda regleringsbehov är dock inte påkallat med anledning av att dataskyddsförordningen ska börja tillämpas. Det kan därmed inte anses ingå i utredningens uppdrag att lämna något författningsförslag i denna del. Det får i stället anses ankomma på Skolverket att komplettera sina föreskrifter i den mån det bedöms möjligt och lämpligt. Om Skolverket kompletterar sina föreskrifter på motsvarande sätt som i bilaga 9 kan även huvudmän som bedriver kommunal vuxenutbildning på gymnasial nivå använda sig av artikel 6.1 c och första ledet i artikel 6.1 e som grund för nödvändig personuppgiftsbehandling vid fullgörandet av uppgiftsskyldigheten.
Eftersom det vid fullgörandet av uppgiftsskyldigheten för huvudmännens del är fråga om behandling av personuppgifter för statistiska ändamål bör avslutningsvis artikel 89.1 i dataskyddsförordningen nämnas. Där anges bl.a. att behandling för statistiska ändamål
ska omfattas av lämpliga skyddsåtgärder i enlighet med förordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.
9.3.3. Registrering i BEDA, utlämnande till SCB och lagring
Förslag och bedömning: UHR:s uppgift att ansvara för en natio-
nell databas för betygsuppgifter från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå, betygsdatabasen BEDA, ska fastställas genom att den förs in i en bestämmelse i UHR:s instruktion. Såväl ändamålet med registret att användas vid antagning av studenter till studier vid universitet och högskolor som det statistiska ändamål uppgifterna i registret används för ska fastställas i bestämmelsen.
När dataskyddsförordningen ska börja tillämpas kan registrering av uppgifter i BEDA, utlämnande av uppgifter till SCB och lagring av uppgifter för användning när en person anmäler sig till en utbildning vid ett universitet eller en högskola ske med stöd av artikel 6.1 c eller första ledet i artikel 6.1 e i dataskyddsförordningen.
Som angetts ovan är BEDA resultatet av ett regeringsuppdrag som gavs till VHS i regleringsbrev för budgetåret 1997. Enligt uppdraget skulle VHS utveckla och sedermera vara huvudman för en nationell databas för gymnasiebetyg. Eftersom förandet av registret är ett uttryckligt uppdrag från regeringen, och då det avser ett mycket stort antal individer på ett så viktigt område som utbildningsområdet, är det utredningens bedömning att förandet av registret är en arbetsuppgift av allmänt intresse. UHR, som tagit över ansvaret för BEDA, kan i dagsläget därmed tillämpa 10 § d PUL som rättslig grund för att registrera betygsuppgifterna i BEDA.
För att kunna tillämpa motsvarande grund i dataskyddsförordningen, dvs. uppgift av allmänt intresse enligt första ledet i artikel 6.1 e, krävs enligt artikel 6.3 första stycket att denna grund är fastställd i nationell rätt.
Utredningen konstaterar att regeringsuppdraget gavs till VHS för cirka 20 år sedan. BEDA förs numera dock av UHR. Något uttryck-
ligt stöd för UHR:s övertagande av ansvaret för registret finns inte. Vidare lämnar nu även huvudmän för kommunal vuxenutbildning på gymnasial nivå betygsuppgifter till UHR. Utredningen anser därför att kravet i artikel 6.3 i dataskyddsförordningen, att uppgiften av allmänt intresse ska vara fastställd i nationell rätt, inte är uppfyllt när det gäller BEDA. Det finns således ett regleringsbehov för att UHR ska kunna registrera betygsuppgifter i BEDA även när dataskyddsförordningen ska börja tillämpas. Frågan utredningen har att ta ställning till är hur en sådan reglering lämpligen bör utformas.
Enligt det ursprungliga uppdraget skulle VHS, i syfte att underlätta samordnad och lokal antagning, utveckla ett centralt system för antagning av studenter till högskoleutbildning. Inom ramen för detta uppdrag skulle VHS vara huvudman för en nationell databas för gymnasiebetyg. I det ursprungliga uppdraget fanns således en koppling mellan antagningssystemet och förandet av registret. Enligt utredningens uppfattning bör en bestämmelse som möjliggör registrering av uppgifter i BEDA därmed också ha en sådan koppling.
Genom samordningen av betygsinsamlingen som VHS, Skolverket och SCB tog initiativ till används BEDA även för statistiska ändamål. Det statistiska ändamålet har i praxis t.o.m. bedömts vara så betydande att uppgifterna i BEDA omfattas av statistiksekretessen, vilken regleras i 24 kap. 8 § OSL. En bestämmelse som ska möjliggöra fortsatt registrering av betygsuppgifter i BEDA när dataskyddsförordningen ska börja tillämpas bör, enligt utredningens uppfattning, därmed även ge uttryck för nämnda statistiska ändamål.
Frågan utredningen därefter har att ta ställning till är var en bestämmelse med ovan angivna innehåll lämpligen bör placeras.
Enligt 2 § 1 förordningen (2012:811) med instruktion för Universitets- och högskolerådet har UHR till uppgift att på uppdrag av universitet och högskolor som omfattas av högskolelagen (1992:1434) eller av enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina biträda vid antagning av studenter och ansvara för ett samordnat antagningsförfarande. I bestämmelsen uttrycks därmed en skyldighet för UHR att biträda vid antagningsförfarandet. Kopplingen mellan antagningsförfarandet och förandet av BEDA, som utredningen anser ska finnas, kan därmed åstadkommas genom att föra in en ny bestämmelse i UHR:s instruktion som anger att för de ändamål som anges i 2 § första stycket 1 ska myndigheten med hjälp av automati-
serad behandling föra ett register över uppgifter om elevers slutbetyg, examensbevis eller motsvarande från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå.
För att även tillgodose behovet av att det statistiska ändamålet kommer till uttryck kan det i den nya bestämmelsen även anges att uppgifterna i registret ska lämnas till statistikansvarig myndighet för skolväsendet eller till den myndighet eller det organ som den statistikansvariga myndigheten bestämmer.
Genom införandet av sådana bestämmelser skapas i svensk rätt fastställda rättsliga förpliktelser för UHR att föra ett register som BEDA och att lämna ut uppgifterna i registret till statistikansvarig myndighet för skolväsendet, i dagsläget Skolverket, eller till den som statistikansvarig myndighet bestämmer, i dagsläget SCB. Med föreslagen utformning av bestämmelserna fastställs behandlingarnas syften, dvs. att föra registret och att fullgöra en uppgiftsskyldighet. När dataskyddsförordningen ska börja tillämpas kan, enligt utredningens bedömning, registrering av betygsuppgifter i BEDA, utlämnande av uppgifter till SCB och lagring av uppgifter för användning när en person anmäler sig till en utbildning vid ett universitet eller en högskola därmed ske med stöd av artikel 6.1 c, dvs. så som nödvändigt för att fullgöra en rättslig förpliktelse. Även den rättsliga grunden i första ledet i artikel 6.1 e, dvs. för att utföra en uppgift av allmänt intresse, skulle bli tillämplig.
Eftersom BEDA används för statistiska ändamål bör avslutningsvis, liksom i föregående avsnitt, nämnas att artikel 89.1 innehåller särskilda bestämmelser om behandling för statistiska ändamål.
9.3.4. Överföring av uppgifter till antagningssystemet NyA
Bedömning: När dataskyddsförordningen ska börja tillämpas kan
överföring av betygsuppgifter från BEDA till NyA ske med stöd av första ledet i artikel 6.1 e i dataskyddsförordningen. Något ytterligare regleringsbehov aktualiseras därmed inte.
I avsnitt 5.3.2 bedömer utredningen att anordnande och bedrivande av högskoleutbildning är en i svensk rätt fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e och 6.3 första stycket i dataskyddsförordningen.
För att bli antagen till utbildning på grundnivå eller avancerad nivå vid ett universitet eller en högskola krävs det att sökanden har grundläggande behörighet och dessutom den särskilda behörighet som kan vara föreskriven för utbildningen. Grundläggande behörighet har den som bl.a. avlagt en högskoleförberedande examen i gymnasieskolan eller inom kommunal vuxenutbildning på gymnasial nivå (se 7 kap.1, 2, 5 och 24 §§högskoleförordningen [1993:100]).
Enligt 2 § 1 förordningen med instruktion för Universitets- och högskolerådet ska myndigheten på uppdrag av universitet och högskolor som omfattas av högskolelagen eller av enskilda utbildningsanordnare som har tillstånd att utfärda examina enligt lagen om tillstånd att utfärda vissa examina biträda vid antagning av studenter och ansvara för ett samordnat antagningsförfarande.
Som framgår ovan är ett av syftena med BEDA att underlätta antagningsförfarandet och enligt 4 kap. 1 § förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor får UHR föra ett antagningsregister, vars ändamål är att vara till hjälp för högskolor vid antagning av studenter. Som framgår av avsnitt 5.6.2 anser utredningen att det för UHR:s del därmed finns en i svensk rätt fastställd uppgift av allmänt intresse att föra ett antagningsregister. I detta ingår att föra över uppgifter för ändamålet att vara till hjälp vid antagning.
Antagningssystemet som UHR använder sig av heter NyA. Enligt 4 kap. 5 § får den registrerade ha direktåtkomst till sådana personuppgifter om sig själv i antagningsregistret som får lämnas ut till henne eller honom. När en person anmäler sig till en högskoleutbildning kan denne välja att skapa ett konto som gör det möjligt att logga in i NyA. I NyA behöver sökanden lämna sitt samtycke till att bryta sekretessen i BEDA för att möjliggöra en hämtning av betygsuppgifterna till NyA. Eftersom det finns en för UHR fastställd uppgift att föra ett antagningsregister, kan registreringen i NyA därmed ske med stöd av första ledet i artikel 6.1 e i dataskyddsförordningen. Något regleringsbehov med anledning av att dataskyddsförordningen ska börja tillämpas för att föra över uppgifter från BEDA till NyA finns enligt utredningens mening följaktligen inte.
9.3.5. Utlämnande av uppgifter till kommuner
Bedömning: När dataskyddsförordningen ska börja tillämpas kan
nödvändig personuppgiftsbehandling för att UHR ska kunna fullgöra sin uppgiftsskyldighet enligt 10 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar ske med stöd av artikel 6.1 c. Någon ytterligare reglering behövs därmed inte.
En hemkommun ska löpande under året hålla sig informerad om hur de ungdomar i kommunen är sysselsatta som har fullgjort sin skolplikt men inte har fyllt 20 år och inte genomför eller har fullföljt utbildning på nationella program i gymnasieskola eller gymnasiesärskola eller motsvarande utbildning. Detta framgår av 29 kap. 9 § första stycket skollagen.
Enligt andra stycket har hemkommunen inom ramen för detta s.k. aktivitetsansvar uppgiften att erbjuda de ungdomar som berörs lämpliga individuella åtgärder. Åtgärderna ska i första hand syfta till att motivera den enskilde att påbörja eller återuppta en utbildning. Kommunen ska dokumentera sina insatser på lämpligt sätt. Av tredje stycket framgår att kommunen ska föra ett register över de ungdomar som omfattas av ansvaret.
Genom 10 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar underlättas kommunernas arbete. På begäran från en kommun ska UHR nämligen lämna ut uppgift om en person, som kan omfattas av den kommunens aktivitetsansvar, har examens- eller studiebevis eller motsvarande från gymnasieskolan.
På UHR åvilar därmed en i svensk rätt fastställd rättslig förpliktelse att från BEDA lämna ut vissa uppgifter till de kommuner som begär det. Syftet med behandlingen, att fullgöra en uppgiftsskyldighet, är fastställd i den rättsliga grunden. När dataskyddsförordningen ska börja tillämpas kan den aktuella behandlingen följaktligen ske med stöd av artikel 6.1 c i dataskyddsförordningen. Något ytterligare regleringsbehov aktualiseras enligt utredningens bedömning därmed inte.
9.4. Behov av ytterligare reglering
Bedömning: När dataskyddsförordningen ska börja tillämpas kan
ändamålsenlig behandling av personuppgifter i BEDA, som samtidigt skyddar den enskildes fri- och rättigheter, ske med stöd av förordningens bestämmelser och utredningens förslag till reglering i förordningen med instruktion för Universitets- och högskolerådet.
Personuppgiftsbehandlingen i BEDA är inte sådan att det krävs en särskild lagreglering enligt 2 kap.6 och 20 §§regeringsformen och det saknas även i övrigt skäl till ytterligare reglering.
Ovan redovisas att utredningen anser att Skolverket behöver komplettera sina föreskrifter (SKOLFS 2011:142) på så sätt att det ska framgå att de huvudmän som bedriver kommunal vuxenutbildning på gymnasial nivå kan fullgöra sin uppgiftsskyldighet enligt 26 kap. 25 § skollagen, i här aktuella delar, genom godkänd rapportering till UHR. Detta regleringsbehov är dock inte påkallat med anledning av att dataskyddsförordningen ska börja tillämpas.
För att betygsuppgifter från gymnasieskolor och kommunal vuxenutbildning på gymnasial nivå ska kunna registreras och lagras i BEDA krävs det en bestämmelse som fastställer att UHR ska föra ett register över sådana uppgifter för antagningsändamål. För att uppgifterna ska kunna lämnas till SCB föreslår utredningen även en bestämmelse som anger att uppgifterna i registret ska lämnas till statistikansvarig myndighet för skolväsendet eller till den myndighet eller det organ som den statistikansvariga myndigheten bestämmer. Något ytterligare regleringsbehov med anledning av att dataskyddsförordningen ska börja tillämpas anser utredningen dock inte finnas.
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Nämnda rättighet får enligt 2 kap. 20 § dock begränsas genom lag. Frågan är då om skyddet mot betydande intrång i den personliga integriteten innebär att det krävs en särskild lag för behandlingen av personuppgifter i BEDA.
I förarbetena till 2 kap. 6 § andra stycket regeringsformen uttalas bl.a. följande (prop. 2009/10:80 s. 250).
Vid bedömning av vilka åtgärder som kan anses utgöra ett "betydande intrång" ska både åtgärdens omfattning och arten av det intrång åtgärden innebär beaktas. Även åtgärdens ändamål och andra omständigheter kan ha betydelse vid bedömningen. Bestämmelsen omfattar endast sådana intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omständigheter innebär ett betydande ingrepp i den enskildes privata sfär.
Som redan nämnts är BEDA ett omfattande register som i dagsläget består av betygsuppgifter för cirka 1,8 miljoner individer. Uppgifterna gallras inte. Det är således ett ständigt växande register. Dessa omständigheter talar för en reglering av BEDA.
Det kan emellertid konstateras att det endast är ett fåtal uppgifter som finns om varje registrerad. Uppgifterna omfattas av absolut sekretess i de fall utlämnande eller överföring inte görs med stöd av samtycke eller författning. Vidare behandlas det inte några känsliga personuppgifter eller uppgifter av integritetskänslig natur i BEDA och det finns inte heller något behov av att behandla sådana uppgifter. Sammantaget, med särskilt beaktande av att det inte behandlas några känsliga personuppgifter, bedömer utredningen att behandlingen av personuppgifter i BEDA inte är sådan att den utgör ett betydande intrång i den personliga integriteten i regeringsformens mening. Något ytterligare regleringsbehov med anledning av regeringsformens bestämmelser finns därmed inte.
I bedömningen av behovet att av andra skäl än kraven i regeringsformen ytterligare reglera behandlingen av personuppgifter i BEDA ska artikel 89.2 i dataskyddsförordningen beaktas. I 89.2 anges att om personuppgifter behandlas för bl.a. statistiska ändamål får det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.
Artiklarna 15, 16, 18 och 21 reglerar den registrerades rätt till information om personuppgifter som behandlas, rätt att få felaktiga personuppgifter rättade, rätt att kräva begränsning av behandling och rätt att göra invändningar mot behandling. Något skäl att föreskriva undantag från dessa bestämmelser finns det enligt utredningens bedömning dock inte.
Sammanfattningsvis bedömer utredningen att nödvändiga och ändamålsenliga behandlingar i BEDA, som samtidigt skyddar den enskildes fri- och rättigheter, kan göras även när dataskyddsförordningen ska börja tillämpas, om utredningens förslag till reglering i UHR:s instruktion genomförs. Något skäl till ytterligare reglering av personuppgiftsbehandlingen i BEDA finns inte.
10. Lärar- och förskollärarregistret
10.1. Allmänt
Kravet på legitimation för lärare och förskollärare infördes i skollagen (2010:800) 2011. Målet med legitimationen är att höja kvaliteten i svenska skolan, höja statusen på lärar- och förskolläraryrkena och tydliggöra vad en lärare och förskollärare är behörig att undervisa i (jfr prop. 2010/11:20 s. 25 f.). Huvudregeln är att lärare respektive förskollärare ska ha en legitimation och vara behöriga för viss undervisning för att få bedriva undervisningen (2 kap. 13 § skollagen). Det krävs legitimation som lärare respektive förskollärare för att kunna bli tillsvidareanställd och för att självständigt få sätta betyg (2 kap. 20 § och 3 kap. 16 §skollagen). Statens skolverk (Skolverket) meddelar legitimationer och för ett register med uppgifter om legitimerade eller tidigare legitimerade lärare och förskollärare (2 kap. 16 § skollagen och förordningen [2011:268] om lärar- och förskollärarregister).
Skolverket hade enligt sin webbsida per den 3 maj 2017 legitimerat över 200 000 lärare och förskollärare sedan legitimationskravet infördes. Antalet legitimerade personer var då 232 584, av vilka vissa har rätt till både en lärar- och förskollärarlegitimation. Det totala antalet utfärdade legitimationer var 263 182, och av dessa avsåg 172 127 lärarlegitimationer och 91 055 förskollärarlegitimationer.1
1 www.skolverket.se/kompetens-och-fortbildning/lararlegitimation/legitimation-1.237043
10.2. Utredningens uppdrag i denna del
Enligt förordningen om lärar- och förskollärarregister ska Skolverket föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Personuppgiftslagen (1998:204, PUL) gäller vid behandling av personuppgifter i registret om inte annat följer av förordningen. När dataskyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas.
Utredningen har därför fått i uppdrag att analysera vilka ändringar i förordningen om lärar- och förskollärarregister som behöver göras med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna. Utredningen ska även lämna de författningsförslag som behövs.
10.3. Rättslig grund för personuppgiftsbehandling
Bedömning: Bestämmelserna i förordningen om lärar- och för-
skollärarregister utgör i enlighet med artikel 6.1 c i dataskyddsförordningen en fastställd rättslig förpliktelse för Skolverket att föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Förandet av registret är dessutom en för Skolverket fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.
Enligt artikel 6.2 och 6.3 andra stycket är det tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva 6.1 c och e. Förordningen om lärar- och förskollärarregister är därmed i sig förenlig med dataskyddsförordningen.
Enligt artikel 6.1 i dataskyddsförordningen krävs att åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt för att behandling av personuppgifter ska vara laglig. Ett sådant villkor är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (6.1 c). Ett annat villkor är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (6.1 e). Enligt artikel 6.3 första stycket krävs att den grund för behandlingen
som avses i punkt 1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansarige omfattas av.
I fråga om rättslig förpliktelse föreslår Dataskyddsutredningen en förtydligande bestämmelse i 2 kap. 3 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), enligt vilken personuppgifter får behandlas med stöd av artikel 6.1 c om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller följer av beslut som har meddelats med stöd av lag eller annan författning.
Av artikel 6.3 andra stycket första meningen i dataskyddsförordningen framgår att, i fråga om den rättsliga grunden rättslig förpliktelse, syftet med behandlingen ska fastställas i den rättsliga grunden. Enligt Dataskyddsutredningen torde kravet innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår av den författning som förpliktelsen grundas på. Dataskyddsutredningen gör bedömningen att en myndighets uppdrag enligt myndighetsinstruktionen eller regleringsbrevet i vissa fall kan utgöra en i enlighet med nationell rätt (regeringsformen) fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst personuppgiftsregister (SOU 2017:39, avsnitt 8.3.2).
I 1 § förordningen om lärar- och förskollärarregister anges att Skolverket med hjälp av automatiserad behandling för vissa ändamål ska föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Enligt utredningens bedömning utgör denna paragraf ett utryck för en rättslig förpliktelse för Skolverket att föra nämnda register. Enligt 5 och 6 §§ får personuppgifterna i registret behandlas för vissa ändamål. Syftet med behandlingen framgår således av 5 och 6 §§ förordningen. Den rättsliga förpliktelsen för Skolverket att föra lärar- och förskollärarregistret är, enligt utredningens bedömning, därigenom fastställd i svensk rätt.
Beträffande den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen, uppgift av allmänt intresse, föreslår Dataskyddsutredningen att det i 2 kap. 4 § dataskyddslagen ska finnas en förtydligande bestämmelse på motsvarande sätt som i fråga om rättslig förpliktelse, dvs. att personuppgifter får behandlas med stöd av artikel 6.1 e om behandlingen är nödvändig för att utföra en uppgift
av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4). Vidare konstaterar Dataskyddsutredningen att statliga och kommunala myndigheters verksamhet i allt väsentligt är av allmänt intresse och att det är den rättsliga grunden i artikel 6.1 e som vanligen bör tillämpas av myndigheter. Dataskyddsutredningen anför vidare.
Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.
Vid införandet av lärar- och förskollärarlegitimationer uttalade regeringen att det med hänsyn till vikten av att huvudmännen får reella möjligheter att få tillgång till säker och aktuell information om legitimerade lärare och förskollärare finns ett starkt behov av ett register för att uppnå syftet med den nu aktuella reformen (prop. 2010/11:20 s. 66 f.). Regeringen synes ha varit av uppfattningen att förandet av lärar- och förskollärarregistret är en uppgift av allmänt intresse. Uppgiften att föra registret ligger dessutom på en statlig myndighet och regleras i förordning.
Enligt utredningens bedömning finns det således två rättsliga grunder i artikel 6.1 i dataskyddsförordningen till stöd för behandlingen av personuppgifter i lärar- och förskollärarregistret, rättslig förpliktelse (6.1 c) och uppgift av allmänt intresse (6.1 e). De rättsliga grunderna är fastställda i svensk rätt genom förordningen om lärar- och förskollärarregister.
Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva punkt 1 c och e. Enligt artikel 6.3 andra stycket andra meningen kan dessutom den rättsliga grunden för behandling, som fastställs i den nationella rätten, innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen i form
av bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Dataskyddsförordningen medger således att det i nationell rätt finns sådana regleringar (registerförfattningar) som införts genom t.ex. förordningen om lärar- och förskollärarregister.
Vidare ska, enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen, den rättsliga regleringen dessutom uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Utredningen konstaterar att förordningen om lärar- och förskollärarregister tillkommit i den ordning som regeringsformen utpekar för föreskrifter av nu aktuellt slag. Bestämmelserna har bedömts relevanta och proportionerliga av regeringen. Regeringen uttalade i samband med förslaget om legitimationssystem för lärare och förskollärare att den avsåg att meddela föreskrifter om lärar- och förskollärarregistret i en förordning, eftersom den bedömde att behandlingen av uppgifterna – såväl insamlingen och lagringen som utlämnandet – inte innefattar ett så stort ingrepp i enskildas privatliv att det kan anses utgöra ett betydande intrång i den personliga integriteten i den mening som avses i numera 2 kap. 6 § regeringsformen (prop. 2010/11:20 s. 67). Regeringen uttalade även vilka uppgifter registret avsågs innehålla. Riksdagen har i sin beredning av nämnda proposition inte ifrågasatt regeringens bedömning i den delen (jfr betänkande 2010/11:UbU5). Inte heller har såvitt framkommit någon tillsynsmyndighet uttalat någon kritik eller tveksamhet i dessa avseenden. Det är därför rimligt att utgå från att de ändamål m.m. som fastställts i samband med författningsarbetet är relevanta och proportionerliga i förhållande till det integritetsintrång behandlingarna kan innebära. Denna bedömning är giltig även i de avseenden som avses i dataskyddsförordningen. Utredningen har inte heller vid genomgången av förordningen funnit några exempel på bestämmelser som kan sägas vara irrelevanta eller oproportionerliga. Utredningen anser således att förordningen uppfyller kraven i artikel 6.3 andra stycket i dataskyddsförordningen.
Med anledning av att dataskyddsförordningen och en ny generell lagstiftning som i vissa delar kompletterar förordningen ska börja tillämpas, påkallas dock ställningstaganden till och ändringar i vissa av bestämmelserna i förordningen om lärar- och förskollärarregister. En genomgång av befintliga bestämmelser görs i följande avsnitt.
10.4. Behov av ändringar
Förslag: I 2 § förordningen om lärar- och förskollärarregister ska
anges att förordningen kompletterar dataskyddsförordningen. Vidare ska förordningens förhållande till den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) regleras. Hänvisningen till personuppgiftslagen ska tas bort.
I ett nytt tredje stycke i 6 § ska en hänvisning till artikel 5.1 b i dataskyddsförordningen införas. Hänvisningen ersätter den nuvarande hänvisningen till finalitetsprincipen i 9 § PUL som finns i 6 § andra stycket.
Bestämmelserna om information i 10 § ska ändras på så sätt att de endast reglerar den informationsskyldighet som gäller utöver den informationsskyldighet som kommer att gälla enligt dataskyddsförordningen.
Bestämmelserna om rättelse och skadestånd i 11 § ska upphävas.
Förordningen om lärar- och förskollärarregister består av elva paragrafer som finns under rubrikerna inledning, personuppgiftsansvarig, registrets ändamål, registrets innehåll, direktåtkomst, utlämnande på medium för automatiserad behandling, information samt rättelse och skadestånd. Nedan redogörs för regleringen i respektive paragraf och vilka behov av ändringar som utredningen anser är påkallade med anledning av att dataskyddsförordningen ska börja tillämpas.
Inledning
1 §
Enligt 1 § förordningen om lärar- och förskollärarregister ska Skolverket, för de ändamål som anges i 5 och 6 §§, med hjälp av automatiserad behandling föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Bestämmelsen ålägger således Skolverket att föra en viss typ av register för vissa ändamål.
Dataskyddsförordningen hindrar inte att medlemsstaterna fritt bestämmer tillämpningsområdet för nationell lagstiftning som kompletterar dataskyddsförordningen (jfr artikel 6.2). Enligt utredningens bedömning är 1 § därmed förenlig med dataskyddsförordningen. Bestämmelsen bör därför finnas kvar och inte ändras.
2 §
I 2 § anges att personuppgiftslagen gäller vid behandling av personuppgifter i registret om inte annat följer av denna förordning.
När dataskyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas och den föreslagna dataskyddslagen träda i kraft. Med anledning av detta behöver den nu aktuella hänvisningen i 2 § förordningen om lärar- och förskollärarregister ändras.
Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Förordningen om lärar- och förskollärarregister innehåller endast sådana tillåtna bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör en bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i förordningen.
Den föreslagna dataskyddslagen kommer, på samma sätt som personuppgiftslagen, att vara subsidiär i förhållande till andra författningar om behandling av personuppgifter. Av tydlighetsskäl bör en hänvisning till dataskyddslagen införas, såsom i dag görs till personuppgiftslagen.
Utredningen föreslår därför att det i 2 § första stycket förordningen om lärar- och förskollärarregister ska anges att förordningen kompletterar dataskyddsförordningen. I ett nytt andra stycke ska förhållandet till dataskyddslagen regleras.
3 §
I 3 § anges att en registrerad inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt förordningen.
I dataskyddsdirektivet regleras den registrerades rätt att göra invändningar i artikel 14. Om den nationella lagstiftningen inte föreskriver något annat, ska den registrerade, enligt artikel 14 a, ha rätt att av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandlingen, åtminstone i de fall då uppgifterna behandlas med stöd av en intresseavvägning av det slag som framgår av 10 § f PUL eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. I 12 § andra stycket PUL har införts en bestämmelse som anger att en registrerad med ett par undantag inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen.
I dataskyddsförordningen regleras rätten att göra invändningar i artikel 21. Enligt artikel 21.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (uppgift av allmänt intresse eller myndighetsutövning) eller f (intresseavvägning). Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Enligt artikel 23.1 e ska det dock vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt, som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av, införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. artikel 21. En sådan begränsning ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet.
Enligt artikel 23.2 ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser, åtminstone när det är relevant, avseende
a) ändamålen med behandlingen eller kategorierna av behandling,
b) kategorierna av personuppgifter,
c) omfattningen av de införda begränsningarna,
d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång
eller överföring,
e) specificeringen av den personuppgiftsansvarige eller kategorier-
na av personuppgiftsansvariga,
f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av
behandlingens art, omfattning och ändamål eller kategorierna av behandling,
g) riskerna för de registrerades rättigheter och friheter, och
h) de registrerades rätt att bli informerade om begränsningen, så-
vida detta inte kan inverka menligt på begränsningen.
Dataskyddsförordningen ställer därmed högre krav på den nationella begränsande regleringen än dataskyddsdirektivet, eftersom det i dataskyddsdirektivet inte anges några särskilda villkor för en sådan reglering.
Den första frågan är om förordningen om lärar- och förskollärarregister omfattas av artikel 21 i dataskyddsförordningen. Om den rättsliga grunden för behandling av personuppgifter enligt förordningen om lärar- och förskollärarregister är att behandlingen är nödvändig för Skolverket för att fullgöra en rättslig förpliktelse är artikel 21 inte tillämplig och den registrerade har därmed inte rätt att göra någon invändning mot behandlingen av hans eller hennes personuppgifter. Om så är fallet är 3 § förenlig med dataskyddsförordningen.
Som anges ovan anser utredningen att två rättsliga grunder enligt artikel 6.1 är tillämpliga, rättslig förpliktelse (c) och uppgift av allmänt intresse (e). Eftersom flera rättsliga grunder kan vara tillämpliga samtidigt enligt dataskyddsförordningen, och då utredningens uppfattning är att även den rättsliga grunden uppgift av allmänt in-
tresse är en tillämplig grund för behandlingen av personuppgifter i lärar- och förskollärarregistret, prövar utredningen om förutsättningarna enligt artikel 23 för att begränsa den registrerades rätt att göra invändningar är uppfyllda.
Ett av syftena med att införa lärar- och förskollärarregistret var att skapa möjlighet för skolhuvudmännen att få en reell tillgång till säker och aktuell information om legitimerade lärare och förskollärare för att kunna kontrollera om den lärare eller förskollärare som anställs innehar legitimation, tilldelats en eller flera varningar eller fått sin legitimation återkallad (prop. 2010/11:20 s. 67).
Utredningens uppfattning är därför att förordningen om lärar- och förskollärarregister reglerar behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e. Förordningen innehåller även sådana relevanta begränsningar som räknas upp i artikel 23.2, dvs. ändamålen med behandlingen (5 och 6 §§), kategorierna av personuppgifter (7 §), omfattningen av de införda begränsningarna (3 §), skyddsåtgärder (8 och 9 §§), specificering av den personuppgiftsansvarige (4 §) och den registrerades rätt att bli informerad om begränsningen (10 §).
Enligt utredningens bedömning har förordningen införts efter noggranna överväganden av vilka bestämmelser, utöver de som finns i personuppgiftslagen, som är relevanta i sammanhanget. Förutsättningarna för att behålla begränsningen av den registrerades rätt att göra invändningar i 3 § är enligt utredningens bedömning därmed uppfyllda. Bestämmelsen kan och bör därför behållas.
Personuppgiftsansvarig
I 4 § anges att Skolverket är personuppgiftsansvarig för behandling av personuppgifter i lärar- och förskollärarregistret.
Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur
denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
I förordningen om lärar- och förskollärarregister anges ändamålen och medlen för behandlingen. Enligt utredningens bedömning är det således tillåtet att i förordningen ange att Skolverket är personuppgiftsansvarig. Bestämmelsen i 4 § kan och bör därför behållas.
Registrets ändamål
5 §
Enligt 5 § får personuppgifterna i registret behandlas för att föra en aktuell förteckning över legitimerade och tidigare legitimerade lärare och förskollärare.
När den rättsliga grunden är rättslig förpliktelse och uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tillåtet med särskilda bestämmelser om bl.a. ändamålsbegränsningar. Bestämmelsen i 5 § kan och bör därför behållas.
6 §
I 6 § första stycket anges att personuppgifterna i registret får, utöver det som anges i 5 §, behandlas om det behövs för att
1. handlägga ärenden om legitimation enligt 2 kap. 16 § skollagen,
enligt föreskrifter som har meddelats med stöd av 2 kap. 16 b § andra stycket skollagen eller enligt 27 kap. 4 § skollagen,
2. lämna uppgifter till utländska myndigheter i enlighet med förord-
ningen (2016:157) om erkännande av yrkeskvalifikationer,
3. utöva tillsyn av skolväsendet och dess personal, och
4. kontrollera identitet och behörighet i samband med tjänstetill-
sättning av lärare och förskollärare.
Enligt 6 § andra stycket får personuppgifterna i registret också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I andra stycket anges vidare att i övrigt gäller 9 § första stycket d och andra stycket PUL.
När den rättsliga grunden är rättslig förpliktelse och uppgift av allmänt intresse är det som tidigare angetts tillåtet att införa ändamålsbegränsningar (se artikel 6.2 och 6.3 andra stycket).
Beträffande 6 § första stycket 2, dvs. att personuppgifterna i registret får behandlas om det behövs för att lämna uppgifter till utländska myndigheter i enlighet med förordningen om erkännande av yrkeskvalifikationer, kompletterar förordningen om erkännande av yrkeskvalifikationer bestämmelserna i lagen (2016:145) om erkännande av yrkeskvalifikationer. Genom lagen och förordningen om erkännande av yrkeskvalifikationer genomförs allmänna bestämmelser i Europaparlamentets och rådets direktiv 2005/36/EG av den 7 september 2005 om erkännande av yrkeskvalifikationer, i lydelsen enligt Europaparlamentets och rådets direktiv 2013/55/EU (yrkeskvalifikationsdirektivet).
Av 2 § lagen om erkännande av yrkeskvalifikationer framgår att lagen innehåller bestämmelser om bl.a. tillfällig yrkesutövning och om erkännande av yrkeskvalifikationer för den som vill utöva ett reglerat yrke i Sverige, som anställd eller som egenföretagare, och som har förvärvat yrkeskvalifikationer eller fått dem erkända i en annan stat inom Europeiska ekonomiska samarbetsområdet (EES) eller i Schweiz. Av förarbetena (prop. 2015/16:44 s. 47) framgår att yrkeskvalifikationsdirektivet för svenskt vidkommande behöver genomföras på så sätt att EU-medborgare som har förvärvat sina yrkeskvalifikationer i en annan medlemsstat än Sverige kan utöva ett reglerat yrke här. Då det ursprungliga yrkeskvalifikationsdirektivet också gällde medborgare i EES-länderna Norge, Island och Liechtenstein samt medborgare i Schweiz, och dessa stater redan deltar i samarbetet enligt nu gällande avtal, ansåg regeringen att det bara var en tidsfråga innan EES-avtalet skulle komma att omfatta yrkeskvalifikationsdirektivet. Mot den bakgrunden ansågs att lagen borde utformas så att den även omfattar EES-länderna Norge, Island och Liechtenstein samt Schweiz.
Av 8 kap. 11 § förordningen om erkännande av yrkeskvalifikationer framgår att de behöriga myndigheterna ska med behöriga myndigheter i andra stater inom EES och i Schweiz utbyta sådana uppgifter som är nödvändiga för att en tjänstemottagares klagomål mot en yrkesutövare som tillfälligt utövar ett yrke i en annan stat än i etableringsstaten ska kunna utredas. Vidare framgår det av 13 § att IMI (Informationssystemet för den inre marknaden) ska användas
för utbyte av information med behöriga myndigheter och rådgivningscentrum i andra stater inom EES och i Schweiz. Bestämmelser om användning av IMI finns i Europaparlamentets och rådets förordning (EU) nr 1024/2012 av den 25 oktober 2012 om administrativt samarbete genom informationssystemet för den inre marknaden och om upphävande av kommissionens beslut 2008/49/EG (IMI-förordningen). Av bilagan till förordningen om erkännande av yrkeskvalifikationer framgår att Skolverket är behörig myndighet för de reglerade yrkena lärare och förskollärare.
Att Skolverket i dagsläget kan föra över personuppgifter till aktörer belägna i EES-länder följer bl.a. av definitionen av tredje land i 3 § PUL. Tredje land definieras som en stat som inte ingår i EU eller är ansluten till EES. Kommissionen har den 26 juli 2000 fattat beslut enligt artikel 25.6 i dataskyddsdirektivet om adekvat skyddsnivå i Schweiz, varför personuppgifter även kan föras dit utan att vara i strid med personuppgiftslagen.
Dataskyddsförordningen innehåller inte någon definition av tredjeland. Artikel 3 i dataskyddsförordningen anger förordningens territoriella tillämpningsområde och där anges bl.a. ”etablerad i unionen” och ”befinner sig i unionen”. Om personuppgifter förs över till myndigheter i Norge, Island, Liechtenstein eller Schweiz bör det normalt vara fråga om en överföring av personuppgifter till tredjeland eftersom dessa länder inte är medlemmar i EU. Dataskyddsförordningens bestämmelser om överföring till tredjeland är direkt tillämpliga och medger inte att medlemsstaterna i sin nationella rätt tillåter överföring av personuppgifter till tredjeland på annat sätt (se artikel 44–50). Kommissionens beslut om att Schweiz har adekvat skyddsnivå ska dock bli i kraft tills det ändrats, ersatts eller upphävts av kommissionsbeslut (artikel 45.9 i dataskyddsförordningen). Vad utredningen erfar kommer den gemensamma EESkommittén att besluta att även dataskyddsförordningen ska inlemmas i EES-avtalet. Norge arbetar redan för att implementeringen av dataskyddsförordningen ska vara genomförd 2018.2 Om EES-länderna genomför dataskyddsförordningens bestämmelser i nationell rätt kommer de såsom i dagsläget ha en adekvat skyddsnivå. Utredningen bedömer därför att bestämmelsen i 6 § första stycket 2
2 www.datatilsynet.no/Regelverk/EUs-personvernforordning/personvernforordningen-vedtatt-i-eu/ (publicerat: 2016-04-14)
förordningen om lärar- och förskollärarregister kommer att vara förenlig med dataskyddsförordningen.
Som nämnts ovan anger 6 § andra stycket andra meningen att i övrigt gäller 9 § första stycket d och andra stycket PUL. Detta är en hänvisning till den s.k. finalitetsprincipen, dvs. att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in.
En uttrycklig hänvisning till finalitetsprincipen tillkom första gången efter att Lagrådet anfört att uppbyggnaden och utformningen av ändamålsbestämmelserna i förslaget till lag om behandling av personuppgifter inom socialförsäkringens administration gav intryck av att de angivna ändamålen var uttömmande. Att det fanns en avsikt att även andra efterkommande behandlingar skulle få företas förutsatt att det inte kunde anses oförenligt med de ursprungliga ändamålen ansågs inte framgå av den föreslagna lagtexten. Regeringen föreslog då ett förtydligande – en hänvisning till 9 § första stycket d och andra stycket PUL. Mot bakgrund av att motsvarande förtydligande vid den tiden saknades i andra registerförfattningar betonade regeringen att det inte var fråga om en materiell regel, utan endast ett förtydligande (prop. 2002/03:135 s. 56).
Finalitetsprincipen finns uttryckt i artikel 5.1 b och 6.4 i dataskyddsförordningen. Där framgår att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in, samt att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. Regleringen motsvarar den som finns i artikel 6.1 b i dataskyddsdirektivet. Finalitetsprincipen kommer således att finnas kvar även med dataskyddsförordningen.
En bestämmelse med innebörden att personuppgifter, som behandlas för i författningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen är en sådan specificering som kan och bör behållas. Det bör dock noteras att artikel 13.3 och 14.4 i dataskyddsförordningen i regel innebär att de registrerade på förhand måste informeras om tilltänkt återanvändning av deras personuppgifter. Enligt utredningens bedömning kan en bestämmelse som klargör att de i registerförfattningen angivna ändamålen inte är uttömmande utan att också sådan behandling som inte strider mot finalitetsprincipen finnas även
fortsättningsvis i författningen. Bestämmelsen i 6 § andra stycket andra meningen förordningen om lärar- och förskollarregister behöver dock hänvisa till dataskyddsförordningen i stället för som i dagsläget till aktuella bestämmelser i personuppgiftslagen. För tydlighets skull föreslås bestämmelsen placeras i ett eget tredje stycke.
Sammanfattningsvis bedömer utredningen att bestämmelserna i 6 §, med nyss nämnda förslag till ändring i andra stycket, är förenliga med dataskyddsförordningen och att de kan och bör behållas.
Registrets innehåll
Enligt 7 § första stycket får registret innehålla endast de uppgifter som räknas upp där, t.ex. namn, kön, personnummer, samordningsnummer, yrke, lärosäte som utfärdat examen, utbildningsland, lärarens eller förskollärarens behörighet enligt legitimationen, samt om beslut om varning eller återkallelse av legitimation har meddelats. I andra stycket anges att registret inte får innehålla uppgifter om skälen för beslut om varning eller återkallelse av legitimation.
Av bestämmelserna i 7 § framgår motsatsvis (e contrario) att registret inte får innehålla sådana särskilda kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter).
När den rättsliga grunden är rättslig förpliktelse eller uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tillåtet med särskilda bestämmelser om vilka typer av uppgifter som får behandlas.
Beträffande personnummer och samordningsnummer får, enligt 22 § PUL, uppgifter om personnummer eller samordningsnummer utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Av 50 § c PUL följer att regeringen får meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten.
Av artikel 87 i dataskyddsförordningen framgår att medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. I ett tillägg anges dessutom att sådana uppgifter i sådana fall endast ska användas med iakttagande av lämpliga
skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen.
Dataskyddsutredningen har i sitt förslag till 3 kap. 13 § dataskyddslagen föreslagit en bestämmelse med samma ordalydelse som 22 § PUL. Vidare föreslår Dataskyddsutredningen en bestämmelse i 3 kap. 14 § dataskyddslagen som anger att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Bestämmelsen motsvarar således delvis 50 § c PUL.
Utredningen anser att det i lärar- och förskollärarregistret är klart motiverat med hänsyn till behandlingen och vikten av en säker identifiering att personnummer eller samordningsnummer används för identifiering. Därtill finns det ett bemyndigande för regeringen i dataskyddslagen att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.
Sammanfattningsvis bedömer utredningen att bestämmelserna i 7 § förordningen om lärar- och förskollärarregister om vilka uppgifter som får behandlas i registret är förenliga med dataskyddsförordningen. Paragrafen kan och bör därför behållas.
Direktåtkomst och utlämnande på medium för automatiserad behandling
Av 8 § framgår att direktåtkomst inte får medges till uppgifterna i registret. Enligt 9 § får personuppgifterna i registret lämnas ut på medium för automatiserad behandling om uppgifterna ska behandlas för de ändamål som anges i 5 och 6 §§.
Utlämnande genom direktåtkomst och utlämnande på medium för automatiserad behandling utgör olika former av behandling av personuppgifter som ofta regleras i registerförfattningar. I dataskyddsförordningen och i Dataskyddsutredningens förslag till dataskyddslag finns det inga särskilda bestämmelser som direkt rör dessa former av behandling eller utlämnande utan det krävs – i likhet med vad som gäller för all behandling av personuppgifter – att behandlingen uppfyller tillämpliga grundläggande krav i artikel 5 i dataskyddsförordningen och har lagligt stöd enligt artikel 6. Det krävs också att säkerhetsåtgärder enligt artikel 24.1 och 32 är vidtagna. Om utlämnandet sker till en myndighet eller enskild i tredjeland eller till
internationella organisationer krävs dessutom att villkoren i kapitel V (artikel 44–50) är uppfyllda.
Om utlämnandet i sig är tillåtet enligt dataskyddsförordningen får det således ske på vilket sätt som helst så länge föreskrivna säkerhetsåtgärder vidtas och, i relevanta fall, bestämmelserna rörande överföring av personuppgifter till tredjeland följs. Artiklarna om säkerhetsåtgärder och om överföring av personuppgifter till tredjeland kommer att vara direkt tillämpliga.
Bestämmelsen i 8 § är en begränsning som förhindrar direktåtkomst till registret. Begränsningen är tillåten enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen. Utredningens bedömning är att bestämmelserna i 8 och 9 §§ är förenliga med dataskyddsförordningen. Båda paragraferna kan och bör behållas.
Information
I 10 § anges att Skolverket på lämpligt sätt ska informera den registrerade om registret (dvs. formen för hur informationen ska lämnas). Vidare anges vilken information som ska lämnas. Informationen ska ge upplysning om vem som är personuppgiftsansvarig och redovisa ändamålet med registret och vilken typ av uppgifter som registret får innehålla samt ge upplysning om
1. de sekretess- och säkerhetsbestämmelser som gäller för regist-
ret,
2. rätten att få information och rättelse enligt personuppgiftslagen,
3. rätten till skadestånd vid behandling av personuppgifter i strid
med denna förordning och personuppgiftslagen,
4. vad som gäller i fråga om sökbegrepp, direktåtkomst och utläm-
nande av uppgifter på medium för automatiserad behandling, och
5. om registreringen är frivillig eller inte.
Formen för lämnande av information
Av artikel 12.1 i dataskyddsförordningen följer att den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artikel 13 och 14 (som
anger vilken information som ska lämnas). Informationen ska tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.
Eftersom artikel 12 i dataskyddsförordningen är direkt tillämplig och då utredningen bedömer att den inhemska lagstiftningen av tydlighetsskäl inte ska dubbelreglera viss förordningstext, föreslår utredningen att första meningen i 10 § förordningen om lärar- och förskollärarregister ska tas bort.
Vilken information som ska lämnas
Artikel 13 i dataskyddsförordningen reglerar vilken information som den personuppgiftsansvarige ska informera den registrerade om i de fall personuppgifter samlas in från den registrerade.
Artikel 14 reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade.
De uppgifter som registreras i registret rörande legitimationer kommer främst från lärare eller förskollärare, dvs. de registrerade, när de ansöker om legitimation. Vid registreringen hämtar Skolverket även uppgifter från folkbokföringen, dvs. uppgifter kommer från någon annan än den registrerade. Enligt 27 kap. 4 § skollagen prövar Lärarnas ansvarsnämnd, efter anmälan av Statens skolinspektion, frågor om lärares och förskollärares fortsatta rätt att inneha legitimation och om varning ska meddelas. I de fall en lärare eller förskollärare har meddelats en varning eller fått sin legitimation återkallad lägger Skolverket, i egenskap av Lärarnas ansvarsnämnds kansliresurs, in uppgifterna i registret. Även då registreras uppgifter från någon annan än den registrerade.
Följande delar av 10 § förordningen om lärar- och förskollärarregister bedömer utredningen motsvarar bestämmelser i artikel 13 och 14 i dataskyddsförordningen. Att Skolverket ska ge upplysning om vem som är personuppgiftsansvarig följer av artikel 13.1 a och 14.1 a. Att ändamålet med registret ska redovisas följer av artikel 13.1 c och 14.1 c. Att Skolverket ska ge upplysning om rätten till
rättelse enligt personuppgiftslagen finns det motsvarande bestämmelser om i artikel 13.2 b och 14.2 c.
Eftersom artikel 13 och 14 i dataskyddsförordningen är direkt tillämpliga och då utredningen bedömer att den inhemska lagstiftningen av tydlighetsskäl inte ska dubbelreglera viss förordningstext, ska de delar av 10 § förordningen om lärar- och förskollärarregister som omnämnts i det ovanstående stycket tas bort.
Bestämmelserna i 10 § förordningen om lärar- och förskollärarregister ålägger dessutom Skolverket att informera om vissa uppgifter som inte följer av artikel 13 och 14 i dataskyddsförordningen, dvs. de sekretess- och säkerhetsbestämmelser som gäller för registret, rätten att få information enligt personuppgiftslagen, rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning och personuppgiftslagen, vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, samt om registreringen är frivillig eller inte. Eftersom utredningen bedömer att de rättsliga grunderna för behandling av personuppgifter i lärar- och förskollärarregistret är artikel 6.1 c (rättslig förpliktelse) och första ledet i artikel 6.1 e (uppgift av allmänt intresse) är det förenligt med artikel 6.2 och 6.3 andra stycket att behålla mer specifika bestämmelser såsom dessa. Hänvisningarna till personuppgiftslagen ska dock ändras till hänvisningar till dataskyddsförordningen.
Slutligen ålägger 10 § förordningen om lärar- och förskollärarregister Skolverket att informera den registrerade om vilken typ av uppgifter som registret får innehålla. Artikel 14.1 d innehåller en motsvarande bestämmelse som anger att den personuppgiftsansvarige ska förse den registrerade med information om de kategorier av personuppgifter som behandlingen gäller. Artikel 13 innehåller dock inte någon motsvarande bestämmelse. Utredningens bedömning är därför att ett behållande av bestämmelsen inte medför en dubbelreglering utan att bestämmelsen på ett tillåtet sätt ålägger Skolverket en utökad informationsskyldighet i förhållande till dataskyddsförordningen i de fall personuppgifterna har samlats in från den registrerade. Bestämmelsen bör och kan därför finnas kvar.
För att tillämparen inte ska ledas till den felaktiga slutsatsen att paragrafen reglerar all information som Skolverket ska lämna självmant föreslås att paragrafen även ska kompletteras med en upplys-
ning om att den gäller utöver vad som följer av dataskyddsförordningen.
Rättelse och skadestånd
Enligt 11 § gäller bestämmelserna i personuppgiftslagen om rättelse och skadestånd vid behandling av personuppgifter enligt förordningen.
Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Eftersom 28 § PUL endast avser sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som utfärdats med stöd av lagen, har det i förordningen om lärar- och förskollärarregister varit nödvändigt att hänvisa till personuppgiftslagens bestämmelser.
Enligt artikel 16 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande.
Eftersom personuppgiftslagen kommer att upphävas behöver 11 § förordningen om lärar- och förskollärarregister ändras. Eftersom dataskyddsförordningen är direkt tillämplig såvitt gäller rättelse, till skillnad mot vad som gäller enligt personuppgiftslagen, ska någon materiell bestämmelse i nationell rätt inte införas. Enligt utredningens mening saknas det anledning att införa en upplysningsbestämmelse om att det i dataskyddsförordningen finns bestämmelser om rättelse. Med hänsyn till detta föreslår utredningen att 11 §, i den del som avser rättelse, ska upphävas.
Som nämnts ovan anger 11 § även att bestämmelserna i personuppgiftslagen om skadestånd gäller vid behandling av personuppgifter enligt förordningen om lärar- och förskollärarregister.
Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgifts-
lagen har orsakat. Även avseende rätten till skadestånd har det därmed varit nödvändigt att i förordningen hänvisa till personuppgiftslagens bestämmelser.
I dataskyddsförordningen regleras rätten till skadestånd i artikel 82. Av artikel 82.1 följer att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Av skäl 146 framgår att behandling som strider mot dataskyddsförordningen även omfattar behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med dataskyddsförordningen och medlemsstaternas nationella rätt med närmare specifikation av dataskyddsförordningens bestämmelser.
Dataskyddsutredningen föreslår att 8 kap. 1 § dataskyddslagen ska innehålla en bestämmelse som upplyser om att rätten till ersättning som regleras i artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Förordningen om lärar- och förskollärarregister är en författning som kompletterar dataskyddsförordningen.
Eftersom artikel 82 i dataskyddsförordningen är direkt tillämplig bör 11 § förordningen om lärar- och förskollärarregister även upphävas i den del som avser skadestånd. Utredningen gör samma bedömning som den gjort i det föregående i fråga om behovet av att i stället göra om bestämmelsen till en upplysningsparagraf. Nämnda paragraf föreslås därför upphävas i sin helhet.
11. Kommunernas register över ungdomar som de har aktivitetsansvar för
11.1. Allmänt
Enligt 29 kap. 9 § skollagen (2010:800) ska en hemkommun löpande under året hålla sig informerad om hur de ungdomar i kommunen är sysselsatta som har fullgjort sin skolplikt men inte har fyllt 20 år och inte genomför eller har fullföljt utbildning på nationella program i gymnasieskola eller gymnasiesärskola eller motsvarande utbildning (aktivitetsansvar). Hemkommunen har inom ramen för ansvaret uppgiften att erbjuda de ungdomar som berörs lämpliga individuella åtgärder. Åtgärderna ska i första hand syfta till att motivera den enskilde att påbörja eller återuppta en utbildning. Kommunen ska dokumentera sina insatser på lämpligt sätt. Kommunen ska föra ett register över de ungdomar som omfattas av ansvaret.
I 29 kap. 9 § finns vidare ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om den dokumentation och den behandling av personuppgifter som är nödvändig för att kommunen ska kunna fullgöra sina skyldigheter. Regeringen har meddelat sådana föreskrifter i förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar. Genom förordningen regleras således kommunernas register över ungdomar som omfattas av kommunernas aktivitetsansvar närmre.
Frågan om de personuppgifter som ska behandlas har sådan karaktär som innebär ett sådant intrång i de enskildas personliga integritet att det krävs lagreglering av behandlingarna synes ha prövats, i vart fall indirekt, vid flera tillfällen. De senaste ändringarna av 29 kap. 9 § skollagen trädde i kraft den 1 januari 2015. I förarbetena konstatera-
des att regeringen även avsåg att göra nödvändiga justeringar i förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar (prop. 2013/14:191 s. 140). Vid förordningens tillkomst gjordes en integritetsintrångsprövning. Regeringen fann då att det med hänsyn till uppgifternas karaktär inte förelåg skäl att i lag närmare reglera handhavandet av dessa (prop. 2004/05:2 s. 87 f.).
11.2. Utredningens uppdrag i denna del
Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar innehåller bestämmelser om bl.a. förhållandet till personuppgiftslagen (1998:204, PUL), ändamålet med behandlingen av personuppgifter, vilka uppgifter som får behandlas och uppgiftsskyldighet. När dataskyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas.
Utredningen har därför fått i uppdrag att analysera vilka ändringar i förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar som behöver göras med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna. Utredningen ska även lämna de författningsförslag som behövs.
11.3. Rättslig grund för personuppgiftsbehandling
Bedömning: Bestämmelserna i 29 kap. 9 § skollagen och förord-
ningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar utgör i enlighet med artikel 6.1 c i dataskyddsförordningen en fastställd rättslig förpliktelse för kommunerna att föra ett register över de ungdomar som omfattas av kommunens aktivitetsansvar. Förandet av registren är dessutom en för kommunerna fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e.
Enligt artikel 6.2 och 6.3 andra stycket är det tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn
till behandling för att efterleva 6.1 c och e. Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är därmed i sig förenlig med dataskyddsförordningen.
Enligt artikel 6.1 i dataskyddsförordningen krävs att åtminstone ett av de i artikeln uppräknade villkoren är uppfyllt för att behandling av personuppgifter ska vara laglig. Ett sådant villkor är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (6.1 c). Ett annat villkor är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (6.1 e). Enligt artikel 6.3 första stycket krävs att den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
I fråga om rättslig förpliktelse föreslår Dataskyddsutredningen en förtydligande bestämmelse i 2 kap. 3 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), enligt vilken personuppgifter får behandlas med stöd av artikel 6.1 c om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som bl.a. gäller enligt lag eller annan författning eller följer av beslut som har meddelats med stöd av lag eller annan författning.
Av artikel 6.3 andra stycket första meningen i dataskyddsförordningen framgår att, i fråga om den rättsliga grunden rättslig förpliktelse, syftet med behandlingen ska fastställas i den rättsliga grunden. Enligt Dataskyddsutredningen torde kravet innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår av den författning som förpliktelsen grundas på. Dataskyddsutredningen gör bedömningen att en myndighets uppdrag enligt myndighetsinstruktionen eller regleringsbrevet i vissa fall kan utgöra en i enlighet med nationell rätt (regeringsformen) fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst personuppgiftsregister (SOU 2017:39, avsnitt 8.3.2).
Av 29 kap. 9 § tredje stycket skollagen följer att hemkommunen ska föra ett register över de ungdomar som omfattas av aktivitetsansvaret. Det är fråga om en skyldighet för kommunerna att föra detta register (prop. 2013/14:191 s. 140). Enligt utredningens bedöm-
ning utgör 29 kap. 9 § tredje stycket skollagen ett utryck för en rättslig förpliktelse för kommunerna att föra nämnda register. Enligt 3 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar får personuppgifterna i registret behandlas bara om det är nödvändigt för att kommunen ska kunna fullgöra den skyldighet som framgår av 29 kap. 9 § första, andra och tredje styckena skollagen och den uppgiftsskyldighet som följer av 26 kap. 25 § samma lag. Syftet med behandlingen framgår redan av 29 kap. 9 § tredje stycket skollagen, dvs. att registrera de ungdomar som omfattas av kommunens aktivitetsansvar, men även av 3 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar. Den rättsliga förpliktelsen för kommunerna att föra ett register över de ungdomar som omfattas av aktivitetsansvaret är enligt utredningens bedömning därigenom fastställd i svensk rätt.
Beträffande den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen, uppgift av allmänt intresse, föreslår Dataskyddsutredningen att det i 2 kap. 4 § dataskyddslagen ska finnas en förtydligande bestämmelse på motsvarande sätt som i fråga om rättslig förpliktelse, dvs. att personuppgifter får behandlas med stöd av artikel 6.1 e om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av bl.a. lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning (SOU 2017:39, avsnitt 8.3.4). Vidare konstaterar Dataskyddsutredningen att statliga och kommunala myndigheters verksamhet i allt väsentligt är av allmänt intresse och att det är den rättsliga grunden i artikel 6.1 e som vanligen bör tillämpas av myndigheter. Dataskyddsutredningen anför vidare följande.
Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.
Då kommunernas uppgift att föra ett register över ungdomar som omfattas av aktivitetsansvaret regleras genom lag och förordning bedömer utredningen att förandet av sådana register inte bara är en rättslig förpliktelse för kommunerna, utan även en uppgift av allmänt intresse. De rättsliga grunderna är fastställda i svensk rätt genom 29 kap. 9 § tredje stycket skollagen och förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar.
Av artikel 6.2 i dataskyddsförordningen framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva punkt 1 c och e. Enligt artikel 6.3 andra stycket andra meningen kan dessutom den rättsliga grunden för behandling, som fastställs i den nationella rätten, innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen i form av bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Dataskyddsförordningen medger således att det i nationell rätt finns sådana regleringar (registerförfattningar) som införts genom t.ex. förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar.
Vidare ska, enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen, den rättsliga regleringen uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Utredningen konstaterar att ändringen i 29 kap. 9 § skollagen och förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar tillkommit i den ordning som regeringsformen utpekar för föreskrifter av nu aktuellt slag. Bestämmelserna har bedömts relevanta och proportionerliga av regeringen och, såvitt avser ändringen i skollagen, även av Lagrådet och riksdagen. Inte heller har såvitt framkommit någon tillsynsmyndighet uttalat någon kritik eller tveksamhet i dessa avseenden. Det är därför rimligt att utgå från att de ändamål m.m. som fastställts i sam-
band med författningsarbetet är relevanta och proportionerliga i förhållande till det integritetsintrång behandlingarna kan innebära. Denna bedömning är giltig även i de avseenden som avses i dataskyddsförordningen. Utredningen har inte heller vid genomgången av förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar funnit några exempel på bestämmelser som kan sägas vara irrelevanta eller oproportionerliga. Utredningen anser således att förordningen uppfyller kraven i artikel 6.3 andra stycket i dataskyddsförordningen.
Med anledning av att dataskyddsförordningen och en ny generell lagstiftning som i vissa delar kompletterar förordningen ska börja tillämpas, påkallas dock ställningstaganden till och ändringar i vissa av bestämmelserna i förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar. En genomgång av befintliga bestämmelser görs i följande avsnitt.
11.4. Behov av ändringar
Förslag: I 2 § förordningen om register och dokumentation vid
fullgörandet av kommunernas aktivitetsansvar för ungdomar ska anges att förordningen kompletterar dataskyddsförordningen. Vidare ska förordningens förhållande till den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) regleras. Hänvisningen till personuppgiftslagen ska tas bort.
Bestämmelsen i 5 § om förbud mot att behandla känsliga personuppgifter ska anpassas till dataskyddsförordningen genom att hänvisa till artikel 9.1 i stället för 13 § PUL.
Bestämmelsen i 5 § om förbud mot att behandla uppgifter om lagöverträdelser m.m. ska ändras så att den när dataskyddsförordningen och dataskyddslagen ska börja tillämpas kommer att ha samma materiella innebörd som i dagsläget.
Bestämmelserna om rättelse och skadestånd i 6 § ska upphävas.
Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar består av tio paragrafer som finns under rubrikerna inledning, förhållandet till personupp-
giftslagen, ändamål, personuppgifter som får behandlas, förbud mot behandling av känsliga personuppgifter m.m., rättelse och skadestånd, gallring, dokumentation och uppgiftsskyldighet. Nedan redogörs för regleringen i respektive paragraf och vilka behov av ändringar som utredningen anser är påkallade med anledning av att dataskyddsförordningen ska börja tillämpas.
Inledning
Enligt 1 § första stycket innehåller förordningen bestämmelser om
1. behandling av personuppgifter i samband med att kommunerna
för register över ungdomar som de har aktivitetsansvar för,
2. kommunernas dokumentation av sina insatser för dessa ungdo-
mar enligt 29 kap. 9 § skollagen, och
3. uppgiftsskyldighet i samband med arbetet med aktivitetsansvaret.
Bestämmelsen i första stycket upplyser om förordningens innehåll och är enligt utredningens bedömning förenlig med dataskyddsförordningen.
Av 1 § andra stycket framgår att bestämmelserna i 3–7 §§ endast gäller om behandlingen av personuppgifter är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Dataskyddsförordningen hindrar inte att medlemsstaterna fritt bestämmer tillämpningsområdet för nationell lagstiftning som kompletterar dataskyddsförordningen (jfr artikel 6.2). Enligt utredningens bedömning är bestämmelsen i andra stycket därmed förenlig med dataskyddsförordningen.
I 1 § tredje stycket anges att behandling av personuppgifter som är tillåten enligt denna förordning får utföras även om den registrerade motsätter sig detta.
I dataskyddsdirektivet regleras den registrerades rätt att göra invändningar i artikel 14. Om den nationella lagstiftningen inte föreskriver något annat, ska den registrerade, enligt artikel 14 a, ha rätt att av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandlingen, åtminstone i de fall då uppgifterna
behandlas med stöd av en intresseavvägning av det slag som framgår av 10 § f PUL eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. I 12 § andra stycket PUL finns en bestämmelse som anger att en registrerad med ett par undantag inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen.
I dataskyddsförordningen regleras rätten att göra invändningar i artikel 21. Enligt artikel 21.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (uppgift av allmänt intresse eller myndighetsutövning) eller f (intresseavvägning). Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Enligt artikel 23.1 e ska det dock vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt, som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av, införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. artikel 21. En sådan begränsning ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet.
Enligt artikel 23.2 ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser, åtminstone när det är relevant, avseende
a) ändamålen med behandlingen eller kategorierna av behandling,
b) kategorierna av personuppgifter,
c) omfattningen av de införda begränsningarna,
d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång
eller överföring,
e) specificeringen av den personuppgiftsansvarige eller kategori-
erna av personuppgiftsansvariga,
f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av
behandlingens art, omfattning och ändamål eller kategorierna av behandling,
g) riskerna för de registrerades rättigheter och friheter, och
h) de registrerades rätt att bli informerade om begränsningen, så-
vida detta inte kan inverka menligt på begränsningen.
Dataskyddsförordningen ställer därmed högre krav på den nationella begränsande regleringen än dataskyddsdirektivet, eftersom det i dataskyddsdirektivet inte anges några särskilda villkor för en sådan reglering.
Den första frågan är om förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar omfattas av artikel 21 i dataskyddsförordningen. Om den rättsliga grunden för behandling av personuppgifter enligt förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är att behandlingen är nödvändig för kommunen för att fullgöra en rättslig förpliktelse är artikel 21 i dataskyddsförordningen inte tillämplig. Den registrerade har därmed inte rätt att göra någon invändning mot behandlingen av hans eller hennes personuppgifter. Om så är fallet är 1 § tredje stycket förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar förenlig med dataskyddsförordningen.
Som anges ovan anser utredningen att två rättsliga grunder enligt artikel 6.1 är tillämpliga, rättslig förpliktelse (c) och uppgift av allmänt intresse (e). Eftersom flera rättsliga grunder enligt dataskyddsförordningen kan vara tillämpliga samtidigt, och då utredningens uppfattning är att även den rättsliga grunden uppgift av allmänt intresse är en tillämplig grund för behandlingen av personuppgifter i nämnda register, prövar utredningen om förutsättningarna enligt artikel 23 för att begränsa den registrerades rätt att göra invändningar är uppfyllda.
Av förarbetena framgår att det i alla kommuner finns ungdomar som inte går i gymnasieskolan. Dokumentation av insatser och förande av register är en förutsättning för att kommunerna ska kunna full-
göra sin skyldighet enligt 29 kap. 9 § skollagen. Ett ansvar för att göra insatser för mer än en individ innebär att information behöver samlas systematiskt i en bestämd struktur. Ett register är således en förutsättning för att kommunerna ska kunna ha en löpande överblick över vilka ungdomar som berörs (prop. 2013/14:191 s. 139).
Utredningens uppfattning är därför att förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar reglerar behandling av personuppgifter som rör sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e. Förordningen innehåller även sådana relevanta begränsningar som räknas upp i artikel 23.2, dvs. ändamålen med behandlingen (3 §), kategorierna av personuppgifter (4 och 5 §§), omfattningen av de införda begränsningarna (1 § tredje stycket) och lagringstiden (7 §).
Enligt utredningens bedömning har förordningen införts efter noggranna överväganden av vilka bestämmelser, utöver de som finns i personuppgiftslagen, som är relevanta i sammanhanget. Förutsättningarna för att behålla begränsningen av den registrerades rätt att göra invändningar i 1 § tredje stycket är enligt utredningens bedömning därmed uppfyllda.
Sammanfattningsvis anser utredningen att bestämmelserna i 1 § är förenliga med dataskyddsförordningen och att de kan och bör behållas.
Förhållandet till personuppgiftslagen
I 2 § anges att personuppgiftslagen gäller vid den behandling av personuppgifter som en kommun vidtar i sin verksamhet enligt 29 kap. 9 § skollagen om inte annat följer av denna förordning.
När dataskyddsförordningen ska börja tillämpas kommer personuppgiftslagen att upphävas och dataskyddslagen träda i kraft. Med anledning av detta behöver den nu aktuella hänvisningen i 2 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar ändras.
Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar innehåller endast sådana tillåtna bestäm-
melser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör en bestämmelse med en upplysning om att dataskyddsförordningen gäller tas in i förordningen.
Den föreslagna dataskyddslagen kommer, på samma sätt som personuppgiftslagen, att vara subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter. Av tydlighetsskäl bör en hänvisning till dataskyddslagen införas, såsom i dag görs till personuppgiftslagen.
Utredningen föreslår därför att det i 2 § första stycket ska anges att förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar kompletterar dataskyddsförordningen. I ett nytt andra stycke ska förhållandet till den nya dataskyddslagen regleras.
Ändamål
Enligt 3 § får personuppgifter behandlas bara om det är nödvändigt för att kommunen ska kunna fullgöra den skyldighet som framgår av 29 kap. 9 § första, andra och tredje styckena skollagen och den uppgiftsskyldighet som följer av 26 kap. 25 § samma lag.
När den rättsliga grunden är rättslig förpliktelse eller uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tillåtet med särskilda bestämmelser om ändamålsbegränsningar. Utredningens bedömning är därför att 3 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är förenlig med dataskyddsförordningen och att den kan och bör behållas.
Personuppgifter som får behandlas
Bestämmelsen i 4 § utgör en begränsning för den personuppgiftsansvarige eftersom den anger vilka personuppgifter som får behandlas. De uppgifter som får behandlas är namn, personnummer eller samordningsnummer och kontaktuppgifter. Även uppgifter om tidigare, nuvarande och framtida sysselsättning i form av t.ex. utbildning får behandlas. Om det är aktuellt med någon individuell åtgärd får
även uppgifter om åtgärdens innehåll, tidpunkten när åtgärden inleds och upphör samt orsaken till att den upphör behandlas.
När den rättsliga grunden är rättslig förpliktelse eller uppgift av allmänt intresse är det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen tillåtet med särskilda bestämmelser om vilka typer av uppgifter som ska behandlas.
Beträffande personnummer och samordningsnummer får, enligt 22 § PUL, uppgifter om personnummer eller samordningsnummer utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Av 50 § c PUL följer att regeringen får meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten.
Av artikel 87 i dataskyddsförordningen framgår att medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. I ett tillägg anges dessutom att sådana uppgifter i sådana fall endast ska användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen.
Dataskyddsutredningen har i sitt förslag till 3 kap. 13 § dataskyddslagen föreslagit en bestämmelse med samma ordalydelse som 22 § PUL. Vidare föreslår Dataskyddsutredningen en bestämmelse i 3 kap. 14 § dataskyddslagen som anger att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Bestämmelsen motsvarar således delvis 50 § c PUL.
Utredningen anser att det i de register som kommunerna är ålagda att föra för att fullgöra aktivitetsansvaret för ungdomar är klart motiverat med hänsyn till behandlingen och vikten av en säker identifiering att personnummer eller samordningsnummer används för identifiering. Därtill finns det ett bemyndigande för regeringen i dataskyddslagen att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.
Sammanfattningsvis bedömer utredningen att bestämmelserna i 4 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar om vilka uppgifter som får behandlas i registren är förenliga med dataskyddsförordningen. Paragrafen kan och bör därför behållas.
Förbud mot behandling av känsliga personuppgifter m.m.
Enligt 5 § får personuppgifter som omfattas av 13 och 21 §§ PUL inte behandlas. Bestämmelsen innebär således ett förbud mot att behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. i registren.
Motsvarande bestämmelse som den i 13 § PUL finns i artikel 9.1 i dataskyddsförordningen. Enligt artikel 9.1 är dock även behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning förbjuden.
Dataskyddsutredningen föreslår bestämmelser i dataskyddslagen som innebär att myndigheter i vissa situationer får behandla känsliga personuppgifter (SOU 2017:39, avsnitt 10.6.2). För att det även fortsättningsvis ska råda ett förbud mot att behandla känsliga personuppgifter i de register kommunerna ska föra enligt förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar behöver en bestämmelse motsvarande 5 § fortfarande gälla.
En fråga som också aktualiseras är om 5 § bör ändras så att den omfattar även den utvidgade definitionen av känsliga personuppgifter enligt artikel 9.1. Utredningen bedömer att det – då det inte framkommit att det finns något behov för kommunerna att behandla de nya kategorierna av känsliga personuppgifter i aktuella register – saknas skäl att tillåta kommunerna att i register över de ungdomar som de har aktivitetsansvar för behandla de nya kategorierna av känsliga personuppgifter. Utredningen föreslår därför att en hänvisning till 9.1 i dataskyddsförordningen införs i 5 §.
Vidare är det, enligt 21 § första stycket PUL, förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Motsvarande bestämmelse som den i 21 § första stycket PUL finns i artikel 10 i dataskyddsförordningen. I artikel 10 anges att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
Bestämmelserna om behandling av uppgifter om lagöverträdelser i 21 § PUL och i artikel 10 i dataskyddsförordningen är således inte likalydande. Begränsningarna i artikel 10 gäller fällande domar, medan begränsningarna i 21 § första stycket PUL även omfattar uppgifter om friande domar. Dessutom innehåller 21 § första stycket ett förbud mot att behandla administrativa frihetsberövanden. Bestämmelsen i 5 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är därmed mer restriktiv än vad artikel 10 i dataskyddsförordningen är.
Dataskyddsutredningen föreslår att det i 3 kap. 9 § dataskyddslagen ska finnas en bestämmelse som anger att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter. Som tidigare nämnts medger dataskyddsförordningen att medlemsstaterna inför mer restriktiva bestämmelser än de som finns i förordningen när den rättsliga grunden för behandlingen av personuppgifterna är rättslig förpliktelse eller uppgift av allmänt intresse (artikel 6.2 och 6.3 andra stycket). Det har inte framkommit att kommunerna har ett behov av att behandla brottmålsdomar eller uppgifter om administrativa frihetsberövanden i aktuella register. Utredningen anser därför att 5 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar i denna del ska ändras så att den i materiellt hänseende kommer att ha samma innebörd som i dagsläget även när dataskyddsförordningen börjar tillämpas och personuppgiftslagen upphävs.
Sammanfattningsvis anser utredningen att 5 § ska ändras på så sätt att den ska ange att personuppgifter som omfattas av artikel 9.1 i dataskyddsförordningen och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden inte får behandlas.
Rättelse och skadestånd
Enligt 6 § gäller bestämmelserna i 28 och 48 §§ PUL om rättelse och skadestånd vid behandling av personuppgifter enligt förordningen.
Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana
personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Eftersom 28 § PUL endast avser sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som utfärdats med stöd av lagen, har det i förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar varit nödvändigt att hänvisa till personuppgiftslagens bestämmelser.
Enligt artikel 16 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande.
Eftersom personuppgiftslagen kommer att upphävas behöver 6 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar ändras. Eftersom dataskyddsförordningen är direkt tillämplig såvitt gäller rättelse, till skillnad mot vad som gäller enligt personuppgiftslagen, ska någon materiell bestämmelse i nationell rätt inte införas. Enligt utredningens mening saknas det anledning att införa en upplysningsbestämmelse om att det i dataskyddsförordningen finns bestämmelser om rättelse. Med hänsyn till detta föreslår utredningen att 6 §, i den del som avser rättelse, ska upphävas.
Som nämnts ovan anger 6 § även att bestämmelserna i personuppgiftslagen om skadestånd gäller vid behandling av personuppgifter enligt förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar.
Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Även avseende rätten till skadestånd har det därmed varit nödvändigt att i förordningen hänvisa till personuppgiftslagens bestämmelser.
I dataskyddsförordningen regleras rätten till skadestånd i artikel 82. Av artikel 82.1 följer att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Av
skäl 146 framgår att behandling som strider mot dataskyddsförordningen även omfattar behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med dataskyddsförordningen och medlemsstaternas nationella rätt med närmare specifikation av dataskyddsförordningens bestämmelser.
Dataskyddsutredningen föreslår att 8 kap. 1 § dataskyddslagen ska innehålla en bestämmelse som upplyser om att rätten till ersättning som regleras i artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är en författning som kompletterar dataskyddsförordningen.
Eftersom artikel 82 i dataskyddsförordningen är direkt tillämplig bör 6 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar även upphävas i den del som avser skadestånd. Utredningen gör samma bedömning som den gjort i det föregående i fråga om behovet av att i stället göra om bestämmelsen till en upplysningsparagraf. Nämnda paragraf föreslås därför upphävas i sin helhet.
Gallring
Av 7 § framgår att personuppgifter ska gallras ur registret när de inte längre behövs med hänsyn till ändamålet med behandlingen, dock senast vid utgången av det kalenderår när den registrerade fyller 21 år.
Av artikel 5.1 e i dataskyddsförordningen framgår att vid behandling av personuppgifter gäller att de inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Som tidigare nämnts får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen när den rättsliga grunden för behandlingen av personuppgifterna är rättslig förpliktelse eller uppgift av allmänt intresse (se artikel 6.2 och 6.3 andra stycket). Enligt utredningens bedömning är 7 § förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för
ungdomar därmed förenlig med dataskyddsförordningen. Bestämmelsen kan och bör därför behållas.
Dokumentation
I 8 § första stycket anges att av 29 kap. 9 § skollagen framgår att kommunen på lämpligt sätt ska dokumentera sina insatser för de ungdomar i kommunen som omfattas av aktivitetsansvaret. Enligt andra stycket får Statens skolverk meddela föreskrifter om innehållet i dokumentationen.
Bestämmelsen i 8 § är en bemyndigandebestämmelse som inte behöver anpassas eller förändras med anledningen av att dataskyddsförordningen kommer att börja tillämpas. Den kan och bör därför behållas.
Uppgiftsskyldighet
I förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar finns avslutningsvis två paragrafer, 9 och 10 §§, under rubriken uppgiftsskyldighet.
9 §
I 9 § första stycket anges att det av 26 kap. 25 § skollagen framgår att en huvudman för utbildning eller annan verksamhet som är föremål för nationell uppföljning och utvärdering till Statens skolverk ska lämna sådana uppgifter om verksamheten och sådan verksamhetsredovisning som behövs för uppföljningen och utvärderingen. Enligt andra stycket får Statens skolverk meddela föreskrifter om vilka uppgifter som ska lämnas för uppföljning och utvärdering enligt 26 kap. 25 § skollagen av hur kommunerna uppfyller sina skyldigheter enligt 29 kap. 9 § samma lag.
Bestämmelsen i 9 § är, liksom 8 §, således en bemyndigandebestämmelse som inte behöver anpassas eller förändras med anledningen av att dataskyddsförordningen kommer att börja tillämpas. Den kan och bör därför behållas.
10 §
Av 10 § framgår att Universitets- och högskolerådet (UHR) på begäran av en kommun till kommunen ska lämna ut uppgift om en person, som kan omfattas av den kommunens aktivitetsansvar för ungdomar, har examens- eller studiebevis eller motsvarande från gymnasieskolan.
Bestämmelsen är en sekretessbrytande bestämmelse som samtidigt fastställer en rättslig förpliktelse för UHR att lämna ut uppgifter på begäran till en kommun (artikel 6.1 c i dataskyddsförordningen). Av bestämmelsen framgår även syftet med behandlingen (artikel 6.3 andra stycket), dvs. utlämnandet. Syftet är att kommunen ska få uppgift om en ungdom har examens- eller studiebevis. Enligt utredningens bedömning är bestämmelsen förenlig med dataskyddsförordningen och kan och bör behållas. Bestämmelsen behandlas även i avsnittet om betygsdatabasen BEDA, avsnitt 9.
12. Övriga myndigheter med anknytning till utbildningsområdet
12.1. Utredningens uppdrag
I kommittédirektiven anges att utbildningsområdet omfattar bl.a. skolväsendet, den verksamhet som bedrivs av universitet och högskolor, yrkeshögskolan och folkbildningen. Därefter ges en fördjupad beskrivning av de olika utbildningsformerna. Vidare anges att till utbildningsområdet hör även studiestödet.
De myndigheter vars verksamhet anknyter till utbildningsområdet t.ex. Statens skolinspektion, Statens skolverk och Universitets- och högskolerådet omnämns inte. Direktiven anger inte heller i övrigt att det ska göras en analys av om det behöver införas kompletterande regleringar för dessa myndigheters personuppgiftsbehandling. Enligt utredningens uppfattning omfattas därför inte den personuppgiftsbehandling som sker vid dessa myndigheter av utredningens uppdrag, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling.
Av direktiven framgår dock att utredningen är oförhindrad att inom de ramar som angetts för uppdraget ta upp och belysa även andra frågeställningar som är relevanta för uppdraget. Om utredningen kommer fram till att det krävs eller är lämpligt med kompletterande eller ändrade nationella bestämmelser i andra delar än de som ska utredas särskilt, ska sådana föreslås.
I dagsläget tillämpas personuppgiftslagen (1998:204) i myndigheters verksamhet som inte omfattas av en särskild registerförfattning. Då det finns ett intresse av vägledning finns det enligt utred-
ningen anledning att övergripande analysera myndigheternas möjligheter att behandla personuppgifter sett i ljuset av dataskyddsförordningen och den av Dataskyddsutredningen föreslagna lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Eftersom utredningen inte har i uppdrag att analysera behovet av reglering av vissa specifika myndigheters personuppgiftsbehandling väljer utredningen att göra en generell bedömning.
12.2. Utredningens bedömning
Bedömning: Statliga och kommunala myndigheters verksamhet
inom utbildningsområdet är i allt väsentligt en uppgift av allmänt intresse. Denna verksamhet framgår normalt av uppdrag och åligganden i författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser. Uppgiften av allmänt intresse är fastställd genom dessa författningar, beslut och kommunala reglementen. Myndigheterna kan därigenom grunda nödvändig behandling av personuppgifter på första ledet i artikel 6.1 e i dataskyddsförordningen.
Det ankommer dock på myndigheterna att själva gå igenom all personuppgiftsbehandling som sker inom myndigheten och säkerställa att den har stöd i och är förenlig med dataskyddsförordningens och dataskyddslagens bestämmelser.
Från och med den 25 maj 2018 ska dataskyddsförordningen börja tillämpas. Dataskyddsutredningen föreslår att samma dag ska dataskyddslagen träda i kraft och personuppgiftslagen upphävas. För den personuppgiftsbehandling som en myndighet i dagsläget gör med stöd av personuppgiftslagen kommer således stöd behöva finnas i dataskyddsförordningen, och för vissa slags behandlingar även i dataskyddslagen. En grundläggande förutsättning för att behandling av personuppgifter ska få ske är att behandlingen har stöd i en rättslig grund (ett villkor) i artikel 6.1 i dataskyddsförordningen.
Beträffande rättslig grund för behandling av personuppgifter i statliga och kommunala myndigheters verksamhet gör Dataskyddsutredningen följande bedömning (SOU 2017:39, avsnitt 8.3.4).
Statliga och kommunala myndigheters verksamhet är i allt väsentligt av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Viss behandling av personuppgifter är dock även nödvändig med anledning av avtal, t.ex. när det gäller rekryteringsärenden eller inköp, och kan därmed också ske med stöd av den rättsliga grunden avseende just avtal (artikel 6.1 b). Denna rättsliga grund kan i vissa fall även tillämpas av de myndigheter som uttryckligen har getts befogenhet att bedriva uppdragsverksamhet. En myndighet kan också behöva behandla personuppgifter för att uppfylla en rättslig förpliktelse, t.ex. att föra ett visst register eller gentemot Skatteverket i egenskap av arbetsgivare eller till följd av offentlighetsprincipen (artikel 6.1 c). Undantagsvis kan det även förekomma behov av behandling av personuppgifter för att skydda intressen av grundläggande betydelse för fysisk person (artikel 6.1 d). Myndigheter kan däremot inte åberopa den rättsliga grund som utgår från en intresseavvägning (artikel 6.1 f) när de fullgör sina uppgifter. Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter. I artikel 6.3 andra stycket anges att syftet med behandlingen måste vara nödvändigt för att utföra uppgiften. Den specifika behandlingen måste alltså vara nödvändig för ett ändamål som i sin tur är nödvändigt för att myndigheten ska kunna utföra sitt uppdrag. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Även administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är därmed rättsligt grundade i dataskyddsförordningens mening. Det kan inte nog betonas att rättslig grund inte är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. Behandlingen är laglig endast i den mån den faktiskt är nödvändig för att utföra uppgiften. Dessutom måste behandlingen följa de övriga krav som ställs i dataskyddsförordningen, till exempel de principer för behandlingen som anges i artikel 5.
Utredningen instämmer i Dataskyddsutredningens bedömning att en myndighets verksamhet är en uppgift av allmänt intresse. För statliga, kommunala eller landstings myndigheter gäller legalitetsprincipen, dvs. myndigheternas maktutövning i vidsträckt mening måste ha stöd i föreskrifter och normer som beslutats i enlighet med reger-
ingsformens eller kommunallagens bestämmelser. Kravet på författningsstöd bildar utgångspunkten för myndigheternas verksamhet, såväl när det gäller att handlägga ärenden och att besluta i dessa som i fråga om annan verksamhet som en myndighet bedriver. Enligt utredningens bedömning är myndigheternas verksamhet fastställd i svensk rätt. Om myndighetens verksamhet inte framgår av uppdrag och åligganden i författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommunalt självstyre, har myndigheten överträtt legalitetsprincipen.
Dataskyddsutredningen föreslår även en bestämmelse i 2 kap. 4 § dataskyddslagen som tydliggör att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig (1) för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller (2) som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
Det bör betonas att omständigheten att det finns en rättslig grund enligt artikel 6.1 i dataskyddsförordningen inte ensam är tillräcklig för att behandling av personuppgifter ska vara tillåten. Dessutom måste behandlingen följa de övriga krav som ställs i dataskyddsförordningen, t.ex. i artikel 5.
Det finns även skäl att poängtera att huvudregeln i dataskyddsförordningen är att behandling av känsliga personuppgifter är förbjuden (artikel 9.1). Det finns emellertid undantag från huvudregeln (artikel 9.2). Dataskyddsutredningen föreslår i 3 kap. 3 § dataskyddslagen att myndigheter ska kunna behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i vissa fall, nämligen i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag eller i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vidare föreslås i 4 § att en myndighet inte får använda sökbegrepp som avslöjar känsliga personuppgifter (SOU 2017:39, avsnitt 10.6.2).
Dataskyddslagen möjliggör således för myndigheter att i vissa fall behandla känsliga personuppgifter. Det bör noteras att dataskydds-
lagen innehåller fler bestämmelser som möjliggör behandling av känsliga personuppgifter, t.ex. för arkivändamål av allmänt intresse och statistiska ändamål. Vidare föreslår utredningen bestämmelser som möjliggör för en kommun i egenskap av hemkommun enligt skollagen eller huvudman för t.ex. en skola samt för en myndighet i egenskap av huvudman för en skola att behandla känsliga personuppgifter i vissa situationer, se avsnitt 4.7.5. Utredningen föreslår även bestämmelser om behandling av känsliga personuppgifter som ska gälla för de statliga universitet och högskolor, andra statliga myndigheter, kommuner och landsting som anordnar utbildning inom yrkeshögskolan, se avsnitt 6.4.5.
Dataskyddsutredningens utgångspunkt har varit att sådan personuppgiftsbehandling som är tillåten i dagsläget i möjligaste mån ska kunna fortsätta. Dataskyddsutredningens arbete har inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring (SOU 2017:39, avsnitt 2.2).
Utredningen bedömer att dataskyddsförordningen tillsammans med dataskyddslagen innehåller bestämmelser som möjliggör för myndigheterna att utföra nödvändiga behandlingar av personuppgifter, även känsliga sådana.
Det ankommer dock på myndigheterna att själva gå igenom alla personuppgiftsbehandlingar som sker inom verksamheten och säkerställa att ändamålsenliga behandlingar har stöd i och är i enlighet med dataskyddsförordningens och dataskyddslagens bestämmelser. Det innebär bl.a. att myndigheten behöver konstatera var den rättsliga grunden för ändamålsenlig personuppgiftsbehandling är fastställd i svensk rätt. För det fall att känsliga personuppgifter behandlas behöver myndigheten också försäkra sig om att det finns rättsligt stöd för sådan behandling.
13. Konsekvenser
13.1. Utredningens uppdrag
Kommittéförordningen
Enligt kommittéförordningen (1998:1474) ska en utredning redovisa vilka konsekvenser lämnade förslag kan få i vissa avseenden. I 14−15 a §§ föreskrivs bl.a. att för det fall förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt så ska dessa redovisas.
Vidare ska eventuella konsekvenser för den kommunala självstyrelsen, för brottsligheten och det brottsförebyggande arbetet, samt för bl.a. sysselsättning och offentlig service i olika delar av landet redovisas. Detsamma gäller små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags. Om förslagen har konsekvenser för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen ska dessa redovisas.
Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
Utredningens direktiv
Regeringen ska enligt 16 § kommittéförordningen ange närmare i utredningsuppdraget vilka konsekvensbeskrivningar som ska finnas i ett betänkande. Enligt utredningens direktiv ska utredningen redogöra för ekonomiska och andra konsekvenser av utredningens förslag. Utöver vad som följer enligt 14–15 a §§kommittéförordningen ska utredningen redovisa förslagens konsekvenser för den personliga integriteten.
13.2. Problembeskrivning
Den 25 maj 2018 ska dataskyddsförordningen börja tillämpas och personuppgiftslagen (1998:204) kommer att upphävas. Inom utbildningsområdet behandlas personuppgifter i stor utsträckning med stöd av bestämmelserna i personuppgiftslagen.
Dataskyddsutredningen har fått i uppdrag att bl.a. föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till.
Enligt utredningens direktiv är uppdraget att analysera om bl.a. en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredningen föreslår att bestämmelser införs som möjliggör nödvändig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser i de fall sådan behandling inte kan ske med stöd av bestämmelserna som Dataskyddsutredningen föreslår i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Ett alternativ skulle kunna vara att föreslå mer detaljerade registerförfattningar för bl.a. skollagsreglerad utbildningsverksamhet samt för högskolor, universitet och yrkeshögskolor. Utredningen anser dock att det är lämpligare att endast föreslå bestämmelser som möjliggör nödvändig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m., se avsnitt 4.7.5, 4.8.4, 4.9, 5.4.5, 5.5, 6.4.5 och 6.5 för utredningens överväganden.
Om inga bestämmelser införs som möjliggör nödvändig behandling av känsliga personuppgifter och i viss mån uppgifter om lagöverträdelser m.m. för de enskilda huvudmännen för fristående förskolor och fristående skolor liksom för de privata utbildningsanordnarna som driver högskola eller yrkesutbildning kommer endast sådan verksamhet som har att tillämpa offentlighetsprincipen kunna behandla känsliga personuppgifter enligt 3 kap. 3 § 2 dataskyddslagen. Det skulle innebära att t.ex. fristående skolor i aktuella fall inte fullt ut skulle kunna fullgöra sina åligganden enligt skollagen.
Beträffande de registerförfattningar som ingår i utredningens uppdrag att se över föreslår utredningen ändringar i form av anpassningar till dataskyddsförordningen och den av Dataskyddsutredningen föreslagna dataskyddslagen. Om inga ändringar sker i dessa författningar kommer de att innehålla bestämmelser som hänvisar till personuppgiftslagen som kommer att upphävas den 25 maj 2018. Dataskyddsförordningen har visserligen, såsom EU-rättsakt, företräde före nationell rätt men det är otillfredsställande om det inte sker anpassningar av de svenska bestämmelserna inför att dataskyddsförordningen ska börja tillämpas.
13.3. Utredningens förslag till nya eller ändrade regler
Utredningen ska analysera om bl.a. en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
En utgångspunkt i utredningens uppdrag har varit att sträva efter lösningar som medför att de personuppgiftsansvariga inom utbildningsområdet kan behandla personuppgifter, när dataskyddsförordningen ska börja tillämpas, på ett liknande sätt som de gör i dagsläget och med stöd av den rättsliga grund som de tillämpar i dagsläget för sin personuppgiftsbehandling. En annan utgångspunkt har varit att dataskyddsförordningens artiklar innehåller ett fullgott skydd för enskildas fri- och rättigheter som inte är lägre än det integritetsskydd som personuppgiftslagens bestämmelser ger. Vidare har en uttalad ambition från utredningens sida varit att när det gäller utbildnings-
anordnare som har samma verksamhetsreglering ska även samma reglering av behandling av personuppgifter gälla oavsett om verksamheten bedrivs i privat eller allmän regi.
Utredningen har bedömt att det finns ett visst behov av nya bestämmelser, utöver de bestämmelser som Dataskyddsutredningen har föreslagit, för att utbildningsanordnarna ska kunna behandla känsliga personuppgifter. Utredningen har därför föreslagit att några nya paragrafer ska införas. För att enskilt bedriven utbildningsverksamhet, t.ex. fristående skolor och enskilda lärosäten, ska kunna behandla känsliga personuppgifter har utredningen föreslagit särskilda bestämmelser, se avsnitten 4.7.5, 5.4.5 och 6.4.5. För skollagsreglerad verksamhet har utredningen dock föreslagit enhetliga bestämmelser i skollagen angående behandling av känsliga personuppgifter. Dessa regler kommer att gälla för de utbildningsformer som drivs av staten, en kommun eller ett landsting i stället för motsvarande bestämmelser i dataskyddslagen som Dataskyddsutredningen föreslår. Detsamma föreslås för kommunerna i samband med vissa åligganden enligt skollagen. På motsvarande sätt föreslår utredningen enhetliga bestämmelser i lagen om yrkeshögskolan som ska tillämpas av såväl offentliga som enskilda utbildningsanordnare inom yrkeshögskolan.
I utredningens uppdrag ingår även att se över om det för ett antal särskilt uppräknade register och Centrala studiestödsnämndens (CSN) studiestödsverksamhet finns behov av att införa särskilda författningar respektive behov av ändringar av bestämmelser i nuvarande författningar med anledning av dataskyddsförordningen och den reglering som Dataskyddsutredningen kommer att föreslå. Utredningen har funnit att det finns ett behov av att kodifiera Universitets- och högskolerådets (UHR) uppgift att föra betygsdatabasen BEDA genom att föreslå en bestämmelse i UHR:s instruktion. Utredningen har även funnit ett behov av att föreslå ändringar i befintliga författningar som reglerar CSN:s studiestödsverksamhet och de aktuella registren med anledning av dataskyddsförordningen. I denna del har utredningen dock inte lämnat förslag till några andra ändringar än rena anpassningar till dataskyddsförordningen.
13.4. Ekonomiska konsekvenser
De konsekvensbedömningar som utredningen gör nedan utgår enbart från uppdraget och tar alltså inte hänsyn till de konsekvenser som följer av att direkt tillämpliga bestämmelser i dataskyddsförordningen ska börja tillämpas den 25 maj 2018 eller att dataskyddslagen förväntas träda i kraft vid den tidpunkten. Dessa regelverk kan dock förväntas få relativt stor påverkan i såväl privat som offentligt bedriven utbildningsverksamhet. De kommer att föranleda ett tämligen omfattande utbildningsbehov, behov av förändringar av verksamhetsinterna rutiner och processer, behov av förändringar i personuppgiftsbiträdesavtal m.m. Vidare anser utredningen att den samlade dataskyddsreformen kan antas få positiva effekter för skyddet av enskildas integritet. Dessa konsekvenser ingår dock inte i utredningens uppdrag att närmare utreda.
13.4.1. Konsekvenser för staten, kommuner och landsting
Bedömning: Förslagen kommer inte att innebära någon kostnads-
ökning för stat, kommuner och landsting.
Utredningens avsikt med lämnade förslag är att dessa ska möjliggöra den personuppgiftsbehandling som redan sker i dagsläget med stöd av personuppgiftslagen när dataskyddsförordningen ska börja tillämpas. Förslagen som möjliggör för statliga, kommunala och landstingskommunala huvudmän som anordnar grundsärskola, specialskola, sameskola, gymnasiesärskola och särskild utbildning för vuxna att behandla känsliga personuppgifter utan att behöva inhämta samtycke bedöms kunna innebära att huvudmännens administrativa börda minskar, och därmed att kostnaderna för administration minskar då dessa skolformer med utredningens förslag inte längre behöver administrera samtycken. Detsamma bedöms gälla för huvudmän för Rhanpassad utbildning och utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning.
När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är inte unikt för de förslag som utredningen presenterar utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs utbildning i detta fall beror inte heller enbart på den lagstiftning
som utredningen föreslår utan främst på den samlade dataskyddsreformen. Kostnader för utbildning täcks normalt av myndigheternas anslag. Kostnaderna för utbildning bör därför rymmas inom befintliga ramar.
Ny lagstiftning kräver normalt också nya interna föreskrifter och styrande dokument. Det får anses ingå i de normala uppgifterna för myndigheterna att ta fram sådana föreskrifter och dokument.
Utredningen har föreslagit att regeringen ska ge lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet. Ett sådant uppdrag bedömer utredningen kan förväntas ta cirka 1,5 till 2 årsarbetskrafter i anspråk under cirka ett års tid. Utredningen bedömer att ett sådant uppdrag bör kunna finansieras inom befintliga ramar.
Utredningens bedömning är att förslagen i övrigt är kostnadsneutrala.
13.4.2. Konsekvenser för enskilda huvudmän som anordnar utbildningsverksamhet
Bedömning: Förslagen kommer inte att innebära någon kostnads-
ökning för enskilda huvudmän som anordnar utbildningsverksamhet.
Antalet enskilda som anordnar utbildningsverksamhet förändras från år till år. Till utbildningsområdet hör huvudmän för fristående förskolor och fristående skolor liksom enskilda lärosäten, anordnare av yrkeshögskola, anordnare av utbildningar som avses i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar samt folkhögskolor som inte drivs av kommuner eller landsting samt studieförbund. Dessa är av olika storlek.
Enligt Statens skolverks (Skolverkets) statistik fanns det hösten 2016 2 708 enskilda förskoleenheter som drevs av 2 058 enskilda huvudmän.1 Hösten 2016 fanns det 582 skolenheter i förskoleklass som drevs i fristående/enskild verksamhet, 820 skolenheter i grundskolan som var fristående, 38 skolenheter i grundsärskolan som var
1 www.skolverket.se/statistik-och-utvardering
fristående, 32 skolenheter i gymnasiesärskolan som var fristående och 428 skolenheter i gymnasieskolan som var fristående.2
Läsåret 2016/17 fanns det 677 fristående fritidshem, som inte anordnas vid en skolenhet med förskoleklass, grundskola eller grundsärskola, som drevs av 551 enskilda huvudmän.3
Enligt Statistiska centralbyråns officiella statistik fanns det år 2014 cirka 1 200 privata aktörer inom kategorin grundläggande vuxenutbildning, gymnasial vuxen- och påbyggnadsutbildning, särskild utbildning för vuxna och övrig utbildning (ej gymnasieskola och gymnasiesärskola).4
Tillgänglig statistik saknas avseende privata aktörer som anordnar utbildning för barn och elever som vårdas på sjukhus eller en institution som är knuten till ett sjukhus, utbildning i hemmet eller på annan lämplig plats.5
Enligt Skolverkets statistik fanns det inom pedagogisk omsorg som regleras enligt 25 kap. skollagen 721 verksamheter i enskild regi hösten 2016. Samma år drevs 49 öppna förskolor i privat regi. Av de öppna fritidsverksamheterna för 10–12-åringar år 2016 drevs 115 i privat regi. Av dessa privata verksamheter ingick 73 i samma organisation som en skola medan resten inte gjorde det. Beträffande omsorg på obekväm tid fanns det 41 verksamheter i enskild regi.6
År 2017 drivs 112 folkhögskolor av folkrörelser eller andra organisationer.7 Folkbildningsrådet fördelar statsbidrag till tio studieförbund.8 Dessutom finns Studieförbundet SISU Idrottsutbildarna.
Det finns i Sverige i dagsläget 17 enskilda utbildningsanordnare med examenstillstånd inom högskolesektorn.9
När det gäller yrkeshögskolan fanns det år 2016 sammanlagt 128 enskilda utbildningsanordnare.10
2 www.skolverket.se/statistik-och-utvardering 3 www.skolverket.se/statistik-och-utvardering 4 Ökad insyn i välfärden, SOU 2016:62, s. 124. 5 Ökad insyn i välfärden, SOU 2016:62, s. 124. 6 www.skolverket.se/statistik-och-utvardering 7 www.folkbildningsradet.se/Folkhogskolor/Vad-ar-en-folkhogskola/ 8 www.folkbildningsradet.se/Studieforbund/ 9 www.uka.se/fakta-om-hogskolan/universitet-och-hogskolor/vad-ar-en-enskildutbildningsanordnare.html 10 Myndigheten för yrkeshögskolans statistiska årsrapport 2017 s. 12.
Samma år fanns det 42 enskilda anordnare av utbildningar enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar.11
Utredningens avsikt med lämnade förslag är att möjliggöra att den personuppgiftsbehandling som redan sker i dagsläget med stöd av personuppgiftslagen ska kunna fortsätta när dataskyddsförordningen börjar tillämpas. Förslagen som möjliggör för enskilda huvudmän som driver grundsärskolor och gymnasiesärskolor att behandla känsliga personuppgifter utan att behöva inhämta samtycke bedöms kunna innebära att den administrativa bördan och därmed kostnader för administration minskar.
När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är inte unikt för de förslag som utredningen presenterar utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs utbildning i detta fall beror inte heller enbart på den lagstiftning som utredningen föreslår utan främst på den samlade dataskyddsreformen.
Ny lagstiftning kräver normalt också nya interna föreskrifter och styrande dokument. Även detta behov är dock så gott som uteslutande ett resultat av dataskyddsförordningens ikraftträdande och alltså inte av utredningens förslag. Sådan anpassning som krävs med anledning av utredningens förslag får anses ingå i de normala uppgifterna för organisationerna.
Eftersom de föreslagna bestämmelserna rör integritetsskydd för de registrerade har inte hänsyn tagits till vilken organisationsform eller företagsstorlek som den personuppgiftsansvarige har vid utformningen av bestämmelserna.
Utredningen har föreslagit att regeringen ska ge lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförhandekod för skolväsendet. Det är utredningens uppfattning att ett framgångsrikt arbete med att ta fram en sådan uppförandekod har goda förutsättningar för att väsentligt minska administrationen och osäkerheten som kan gälla hos utbildningsanordnare i fråga om regelverket för personuppgiftsbehandling. Detta bör i förlängningen, utöver att förstärka integritetsskyddet, bidra till minskade kostnader hos skolhuvudmännen. Utredningens förslag har dock inte den konkretionen, och det ingår inte heller i uppdraget, att närmare bedöma sådana eventuella konsekvenser.
11 Myndigheten för yrkeshögskolans statistiska årsrapport 2017 s. 36.
13.5. Konsekvenser för den personliga integriteten
Bedömning: Förslagen är neutrala rörande integritetsskyddet.
Dataskyddsförordningen anses stärka integritetsskyddet för enskilda och ge dem bättre möjligheter att kunna kontrollera hur deras personuppgifter behandlas. De bestämmelser som utredningen föreslår kommer att ingå som en del i det dataskyddsregelverk som styrs av dataskyddsförordningen.
Utredningen föreslår endast bestämmelser som möjliggör behandling av personuppgifter motsvarande vad som är möjlig med gällande dataskyddsbestämmelser. Utredningens bedömning är därför att förslagen är neutrala beträffande det integritetsintrång som de innebär jämfört med det integritetsintrång som finns i dagsläget med gällande bestämmelser, se avsnitt 4.7.5, 4.8.4, 4.9, 5.4.5, 5.5, 6.4.5 och 6.5.
13.6. Konsekvenser i övrigt
Bedömning: Förslagen förväntas inte få några andra konsekvenser.
Förslagen får inte några konsekvenser för kommuner och landsting generellt eller för den kommunala självstyrelsen. Förslagen får inte heller några konsekvenser för jämställdheten, integrationen eller andra sådana konsekvenser som avses i 15 § kommittéförordningen eller 7 § förordningen om konsekvensutredning vid regelgivning.
14. Ikraftträdande och övergångsbestämmelser
14.1. Ikraftträdande
Förslag: Den nya förordningen – förordningen om sökbegräns-
ningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen – och ändringsförfattningarna ska träda i kraft den 25 maj 2018.
Enligt artikel 99.1 i dataskyddsförordningen träder förordningen i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016.
Av artikel 99.2 följer att förordningen ska tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma dag och att hänvisningar till det upphävda direktivet ska anses som hänvisningar till förordningen.
I skäl 171 till dataskyddsförordningen anges att behandling som redan pågår den dag då förordningen börjar tillämpas bör bringas i överensstämmelse med förordningen inom en period av två år från det att förordningen träder i kraft. Om behandlingen grundar sig på samtycke enligt dataskyddsdirektivet är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen i fråga efter det att förordningen börjar tillämpas, om det sätt på vilket samtycket gavs överensstämmer med villkoren i förordningen. Beslut av kommissionen som antagits och tillstånd från tillsynsmyndigheterna som utfärdats på grundval av dataskyddsdirektivet ska fortsatt vara giltiga tills de ändras, ersätts eller upphävs.
Dataskyddsutredningen föreslår att lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) ska träda i kraft den 25 maj 2018 och att personuppgiftslagen (1998:204, PUL) samtidigt ska upphöra att gälla. Med hänsyn till att dataskyddsförordningen ska börja tillämpas från och med den 25 maj 2018 bör även den nya förordningen och ändringsförfattningarna som utredningen föreslår träda i kraft samma dag. Utredningen föreslår därför att förordningen om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen samt ändringsförfattningarna ska träda i kraft den 25 maj 2018.
14.2. Övergångsbestämmelser
Förslag: Äldre föreskrifter ska fortfarande gälla för ärenden hos
Datainspektionen eller aktuell myndighet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet.
Äldre föreskrifter ska också gälla för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet.
Äldre föreskrifter om skadestånd ska vidare gälla för skada som har orsakats före ikraftträdandet.
Dataskyddsutredningen föreslår vissa övergångsbestämmelser till dataskyddslagen (SOU 2017:39, avsnitt 20.3). Bl.a. föreslås att äldre föreskrifter, dvs. personuppgiftslagen, personuppgiftsförordningen (1998:1191) och föreskrifter som har meddelats med stöd av dessa, fortfarande ska gälla för ärenden som har inletts hos Datainspektionen men inte avgjorts före ikraftträdandet. Äldre föreskrifter ska också gälla för överklagande av beslut som har meddelats med stöd av dessa föreskrifter.
Skälen till varför dessa övergångsbestämmelser föreslås är att det sannolikt kommer att finnas ärenden som har inletts hos Datainspektionen – genom att de anhängiggjorts av myndigheter eller enskilda, eller på inspektionens eget initiativ − före ikraftträdandet men ännu inte har avgjorts den 25 maj 2018. Dessa ärenden ska handläggas enligt personuppgiftslagen och föreskrifter som meddelats med stöd av den lagen. Detsamma ska gälla för överklagande av beslut som har meddelats med stöd av äldre föreskrifter.
Dataskyddsutredningen anser vidare att bestämmelserna i 48 § PUL – om skadeståndsskyldighet för personuppgiftsansvariga och möjlighet att jämka sådan ersättningsskyldighet i vissa fall – bör fortsätta att gälla för skada som har orsakats före upphävandet av personuppgiftslagen. Dataskyddsutredningen föreslår därför en övergångsbestämmelse i linje med den uppfattningen.
Utredningens bedömning är att det i ändringsförfattningarna till studiestödsdatalagen (2009:287), förordningen (2011:268) om lärar- och förskollärarregister, förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar samt förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, av samma skäl som redovisats ovan, finns behov av att införa motsvarande övergångsbestämmelser. Utredningen föreslår därför att det införs övergångsbestämmelser som anger att – äldre föreskrifter fortfarande gäller för ärenden hos Datainspek-
tionen eller aktuell myndighet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet, – äldre föreskrifter fortfarande gäller för överklagande av beslut som
avser behandlingar som utförts före ikraftträdandet, och – äldre föreskrifter om skadestånd fortfarande gäller för skada som
har orsakats före ikraftträdandet.
Att äldre bestämmelser om skadestånd gäller för skadefall som inträffat före ikraftträdandet följer i och för sig av allmänna rättsgrundsatser (prop. 1972:5 s. 593). Utredningen anser dock att detta tydligt ska framgå.
15. Författningskommentar
15.1. Förslaget till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina
10 § Bestämmelserna i 11–13 §§ kompletterar Europaparlamentets
och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid enskilda utbildningsanordnares behandling av personuppgifter, om inte annat följer av 11–13 §§ eller föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Paragrafen, som är ny, reglerar förhållandet mellan lagens bestämmelser om personuppgiftsbehandling och andra dataskyddsbestämmelser. Övervägandena finns i avsnitt 5.4.5.
Första stycket innehåller en upplysning om att bestämmelserna i 11–13 §§ kompletterar dataskyddsförordningens bestämmelser. För en enskild utbildningsanordnares personuppgiftsbehandling gäller således i huvudsak bestämmelserna i dataskyddsförordningen.
I andra stycket upplyses om att dataskyddslagen är subsidiär i förhållande till annan lagstiftning. En enskild utbildningsanordnare ska således tillämpa den särreglering om känsliga personuppgifter och uppgifter som rör fällande domar i brottmål som finns i 11–13 §§ i stället för bestämmelserna i dataskyddslagen med tillhörande förordning.
11 § Känsliga personuppgifter får med stöd av artikel 9.2 g i data-
skyddsförordningen behandlas av en enskild utbildningsanordnare
1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,
2. om uppgifterna har lämnats till den enskilde utbildningsanordnaren och behandlingen krävs enligt lag, eller
3. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Paragrafen är ny och anger, tillsammans med 13 §, när enskilda utbildningsanordnare får behandla känsliga personuppgifter. Paragrafen har motsvarande utformning som 3 kap. 3 § dataskyddslagen. Övervägandena finns i avsnitt 5.4.5.
Punkt 1, som delvis motsvarar 8 § personuppgiftsförordningen (1998:1191), möjliggör behandling av känsliga personuppgifter i en enskild utbildningsanordnares ärenden om t.ex. anpassning vid högskoleprovet, avsteg vid antagning, särskilt pedagogiskt stöd, statsbidrag för särskilt utbildningsstöd, trakasserier, sexuella trakasserier, disciplinär åtgärd eller avskiljande, förutsatt att behandlingen sker i löpande text och inte som strukturerad information i register eller liknande. Begränsningen till löpande text utesluter inte att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.
Vidare måste uppgifterna ha lämnats in av någon utomstående eller vara nödvändiga för handläggningen av ärendet. Ordet nödvändigt bör här ha motsvarande betydelse som i EU-rätten, dvs. det innebär inte ett krav på att det ska vara helt omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att behandlingsåtgärden vidtas (EU-domstolens dom den 16 december 2008 i mål nr C-524/06, Huber mot Tyskland).
Punkt 2 möjliggör sådan behandling av känsliga personuppgifter som är oundviklig för de enskilda utbildningsanordnare som omfattas av tryckfrihetsförordningens och offentlighets- och sekretesslagens (2009:400) bestämmelser om allmänna handlingar. Bestämmelsen tar över motsvarande reglering i 1 kap. 5 § och 3 kap. 3 § 2 dataskyddslagen.
Punkt 3 möjliggör behandling av känsliga personuppgifter hos en enskild utbildningsanordnare i enstaka fall även i situationer då det
saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet i den faktiska verksamheten när beslutade stödåtgärder på olika sätt ska verkställas.
Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Det innebär också ett krav på att behovet av att behandla den känsliga personuppgiften i det enskilda fallet ska prövas noga mot ändamålet med behandlingen.
Vidare ställer bestämmelsen krav på att ytterligare en avvägning ska göras för att behandling av känsliga personuppgifter ska få ske i det enskilda fallet, nämligen om en i och för sig absolut nödvändig behandling av känsliga personuppgifter ändå innebär ett otillbörligt intrång i den registrerades integritet. Vid bedömningen av om behandlingen utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning den registrerade kan antas ha till att uppgiften behandlas, den spridning uppgiften skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.
12 § Personuppgifter som rör fällande domar i brottmål får behandlas
av en enskild utbildningsanordnare i löpande text i ett ärende om avskiljande av student från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värdefull egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.
Paragrafen, som är ny, möjliggör för enskilda utbildningsanordnare att behandla personuppgifter som rör fällande domar i brottmål i ett ärende om avskiljande av student från utbildning. Övervägandena finns i avsnitt 5.4.5.
Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att bestämmelsen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Det innebär också ett krav på att behovet av att behandla personuppgifter som rör fällande domar i brottmål i det enskilda fallet ska prövas noga mot ändamålet med behandlingen.
Vidare ställer bestämmelsen krav på att den personuppgiftsansvarige, innan den avsedda behandlingen, ska göra en avvägning mellan intresset av att skydda andra personer och värdefull egendom och den risk för ett otillbörligt intrång i den registrerades integritet som behandlingen kan innebära.
13 § Vid behandling enligt 11 och 12 §§ får en enskild utbildnings-
anordnare inte använda sökbegrepp som avslöjar känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål.
Paragrafen är ny och har, i den del som avser känsliga personuppgifter, motsvarande utformning som 3 kap. 4 § dataskyddslagen. Paragrafen innebär att det gäller ett förbud mot sökning på känsliga personuppgifter och uppgifter som rör fällande domar i brottmål hos en enskild utbildningsanordnare som behandlar sådana uppgifter. För enskilda utbildningsanordnare som omfattas av offentlighetsprincipen tar bestämmelsen, i den del som avser känsliga personuppgifter, över motsvarande reglering i 1 kap. 5 § och 3 kap. 4 § dataskyddslagen. Övervägandena finns i avsnitt 5.4.5.
Sökförbuden införs för att tillgodose kraven på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen i artikel 9.2 g och artikel 10 i dataskyddsförordningen. Sökningar som avslöjar och sammanställer känsliga personuppgifter och uppgifter som rör fällande domar i brottmål är åtgärder som i sig innebär en integritetskränkning. Förbudet omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter eller uppgifter om fällande domar i brottmål avslöjas.
Sökförbudet innebär att offentlighetsprincipen, i den mån den är tillämplig, inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förvarad hos den enskilda utbildningsanordnaren. Det bör dock understrykas att begränsningsregeln inte hindrar att sökningar görs i färdiga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar, dvs. sökning får på begäran ske i upptagningar där utbildningsanordnaren eller den som lämnat in
handlingen till utbildningsanordnaren har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.
15.2. Förslaget till lag om ändring i lagen om yrkeshögskolan (2009:128)
19 a § Bestämmelserna i 19 b–19 g §§ kompletterar Europaparlamen-
tets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid utbildningsanordnares behandling av personuppgifter, om inte annat följer av 19 b–19 f §§ eller föreskrifter som har meddelats med stöd av denna lag eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Paragrafen, som är ny, reglerar förhållandet mellan lagens bestämmelser om personuppgiftsbehandling och andra dataskyddsbestämmelser. Övervägandena finns i avsnitt 6.4.5.
Första stycket innehåller en upplysning om att bestämmelserna i 19 b–19 g §§ kompletterar dataskyddsförordningens bestämmelser.
För utbildningsanordnarnas personuppgiftsbehandling gäller således i huvudsak bestämmelserna i dataskyddsförordningen.
I andra stycket upplyses om att dataskyddslagen är subsidiär i förhållande till annan lagstiftning. En utbildningsanordnare ska således tillämpa den särreglering som anges i 19 b–19 f §§ i stället för motsvarande bestämmelser i dataskyddslagen. I stället för bestämmelserna om behandling av känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen enligt 3 kap. 3 och 4 §§ dataskyddslagen ska offentliga utbildningsanordnare således tillämpa bestämmelserna i lagen om yrkeshögskolan.
19 b § Känsliga personuppgifter får med stöd av artikel 9.2 g i data-
skyddsförordningen behandlas av en utbildningsanordnare i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende.
Paragrafen är ny och anger, tillsammans med 19 c, 19 d och 19 f §§, när utbildningsanordnare får behandla känsliga personuppgifter. Bestämmelsen har motsvarande utformning som 3 kap. 3 § 1 dataskyddslagen. För de offentliga utbildningsanordnarna tar bestämmelsen över nämnda bestämmelse i dataskyddslagen. Bestämmelsen har sin grund i artikel 9.2 g i dataskyddsförordningen, dvs. behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse. Övervägandena finns i avsnitt 6.4.5.
Bestämmelsen, som delvis motsvarar 8 § personuppgiftsförordningen, möjliggör behandling av känsliga personuppgifter i en utbildningsanordnares ärenden om t.ex. särskilt pedagogiskt stöd, trakasserier, sexuella trakasserier eller avskiljande, förutsatt att behandlingen sker i löpande text och inte som strukturerad information i register eller liknande. Begränsningen till löpande text utesluter inte att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.
Vidare måste uppgifterna ha lämnats in av någon utomstående eller vara nödvändiga för handläggningen av ärendet. Ordet nödvändigt bör här ha motsvarande betydelse som i EU-rätten, dvs. det innebär inte ett krav på att det ska vara helt omöjligt att utföra uppgiften utan att behandlingsåtgärden vidtas (EU-domstolens dom den 16 december 2008 i mål nr C-524/06, Huber mot Tyskland).
19 c § Statliga universitet och högskolor samt andra statliga myn-
digheter, kommuner och landsting som anordnar utbildning får med stöd av artikel 9.2 g i dataskyddsförordningen behandla känsliga personuppgifter om uppgifterna har lämnats till universitetet, högskolan, myndigheten, kommunen eller landstinget och behandlingen krävs enligt lag.
Paragrafen, som är ny, har motsvarande utformning som 3 kap. 3 § 2 dataskyddslagen. Bestämmelsen tar över nämnda bestämmelse i dataskyddslagen. Paragrafen möjliggör sådan behandling av känsliga personuppgifter som är oundviklig för de offentliga utbildningsanordnarna på grund av tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens (1986:223) bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post. Övervägandena finns i avsnitt 6.4.5.
19 d § Utöver vad som följer av 19 b och 19 c §§ får känsliga person-
uppgifter med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en utbildningsanordnare i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Paragrafen, som är ny, har motsvarande utformning som 3 kap. 3 § 3 dataskyddslagen. För de offentliga utbildningsanordnarna tar bestämmelsen över nämnda bestämmelse i dataskyddslagen. Övervägandena finns i avsnitt 6.4.5.
Bestämmelsen möjliggör behandling av känsliga personuppgifter hos en utbildningsanordnare i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet i den faktiska verksamheten när beslutade stödåtgärder på olika sätt ska verkställas.
Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Det innebär också ett krav på att behovet av att behandla den känsliga personuppgiften i det enskilda fallet ska prövas noga mot ändamålet med behandlingen.
Vidare ställer bestämmelsen krav på att ytterligare en avvägning ska göras för att behandling av känsliga personuppgifter ska få ske i det enskilda fallet, nämligen om en i och för sig absolut nödvändig behandling av känsliga personuppgifter ändå innebär ett otillbörligt intrång i den registrerades integritet. Vid bedömningen av om behandlingen utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning den registrerade kan antas ha till att uppgiften behandlas, den spridning uppgiften skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.
19 e § Utbildningsanordnare med en enskild fysisk eller juridisk per-
son som huvudman får behandla personuppgifter som rör fällande domar i brottmål i löpande text i ett ärende om avskiljande av studerande från utbildning, om det är absolut nödvändigt för ändamålet med behandlingen och om intresset av att skydda andra personer och värde-
full egendom klart väger över den risk för otillbörligt intrång i den registrerades personliga integritet som behandlingen kan innebära.
Paragrafen, som är ny, möjliggör för enskilda utbildningsanordnare att i vissa fall behandla personuppgifter som rör fällande domar i brottmål. Övervägandena finns i avsnitt 6.4.5.
Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att bestämmelsen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Det innebär också ett krav på att behovet av att behandla uppgifter som rör fällande domar i brottmål i det enskilda fallet ska prövas noga mot ändamålet med behandlingen.
Vidare ställer bestämmelsen krav på att den personuppgiftsansvarige, innan den avsedda behandlingen, ska göra en avvägning mellan intresset av att skydda andra personer och värdefull egendom och den risk för ett otillbörligt intrång i den registrerades integritet som behandlingen kan innebära.
19 f § Vid behandling enligt 19 b–19 d §§ får en utbildningsanord-
nare inte använda sökbegrepp som avslöjar känsliga personuppgifter.
Vid behandling enligt 19 e § får en enskild utbildningsanordnare inte använda sökbegrepp som avslöjar personuppgifter som rör fällande domar i brottmål.
Paragrafen är ny. Paragrafens första stycke har motsvarande utformning som 3 kap. 4 § dataskyddslagen. För de offentliga utbildningsanordnarna tar bestämmelsen över nämnda bestämmelse i dataskyddslagen. Paragrafens första stycke innebär att det gäller ett förbud mot sökning på känsliga personuppgifter hos utbildningsanordnare. Paragrafens andra stycke innebär att det för enskilda utbildningsanordnare gäller motsvarande sökförbud för personuppgifter som rör fällande domar i brottmål. Övervägandena finns i avsnitt 6.4.5.
Sökförbuden införs för att tillgodose kraven på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen i artikel 9.2 g och artikel 10 i dataskyddsförordningen. Sökningar som avslöjar och sammanställer känsliga personuppgifter och uppgifter som rör fällande domar i brottmål är åtgärder som i sig innebär en integritetskränkning. Förbuden omfattar alla tekniska
åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål avslöjas.
För offentliga utbildningsanordnare innebär sökförbudet för känsliga personuppgifter att offentlighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förvarad hos den offentliga utbildningsanordnaren. Det bör dock understrykas att begränsningsregeln inte hindrar att sökningar görs i färdiga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar, dvs. sökning får på begäran ske i upptagningar där utbildningsanordnaren eller den som lämnat in handlingen till utbildningsanordnaren har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.
19 g § Regeringen får meddela föreskrifter om ytterligare undantag
från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.
Paragrafen, som är ny, innebär ett bemyndigande för regeringen att meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter för utbildningsanordnarna. Paragrafen motsvarar delvis 3 kap. 8 § dataskyddslagen, som delvis motsvarar 20 § PUL. Övervägandena finns i avsnitt 6.4.5.
15.3. Förslaget till lag om ändring i studiestödsdatalagen (2009:287)
2 § Denna lag kompletterar Europaparlamentets och rådets förord-
ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna
lag, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Vid Centrala studiestödsnämndens behandling av personuppgifter för att framställa statistik ska lagen ( 2001:99 ) om den officiella statistiken och anslutande författningar tillämpas i stället för denna lag.
Paragrafens första stycke har ändrats på så sätt att hänvisningen till personuppgiftslagen (1998:204) ersatts med en upplysningsbestämmelse om dataskyddsförordningen och, i andra stycket, en reglering om förhållandet till dataskyddslagen. Nuvarande andra stycket har flyttats till ett nytt tredje stycke. Övervägandena finns i avsnitt 8.3.
6 § Särskilda begränsningar gäller för behandling av personuppgifter
som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt för behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Särskilda begränsningar gäller även för behandling av personuppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Uppgifter enligt första och andra stycket får behandlas bara för ändamål som avses i 4 § första stycket 1, om uppgifterna har lämnats i ett ärende i studiestödsverksamheten eller behövs för handläggningen av ett sådant ärende, eller för ändamål som avses i 4 § första stycket 6 och andra stycket.
Paragrafen har ändrats på så sätt att den omfattar samtliga kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen och som där benämns särskilda kategorier av personuppgifter. Övriga ändringar i lagrummet är endast redaktionella. Övervägandena finns i avsnitt 8.3.
7 § Trots 4 § första stycket får personuppgifter behandlas i Centrala
studiestödsnämndens studiestödsverksamhet med den registrerades samtycke. Uppgifter som avses i 6 § får behandlas för andra ändamål än som anges i paragrafen bara med den registrerades uttryckliga samtycke.
Uppgifter som behandlas med samtycke enligt första stycket får också behandlas enligt 4 § andra stycket.
Paragrafen har ändrats på så sätt att bestämmelsen i tredje stycket om återkallande av samtycke har utgått, eftersom motsvarande reglering finns i artikel 7.3 i dataskyddsförordningen som är direkt tilllämplig. Övervägandena finns i avsnitt 8.3.
8 § Som sökbegrepp får inte användas
1. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
2. genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning,
3. uppgifter som avser lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,
4. uppgifter som rör inkomst, förmögenhet eller anledning till studieavbrott, eller
5. uppgift om att det allmänna helt eller till en väsentlig del bekostat en persons uppehälle.
Vid sökning i ett visst ärende om studiestöd, i en viss handling eller i en sådan avskild samling av personuppgifter som avses i 4 § andra stycket andra meningen får dock sökbegrepp som anges i första stycket användas. Som sökbegrepp får också användas uppgifter som rör
1. hälsa för att ge behörig personal elektronisk tillgång till pågående ärenden där sjukdom har betydelse, och
2. inkomst och förmögenhet för att ge behörig personal elektronisk tillgång till ärenden i syfte att kunna genomföra kontroller av uppgifter som har legat till grund för ett beslut i ett ärende.
I paragrafens första stycke har ändringar gjorts så att samtliga kategorier av uppgifter som anges i artikel 9.1 i dataskyddsförordningen finns med. Övervägandena finns i avsnitt 8.3.
16 § Om återbetalning eller återkrav av studiestöd inte är aktuellt i ett
ärende om studiestöd, ska personuppgifterna i ärendet gallras senast tre år efter utgången av det kalenderår då studiestöd senast beviljades i ärendet eller ansökan om studiestöd avslogs. I annat fall ska personupp-
gifterna i ärendet gallras senast två år efter utgången av det kalenderår då full betalning skedde eller betalningsskyldigheten annars upphörde. Sådana personuppgifter i ärendet som kan ha betydelse i ett nytt ärende om studiestöd eller som kan ha betydelse för återkrav av studiestöd i form av bidrag behöver dock inte gallras förrän de inte längre kan ha sådan betydelse.
Personuppgifter som behandlas enligt 4 § första stycket 3 ska, i den utsträckning de inte har tillförts ett ärende om studiestöd, gallras senast ett år efter det att uppgifterna registrerades.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för redovisningsändamål, även om föreskrifterna kommer att avvika från första stycket. Centrala studiestödsnämnden får också, trots första stycket, i enstaka fall besluta att personuppgifterna i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.
I paragrafens tredje stycke har formuleringen ”historiska, statistiska eller vetenskapliga ändamål” bytts ut mot den formulering som används i dataskyddsförordningen, dvs. ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. Övervägandena finns i avsnitt 8.3.
15.4. Förslaget till lag om ändring i skollagen (2010:800)
28 a kap. Behandling av personuppgifter
1 § Detta kapitel tillämpas vid behandling av personuppgifter i verk-
samhet som utförs med stöd av denna lag eller föreskrifter som meddelats med stöd av lagen och de bestämmelser för utbildningen som kan finnas i andra författningar samt beslut som meddelats med stöd av dessa av
1. en huvudman inom skolväsendet enligt 2 kap.,
2. en hemkommun enligt denna lag, eller
3. en aktör enligt 24 och 25 kap.
Paragrafen, som är ny, är en upplysningsbestämmelse om när kapitlet är tillämpligt och de organ enligt skollagen som kan tillämpa det.
2 § Bestämmelserna i detta kapitel kompletterar Europaparlamentets
och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter, om inte annat följer av bestämmelserna i detta kapitel eller föreskrifter som har meddelats med stöd av 9 § tredje stycket eller 10 § eller lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Detta kapitel ska inte tillämpas på vårdgivares behandling av personuppgifter inom hälso- och sjukvården eller Kriminalvårdens verksamhet enligt 24 kap. 10 §.
Paragrafen, som är ny, reglerar förhållandet mellan lagens bestämmelser om personuppgiftsbehandling och andra dataskyddsbestämmelser. Övervägandena finns i avsnitt 4.7.5.
Första stycket innehåller en upplysning om att bestämmelserna i detta kapitel kompletterar dataskyddsförordningens bestämmelser.
För den personuppgiftsbehandling som ett organ som avses enligt 1 § utför gäller således i huvudsak bestämmelserna i dataskyddsförordningen.
I andra stycket upplyses om att dataskyddslagen är subsidiär i förhållande till annan lagstiftning. Ett organ som avses i 1 § ska således tillämpa den särreglering som anges i detta kapitel i stället för motsvarande bestämmelser i dataskyddslagen. I stället för bestämmelserna om behandling av känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen enligt 3 kap. 3 och 4 §§ dataskyddslagen gäller således bestämmelserna i detta kapitel.
Genom bestämmelsen i tredje stycket undantas den personuppgiftsbehandling som sker inom elevhälsan med stöd av bl.a. patientdatalagens (2008:355) bestämmelser från kapitlets bestämmelser. Det innebär att hälso- och sjukvårdspersonal inom elevhälsan som i dagsläget är skyldig att föra patientjournal och behandla personuppgifter enligt patientdatalagens bestämmelser även fortsättningsvis
ska tillämpa patientdatalagen med tillhörande föreskrifter och inte bestämmelserna i detta kapitel för den personuppgiftsbehandling som omfattas av patientdatalagens tillämpningsområde.
I tredje stycket undantas även den personuppgiftsbehandling som sker hos Kriminalvården med anledning av utbildningen för intagna i kriminalvårdsanstalt enligt 24 kap. 10 §. Kriminalvården ska i stället tillämpa den av Utredningen om 2016 års dataskyddsdirektiv föreslagna brottsdatalagen (2018:xx) vid sin personuppgiftsbehandling (se SOU 2017:29).
3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskydds-
förordningen behandlas av ett sådant organ som avses i 1 §
1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, eller
2. om uppgifterna har lämnats till organet och behandlingen krävs enligt lag.
Paragrafen är ny. Paragrafen anger, tillsammans med 4–9 §§ när organen som anges i 1 § får behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen. Bestämmelsen har motsvarande utformning som 3 kap. 3 § 1 och 2 dataskyddslagen. Bestämmelsen i 3 § 1 motsvarar delvis 8 § personuppgiftsförordningen (1998:1191).
För de offentliga huvudmännen och hemkommunerna tar bestämmelsen över motsvarande bestämmelse i dataskyddslagen. Även de enskilda huvudmän som – om förslagen i SOU 2015:82 och SOU 2016:62 genomförs – omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) ska tillämpa 3 § 2 i stället för 3 kap. 3 § 2 dataskyddslagen. Övervägandena finns i avsnitt 4.7.5.
Punkten 1 möjliggör behandling av känsliga personuppgifter i ett organs ärenden, förutsatt att behandlingen sker i löpande text och inte som strukturerad information i register eller liknande. Bestämmelsen är avsedd att reglera sådan behandling som sker i ärenden i dessas kärnverksamhet, dvs. huvudmännens utbildningsverksamhet enligt skollagen med tillhörande föreskrifter eller i ärenden enligt skollagen hos hemkommunerna. Uppgifterna måste vidare ha lämnats in av någon utomstående eller vara nödvändiga för handlägg-
ningen av ärendet. Begränsningen till löpande text utesluter inte att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande.
Ordet nödvändigt bör här ha motsvarande betydelse som i EUrätten, dvs. det innebär inte ett krav på att det ska vara helt omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att behandlingsåtgärden vidtas (EU-domstolens dom den 16 december 2008 i mål nr C-524/06, Huber mot Tyskland).
Punkten 2 möjliggör sådan behandling av känsliga personuppgifter som är oundviklig i ett organs verksamhet som en direkt följd av tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens (1986:223) bestämmelser om allmänna handlingar, diarieföring och skyldighet att ta emot e-post.
4 § I grundsärskolan, specialskolan, gymnasiesärskolan och särskild
utbildning för vuxna får med stöd av artikel 9.2 g i dataskyddsförordningen uppgifter om hälsa behandlas om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vad som föreskrivs i första stycket gäller även
1. i gymnasieskolan med Rh-anpassad utbildning,
2. i utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning,
3. i fristående förskoleklass som begränsats till att avse elever som är i behov av särskilt stöd för sin utveckling enligt 9 kap. 17 §,
4. i fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 10 kap. 35 § 2, och
5. i fristående gymnasieskola som begränsats till att avse elever som är i behov av särskilt stöd enligt 15 kap. 33 § 1.
Paragrafen är ny. Paragrafen, som har sin grund i artikel 9.2 g i dataskyddsförordningen omfattar grundsärskolan, specialskolan, gymnasiesärskolan, särskild utbildning för vuxna, fristående skolor som begränsats till elever som är i behov av särskilt stöd och vissa gymnasieutbildningar som vänder sig särskilt till elever med funktionsnedsättningar. Paragrafen möjliggör att nödvändig personuppgiftsbehandling kan ske hos dessa aktörer utan samtycke från eleven eller dess vårdnadshavare under förutsättning att behandlingen inte inne-
bär ett otillbörligt intrång i den registrerades integritet. Övervägandena finns i avsnitt 4.7.5.
Inom dessa utbildningsformer är alla personuppgifter känsliga personuppgifter eftersom eleverna som går i dessa har en funktionsnedsättning. En uppgift om att en elev går på en sådan skola eller sådan utbildning blir därför en uppgift om hälsa. Syftet med bestämmelsen är att personuppgifter som t.ex. namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till dessa ska kunna behandlas i t.ex. elevregister, klasslistor och närvarolistor, men även i löpande text i den faktiska verksamheten, dvs. undervisningen, utan att samtycke behöver inhämtas, på samma sätt som motsvarande uppgifter i t.ex. en grundskola. Det måste dock beaktas att det rör sig om känsliga personuppgifter vilket har betydelse vid bestämmande av dataskydd och åtkomstbegränsningar.
Då bestämmelserna innebär en mer tillåtande behandling av vissa känsliga personuppgifter för dessa skolformer och utbildningar än andra uppställs ett krav att behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet. Vid bedömningen av om en personuppgiftsbehandling utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet, den inställning den registrerade kan antas ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få.
Beträffande behandling av andra känsliga personuppgifter än uppgift om hälsa gäller de övriga bestämmelserna i detta kapitel även för dessa skolformer och utbildningar.
5 § I sameskolan får med stöd av artikel 9.2 g i dataskyddsförord-
ningen uppgifter om etniskt ursprung behandlas om det är nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Paragrafen är ny. Paragrafen, som har sin grund i artikel 9.2 g i dataskyddsförordningen, möjliggör att nödvändig personuppgiftsbehandling inom sameskolan kan ske utan samtycke. I sameskolan är en uppgift om att en elev går på skolan en uppgift om etniskt ursprung och därigenom en känslig personuppgift. Övervägandena finns i avsnitt 4.7.5.
Syftet med bestämmelsen är att personuppgifter som t.ex. namn, personnummer, adress, vårdnadshavare och kontaktuppgifter till
dessa ska kunna behandlas i t.ex. elevregister, klasslistor och närvarolistor, men även i löpande text i den faktiska verksamheten, dvs. undervisningen, utan att samtycke måste inhämtas på samma sätt som motsvarande uppgifter i t.ex. en grundskola. Det måste dock beaktas att det rör sig om känsliga personuppgifter vilket har betydelse vid bestämmande av dataskydd och åtkomstbegränsningar.
Då bestämmelserna innebär en mer tillåtande behandling av uppgiften om etniskt ursprung för sameskolan än andra skolformer uppställs ett krav att behandlingen inte innebär ett otillbörligt intrång i den registrerades integritet. Vid bedömningen av om en personuppgiftsbehandling utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet, den inställning den registrerade kan antas ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få.
Beträffande behandling av andra känsliga personuppgifter än uppgift om etniskt ursprung gäller de övriga bestämmelserna i detta kapitel även för sameskolan.
6 § En hemkommun får med stöd av artikel 9.2 g i dataskyddsför-
ordningen behandla uppgifter om hälsa om det är nödvändigt för handläggningen av
1. ett ärende om mottagande i grundsärskolan enligt 7 kap. 5 § andra stycket,
2. ett ärende om en sökande tillhör målgruppen för gymnasiesärskolan enligt 18 kap. 5 §, eller
3. ett ärende om tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd.
För att behandlingen enligt första stycket ska vara tillåten krävs dessutom att den inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Paragrafen är ny. Paragrafen, som har sin grund i artikel 9.2 g i dataskyddsförordningen, möjliggör för hemkommunen att kunna behandla nödvändiga uppgifter i ärenden om dels mottagande i grundsärskolan och om sökanden tillhör målgruppen för gymnasiesärskolan, dels tilläggsbelopp för en elev som har ett omfattande behov av särskilt stöd. Paragrafen möjliggör för hemkommunen att behandla nödvändiga uppgifter i dels löpande text, dels i ärendehanteringssystem. Övervägandena finns i avsnitt 4.7.5.
För att minska risken för integritetsintrång uppställs i andra stycket ett krav på att behandlingen inte får innebära ett otillbörligt intrång i den registrerades personliga integritet för att den ska vara tillåten. Vid bedömningen av om en personuppgiftsbehandling utgör ett otillbörligt intrång ska vikt läggas vid t.ex. uppgifternas känslighet, den inställning den registrerade kan antas ha till att uppgiften behandlas och den spridning uppgiften skulle komma att få.
7 § En hemkommun får med stöd av artikel 9.2 g i dataskyddsför-
ordningen behandla uppgifter om etniskt ursprung och hälsa i form av elevens namn, personnummer, samordningsnummer, adress och vårdnadshavare om det är nödvändigt för att fullgöra skyldigheter enligt 7 kap. 21 §.
Paragrafen är ny. Paragrafen, som har sin grund i artikel 9.2 g i dataskyddsförordningen, möjliggör för hemkommunen att behandla vissa särskilt angivna uppgifter om elever om hemkommunen bedömer att det är nödvändigt för att uppfylla sitt ansvar enligt 7 kap. 21 § skollagen att se till att skolpliktiga barn som inte går i dess grundskola eller grundsärskola på något annat sätt får föreskriven utbildning. För att kunna uppfylla denna skyldighet är kommunerna i behov av att kunna föra ett register över var de skolpliktiga barnen fullgör sin skolplikt. En uppgift om att en elev går i t.ex. en fristående grundsärskola är en uppgift om hälsa och en uppgift om att en elev går i en sameskola är en uppgift om etniskt ursprung.
En kommun kan med stöd av bestämmelsen behandla uppgifter om att en elev fullgör sin skolplikt i t.ex. en fristående grundsärskola eller i en sameskola.
För att säkerställa den registrerades grundläggande rättigheter och intressen begränsas de känsliga personuppgifter som får behandlas till elevens namn, personnummer, samordningsnummer, adress och vårdnadshavare om det är nödvändigt för att fullgöra skyldigheter enligt 7 kap. 21 § skollagen. Övervägandena finns i avsnitt 4.7.5.
8 § Utöver vad som följer av 3–7 §§ får ett organ som avses i 1 §
behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen i enstaka fall, om det är absolut nödvändigt för
ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Paragrafen är ny. Paragrafen har motsvarande utformning som 3 kap. 3 § 3 dataskyddslagen. För de offentliga huvudmännen och hemkommunerna tar bestämmelsen över nämnda bestämmelse i dataskyddslagen. Övervägandena finns i avsnitt 4.7.5.
Paragrafen möjliggör behandling av känsliga personuppgifter hos ett organ i enstaka fall även i situationer då det saknas en koppling till ett visst ärende eller behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet i faktisk verksamhet i skolväsendet såsom i kommunikation mellan skola och föräldrar.
Kravet på att behandlingen ska vara absolut nödvändig för syftet med behandlingen innebär att regleringen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Det innebär också ett krav på att behovet av att behandla den känsliga personuppgiften i det enskilda fallet ska prövas noga mot ändamålet med behandlingen.
Vidare ställer bestämmelsen krav på att ytterligare en avvägning ska göras för att behandling av känsliga personuppgifter ska få ske i det enskilda fallet, nämligen om en i och för sig absolut nödvändig behandling av känsliga personuppgifter ändå innebär ett otillbörligt intrång i den registrerades integritet. Vid bedömningen av om behandling utgör ett otillbörligt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning den registrerade kan antas ha till att uppgiften behandlas, den spridning uppgiften skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.
9 § Vid behandling enligt 3–8 §§ får sökbegrepp som avslöjar käns-
liga personuppgifter inte användas.
Förbudet i första stycket gäller inte användning av sökbegrepp som avslöjar
1. hälsa i de utbildningsformer som anges i 4 §,
2. etniskt ursprung i sameskolan som anges i 5 §,
3. hälsa i hemkommunen i ärenden som anges i 6 §, och
4. hälsa eller etniskt ursprung i form av namn, personnummer, samordningsnummer och adress i hemkommunen som anges i 7 §.
Regeringen får meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som anges i andra stycket.
Paragrafen är ny. Paragrafens första stycke har motsvarande utformning som 3 kap. 4 § dataskyddslagen. För de offentliga huvudmännen och hemkommunerna tar bestämmelsen över motsvarande bestämmelse i dataskyddslagen. Även för enskilda huvudmän som – om förslagen i SOU 2015:82 och SOU 2016:62 genomförs – kommer att omfattas av offentlighetsprincipen tar bestämmelsen, i den del som avser känsliga personuppgifter, över motsvarande reglering i 1 kap. 5 § och 3 kap. 4 § dataskyddslagen.
Paragrafens första stycke innebär att det gäller ett förbud mot sökning på känsliga personuppgifter hos ett organ som behandlar sådana uppgifter. Paragrafens andra stycke innehåller undantag för vissa utbildningsformer och för hemkommunen för vissa särskilt angivna ärenden och uppgifter. Övervägandena finns i avsnitt 4.7.5.
Sökförbudet i första stycket införs för att tillgodose kraven på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen i artikel 9.2 g i dataskyddsförordningen. Förbudet omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.
Sökförbudet innebär att offentlighetsprincipen, i den mån den är tillämplig, inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förvarad hos organet som avses i 1 §. Det bör dock understrykas att begränsningsregeln inte hindrar att sökningar görs i färdiga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar, dvs. sökning får på begäran ske i upptagningar där organet eller den som lämnat in handlingen till organet har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.
Paragrafens andra stycke innehåller bestämmelser om undantag från sökförbudet. Alla personuppgifter om en elev i t.ex. grundsärskolan är en uppgift om hälsa eftersom endast elever som har en funktionsnedsättning går i denna skolform. Alla uppgifter om en elev i sameskolan är en uppgift om etniskt ursprung eftersom det är
främst barn till samer som får fullgöra sin skolplikt i sameskolan. Paragrafens första stycke medför att personalen i dessa skolformer är förhindrade att söka på elevernas personuppgifter. Paragrafens andra stycke möjliggör dock för personalen i grundsärskolan, specialskolan, gymnasiesärskolan, särskild utbildning för vuxna, fristående skola som begränsats till att avse elever som är i behov av särskilt stöd, gymnasieskolan med Rh-anpassad utbildning och utbildning i gymnasieskolan för elever som är döva, hörselskadade eller dövblinda eller har en språkstörning att söka på uppgift om hälsa, dvs. använda uppgifter som normalt betraktas som harmlösa t.ex. namn, personnummer och hemkommun som sökbegrepp. Bestämmelsen ger på motsvarande sätt personalen i sameskolan möjlighet att söka på etniskt ursprung, dvs. använda t.ex. namn, personnummer och hemkommun som sökbegrepp.
Vidare möjliggör andra stycket sökning i hemkommunens ärendehanteringssystem med hjälp av sökbegrepp som rör uppgift om hälsa i ärenden om mottagande i grundsärskolan, i ärenden om en sökande tillhör målgruppen för gymnasiesärskolan och i ärenden om tilläggsbelopp för en elev i behov av särskilt stöd. Bestämmelsen möjliggör även sökning på de uppgifter som hemkommunen får behandla med stöd av 6 §.
I tredje stycket finns en bestämmelse om att regeringen kan meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som anges i andra stycket.
10 § Regeringen får meddela föreskrifter om ytterligare undantag från
förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt denna lag eller föreskrifter som har meddelats med stöd av denna lag.
Paragrafen är ny. Paragrafen innebär ett bemyndigande för regeringen att meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter för organen som avses i 1 §. Paragrafen motsvarar delvis 3 kap. 8 § dataskyddslagen, som delvis motsvarar 20 § PUL. Övervägandena finns i avsnitt 4.7.5.
11 § Fristående skolor får behandla personuppgifter som rör fällande
domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel
1. i elevhälsan i löpande text om det är absolut nödvändigt för ändamålet med behandlingen, och
2. i skriftlig dokumentation som ska föras enligt 5 kap. 24 § om det är absolut nödvändigt för ändamålet med behandlingen.
Paragrafen är ny. Paragrafen möjliggör för viss verksamhet i fristående skolor att behandla uppgifter om fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Övervägandena finns i avsnitt 4.8.4.
Möjligheten att behandla dessa uppgifter är begränsade till elevhälsan samt lärare, rektorer och huvudmän som har en skyldighet att dokumentera vissa uppgifter skriftligt enligt 5 kap. 24 § skollagen. Förutom att uppgifterna endast får behandlas i löpande text krävs att det är absolut nödvändigt för ändamålet med behandlingen för att en uppgift om t.ex. fällande domar i brottmål ska få behandlas.
Kravet på att behandlingen ska vara absolut nödvändig för ändamålet med behandlingen innebär att bestämmelsen ska tillämpas restriktivt och inte möjliggöra upprepad, omfattande, strukturell eller storskalig behandling. Det innebär också ett krav på att behovet av att behandla personuppgifter som rör t.ex. fällande domar i brottmål i det enskilda fallet ska prövas noga mot ändamålet med behandlingen.
I vilka skolformer som det förekommer fristående skolor framgår av definitionen i 1 kap. 3 § skollagen.
Särskilt yttrande
av experten Ulrika Harnesk
Enligt kommittédirektivet (dir. 2016:63) är syftet med utredningen att den kompletterande lagstiftningen ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den skyddar den enskildes fri- och rättigheter. Med anledning av vad som presenteras i betänkandet anser jag att det finns skäl att befara att den rättsliga reglering av personuppgiftsbehandlingen som kommer att tillämpas på området i vissa fall riskerar att inte uppnå dessa syften. Jag bedömer för det första att det finns en risk för att behandling av personuppgifter inom delar av skolan, behandling som det kan finnas ett väsentligt behov av och som det ur ett dataskyddsperspektiv inte finns anledning att förhindra, inte kommer att ha det rättsliga stöd som krävs enligt dataskyddsförordningen och därigenom bli olaglig. För det andra anser jag att den behandling av personuppgifter som i dag utförs inom skolans område i många fall måste anses utgöra ett sådant betydande intrång i en enskilds personliga integritet som avses i 2 kap. 6 § 2 st. regeringsformen. Begränsningar får då göras endast i lag och efter att ha vägt behovet av behandlingen av personuppgifter mot det intrång den innebär för den enskilde eleven. Utredningen föreslår dock inte någon reglering i lag som uppfyller regeringsformens krav.
Rättslig grund
För att vara laglig måste en behandling av uppgifter uppfylla åtminstone ett av villkoren i dataskyddsförordningens artikel 6.1. Finner den personuppgiftsansvarige inget stöd i någon av dessa punkter kan behandlingen inte utföras. I betänkandet anges att den som vill behandla personuppgifter inom utbildningsområdet i allmänhet kommer att kunna använda sig av ena villkoret i artikel 6.1 e – behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Att anordnande och bedrivande av utbildning är att anse som en uppgift av allmänt intresse finns ingen anledning att ifrågasätta. Redan i nuvarande praxis anses personuppgiftsbehandling inom området kunna utföras med stöd av personuppgiftslagens 10 § d) – behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras. Den rättsliga grund som i huvudsak kommer att bli aktuell vid behandling av personuppgifter inom utbildningsområdet är således likalydande såväl i nuvarande som i kommande dataskyddsreglering.
En avgörande nyhet i dataskyddsförordningen är emellertid att det till skillnad från i dataskyddsdirektivet ställs krav på de rättsliga grunderna (artikel 6.3). För att en behandling av personuppgifter ska vara laglig krävs inte enbart att den är nödvändig för att utföra en uppgift av allmänt intresse, denna uppgift måste dessutom vara fastställd i nationell rätt. Den nationella rätten ska vidare uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas. I skäl 41 anges även att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den. Genom denna förändring ställs således nya och betydande krav på hur den rättsliga grunden ska vara utformad för att den ska kunna läggas till grund för behandling av personuppgifter.
Utredningen gör bedömningen att för den skollagsreglerade utbildningsverksamheten finns det inget behov av en särskild reglering för att verksamheternas huvudmän ska kunna tillämpa den rättsliga grunden i artikel 6.1 e. Verksamhetens uppdrag och åligganden framgår av skollagen och tillhörande föreskrifter. De åtgärder som huvudmännen vidtar i syfte att utföra dessa uppdrag och åligganden har i sig en legal grund som offentliggjorts genom tydliga, precisa och förutsägbara regler. Uppgiften av allmänt intresse, det vill säga utbildning och annan pedagogisk verksamhet, är således enligt utredningens
mening fastställd i nationell rätt genom skollagen med anslutande föreskrifter.
Uppgiften av allmänt intresse, som framgår av skollagen och anslutande föreskrifter, måste för att uppfylla kraven i dataskyddsförordningen således vara tydlig, precis och dess tillämpning förutsägbar för den enskilde. Denna bedömning kan enligt min mening inte göras generellt för uppgiften utbildning och pedagogisk verksamhet, utan måste analyseras utifrån den konkreta verksamhet som skolorna bedriver. Varje personuppgiftsansvarig måste vid varje enskild behandling av personuppgifter finna en rättslig grund, i detta fall att behandlingen ska vara nödvändig för att utföra en uppgift av allmänt intresse. Denna uppgift måste dessutom vara fastställd i den nationella lagstiftningen på ett tillräckligt tydligt, precist och förutsägbart sätt. I betänkandet saknas en tillräckligt ingående analys av detta slag, vilket innebär att det är oklart i vilken mån den reglering som finns i dag är sådan att den kan utgöra grund för behandling av personuppgifter i skolan när dataskyddsförordningen träder ikraft.
Det finns därför en risk att behandling av personuppgifter inom delar av den skollagsreglerade utbildningsverksamheten, behandling som det kan finnas ett väsentligt behov av och som det ur ett dataskyddsperspektiv inte finns anledning att förhindra, kan komma att bli olaglig endast av den anledningen att det inte finns någon i nationell rätt tillräckligt tydlig, precis och förutsägbar fastställd uppgift av allmänt intresse. Bedömningen utredningen gör, att den lagstiftning som ligger till grund för verksamheten, skollagen och anslutande föreskrifter, i sig är tillräckligt tydlig, precis och förutsägbar för att kunna ligga till grund för behandling av personuppgifter är enligt min mening något förenklad. Utredningen anger vidare att behandling av personuppgifter som på detta sätt inte kan få stöd i den lagstiftning som reglerar verksamheten, och som inte heller kan finna stöd i någon annan rättslig grund, inte ska anses laglig enligt dataskyddsförordningen. Denna slutsats kan inte anses uppfylla utredningens uppdrag att möjliggöra en ändamålsenlig behandling av personuppgifter inom denna del av utbildningsområdet.
Behov av särskild lagstiftning inom den skollagsreglerade verksamheten
Enligt 2 kap. 6 § 2 st. regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Denna rättighet är dock inte absolut utan kan enligt 2 kap.20–21 §§regeringsformen begränsas genom lag efter en proportionalitetsbedömning. Detta i grundlag fastställda integritetsskydd säkerställer således att det vid personuppgiftsbehandling som innebär ett betydande intrång i den enskildes personliga integritet görs en avvägning mellan det behov som finns av att behandlingen sker och det integritetsintrång denna behandling innebär för den enskilde.
Under de senaste åren har det skett en betydande ökning av den digitala behandlingen av personuppgifter på skolans område. Skolan har fått ökade krav på sig att dokumentera uppgifter om elever, t.ex. omdömen i individuella utvecklingsplaner, och använder dessutom alltmer digitala system i sin verksamhet, både administrativa it-system och s.k. lärplattformar. Integritetskommittén har i sitt betänkande Hur står det till med den personliga integriteten? (SOU 2016:41) angett att en stor andel av undervisningen för landets elever hanteras i digitala lärplattformar och i digitala läromedel. Det rör sig om allt fler och detaljerade uppgifter om varje enskild elev. Sammantaget anser kommittén att användningen av sådana digitala verktyg innebär en allvarlig risk för den personliga integriteten (a.a. s. 200).
Personuppgiftsbehandlingen inom den skollagsreglerade verksamheten sker till allra största del utan den enskildes samtycke. De ökade kraven på skolor att dokumentera integritetskänsliga uppgifter om elever och skolornas omfattande användning av digitala verktyg för att uppfylla dessa krav innebär en risk för allvarliga intrång i den personliga integriteten. Är då detta intrång så pass allvarligt att det faller in under grundlagsskyddet i 2 kap. 6 § 2 st. regeringsformen? Enligt förarbetena ska denna bestämmelse förstås så att den omfattar företeelser som kan bedömas utifrån såväl kvantitativa som kvalitativa kriterier (prop. 2009/10:80 s. 183).Barn anses allmänt som särskilt viktiga att skydda mot otillbörliga intrång i den personliga integriteten. De har dels sämre möjligheter att själva freda sig mot integritetsintrång, dels riskerar det som registreras om elever i unga år att
följa dem under hela livet. De uppgifter som behandlas inom skolan är numera till en betydande del inte uppgifter av administrativ karaktär, som t.ex. uppgifter om namn, adress etc., utan uppgifter om kunskapsmässig och social utveckling. Sådana uppgifter är till sin karaktär särskilt integritetskänsliga. Att uppgifterna rör barn och i många fall kommer att följa barnet under en stor del av dess uppväxt gör uppgifterna extra känsliga ur ett integritetsperspektiv.
Enligt min mening medför den nu rådande digitaliseringen inom skollagsreglerad verksamhet att skolans behandling av personuppgifter i många fall måste anses som ett sådant betydande intrång i en enskilds personliga integritet som avses i 2 kap. 6 § 2 st. regeringsformen. Begränsningar får då göras endast i lag och efter att ha vägt behovet av behandlingen av personuppgifter mot det intrång den innebär för den enskilde eleven. Utredningen gör bedömningen att lagstiftaren, genom regleringen av verksamheten i skollag och anslutande författningar, gjort en sådan avvägning. En sådan bedömning kan dock inte anses uppfylla kraven i regeringsformen eftersom dessa författningar inte reglerar behandlingen av personuppgifter. På detta område kan utredningen således inte anses uppfylla sitt uppdrag att skydda den enskildes fri- och rättigheter.
Kommittédirektiv 2016:63
Personuppgiftsbehandling inom utbildningsområdet
Beslut vid regeringssammanträde den 30 juni 2016.
Sammanfattning
Under våren 2016 beslutades inom EU en förordning som är en ny generell reglering för personuppgiftsbehandling inom unionen. Dataskyddsutredningen (Ju 2016:04) har i uppdrag att föreslå anpassningar och kompletterande författningsbestämmelser på generell svensk nivå. En särskild utredare får nu i uppdrag att föreslå kompletterande regleringar för behandling av personuppgifter inom utbildningsområdet, med undantag för forskningsverksamhet. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den skyddar den enskildes fri- och rättigheter.
Utredaren ska bl.a.
- undersöka vilken reglering av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå,
- analysera om det utöver dessa regleringar finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet,
- analysera behovet av reglering för vissa register inom utbildningsområdet, och
- lämna de författningsförslag som behövs. Uppdraget ska redovisas senast den 1 juni 2017.
Nuvarande regleringar av betydelse för behandling av personuppgifter inom utbildningsområdet
EU:s dataskyddsdirektiv och personuppgiftslagen
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestämmelserna i PUL har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
PUL följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter, i vilka fall behandling av personuppgifter är tillåten, behandling av känsliga personuppgifter, information till den registrerade, skyldighet för den personuppgiftsansvarige att rätta, blockera eller utplåna personuppgifter samt om skadestånd och straff.
PUL är tillämplig även utanför EU-rättens område och gäller för både myndigheter och enskilda som behandlar personuppgifter. PUL är samtidigt subsidiär vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Sådana avvikande bestämmelser kan bl.a. finnas i s.k. registerförfattningar som avser begränsade områden, t.ex. studiestödsdatalagen (2009:287).
Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling
den enskildes personliga förhållanden (2 kap. 6 §). Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § första stycket under vissa förutsättningar göras genom lag.
EU:s dataskyddsförordning
Europaparlamentet och rådet har under våren 2016 antagit en ny förordning, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen, nedan kallad dataskyddsförordningen, ska tillämpas från och med den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna. Den både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag. Det finns ett förhållandevis stort utrymme att behålla eller införa särregleringar för sådan personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet, utföra en arbetsuppgift av allmänt intresse eller behandla uppgifter i samband med myndighetsutövning.
Dataskyddsförordningen kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. Genom förordningen upphävs det nu gällande dataskyddsdirektivet. Direktivet ska upphöra att gälla med verkan från den 25 maj 2018. Detta innebär bl.a. att personuppgiftslagen måste upphävas.
En särskild utredare fick den 25 februari 2016 regeringens uppdrag att bl.a. föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till. I uppdraget ingår att lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen (dir. 2016:15). Utredningen har tagit sig namnet Dataskyddsutredningen (Ju 2016:04). I utredningens uppdrag ingår bl.a. att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter och över-
väga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. Det ingår också i utredningens uppdrag att bl.a. analysera vilka kompletterande bestämmelser om myndigheters bevarande av allmänna handlingar, användning av uppgifter i dessa och överlämnande av arkivmaterial till en arkivmyndighet som behövs i den generella regleringen samt analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för arkivering i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen. I uppdraget ingår inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.
När det gäller utbildningsområdet kommer regeringen att besluta att uppdra åt en särskild utredare att föreslå en kompletterande reglering av behandling av personuppgifter för forskningsändamål. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter.
Uppdraget att undersöka vilken nationell kompletterande reglering av behandlingen av personuppgifter som kan behövas på utbildningsområdet
Vad är utbildningsområdet?
Utbildningsområdet omfattar bl.a. skolväsendet, den verksamhet som bedrivs av universitet och högskolor, yrkeshögskolan och folkbildningen.
Skolväsendet omfattar skolformerna förskola, förskoleklass, grundskola, grundsärskola, specialskola, sameskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild utbildning för vuxna. I skolväsendet ingår också fritidshem som kompletterar utbildningen i förskoleklassen, grundskolan, grundsärskolan, specialskolan, sameskolan och vissa särskilda utbildningsformer (1 kap. 1 § skollagen [2010:800]). Kommuner är huvudmän för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning, särskild utbildning för vuxna och fritidshem. Staten är huvudman för specialskola och
sameskola och för förskoleklass och fritidshem vid en skolenhet inom dessa skolformer. I viss utsträckning får ett landsting vara huvudman för gymnasieskola, gymnasiesärskola, kommunal vuxenutbildning och särskild utbildning för vuxna. Efter ansökan som prövas av Statens skolinspektion, eller i vissa fall av kommunen där utbildningen ska bedrivas, får en enskild godkännas som huvudman för förskola, förskoleklass, grundskola, grundsärskola, gymnasieskola, gymnasiesärskola och fritidshem. Det finns också vissa möjligheter för huvudmän inom skolväsendet att bl.a. lägga ut vissa uppgifter på entreprenad till enskilda fysiska och juridiska personer (23 kap. skollagen).
Vid universitet och högskolor ges eftergymnasial utbildning på grundnivå, avancerad nivå och forskarnivå. Examina utfärdas på grundnivå, avancerad nivå och forskarnivå. I vissa fall krävs tillstånd för att utfärda examina. De flesta universitet och högskolor har staten som huvudman. Tillstånd att utfärda examina kan också ges till enskilda utbildningsanordnare. Universitetskanslersämbetet prövar frågor om examenstillstånd.
Inom yrkeshögskolan ges eftergymnasiala yrkesutbildningar. Utbildning inom yrkeshögskolan får anordnas av statliga universitet och högskolor, kommuner, landsting och enskilda fysiska eller juridiska personer. En anordnare av utbildning får ansöka om att utbildningen ska ingå i yrkeshögskolan och beslut fattas av Myndigheten för yrkeshögskolan. En utbildning inom yrkeshögskolan ska svara mot behov av kvalificerad arbetskraft i arbetslivet som inte tillgodoses genom en utbildning enligt högskolelagen (1992:1434) eller en utbildning som kan leda fram till en examen enligt lagen (1993:792) om tillstånd att utfärda vissa examina. En anordnare av utbildning inom yrkeshögskolan får efter anmälan bedriva sådan utbildning även som uppdragsutbildning.
Till folkbildningen räknas bl.a. folkhögskolor och studieförbund. De flesta folkhögskolor drivs av folkrörelser eller andra organisationer. Övriga folkhögskolor ägs och drivs av regioner, landsting eller kommuner. Studieförbunden är ideella organisationer som driver bl.a. studiecirkelverksamhet och kulturverksamhet.
Till utbildningsområdet hör även studiestödet. Studiestödet består framför allt av ekonomiskt stöd till enskilda i form av bl.a. studiehjälp och studiemedel.
Finns det behov av kompletterande regleringar på utbildningsområdet?
När myndigheter och enskilda behandlar personuppgifter inom utbildningsområdet sker det huvudsakligen med stöd av PUL. När dataskyddsförordningen träder i kraft kommer möjliga grunder för behandling av personuppgifter huvudsakligen att vara antingen att den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (artikel 6.1 a i dataskyddsförordningen) eller att behandlingen är nödvändig för att fullföra en rättslig skyldighet (artikel 6.1 c) eller för att utföra en arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning (artikel 6.1 e).
För att säkerställa att ett samtycke lämnas frivilligt bör enligt beaktandesats 43 i dataskyddsförordningen samtycke inte utgöra en giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Medlemsländerna har enligt artikel 6.2 i dataskyddsförordningen rätt att i nationell rätt behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen för att efterleva artikel 6.1 (c) och (e) genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling.
Enligt artikel 6.3 ska grunden för den behandling av personuppgifter som avses i artikel 6.1 c och 6.1 e fastställas i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av. Denna rättsliga grund kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling av uppgifter, vilken typ av uppgifter som ska behandlas, berörda registrerade, till vilka uppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Den nationella lagstiftningen måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Det behöver analyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering. Dataskyddsutredningen ska analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling och lämna behövliga och lämpliga författningsförslag. Som nämnts tidigare har regeringen beslutat att uppdra åt en särskild utredare att föreslå en kompletterande reglering av behandling av personuppgifter för forskningsändamål. När det gäller behandling av personuppgifter som utförs av myndigheter, kommuner, landsting och enskilda inom utbildningsområdet i övrigt behöver det analyseras om en eller flera regleringar på nationell nivå är möjlig och kan behövas, utöver den generella reglering som Dataskyddsutredningen kommer att föreslå, för att säkerställa att nödvändig behandling av personuppgifter inom utbildningsområdet kan ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas.
Utredaren ska därför
- undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom utbildningsområdet, med undantag från forskningsverksamhet, som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå, och
- lämna de författningsförslag som behövs.
Finns det behov av särskild reglering av behandling av känsliga personuppgifter inom utbildningsområdet?
Liksom i det nu gällande dataskyddsdirektivet och 13 § PUL finns det i artikel 9.1 i dataskyddsförordningen ett principiellt förbud mot att behandla särskilda kategorier av personuppgifter. I PUL används uttrycket känsliga personuppgifter för sådana uppgifter. Med särskilda kategorier av personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening liksom behandling av genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en person eller uppgifter som rör hälsa, sexual-
liv eller sexuell läggning. Förbudet är förenat med en rad viktiga undantag som fastställs i artikel 9.2–9.4. Förbudet gäller inte om den registrerade uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål (artikel 9.2 a). Förbudet gäller inte heller om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionslagstiftningen eller medlemsstaternas nationella rätt. Unionslagstiftningen och medlemsstatens nationella rätt ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Vidare gäller inte förbudet om behandlingen av personuppgifterna är nödvändig av skäl som hör samman med bl.a. förebyggande hälso- och sjukvård och tillhandahållandet av hälso- och sjukvård (artikel 9.2 h). Dessutom får det i medlemsstaternas lagstiftning införas särskilda bestämmelser om dataskydd för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen i syfte att fullgöra en rättslig skyldighet eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra (artikel 6.2).
I direktiven till Dataskyddsutredningen konstateras att möjligheten att göra undantag från förbudet mot att behandla känsliga personuppgifter i svensk rätt i stor utsträckning kommer att utnyttjas genom sektorsspecifik lagstiftning men att utgångspunkten bör vara att det även i fortsättningen kommer att behövas vissa bestämmelser om undantag från förbudet av det slag som i dag finns i personuppgiftslagen och personuppgiftsförordningen (1998:1191). Dataskyddsutredningen ska därför överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen som utredaren ska lämna förslag till.
Inom utbildningsområdet är det i vissa fall nödvändigt att behandla s.k. känsliga personuppgifter. Inom skolväsendet kan det exempelvis handla om sådana uppgifter i samband med modersmålsundervisning eller om elever i sameskolan som anses avslöja etniskt ursprung eller uppgifter som rör hälsa, t.ex. inom elevhälsan eller i de utredningar som ska göras inför antagning till specialskolan och grundsärskolan och i vissa fall till gymnasiesärskolan. Det behöver därför analyseras om det finns behov av kompletterande bestämmel-
ser som reglerar behandling av känsliga personuppgifter inom utbildningsområdet utöver den generella reglering som Dataskyddsutredningen kommer att föreslå. Eftersom behandling av känsliga personuppgifter förekommer hos flera olika myndigheter och enskilda behöver det i detta sammanhang också övervägas om en sådan reglering i så fall behöver finnas i en eller flera olika registerförfattningar.
Utredaren ska därför
- analysera om det utöver dataskyddförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet, och
- lämna de författningsförslag som behövs.
Uppdraget att analysera behovet av reglering för vissa register
När myndigheter och enskilda behandlar personuppgifter inom utbildningsområdet sker det huvudsakligen med stöd av PUL. Inom området finns det också några registerförfattningar. Studiestödsdatalagen (2009:287) tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens (CSN) studiestödsverksamhet. Lagen kompletteras av studiestödsdataförordningen (2009:321). Förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor reglerar bl.a. register som förs av universitet och högskolor. Förordningen (2011:268) om lärar- och förskollärarregister reglerar det register Statens skolverk ska föra över legitimerade och tidigare legitimerade lärare och förskollärare. Förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar reglerar det register kommunerna ska föra över de ungdomar som omfattas av aktivitetsansvaret.
Behandling av personuppgifter sker vidare i några register som inte regleras av någon särskild registerförfattning. I dessa fall sker således behandlingen av personuppgifter med stöd av PUL. Universitets- och högskolerådet administrerar betygsdatabasen BEDA där uppgifter om examensbevis från gymnasieskolan registreras. Myndigheten för yrkeshögskolan för register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar som bedrivs som uppdragsutbildningar samt de studerandes studieresultat, betyg, examina och utbildningsbevis. Dessutom finns det ett
centralt register över deltagare i studiecirklar och annan folkbildningsverksamhet hos studieförbunden.
Behandling av personuppgifter på studiestödsområdet
Studiestödsdatalagen tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. Den innehåller bl.a. bestämmelser om förhållandet till PUL, ändamålet med behandlingen av personuppgifter enligt lagen, begränsningar i rätten att behandla personuppgifter, sökbegrepp som får användas, direktåtkomst och gallring av uppgifter. I den mån PUL innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i studiestödsdatalagen ska PUL tillämpas vid behandling av personuppgifter i CSN:s studiestödsverksamhet. I studiestödsdataförordningen finns bestämmelser som kompletterar lagens bestämmelser.
När dataskyddsförordningen träder i kraft kommer PUL att upphävas.
Utredaren ska därför
- se över vilka anpassningar av studiestödsdatalagen och studiestödsdataförordningen som behövs med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna, och
- lämna de författningsförslag som behövs.
Register som rör universitet och högskolor
Förordningen om redovisning av studier m.m. vid universitet och högskolor innehåller bestämmelser om registrering av uppgifter om studier inom utbildning på grundnivå, avancerad nivå och forskarnivå vid statliga universitet och högskolor, rapportering av uppgifter till Statistiska centralbyrån (SCB) om studenter för officiell statistik, framställning vid SCB av personalstatistik över högskolornas personal och registrering av uppgifter i antagningsregistret vid Universitets- och högskolerådet.
Förordningen gäller utöver PUL. Bestämmelserna i PUL om rättelse och skadestånd gäller vid behandling av personuppgifter enligt
förordningen. När dataskyddsförordningen träder i kraft kommer PUL att upphävas.
Utredaren ska därför
- se över vilka ändringar i förordningen om redovisning av studier m.m. vid universitets- och högskolor som behöver göras med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna, och
- lämna de författningsförslag som behövs.
Betygsdatabasen BEDA
Dåvarande Verket för högskoleservice fick 1996 i uppdrag att skapa och förvalta ett system för inhämtning, kontroll och lagring av presumtiva studenters slutbetyg från gymnasieskolan. Detta blev den nationella betygsdatabasen (BEDA). Härigenom skapades ett enkelt sätt att föra över slutbetyg från gymnasieskolor till SCB och högskolornas antagningssystem. Databasen administreras av Universitets- och högskolerådet (UHR).
För att fylla det statliga behovet av uppföljning och statistik när det gäller skolväsendet finns det bestämmelser om uppgiftsskyldighet för skolhuvudmännen. Nästan alla skolhuvudmän har kommit att, när det gäller vissa uppgifter, fullgöra sin uppgiftsskyldighet enligt bestämmelserna genom att skicka in uppgifter till BEDA. Dessutom har kommuner använt sig av uppgifter ur BEDA för att på ett enkelt sätt få uppgift om ungdomar som har gymnasieexamen och därmed inte omfattas av kommunernas aktivitetsansvar för ungdomar.
Det är frivilligt för en gymnasieskola att ansluta sig till BEDA men 95 procent av gymnasieskolorna har anslutit sig och 40–45 procent av dem som bedriver kommunal vuxenutbildning. De skolor som inte är anslutna till BEDA fullgör sin skyldighet att lämna uppgifter genom att själva lämna uppgifter om slutbetyg direkt till Statistiska centralbyrån. När en person söker till en högskoleutbildning överförs uppgiften om gymnasieexamen från BEDA till UHR:s antagningsregister. BEDA är emellertid inte en del av antagningsregistret och regleras inte av förordningen om redovisning av studier m.m. vid universitet och högskolor, där behandlingen av personuppgifter i antagningsregistret regleras.
Förutom en bestämmelse i förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar, om utlämnande av uppgifter från BEDA till kommuner, finns det ingen särskild författning som reglerar behandlingen av personuppgifter i BEDA. Behandlingen av personuppgifter i registret regleras således av PUL. När dataskyddsförordningen träder i kraft kommer PUL att upphävas.
Utredaren ska därför
- analysera om det behövs något författningsstöd, utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna, för att personuppgifter ska kunna behandlas i betygsdatabasen BEDA även fortsättningsvis, och
- lämna de författningsförslag som behövs.
Statens skolverks register över legitimerade lärare och förskollärare
Enligt förordningen om lärar- och förskollärarregister ska Statens skolverk föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. PUL gäller vid behandling av personuppgifter i registret om inte annat följer av förordningen. I förordningen regleras vilka ändamål uppgifterna i registret får behandlas för, vilka uppgifter registret får innehålla, utlämnande av uppgifter från registret och information till den registrerade om registret.
När dataskyddsförordningen träder i kraft kommer PUL att upphävas.
Utredaren ska därför
- analysera vilka ändringar i förordningen om lärar- och förskollärarregister som behöver göras med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna, och
- lämna de författningsförslag som behövs.
Behandlingen av personuppgifter hos Myndigheten för yrkeshögskolan
Enligt förordningen (2011:1162) med instruktion för Myndigheten för yrkeshögskolan ska myndigheten svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar som bedrivs som uppdragsutbildningar samt de studerandes studieresultat, betyg, examina och utbildningsbevis (2 § 5). Myndigheten ska också pröva frågor om stöd enligt förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar samt svara för ett register över uppgifter om de studerande i utbildningarna och de studerandes studieresultat, betyg, intyg och utbildningsbevis (2 § 6). Myndigheten är personuppgiftsansvarig för behandlingen av personuppgifter i sin verksamhet (9 § 4). Någon särskild författning som reglerar behandlingen av personuppgifter i de register som myndigheten ska svara för finns inte. Behandlingen av personuppgifter regleras således av PUL. När dataskyddsförordningen träder i kraft kommer PUL att upphävas.
Utredaren ska därför
- analysera om det behövs något författningsstöd utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna för att personuppgifter ska kunna behandlas även fortsättningsvis i de register som Myndigheten för yrkeshögskolan svarar för, och
- lämna de författningsförslag som behövs.
Kommunernas register över de ungdomar i kommunen som omfattas av aktivitetsansvaret för ungdomar
En hemkommun ska enligt skollagen löpande under året hålla sig informerad om hur de ungdomar i kommunen är sysselsatta som har fullgjort sin skolplikt men inte har fyllt 20 år och inte genomför eller har fullföljt utbildning på nationella program i gymnasieskola eller gymnasiesärskola eller motsvarande utbildning. Ansvaret benämns kommunernas aktivitetsansvar för ungdomar. Hemkommunen har inom ramen för ansvaret uppgiften att erbjuda de ungdomar som berörs lämpliga individuella åtgärder. Åtgärderna ska i första hand syfta till att motivera den enskilde att påbörja eller återuppta en ut-
bildning. Kommunen ska dokumentera sina insatser på lämpligt sätt. Kommunen ska också föra ett register över de ungdomar som omfattas av ansvaret. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om den dokumentation och den behandling av personuppgifter som är nödvändig för att kommunen ska kunna fullgöra sina skyldigheter (29 kap. 9 §). Regeringen har meddelat sådana föreskrifter i förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar. Förordningen innehåller bl.a. bestämmelser om förhållandet till personuppgiftslagen, ändamålet med behandlingen av personuppgifter, vilka uppgifter som får behandlas och om uppgiftsskyldighet. När dataskyddsförordningen träder i kraft ska PUL upphävas.
Utredaren ska därför
- analysera vilka ändringar i förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar som behöver göras med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna, och
- lämna de författningsförslag som behövs.
Registret över deltagare i studieförbundens verksamhet
Genom 7 b § lagen (1976:1046) om överlämnande av förvaltningsuppgifter inom Utbildningsdepartementets verksamhetsområde har Folkbildningsrådet (FBR) anförtrotts förvaltningsuppgiften att pröva frågor om fördelning av statsbidrag mellan folkhögskolor, studieförbund och studerandeorganisationer inom folkhögskolan. Fördelningen av statsbidrag till folkbildningen regleras i förordningen (2015:218) om statsbidrag till folkbildningen. Enligt förordningen ska FBR kontinuerligt följa upp och utvärdera verksamheten i förhållande till de syften med folkbildningen som anges i förordningen och de villkor som föreskrivs för att statsbidrag ska lämnas. FBR ska också i enlighet med de riktlinjer som regeringen meddelar lämna regeringen sådana sakuppgifter om verksamheten och sådan verksamhetsredovisning som behövs för uppföljning och utvärdering. Folkbildningsrådet ska redovisa hur statsbidraget har använts för studieförbundens verksamhet.
Detta har lett till att ett centralt register över deltagare i studiecirklar och annan folkbildningsverksamhet hos studieförbunden har skapats. FBR är personuppgiftsansvarigt för registret och SCB är personuppgiftsbiträde och förvaltar registret. Ändamålet med detta centrala register är dels att kunna presentera den statistik och göra den återrapportering som FBR är skyldigt att göra, dels att skapa underlag för fördelningen av statsbidrag och att med detta som underlag göra det möjligt att tillföra folkbildningsverksamheten i övrig offentlig utbildnings- och kulturstatistik.
Studieförbunden rapporterar årligen in personuppgifter för deltagarna till SCB, som förvaltar registret. SCB sammanställer aggregerade avidentifierade data som med sekretessförbehåll används av FBR. FBR har inte tillgång till personuppgifter utan personuppgifter och kod för att knyta uppgift till en enskild individ finns hos SCB. Till registret rapporteras ca 2,4 miljoner deltagare per år. År 2013 var det fråga om 914 763 unika individer. I registret kompletteras uppgifter om bl.a. namn och personnummer med uppgift om utländsk eller svensk bakgrund, världsdelskod samt ålder och utbildningsnivå. Dessa uppgifter tillförs av SCB genom att uppgifterna hämtas ur register över rikets totalbefolkning (RTG) och utbildningsregistret. Någon särskild registerförfattning som reglerar behandlingen av personuppgifter i registret finns inte. Datainspektionen har en i skrivelse till regeringen konstaterat att det är fråga om ett mycket omfattande register och har påtalat att myndigheten anser att ett centralt register av denna omfattning och detta slag behöver regleras i en särskild registerförfattning. Bedömningen av om registret behöver regleras i en särskild registerförfattning behöver göras mot bakgrund av att PUL kommer att upphävas när dataskyddsförordningen träder i kraft. Bestämmelserna i en eventuell registerförfattning behöver också vara anpassade till bestämmelserna i dataskyddsförordningen och till den generella reglering som Dataskyddsutredningen kommer att föreslå och de regleringar på utbildningsområdet som utredaren kan komma att föreslå.
Utredaren ska därför
- analysera om det behövs något författningsstöd utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredaren kan komma att lämna för att personuppgifter ska kunna behandlas
i registret över deltagare i studiecirklar och annan folkbildningsverksamhet hos studieförbunden, och
- lämna de författningsförslag som behövs.
Övriga frågor
Utredaren är oförhindrad att inom de ramar som angetts för uppdraget ta upp och belysa även andra frågeställningar som är relevanta för uppdraget. Om utredaren kommer fram till att det krävs eller är lämpligt med kompletterande eller ändrade nationella bestämmelser i andra delar än de som ska utredas särskilt, ska sådana föreslås.
Konsekvensbeskrivningar
Utredaren ska redogöra för ekonomiska och andra konsekvenser av sina förslag. Utöver vad som följer enligt 14–15 a §§kommittéförordningen (1998:1474) ska utredaren redovisa förslagens konsekvenser för den personliga integriteten.
Samråd och redovisning av uppdraget
Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning eftersträvas. Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning när det t.ex. gäller begrepp, uttryck och struktur samt hänvisningar till dataskyddsförordningen. Utredaren ska därför hålla sig informerad om arbetet i övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk, särskilt Dataskyddsutredningen (Ju 2016:04) och den kommande utredningen om personuppgiftsbehandling för forskningsändamål.
Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämpligt, inhämta upplysningar från CSN, Statens skolverk, Statens skolinspektion, Specialpedagogiska skolmyndigheten, Sameskolstyrelsen, Myndigheten för yrkeshögskolan, Universitets- och högskolerådet, Universitetskanslersämbetet, Datainspektionen, SCB, Sveriges kommuner och landsting, Folkbildningsrådet, Sveriges Universitets- och högskoleförbund, Ladok-
konsortiet och andra myndigheter och organsationer som är relevanta för uppdraget.
Uppdraget ska redovisas senast den 1 juni 2017.
(Utbildningsdepartementet)